Der CrowdStrike-Ausfall vom 19. Juli 2024 hat Millionen von Windows-Systemen weltweit lahmgelegt und eine Welle von betrügerischen Aktivitäten ausgelöst. Cyberkriminelle nutzen die Unsicherheit und Verwirrung aus, um ahnungslose Nutzer mit gefälschten Domains zu täuschen.

Laut dem Web-Sicherheitsspezialisten Akamai wurden über 180 solcher bösartigen Domains identifiziert, wobei die tatsächliche Zahl wahrscheinlich noch höher liegt. In diesem Artikel werfen wir einen detaillierten Blick auf die Ursachen des Ausfalls, die Auswirkungen und wie man sich vor diesen Bedrohungen schützen kann.

Ursachen und Auswirkungen des CrowdStrike-Ausfalls

Was geschah am 19. Juli?

Der massive IT-Ausfall, der als einer der größten in der Geschichte gilt, wurde durch ein fehlerhaftes Software-Update des Sicherheitsanbieters CrowdStrike verursacht. Dieses Update, bekannt als Channel File 291, enthielt einen Logikfehler, der dazu führte, dass die Falcon-Sensoren abstürzten und Millionen von Windows-Systemen mit dem berüchtigten Blue Screen of Death (BSOD) lahmlegten. Die genaue Ursache war eine fehlerhafte Konfiguration der Falcon-Sensoren, die im Rahmen des regelmäßigen Updates auftraten.

Technische Details des Fehlers

Das Problem lag in einem Sensor-Konfigurationsupdate innerhalb der Falcon-Plattform. Diese Updates werden regelmäßig durchgeführt, um Benutzer vor Bedrohungen zu schützen. In diesem speziellen Fall führte das Update jedoch zu einem Absturz der Windows-Systeme, die mit der fehlerhaften Version von Channel File 291 (C-00000291*.sys) ausgestattet waren. Die fehlerhafte Datei war nur eine von vielen, die täglich aktualisiert werden, aber der Logikfehler in dieser speziellen Datei führte zu weitreichenden Störungen.

Betroffene Sektoren

Obwohl weniger als 1% der globalen Windows-Installationen betroffen waren, hatten die betroffenen Systeme kritische Funktionen inne. Zu den am stärksten betroffenen Sektoren gehörten:

• Luftfahrt: Tausende Flüge weltweit wurden gestrichen oder verzögert. In den USA waren Fluggesellschaften wie Delta, United und American Airlines betroffen. Weltweit litten auch Flughäfen wie der Flughafen Toronto Pearson und der Flughafen Zürich unter den Auswirkungen.
• Öffentlicher Nahverkehr: Städte wie Chicago, Cincinnati, Minneapolis, New York City und Washington, D.C. erlebten erhebliche Störungen im öffentlichen Nahverkehr.
• Gesundheitswesen: Krankenhäuser und Kliniken mussten mit Terminverschiebungen und abgesagten Terminen umgehen. Einige Bundesstaaten berichteten sogar von Problemen bei den 911-Notrufdiensten.
• Finanzdienste: Online-Banking-Systeme und Zahlungsplattformen waren betroffen, was zu Verzögerungen bei Gehaltszahlungen führte.
• Medien und Rundfunk: Mehrere Sender, darunter Sky News, wurden vorübergehend außer Betrieb gesetzt, was zu erheblichen Informationslücken führte.

Zusätzliche betroffene Dienste und Systeme

Auch andere wichtige Infrastrukturen und Dienste, die auf Windows-Systemen basieren, waren betroffen. Hierzu gehören:

• Regierungsstellen: Einige staatliche und lokale Behörden mussten den Betrieb einstellen oder einschränken, was zu Verzögerungen bei der Bearbeitung von Anträgen und Dokumenten führte.
• Bildungseinrichtungen: Schulen und Universitäten, die Windows-Systeme für Verwaltung und Unterricht nutzten, sahen sich gezwungen, auf manuelle Prozesse umzusteigen oder den Betrieb vorübergehend einzustellen.
• Unternehmen: Viele Unternehmen weltweit berichteten von Produktionsstopps und Betriebsunterbrechungen, da ihre IT-Infrastrukturen beeinträchtigt waren.

Exploitation durch Cyberkriminelle

Betrügerische Domains

In der Folge des Ausfalls haben Cyberkriminelle die Verwirrung genutzt, um bösartige Domains zu erstellen, die die CrowdStrike-Marke ausnutzen. Akamai hat über 180 solcher Domains identifiziert, wobei die tatsächliche Zahl wahrscheinlich noch höher ist. Diese Domains zielen besonders auf wohltätige Organisationen, Bildungseinrichtungen und Non-Profit-Organisationen ab, da diese oft über weniger ausgeprägte Cyber-Sicherheitsmaßnahmen verfügen. Diese Organisationen sind oft attraktiv für Angreifer, da sie aufgrund begrenzter Ressourcen anfälliger für Phishing-Angriffe und andere Formen von Cyberkriminalität sind.

Arten von Betrug

Zu den häufigsten betrügerischen Aktivitäten gehören:

• Phishing-E-Mails: Gefälschte E-Mails, die vorgeben, von CrowdStrike zu stammen, um sensible Informationen wie Passwörter und Kreditkartendaten zu stehlen. Diese E-Mails enthalten oft Links zu bösartigen Websites oder Anhänge, die Malware enthalten.
• Fake-Anrufe: Telefonanrufe, die vorgeben, von CrowdStrike-Mitarbeitern zu stammen, um Nutzer dazu zu bringen, sensible Informationen preiszugeben oder schädliche Software herunterzuladen.
• Verkauf von gefälschten Skripten: Betrüger bieten gefälschte Skripte an, die angeblich die Wiederherstellung betroffener Systeme automatisieren sollen. Diese Skripte enthalten jedoch oft Malware oder führen zu weiteren Kompromittierungen.
• Falsche Sicherheitsforscher: Personen, die vorgeben, die Ursache des Ausfalls zu kennen und Lösungen anbieten, um betroffene Systeme wiederherzustellen. Diese Angebote sind jedoch oft betrügerisch und zielen darauf ab, Geld oder sensible Informationen zu erlangen.

Schutzmaßnahmen und Empfehlungen

Tipps von Akamai

Tricia Howard von Akamai betont die Notwendigkeit, wachsam zu sein und nur Anweisungen von vertrauenswürdigen Quellen zu folgen. Hier sind einige Tipps, um sich vor den aktuellen Bedrohungen zu schützen:

• Prüfen Sie E-Mail-Absender sorgfältig: Öffnen Sie keine verdächtigen E-Mails und klicken Sie nicht auf Links in E-Mails, die angeblich von CrowdStrike stammen. Überprüfen Sie die Absenderadresse und achten Sie auf ungewöhnliche Schreibweisen oder Domänen.
• Verifizieren Sie Anrufe: Geben Sie keine persönlichen Informationen am Telefon weiter, wenn Sie nicht sicher sind, dass der Anruf legitim ist. Rufen Sie im Zweifelsfall die offizielle Nummer des Unternehmens zurück.
• Regelmäßige Updates: Stellen Sie sicher, dass Ihre Systeme regelmäßig aktualisiert werden, um Sicherheitslücken zu schließen. Nutzen Sie dabei etablierte Prozesse und vertrauenswürdige Quellen für Updates.
• Multi-Faktor-Authentifizierung: Implementieren Sie Multi-Faktor-Authentifizierung (MFA) für alle Ihre Konten, um den Schutz vor unbefugtem Zugriff zu erhöhen.

Maßnahmen zur Vorbereitung auf zukünftige Ausfälle

Der CrowdStrike-Ausfall hat die Abhängigkeit unserer modernen Gesellschaft von Technologie und die damit verbundenen Risiken aufgezeigt. Hier sind einige Maßnahmen, die Unternehmen ergreifen können, um besser vorbereitet zu sein:

• Testen von Updates: Für kritische Systeme sollten Updates vor der Implementierung in einer Testumgebung geprüft werden. Dies hilft, potenzielle Probleme frühzeitig zu erkennen und zu beheben.
• Manuelle Workarounds: Entwickeln und dokumentieren Sie manuelle Verfahren, um sicherzustellen, dass kritische Geschäftsprozesse auch bei Technologiestörungen weitergeführt werden können. Trainieren Sie Ihre Mitarbeiter regelmäßig, um sicherzustellen, dass diese Verfahren im Ernstfall effektiv umgesetzt werden können.
• Katastrophen- und Geschäftskontinuitätsplanung: Implementieren Sie umfassende Pläne zur Katastrophenwiederherstellung und Geschäftskontinuität, einschließlich redundanter Systeme und Infrastrukturen. Diese Pläne sollten regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass sie den aktuellen Anforderungen entsprechen.
• Schulung und Sensibilisierung: Schulen Sie Ihre Mitarbeiter regelmäßig in den Bereichen Cyber-Sicherheit und Bedrohungserkennung. Sensibilisieren Sie sie für die neuesten Bedrohungen und Phishing-Methoden, um das Risiko von erfolgreichen Angriffen zu minimieren.
• Backups und Wiederherstellung: Stellen Sie sicher, dass regelmäßige Backups aller kritischen Daten durchgeführt werden und dass diese Backups sicher gespeichert und schnell wiederhergestellt werden können. Testen Sie Ihre Wiederherstellungsprozesse regelmäßig, um sicherzustellen, dass sie im Notfall effektiv sind.