Wenn Abwehrsysteme unsicher werden und der Schutz zur Bedrohung wird
Weltweit wurden 8,5 Millionen Geräte lahmgelegt, als ein Update einer Sicherheitssoftware, die normalerweise zum Schutz vor Cyber-Bedrohungen eingesetzt wird, zu einem massiven Systemausfall führte. Kern des Problems war ein fehlerhaftes Update für den Falcon-Sensor von CrowdStrike: Diese Sicherheitssoftware operiert auf der Kernel-Ebene und hat daher tiefgreifende Zugriffsrechte auf Systemressourcen. Der Vorfall zeigt auf alarmierende Weise, wie verwundbar Systeme werden können, wenn eine Sicherheitslösung selbst zur Schwachstelle wird.
Der Kernel-Modus und seine Risiken
Die meisten Anwendungen laufen im sogenannten Benutzermodus, der ihnen einen eingeschränkten Zugriff auf Systemressourcen erlaubt. Dadurch können Fehler in diesen Anwendungen meist isoliert werden, ohne das gesamte System zu gefährden. Im Gegensatz dazu operieren Programme im Kernel-Modus mit weitreichenden Berechtigungen. Hier haben sie direkten Zugriff auf kritische Systemkomponenten wie Speicherverwaltung und Hardwaresteuerung. Ein Fehler in einer solchen Anwendung kann, wie kürzlich geschehen, das gesamte Betriebssystem zum Absturz bringen.
Der Falcon-Sensor, der auf Kernel-Ebene arbeitet, ist normalerweise so konzipiert, dass er durch direkten Zugriff auf kritische Systemressourcen einen weitreichenden Schutz vor Cyberbedrohungen bietet. Obwohl Microsofts WHQL-Zertifizierungsprogramm darauf abzielt, die Risiken von Kernel-Modus-Software zu minimieren, werden Updates für solche Treiber nicht immer umfassend getestet, wie es bei dem fehlerhaften Update für den Falcon-Agenten der Fall war. Aufgrund der tiefen Eingriffsmöglichkeiten verursachte dieses Update einen Fehler, der das gesamte Betriebssystem zum Erliegen brachte.
Die Bedeutung gründlicher Tests
Dieser Vorfall wirft zwei zentrale Fragen auf: Warum wurde der Fehler nicht vor dem Rollout des Updates entdeckt? Und warum haben die Unternehmen es versäumt, die Auswirkungen des Updates in Testumgebungen zu analysieren? Eine gründlichere Testpraxis hätte den Fehler vermutlich aufgedeckt, und ein schrittweiser Rollout hätte zumindest den Schaden begrenzen können. Die Antwort auf beide Fragen liegt in der aktuellen Bedrohungslage, die eine schnelle Reaktion auf neue Sicherheitsrisiken erfordert. In vielen Fällen wird die Sicherheit vor die Systemverfügbarkeit gestellt, was jedoch zu katastrophalen Ausfällen führen kann. Besonders im Umgang mit automatischen Reaktionen auf erkannte Bedrohungen sollte ein bewusstes Risiko Management gelebt werden. Diese sollten nicht ohne sorgfältige Bewertung durch menschliche Entscheidungsträger aktiviert werden, um sicherzustellen, dass die getroffenen Maßnahmen angemessen sind und keine unvorhergesehenen Schäden verursachen. Der Vorfall zeigt deutlich, dass eine Balance zwischen schneller Reaktion und systematischem Testen notwendig ist.
Konsequenzen und Empfehlungen
Äußerst brisant ist der Einsatz von Kernel-Modus-Software in geschäftskritischen Anwendungen wie SAP-Systemen. Unternehmen sollten daher genau prüfen, welche Drittanbieter-Software auf Kernel-Ebene läuft und ob deren Einsatz weiterhin gerechtfertigt ist. Besonders problematisch ist die automatische Aktualisierung solcher Software durch den Anbieter, ohne dass der Nutzer darauf Einfluss hat. Hier sollten Lösungen favorisiert werden, die ein aktives Change Management auf Kundenseite unterstützen.
Eine sicherere Alternative kann der Einsatz von Security-Lösungen sein, die im Benutzermodus arbeiten und somit weniger tiefe Eingriffe in das System erfordern. So bietet die Pathlock Suite einen umfassenden Schutz vor fortgeschrittenen Bedrohungen in SAP, ohne auf den Betriebssystem-Kernel zurückgreifen zu müssen. Beispiele hierfür sind die Überwachung von Anomalien in Benutzeraktivitäten, wie untypische Login-Zeiten oder -Orte, die auf eine Kompromittierung des Benutzerkontos hinweisen könnten. Ebenso wichtig ist die Erkennung ungewöhnlicher Datenabfragen, etwa wenn ein Benutzer plötzlich auf große Mengen sensibler Daten zugreift, was auf eine mögliche Datenexfiltration hindeuten kann. Diese Maßnahmen helfen, Bedrohungen frühzeitig zu erkennen und rechtzeitig einzugreifen.
Insgesamt zeigt das Ereignis die Notwendigkeit einer gut durchdachten Sicherheitsstrategie, die sowohl schnelle Reaktionszeiten als auch die Integrität und Verfügbarkeit der Systeme berücksichtigt. Unternehmen sollten ihre Sicherheitsprotokolle überprüfen und gewährleisten, dass sie nicht nur gegen Bedrohungen geschützt sind, sondern auch robust genug, um im Falle eines Fehlers weiter zu funktionieren.
Raphael Kelbert, Product Management (Pathlock Deutschland)
Für eine gute Sicherheitsstrategie lesen Sie auch diesen Beitrag: