Blue Screen of Death: Unternehmen weltweit hatten mit IT-Problemen zu kämpfen, auch in der Schweiz. Trotz Fix von Crowdstrike ergibt sich für Kunden ein enormer Aufwand.
Medien berichten von zahlreichen Unternehmen, die mit ihren Windows-10-PCs zu kämpfen haben. Geräte stürzen ab, zeigen den Blue Screen of Death und können nicht mehr neu gestartet werden.
Ausser Gefecht gesetzt wurden die Geräte durch ein Update von Crowdstrike Falcon Sensor, einer Software, die Angriffe auf Systeme blockiert. Das Unternehmen bezeichnet Falcon als die Plattform, "die speziell entwickelt wurde, um Sicherheitsverletzungen mithilfe eines einheitlichen Satzes cloudbasierter Technologien zu stoppen, die alle Arten von Angriffen verhindern – einschliesslich Malware und vielem mehr".
Brody Nisbet, Director of Threat Hunting Operations von Crowdstrike, erklärt auf X, dass es einen Workaround gebe. Es sei nur eine fehlerhafte Datei, die das Problem verursache. Sie könne manuell gelöscht werden. "Dies wird jedoch nicht allen helfen, und ich habe im Moment keine weiteren handlungsfähigen Hilfen anzubieten", ergänzte er kurz darauf.
Update (15 Uhr): Mittlerweile steht auf dem Download-Portal ein neues Update zur Verfügung.
Über Nacht meldeten zuerst Unternehmen aus Australien Probleme. Mit dem beginnenden Arbeitstag weiten sie sich auch auf Europa aus. So konnte beispielsweise der Sender Sky News seine morgendlichen Nachrichten nicht ausstrahlen.
Einschränkungen im Flugverkehr
Ryanair teilte mit, dass sich ein IT-Problem eines Drittanbieters auf die Abflüge auswirke. Auch der Flughafen Zürich meldete Verspätungen. Der Check-in musste demnach teilweise von Hand gemacht werden. Angaben zu den Ursachen der IT-Probleme machte der Flughafen Zürich aber keine.
Die Flugsicherung Skyguiede erklärte am Morgen, als sofortige Vorsichtsmassnahme die Kapazität im Schweizer Transitverkehr um 30% reduziert zu haben. Auf Verlangen des Flughafens Zürich akzeptiere man keine weiteren Anflüge. Nicht davon betroffen seien Flüge, die bereits in der Luft sind. Am Flughafen Genf operiere man derzeit ohne Restriktionen.
Problem wurde identifiziert
Kurz vor Mittag Schweizer Zeit, schrieb Crowdstrike-CEO George Kurtz auf X, dass man aktiv mit betroffenen Kunden zusammenarbeite. Mac- und Linux-Systeme seien nicht betroffen. Es handle sich nicht um einen Sicherheitsvorfall oder Cyberangriff, betonte Kurtz. "Das Problem wurde identifiziert, isoliert und eine Lösung bereitgestellt. Wir verweisen Kunden für die neuesten Updates auf das Support-Portal und werden weiterhin vollständige und kontinuierliche Updates auf unserer Website bereitstellen." Im Verlauf des Nachmittags war es schliesslich so weit.
Auswirkungen in der Schweiz
Während in Grossbritannien oder Österreich das Gesundheitssystem betroffen war und viele Dienste ausgesetzt werden müssen, waren die Auswirkungen in der Schweiz mit Ausnahme der Störungen im Flugverkehr relativ gering. Um 14 Uhr erklärte Skyguide, dass sie die Kapazitätsrestriktionen aufgehoben habe und auch im An- und Abflug wieder normal agiere.
Swisscom erklärte, den Crowdstrike-Agent selbst nicht einzusetzen. Man unterstütze aber jene Geschäftskunden, die Crowdstrike einsetzten, bei der Behebung von Problemen. Mit Problemen zu kämpfen haben allerdings Axpo und CKW. Die Unternehmen melden, dass einzelne Systeme betroffen seien, aber die Infrastruktur und die Versorgungssicherheit uneingeschränkt sichergestellt werden könne.
"Enormer Aufwand" für betroffene Kunden
David Gugelmann, Co-CEO vom Schweizer IT-Security-Hersteller Exeon Analytics.
Die Endpoint-Detection-and-Response-Lösung (EDR) laufe mit hohen Privilegien auf einem System. Ein Fehler könne deshalb katastrophale Folgen haben, sagt IT-Security-Spezialist David Gugelmann zu inside-it.ch. "Ein Bluescreen bedeutet, dass das System nicht mehr erreichbar ist und man sich nicht einmal einloggen kann, um die erforderlichen Fixes durchzuführen. Dies ist besonders verheerend für kritische Infrastrukturen."
Trotz des zügigen Fixes von Crowdstrike bleibe deshalb nun ein enormer Aufwand für die betroffenen Kunden zu bewältigen. "Gemäss meinem aktuellen Wissensstand können Systeme, die schon im Bluescreen-Modus sind, nicht remote wiederhergestellt werden", so Gugelmann am Freitag. Betroffene Unternehmen müssten deshalb jeden einzelnen betroffenen Rechner im Safe-Modus starten und den fehlerhaften Treiber entfernen.