Erste Zahlen und weitere Details zum großen CrowdStrike Ausfall

[DMW007]

Die Admins sind bei CrowdStrike weitgehendst entmachtet, weil das Unternehmen keine Kontrolle über diese Signaturen erlaubt. Dort bleibt also nur blindes Vertrauen, was sich rächt, wie man hier sehen konnte. Natürlich sollte jeder der halbwegs professionell entwickelt Software testen, bevor sie verteilt wird. Genau wie man als zusätzlichen Schutzmechanismus niemals eine Aktualisierung sofort an alle verteilt. Selbst Microsoft ist nicht so leichtsinnig.

Clevere BWLer sehen so was als unnötige Kosten und sparen das weg. Tests kosten Geld, die der Kunde nicht direkt sieht. Außerdem ist es branchenüblich, dass Antivirenscanner zusammengebasteltes Gefrickel sind. Manche Hersteller haben ihre Codebasis so wenig im Griff, dass sie zum schließen einer Sicherheitslücke drei Anläufe brauchen. Andere erkennen Hello World Programme als Schadsoftware. Warum soll ein wirtschaftliches Unternehmen Geld in die Hand nehmen, wenn sie das gewinnbringender in Funktionen, PR und andere Dinge stecken können, die sich viel besser verkaufen lassen? Keiner trägt die Opportunitätskosten, um bessere Software zu entwickeln.

Das ist ähnlich wie mit dem Glühbirnenkartell: Vor fast genau 100 Jahren hat sich die Industrie noch zu einem Kartell zusammen geschlossen, um die Lebensdauer von Glühbirnen auf 1.000 Stunden zu begrenzen. Obwohl es bereits Jahrzehnte vorher Produkte gab, die weitaus länger halten würden. 1942 wurde es aufgelöst, aber auch Jahrzehnte später blieb es bei 1.000 Stunden Lebensdauer von einer Glühbirne. Das war ein ungeschriebenes Gesetz, weil keiner ein Interesse daran hatte, dass die Qualität besser wurde - das würde ja den Umsatz senken und ggf. sogar zu geringerem Gewinn führen. Auf dem Level arbeiten viele in der Software-Branche - und die Kunden geben ihnen recht, weil die große Mehrheit das Zeug trotzdem kauft. So lange dieses Rad sich dreht und eine gesetzlich verankerte Softwarehaftung fehlt, wird sich daran nichts ändern.

Hat einer aus der IoT-Branche auch mal zum Thema Sicherheit gesagt: Würden sie machen, wenn die Kunden bereit wären, das zu zahlen. Wenn die Kunden aber das günstigere Produkt vom Konkurrenten neben dran nehmen, der auf Sicherheit scheißt, haben sie einen Wettbewerbsnachteil. Also machen sie das nicht oder höchstens ein wenig Oberflächlich.

[U-Labs YouTube]

Antwort von @AnkeMuller-mp1gi:
Das schlimmste: der Kühlschrank vom Pommespanzer ging nicht mehr auf

[U-Labs YouTube]

Antwort von @andreabc1469:
Popcorn, ich brauche mehr Popcorn

[U-Labs YouTube]

Antwort von @GalacticCommanderMars:
Mich hat das alles auch bisher kaum bis gar nicht betroffen.
Dementsprechend finde ich das alles aktuell auch sehr witzig.

[U-Labs YouTube]

Antwort von @SB-cz9vo:
Hab die Vorräte aufgefüllt und schaue weiter von der Seitenlinie zu.
Vielleicht war es dem Management ja noch nicht genug Marketing und die schicken noch einen weiteren NULL-Patch in die weite Welt. Genug Bücher zum Zeitvertreib, wenn das Internetz weg ist hab ich daheim.

[U-Labs YouTube]

Antwort von @Volker-Dirr:
@ULabs Und mal wieder gelöscht. Dann eben Schrittweise:
1. Rechne doch mal den "Premiumpreis" vor. Jedes Jahr gehen zig kommerzielle Firmen pleite, obwohl sie "Premiumpreise" nehmen. Warum wohl? Du möchtest mal wieder lieber, dass die Open Source Leute ohne Bezahlung arbeiten? Wir sind keine Sklaven. Bezahle fair, wenn du gute Software willst.

[DMW007]

Ich lösche auf YT keine Kommentare. Allerdings scheint Google das zu machen, eben so wie Shadowbans (nur der Autor sieht den Kommentar, für alle anderen ist er ausgeblendet). Das habe ich selbst schon erlebt, als ich andere Videos kommentiert habe. Nachvollziehbar war das nicht, weil es eine sachliche Kritik gewesen ist. Nicht mal links waren enthalten, die fehlerhaft als Spam erkannt werden könnten. Da ich nicht der Plattformbetreiber von YT bin, habe ich darauf kaum Einfluss. Ich habe in YT Studio die automatische Moderation abgeschaltet, das ist die einzige Einstellung, die mir dazu verfügbar ist. Dennoch gibt es immer mal wieder Nutzer die behaupten, es wären Kommentare gelöscht worden. Offensichtlich gibt es einen weiteren Filter, der global aktiv ist und nicht abschaltbar ist.

Unabhängig davon vermischt du hier verschiedenes und unterstellst Dinge, die ich nicht behauptet habe. Erst mal ist es ein Unterschied, ob jemand ehrenamtlich an einem OS-Projekt in seiner Freizeit arbeitet und dafür ggf. gar keine Gegenleistung haben möchte. Das ist keine Besonderheit von Software. Rund 29 Millionen Menschen in Deutschland führten 2019 ein Ehrenamt aus, weil ihnen etwas wichtig ist. Ohne die würde unsere Gesellschaft nicht funktionieren bzw. deutlich mehr Menschen ausschließen. Es ist also schon mal falsch pauschal zu behaupten, dass jeder zwingend Geld verdienen möchte. Insbesondere der Vorwurf der Sklaverei ist hier völlig absurd. Ich habe nicht mal gesagt, dass eine faire Bezahlung für Entwickler unangemessen ist - im Gegenteil.

Kritisiert habe ich etwas ganz anderes: Dass Softwarekonzerne sich exzessiv bereichern. Schauen wir uns mal CrowdStrike als Beispiel an. In Q3/2024 haben die 921 Millionen US-Dollar Umsatz erwirtschaftet, dabei blieb ein Gewinn von 42,8 Millionen US-Dollar. Wohlgemerkt nur in drei Monaten. Diese 42,8 Mio. zahlen die Kunden mit und die sieht kein Entwickler. Wie es denen geht, sagen diese Zahlen gar nicht aus. Im schlechtesten Falle liegt die Entwicklung im Ausland, wo die für ein paar hundert Euro im Monat 10h+ am Tag arbeiten. Ein Konzern will schließlich nicht seine Mitarbeiter reich machen, sondern Umsatz & Gewinn steigern.

Das effektivste zur Unterstützung von Entwicklern ist daher in meinen Augen, denen möglichst direkt etwas zu geben. Bei Gimp beispielsweise kann man den Hauptentwicklern über Patreon monatlich Geld zukommen lassen. Das mache ich bereits seit längerem, da ich Gimp häufig für die Beiträge und Videos auf U-Labs nutze. Im übrigen muss das nicht mal zwingend direkt Geld sein, falls das bei jemandem knapp sein sollte. Je nach Projekt kann dort auch Hardware, Bandbreite, Webspace, Unterstützung bei der Verbreitung, Übersetzungen, Tests oder etwas anderes helfen. Gegen all das habe ich nichts, im Gegenteil.

[U-Labs YouTube]

Antwort von @tinyti22222:
@ULabs Komisch, wie ausfallend du wirst, wenn man nicht deiner Meinung entspricht. Und bei solchen Aktionen wunderst du dich, dass die Linux Community bis heute so ein schlechtes Image hat?

[DMW007]

Wo sind da Meinungen? Das sind Fakten, die jeder in ein paar Minuten selbst nachprüfen kann: Such nach z.B. eBPS, das gibt es seit 2014. Microsofts Lösung wurde erst 2021 vorgestellt und war technisch nicht auf dem Level der Linux-Implementierung. Das gilt analog für den Rest: Wie viele schwere Sicherheitsmängel gab es z.B. alleine in Windows, die MS erst Wochen später gefixt hat? Oder wie viele Anläufe hat MS bei der Exchange RCE Ende 2022 gebraucht, um den Kunden Workarounds zu liefern, nach denen sie trotzdem immer noch angreifbar waren? Die Liste könnte man hier noch sehr viel weiter führen. Insbesondere weil das oft keine hochkomplexen Lücken sind, sondern triviale, die sich mit einfachen Mitteln hätten verhindern lassen. Tut man aber nicht, weil die große Mehrheit der Kunden es trotzdem kauft - also aus Konzernsicht raus geschmissenes Geld.

Das was du hier "ausfallend" nennst ist ein sarkastischer Unterton. Den Schuh musst du dir anziehen, wenn du nicht zuhörst, offensichtlich nicht Recherchiert hast, den Unterschied von Meinung/Fakten nicht kennst, trotzdem 1-Satz Aussagen tätigst, die falsch sind, weil sie offensichtlich über Dinge handeln, die du nicht verstehst. Auch hier würdest du mit jeder Suchmaschine in Minuten herausfinden, wie DDoS funktioniert und dass der null mit dem Betriebssystem zu tun hat. Machst du aber nicht, sondern haust lieber Verschwörungsmythen raus. Das ist natürlich spannender, als nüchterne Tatsachen - wie z.B. dass bei einem DDoS oft Netzwerkschnittstelle dicht ist. Schwachsinn der jeder technischen Grundlage entbehrt, bleibt das trotzdem.

Wenn du ohne Sarkasmus ernsthaft diskutieren möchtest, mach deine Hausaufgaben und wir können das gerne tun. Aber nicht auf dem Niveau. Das bringt keinen Erkenntnisgewinn, sondern ist bloß Zeitverschwendung für alle.

[U-Labs YouTube]

Antwort von @ferdynand40:
Ich habe die AGBs heute auch gelesen (8.5 /8.6) und mich gleich gefragt wann die aktualisiert wurden