Der „Blue Screen of Death“ ist der Albtraum aller Nutzer von Microsofts PC-Betriebssystem Windows. Bleibt der Bildschirm nach dem Starten des Computers blau, kombiniert mit einer meist kryptischen Fehlermeldung, dann ist etwas Grundsätzliches schiefgelaufen – und der Rechner startet nicht einmal mehr bis zum Login-Fenster. Genau dieser blaue Bildschirm legte am Freitag große Teile der Welt lahm. Verantwortlich dafür war ein fehlerhaftes Update des Sicherheitsdienstleisters Crowdstrike.

Die Folgen des Vorfalls werfen ein Schlaglicht darauf, wie fragil die digitale Wirtschaft ist. Auf dem Berliner Flughafen wurde der Flugverkehr bis zum Freitagnachmittag eingestellt, da die Computer zur Abfertigung des Flugverkehrs nicht zur Verfügung standen. Bilder von langen Schlangen veröffentlichten frustrierte Fluggäste auch von den Flughäfen in Manchester, San Francisco, New York, Paris und Amsterdam in den sozialen Medien. Die US-Flugsicherheitsbehörde FAA hatte alle Flüge der großen US-Luftfahrtgesellschaften Delta, United und American Airlines in ihrem Aufgabenbereich zur Landung aufgefordert – etwas, das so seit den Terroranschlägen vom 11. September 2001 nicht mehr vorgekommen ist.

Das Problem erreichte auch Dax-Unternehmen. Etwa die Allianz, BMW, Siemens und die Lufthansa-Tochter Eurowings. Genauso die Internetdienste mehrerer deutscher Banken. In Großbritannien fiel der Fernsehsender „Sky News“ komplett aus, auch andere TV-Stationen wie die amerikanische ABC waren betroffen. In diversen Unternehmen in Asien und Australien berichteten Windows-Nutzer über das soziale Netzwerk X von einem „frühen Feierabend“ dank plötzlicher Ausfälle ihrer Arbeitsrechner. Und in Krankenhäusern in Großbritannien wurden Operationen abgesagt, da das Netzwerk des Gesundheitsdienstes NHS nicht mehr funktionierte.

Gründe für den Ausfall

Ursache der weltweiten Blue Screens ist ein häufig eingesetztes Sicherheitsprogramm der texanischen IT-Sicherheitsfirma Crowdstrike namens Falcon Sensor. Das Programm überwacht die Aktivitäten im Computer-Netzwerk von Unternehmen, muss dafür mittels sogenannter Kernel-Treiber auf den Rechnern installiert werden. Crowdstrike selbst veröffentlichte nach dem Vorfall schnell eine Mitteilung. Der Chef des Unternehmens, George Kurtz, gestand den Fehler ein und kündigte eine automatisierte Problemlösung an.

Experten hätten den Fehler theoretisch sogar schon vorher beheben können, indem sie eine einzige Datei löschen. Allerdings nur auf einzelnen Rechnern, weil die Computer nicht mehr aus der Ferne per Netzwerk gewartet werden konnten. Während große Server relativ schnell von den Administratoren wieder online gebracht werden konnten, dauerte es insbesondere bei einfachen Arbeit-PCs oder Windows-Rechnern im öffentlichen Einsatz länger. Zum Beispiel auch bei Geldautomaten oder in Kassensystemen. Deren Nutzer sind meist gar nicht dazu berechtigt, selbst Dateien aus dem System zu löschen.

Aufdeckung der Gefahr

Der Fall zeigt, welche Risiken mit dem Einsatz von Sicherheitssoftware im Windows-Ökosystem verbunden sind. Der aktuelle Boom von Erpresser-Software, mit der Hacker ganze Firmen lahmlegen können, zwingt die Administratoren gleichzeitig dazu, möglichst leistungsfähige Sicherheitslösungen wie Falcon Sensor von Crowdstrike einzusetzen. Doch damit diese Programme den kompletten Rechner und die verbundenen Netzwerke effektiv überwachen können, müssen sie tief ins System integriert werden. Die dafür notwendigen Kernel-Treiber werden deshalb bereits beim Hochfahren des Computers installiert. Die Schattenseite der Software zeigt der aktuelle Vorfall auf: Wenn der Sicherheits-Dienstleister selbst die Fehlerursache ist, fallen gleich ganze Firmennetzwerke aus, weil sich die fehlerhafte Software nicht einfach deaktivieren lässt.

Die Folgen sind besonders gravierend, wenn eine so weitverbreitete Software wie die von Crowdstrike den Fehler verursacht. Der Anbieter ist Marktführer im Bereich Netzwerk-Sicherheit, hat über 23.000 Großunternehmen als Abonnenten seiner Sicherheitslösung. Damit hält das Unternehmen einen Anteil von gut 20 Prozent des weltweiten Marktes. Das löst unter IT-Experten bereits die Debatte über Ursachen und künftige resilientere Lösungen aus: Fraglich ist demnach etwa, warum ein einzelner Hersteller einer Sicherheitssoftware überhaupt ohne vorherige Prüfung von Microsoft ein weltweites Update ausspielen darf. Apple-Nutzer waren von dem Problem nicht betroffen, obwohl Crowdstrike seine Falcon-Software auch für solche Rechner anbietet. Apples Mac-Betriebssystem setzt allerdings auf eine grundlegend andere Architektur, in der es die Kernel-Treiber gar nicht gibt.

Die Erkenntnisse

Der Zwischenfall könnte nun zu einer grundlegenden Änderung im Umgang mit Sicherheitssoftware führen. Microsoft könnte seine Praxis hinterfragen, die den Sicherheitsdienstleistern einen derart weitreichenden Zugriff auf das Betriebssystem gewährt. In künftigen Windows-Versionen könne Microsoft stattdessen wie Apple vorgehen und den Systemzugriff weiter einschränken, kommentierten Sicherheitsexperten am Freitag in sozialen Netzwerken. Auch im Bereich der Schadsoftware dürfte der Fall interessant sein. Wenn ein Sicherheitsupdate gleich den Betrieb ganzer Konzerne ins Straucheln bringen kann, dann zeigt dies auch, welche Auswirkungen ein gezielter Hackerangriff auf dieselbe digitale Infrastruktur haben könnte. Eine weitere Konsequenz aus der Crowdstrike-Panne könnte sein, dass künftig zentrale Bausteine in der IT-Infrastruktur in Unternehmen genauer kontrolliert werden – und Änderungen daran erst nach Prüfung durch mehrere Instanzen ermöglicht werden.

Fraglich ist, welche Folgen der Zwischenfall für den Sicherheits-Marktführer Crowdstrike haben könnte. In den USA war bereits eine Schadensersatzklage betroffener Kunden im Gespräch. Die Summe könnte in den Milliarden-Dollar-Bereich reichen. Zudem dürften sämtliche Konkurrenten von Crowdstrike in künftige Verkaufsgespräche den Hinweis auf die Panne einflechten und so vom Fehler profitieren.

Der Aktienkurs von Crowdstrike jedenfalls sackte zunächst knapp 20 Prozent ab, während Konkurrenten zulegen konnten. Doch nachdem Crowdstrike gegen Mittag seine Lösung des Problems veröffentlicht hatte, legte der Kurs wieder zu. Denn IT-Sicherheit, daran ändert auch die Panne nichts, erlebt aktuell einen Boom: Einer der wichtigsten Konkurrenten von Crowdstrike ist das Start-up Wiz, das ebenfalls Sicherheitssoftware aus der Cloud anbietet. Wiz wurde in der jüngsten Finanzierungsrunde gerade erst mit zwölf Milliarden Dollar bewertet. Laut US-Medien will nun der Internetkonzern Google die Firma übernehmen, um ebenfalls in den IT-Sicherheitsmarkt einzusteigen, und dafür fast die doppelte Summe zahlen.