Eigentlich soll die Software Falcon von Crowdstrike Angriffe gegen Angriffe schützen. Nun hat sie selbst enorme Schäden verursacht. Die Behebung ist besonders schwierig.
Der Flughafen Zürich Kloten war wie viele andere rund um die Welt am 19. Juli grossteils lahmgelegt.
Gaetan Bally / Keystone
Es begann in Australien: Fluggesellschaften, Banken und Fernsehsender schlugen Alarm, weil ihre Computer plötzlich ausfielen. Die Bildschirme wurden blau und zeigten nur noch die Meldung: „Es sieht so aus, als sei Windows nicht richtig geladen.“ „Blue Screen of Death“ nennt man das auch: blauen Bildschirm des Todes.
Betroffene Computer zeigen den «Blue Screen of Death».
Windows
Mit Aufgehen der Sonne und Beginn des Arbeitstags breitete sich das Problem rund um den Globus aus, erreichte zuerst Indien und dann Europa und die USA.
In Großbritannien konnte der Fernsehsender Sky News keine Morgennachrichten senden. Flughäfen rund um die Welt stehen still. In Indonesien wurden Bordkarten von Hand ausgefüllt. In Alaska fallen die Notrufe aus.
Handgeschriebene Bordkarten der alten Schule am Flughafen von Bali#azure #Crowdstrike pic.twitter.com/TP47VbVnKv
– Johnny Lee (@JohnnyPolar44), 19. Juli 2024
Erst im Laufe des Vormittags wurde bekannt, was hinter den Ausfällen steckt. Es handelt sich offenbar weder um einen gewaltigen Hackerangriff noch um einen Fehler von Microsoft, sondern um einen Bug bei einem Produkt namens Falcon von der amerikanischen IT-Sicherheits-Firma Crowdstrike. Nur die Windows-Version ist betroffen, Computer, die Betriebssysteme von Macintosh oder Linux nutzen, blieben verschont.
Falcon ist eine beliebte Software zur Abwehr von Cyberangriffen. Tausende von Firmen auf der ganzen Welt nutzen sie, um ihre Daten zu schützen.
Damit Falcon seine Aufgabe ausführen kann, benötigt das Programm weitgehende Befugnisse. Es wurde alles überwacht, was auf dem jeweiligen System passiert. David Gugelmann, Gründer der Zürcher IT-Sicherheits-Firma Exeon, vermutet, dass ein Teil der Software fehlerhaft war. Wahrscheinlich sei es, dass die Software Dinge fälschlicherweise blockiert oder sie einen Fehler enthalte, der das System zum Absturz bringe.
„Dass eine Software einen Blue Screen auslöst, kommt fast nie vor“, sagt er. Doch wenn ein Virenschutzprogramm fehlerhaft sei, seien die Folgen so katastrophal, als wäre das Betriebssystem selbst fehlerhaft.
Schon am Freitagvormittag veröffentlichte ein Crowdstrike-Mitarbeiter auf X eine Anleitung, um das Problem zu umgehen. Laut den Angaben muss man den Computer im Sicherheitsmodus hochfahren und dann eine bestimmte Datei von Hand aus dem System löschen. Doch das klingt einfacher, als es ist. Denn normale Nutzer haben dafür nicht die nötigen Zugriffsrechte.
Das Problem ist besonders schwer zu beheben
Deshalb ist im Moment auch noch unklar, wie lange es dauern wird, bis das Problem auf allen betroffenen Systemen behoben ist. Normalerweise kann ein Fehler in einer Software durch ein automatisiertes Update behoben werden. Wird bei einem Windows-System jedoch ein Blue Screen of Death angezeigt, so ist dieses nicht mehr über das Netzwerk erreichbar – und automatisierte Updates sind nicht möglich.
„Wenn Sie den Softwarefehler nicht mit einem automatisierten Update beheben können, haben Sie ein riesiges Problem“, sagt Gugelmann. Denn dann muss jedes System einzeln vom jeweiligen Administrator manuell gefilmt werden, der Aufwand ist enorm.
Während bereits an der Behebung des Problems gearbeitet wird, gehen immer neue Meldungen über die Konsequenzen ein. In Deutschland sagte das Universitätsklinikum Schleswig-Holstein alle für Freitag geplanten Operationen an seinen Standorten in Kiel und Lübeck ab. Die Notfallversorgung sei aber gesichert. Aus Büros, in denen die Arbeit weniger dringend ist, gehen Bilder von Angestellten um die Welt, die sich über ein verfrühtes Wochenende freuen.
Alles Gute zum Internationalen Bluescreen-Tag😍 pic.twitter.com/caAvytQyS9
– sxchopea (@sxchopea), 19. Juli 2024
Nach Einschätzung von Experten für IT-Sicherheit wie dem Microsoft-Mitarbeiter Troy Hunt könnte dieser der bisher am weitesten gesehene IT-Ausfall überhaupt sein.
Am Flughafen in Hongkong warten die Reisenden darauf, dass die technischen Probleme beim Check-in behoben werden.
Tyrone Siu / Reuters
Besonders stark sind die Auswirkungen in der Luftfahrt zu spüren. Das liegt daran, dass der Flugverkehr so komplex und engmaschig organisiert ist. Fluggesellschaften haben nur kurze Zeitfenster fürs Starten und Landen, und bereits wenige Minuten Verspätung können einen Flughafen für den Rest des Tages ins Chaos stürzen.
Dazu kommt, dass der Ausfall mit einem Freitag im Juli einen Tag mit, zumindest in Europa, besonders hohes Flugaufkommen trifft. Für den 19. Juli 2024 waren weltweit etwa 110 000 Handelsflüge geplant. Um 12 Uhr Schweizer Zeit waren rund um die Welt 1390 davon bereits ausgefallen.
Schon am Donnerstagabend verzeichneten die Spielkonsole Xbox und andere Apps und Dienstleistungen von Microsoft Ausfälle. Inzwischen hat Microsoft bestätigt, dass auch diese Störungen mit dem Falcon-Update zusammenhängen.
Solche Ausfälle lassen sich nicht vermeiden
Es stellt sich natürlich die Frage, wie solche Ausfälle in Zukunft verhindert werden können. Laut Gugelmann lässt sich dieses Risiko nicht beheben. Denn damit Virenprogramme wie Falcon von Crowdstrike funktionieren, müssen sie tief mit dem System verwoben sein. Das führt dazu, dass ein Ausfall sie auf grundlegender Ebene lahmlegt.
Natürlich werden Änderungen und Updates bei Software wie der von Crowdstrike durchgetestet, bevor man sie an einen Computer auf die ganze Welt schickt. Doch es besteht das Risiko, dass man etwas übersieht. Der Aktienkurs von Crowdstrike hat sich nach einem sehr tiefen Absturz bereits wieder etwas erholt.
Ob Autos, Handys oder Computer, viele moderne Produkte bestehen aus unzähligen Einzelteilen, die hochspezialisierte Lieferanten produzieren. So kommt es, dass Probleme einer einzigen Firma auf der ganzen Welt Auswirkungen haben. Bei Software kommt dazu, dass sich das Problem auf einen Schlag bei allen Kunden verbreitet. Das macht die moderne, auf Computer gebaute Infrastruktur so verwundbar. Für Cyberangriffe, aber auch für einfache menschliche Fehler.
