CrowdStrike Bericht zum Großausfall: Grundlegende Mängel verursachten ihn

[DMW007]

Die erste These mag theoretisch logisch erscheinen, in der Praxis sieht es oft ganz anders aus. Nur ein Beispiel aus eigener Erfahrung: In dem Betrieb, in dem ich arbeite, habe ich als Praktikant vorgeschlagen, die HTTPS-Zertifikate zu automatisieren. Externe wurden über einen Dienstleister gekauft, interne von Hand in der CA angelegt und durch die Admins der jeweiligen Anwendungen ausgetauscht. Das ist ein paar Jahre her, ich bin mittlerweile ausgelernt und verschwende regelmäßig Ressourcen damit, Zertifikate von Hand zu verlängern. Das ist kein Einzelfall, wir reden von hunderten Servern im gesamten Unternehmen. Bessere Wege gäbt es längst, die wollen die Verantwortlichen nicht und/oder es mangelt an Ressourcen.

Ich könnte die Liste noch weiter führen, Fazit: In der Praxis wird oft nicht zwingend das beste Produkt genommen. Das ist keine Besonderheit der IT-Branche. Aktuelles zweites Beispiel: Verivox hat ermittelt, wie viel Menschen für ihr Girokonto bezahlen. Alleine 20% zahlen 100+ Euro pro Jahr. Selbst von denen die bereits weit mehr als nötig zahlen ist nur ein geringer Teil für einen Wechsel bereit, falls sich die Kosten weiter erhöhen sollen.

Punkt 2 ist schon deswegen falsch, weil es nicht das erste Mal war. Sie haben durch kaputte Definitionen z.B. schon vor Monaten die aktuellste Debian-Version zerstört. Hat man ausgesessen und auf die Kunden verlagert, statt spätestens danach etwas besser zu machen. Der Erfolg hat ihnen Recht gegeben. Und wir reden hier ja nicht von einem unwichtigen Knopf, der mal fehlerhaft war. Die haben damit das ganze System zerschossen! Jemand muss per Hand das Antivirenzeugs runter werfen und noch viel besser: Bei Bitlocker verschlüsselten Systemen erst mal den langen Wiederherstellungsschlüssel eintippen. Das ist keine Kleinigkeit, die man mit "Menschen machen Fehler" abtreten kann. Insbesondere, da der mindestens fahrlässig verursacht wurde. Man stelle sich vor, eine Reinigungskraft würde auf dem Niveau arbeiten - die wäre beim ersten Mal mindestens Abgemahnt. Ich will nicht wissen, in wie vielen Fällen gekündigt.

Dass das ganze so eskaliert ist, geschah überhaupt erst, weil sich die Kunden so entspannt verhalten haben, wie du es vorschlägst. Konzernen sagt man damit: Wir können jeden Scheiß ausliefern, egal wie Schrottig, die Kunden schlucken es. Also kommt ein BWL-Justus und sieht Sparpotenzial. Damit wird es nicht nur nicht besser, sondern schlimmer. Auch da ist Crowdstrike kein Einzelfall. Bisher hatten sie damit Glück, wie ein Autofahrer, der ohne Gurt unterwegs ist. Beim einen geht es 20 Jahre gut, der andere ist übermorgen schon unter der Erde.

[U-Labs YouTube]

Antwort von @Volker-Dirr:
@ULabs Deine Argumente sind mit Sicherheit auch nicht ganz falsch und trffen evtl. auch teilweise zu. Das ändert aber nichts daran, dass meine Argumente auch richtig und zutreffend sind. Einfach mein Argument genau lesen. Ich habe nicht geschrieben, dass es keine bessere Alternative gibt. Ich habe geschrieben, dass sie keine bessere Alternative haben bzw sehen.

Wenn du ihnen nicht zeigst wie es geht, dann machen es Firmen auch nicht.

Kann ich auch mehrere Beispiele aus der Praxis nehmen. Ich habe mal bei einem weltweit sehr großen Computerhersteller (indirekt) gearbeitet. Der ist Börsennotiert. Die haben jeden Tag in der Produktion per Hand csv Dateien in Excel importiert und nach bestimmten Regeln formatiert. Da hat jeden Tag eine Person über eine Stunde dran gearbeitet. Ich konnte zu der Zeit kein VBA. Habe mir ein Buch gekauft und am Wochenende durchgelesen. Dann innerhalb von 3 Tagen ein Makro geschrieben um das zu automatisieren. Danach ging es in 10 Sekunden. Was der "Praktikant" da an Geld gespart hat. Wurde übrigens mit lächerlichen 50 belohnt.

Ich kann aber noch mehr Beispiele erzählen. Kurz: Ich musste immer zeigen wie es geht und es einfach machen. Nur sagen, dass es evtl. nicht geht hilft nicht. Das liest man aber auch in vielen Biografien aus der Computergeschichte.

Zum Konto: Ich habe mal eine Statistik gelesen, dass in Deutschalnd die Menschen öfter heiraten als ihr Konto zu wechseln. Daher werben Banlen auch schon so gerne in Schulen.

Das 20% über 100 zahlen und trotzdem nicht wechseln glaube ich sofort. Ich tippe allerdings auch darauf, dass nicht alle nur zu faul zum Wechseln sind, sondern bewusst ihr altes Konto behalten und/oder gar nicht zu einem kostenlosen Konto wechseln können, weil ihr Geldeingang nicht hoch genug ist. Bewusst dabei beliebn die z.B., weil sie öfters Geld bar ein- und auszahlen müssen und das nur mit einer lokal verfügbaren Bank machen können. Sie Beratung vor Ort brauchen und so ggf. auch wesentlich einfacher höhere oder günstigere Kredite bekommen, ...

[DMW007]

Das habe ich. In diesem Beispiel zählt aber auch das Argument nicht mehr, weil sie es ja seit geraumer Zeit wissen. Zeigen wie es geht kannst du in kleineren Unternehmen noch machen. Wenn wie hier die Administration aufgeteilt ist, kommst du schon rechtetechnisch gar nicht an die notwendigen Systeme. Die Diskussion hatten wir auch schon mal, weil ich nach einer Testumgebung gefragt habe. Selbst einen alten ausgemusterten physischen Server in einer isolierten Umgebung wollten sie nicht zur Verfügung stellen, weil macht Arbeit. Selbst als jemand der bereit ist Ressourcen zu investieren und ein PoC aufzubauen, kommt man nicht weit. Wir reden hier ja nicht von Anwendersoftware, sondern von Basis-Infrastruktur. Obwohl das die Aufgabe der Admins wäre, sich für die verantwortlichen Systeme weiterzubilden.

Auch das liegt mittlerweile ein paar Jahre zurück, mittlerweile habe ich es aufgegeben und meinen Teil, den ich für die Zertifikatsverlängerungen benötige, teilautomatisiert. Ich denke, das wird sich erst ändern, wenn Google mit Gewalt die Reduzierung der Zertifikatsgültigkeit auf 90 Tage begrenzt. Dann ist hoher Handlungsdruck da, weil ansonsten bald jemand eingestellt werden muss, der sich um das händische Zeug kümmert. Damit kommt das Thema auf die Agenda der Führungskräfte, für die ein Automatismus plötzlich sehr interessant wird.

Zum Konto: Beim kostenlosen hast du einen Punkt. Die Banken verlangen teils recht üppige Einkommen von z.B. 3.000€ Monatlich, damit die Kontoführungsgebühr entfällt. Die Postbank z.B. verlangt andernfalls 5,90€ pro Monat für ein Konto, bei dem man sehr breit Geld abheben kann. Die "Cash Group" umfasst einige Banken wie Deutsche Bank, Commerzbank usw. Dazu weitere Möglichkeiten wie z.B. Auszahlung an Shell-Tankstellen ohne Tanken zu müssen. Damit sind wir bei rund 71€ im Jahr. Ein beachtlicher Teil zahlt ja sogar über 200€, die Studie hat das genauer aufgeschlüsselt. Schlussendlich dürften einige dabei sein, die mehr zahlen als nötig, weil Betroffene nicht Vergleichen/Wechseln. Bei Energietarifen gibt es ähnliches zu beobachten. Wahrscheinlich würde sich noch mehr finden: Handy/Telefon beispielsweise. Die Strategie der Bequemlichkeit scheint aufzugehen.

[Darkfield]

Ich sehe es gerade wieder auf der Arbeit, da haben wir ein Update für unser ERP-System bekommen - Grausam, einfach nur Grausam!

Die Entwickler von dem Shice haben in ihrem Leben noch nicht selbst mit ihrer drecks Software gearbeitet,
und wenn, garantiert NIEMALS produktiv.
Von den ganzen Fehlern sprech ich da nicht einmal.

[U-Labs YouTube]

Antwort von @mantragonist:
Nice der trockene Humor der in der ruhigen, unaufgeregten Stimme transportiert wird. Massen-Strike wird längerfristig aber sicherlich keinen dauerhaften "Schaden" davon tragen. Der "Markt" ist schnell vergesslich.

[U-Labs YouTube]

Antwort von @robinhood20233:
Naja, ob es was bringt die Software nicht mehr einzusetzen weiß ich nicht. Ganz im Gegenteil, vielleicht sind die jetzt in Zukunft besonders vorsichtig. Wenn man sich jetzt einen neuen Anbieter sucht, weiß man auch nicht ob der besser arbeitet.

[DMW007]

Du würdest also lieber den Handwerker, der dir dein Haus bereits niedergebrannt hat, noch mal ran lassen, als einen anderen? Halte ich für gewagt. Insbesondere, weil dieser eine auserwählte damit Narrenfreiheit hat. Mit dieser Argumentation dürfte man ja nie etwas ändern, wenn mal einmal jemanden gefunden hat. Konzerne setzen da drauf, dass die Leute ihr Zeug weiter kaufen, egal wie Schrottig. CrowdStrike weiß ganz genau, warum sie keinen Schadensersatz zahlen: Weil es nicht nötig ist. Siehe alleine z.B. Microsoft mit ihren ganzen Hacks aufgrund grober Fahrlässigkeit. Auf deren Scherben bleiben ständig die Kunden sitzen und trotzdem erzielen sie einen Rekordumsatz nach dem anderen. Als "Marktführer" kann man sich Skrupellosigkeit erlauben.

[U-Labs YouTube]

Antwort von @hirsebrei1944:
Naja, es gibt ja einen Quasizwang, ähnlich wie ISO-Zertifzierungen, die man haben muss, um nicht selbst haftbar gemacht zu werden.

[DMW007]

Das ist ein großes Problem, von dem wir weg müssen: Ernste Sicherheitsmaßnahmen, statt blind die BSI Empfehlungen nacheinander abzuarbeiten - dann macht man einen Haken an das Thema "Sicherheit". Hauptsache man hat jemanden, auf den gezeigt werden kann. Dieses Vorgehen ist gerade im Cloudbereich recht verbreitet. Es gibt sogar ein eigenes Wort dafür: Verantwortungsdiffusion. Niemand will Verantwortlich sein, bis man irgendwann bei irgendwelchen Großkonzernen landet, wo viele Superkräfte vermuten. Da ist dann allgemein anerkannt zu sagen: Naja, wenn der Konzern das nicht schafft, dann muss es unmöglich sein - Industriestandard halt.

Ergebnisorientiert ist all das nicht. Auch eine zertifizierte eingestürzte Brücke ist eine eingestürzte Brücke. Wenn man sich mal anschaut, woher viele Sicherheitsmängel kommen, scheint Antivirus keine sinnvolle Lösung. Insbesondere wenn man dann noch auf die Qualität der Branche schaut. Die ist bei den anderen ja nicht großartig besser. Dort waren die Katastrophen nur kleiner bzw. die hatten relativ viel Glück/konnten sich raus reden.

[U-Labs YouTube]

Antwort von @wolfgangroth9171:
Ich habe heute einen Bericht (Milena Preradowitsch) gehört, nach dem Jemand vor diesem Ereignis seine Aktien von Crowdstrike verkauft hat. Hatte er eine Vorahnung?