CrowdStrike-Panne kostet Unternehmen Milliarden

Weltweit haben am 19. Juli rund 8,5 Millionen Computer vorübergehend ihren Dienst quittiert. Das waren vor allen Dingen Rechner, welche die Technik Falcon Sensor für Windows 7.11 und höher verwenden und zwischen 04:09 und 05:27 Uhr der koordinierten Weltzeit (MEZ -1 Stunde) online waren. Ursache war, so wurde schnell festgestellt, ein fehlerhaftes Update des US-amerikanischen Cybersecurity-Anbieters CrowdStrike.

Es traf vor allen Dingen Unternehmen wie große Fluggesellschaften, Bahnen, Banken und Börsen, Einzelhandelsketten, die Schifffahrt und sogar Krankenhäuser. Die Technologie, Crowdstrike Falcon Sensor, kommt vor allem zum Schutz vor Hackerangriffen zum Einsatz. CrowdStrike, ein Unternehmen für Informationssicherheit und Cybersicherheitstechnologie, hat seinen Hauptsitz in der texanischen Hauptstadt Austin

Auswirkungen wie der Angriff auf die Lieferkette

CrowdStrike-CEO George Kurtz erklärte beruhigend noch während die Folgen des Vorfalls behoben wurden, dass es sich bei dem weltweiten Systemcrash nicht um „einen Sicherheitsvorfall oder Cyberangriff“ handele. Er räumt jedoch ein, die Auswirkungen seien durchaus mit denen eines großen Angriffs auf die Lieferkette vergleichbar.

In Deutschland waren die kritischen Infrastrukturen betroffen, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) mitteilte. In Norddeutschland mussten mehrere Kliniken geplante Operationen absagen. Der IT-Gau, der, wie die „Süddeutsche Zeitung“ schreibt, „mindestens ein Prozent der Windows-Rechner weltweit lahmgelegt hat, kostet die betroffenen Unternehmen eine hohe Milliardensumme. Es handelt sich um die bislang größte IT-Panne in der Geschichte des Internets.“

Promidaten geklaut?

Während zum Vorfall durch CrowdStrike betont wurde, dass keine maliziösen Angreifer hinter dem Absturz der Programme stehen würden, zeigen andere Vorfälle aus der jüngsten Zeit in den USA, wie Cybergangster operieren – und extreme Kosten verursachen können. Das in Dallas (Texas) beheimatete Luxusbekleidungsgeschäft Neiman Marcus meldete Ende Juni, dass es im Zeitraum zwischen April und Mai 2024 einen groß angelegten und nachhaltig schädigenden Datendiebstahl gegeben habe.

Zugriff über den Cloud-Anbieter

Die Datendiebe seien durch einen Angriff auf die IT des Cloud-Betreibers „Snowflake“, bei dem auch Neiman Marcus seine Daten speichert, an das Material gelangt. Der Konfektionsausstatter gehobener Schichten räumte ein, dass im Zuge der Attacke personenbezogene Daten von 64.000 Personen kompromittiert worden seien. Zu den Kunden des Luxuskaufhauses gehören unter anderem Mitglieder der Biden- und der Trump-Familie oder auch der US-Unterhaltungsindustrie.

Am 25. Juni 2024 hat dann ein Cybererpresser, der unter dem Decknamen „Sp1d3r“ auftrat, einen Datensatz zum Verkauf angeboten, der aus dem Neiman-Marcus-Diebstahl stammen soll. Er verlangte 150.000 US-Dollar für die Daten und „beklagte“, dass das Unternehmen nicht auf eine Forderung reagiert hatte. Um seiner Forderung Nachdruck zu verleihen, beschrieb er seine Beute , bestehend aus Informationen von 180 Millionen Nutzern, darunter 70 Millionen Transaktionen, zwölf Millionen Gutscheinnummern und sechs Milliarden Zeilen an Kundenakten, Mitarbeiterdaten und Geschäftsinformationen. Die geklauten Daten umfassten auch 31 Millionen eindeutig personalisierten E-Mail-Adressen, Namen, Telefonnummern, Geburtsdaten, Anschriften und teilweise Kreditkartendaten, die allerdings nicht ausreichen sollen, um Einkäufe zu tätigen.

Autoteilelieferant soll 1,5 Millionen Dollar Lösegeld zahlen

Die Bedrohungsakteure, die unter der Chiffre „Sp1d3r“ agieren, bieten für ein Lösegeld von 1,5 Millionen US-Dollar unter anderem Daten von Advance Auto Parts im Volumen von drei Terabytean, die aus dem Snowflake-Cloud-Speicher gestohlen wurden, an. Advance Auto Parts ist ein international agierender Lieferant von Kfz-Teilen. Obwohl sich Advance Auto Parts offensichtlich scheute, den Datendiebstahl öffentlich bekanntzugeben, bestätigten Insider, dass viele Kundendatensätze stimmig seien.

Am 22. Mai 2024 war die Snowflake Inc. darüber informiert worden, dass ein unbefugter Dritter („Bedrohungsakteur“) behauptete, Zugriff auf Snowflake-Kundenkonten zu haben. Nach einer ersten internen Untersuchung am 23. Mai 2024 beauftragte Snowflake einen Counsel als rechtlichen Beistand, so das Unternehmen auf seiner Website, und anschließend CrowdStrike mit der Aufgabe, den Counsel bei der rechtlichen Beratung von Snowflake zu unterstützen. Es wird berichtet, dass wahrscheinlich 165 Organisationen von den Snowflake-Angriffen betroffen waren.

CrowdStrike-Gutscheine als Betrug eingestuft

Ob die Unterstützung von CrowdStrike nach dem jüngsten weltweiten Ausfällen weiterhin in Anspruch genommen wird, ist nicht bekannt. Allerdings befinden sich die Aktien des IT-Sicherheitsunternehmens nach dem jüngsten Vorfall in einem dramatischen Sinkflug. CrowdStrike ist um  Schadenbegrenzung bemüht, die aber auch nicht unbedingt funktioniert. Das Unternehmen schickte seinen Partnern Zehn-Dollar-Gutscheine für Uber Eats – als Entschuldigung für den massiven IT-Ausfall. „Wir haben diese an unsere Teamkollegen und Partner geschickt, die den Kunden in dieser Situation geholfen haben. Uber hat sie aufgrund der hohen Nutzungsraten als Betrug eingestuft“, wie die Website „Business Insider“, einen CrowdStrike-Sprecher zitierend, mitteilte.

Daten von 65.000 Bank-Mitarbeitern geklaut

Auch die Truist Bank, eine führende US-Geschäftsbank mit Hauptsitz in Charlotte, North Carolina, hatte vor einigen Monaten bestätigen müssen, dass ihre Systeme im Jahr 2023 bei einem Cyberangriff gehackt worden waren.

Der Datendiebstahl konnte nicht mehr ignoriert werden, nachdem ein Bedrohungsakteur einige der gestohlenen Daten der Bank in einem Cybercrime-Forum veröffentlicht hatte. Die Bank, die im Dezember 2019 aus der Fusion von BB&T und SunTrust Bank hervorgegangen war, ist derzeit eine der zehn größten Geschäftsbanken mit einem Vermögen von insgesamt 535 Milliarden US-Dollar. Bedrohungsakteure bieten die Daten von 65.000 Mitarbeitern der Truist Bank in dem Hackerforum Sp1d3r, darunter private Informationen der Mitarbeiter, zu einem Preis von einer Million US-Dollar an.

Der Täter behauptet, der Datendump enthalte auch Banktransaktionen mit Namen, Kontonummern, Guthaben und IVR-Quellcode für Geldüberweisungen. Die Behauptungen konnten allerdings nicht verifiziert werden.

Skepsis gegen Abhängigkeiten besteht seit längerem

Vorfälle wie das CrowdStrike-Desaster schüren die Skpesis gegenüber der rasant zunehmenden Digitalisierung. In einem Meinungsbeitrag des „Deutschlandfunks“ vertritt der Kommentator die Ansicht: „In einer derart von Computern dominierten, ja gesteuerten Gesellschaft, hilft gegen diese Ohnmacht nur eins: Misstrauen. Misstrauen in ein digitales Räderwerk, in dem kein Zahnrädchen auch nur einen Zacken verlieren darf. Und Redundanz: Es muss einen Plan B geben…“

In der deutschen Wirtschaft wächst schon seit längerer Zeit die Sorge, zu stark auf amerikanische und chinesische Internet Unternehmen angewiesen zu sein. „Gegenseitige Abhängigkeiten sind akzeptabel, einseitige Abhängigkeiten aber müssen unbedingt vermieden werden“, hatte schon 2019 der Präsident des Digitalverbandes Bitkom der FAZ gesagt.