Größter IT-Ausfall: Wie CrowdStrike & Microsoft die halbe Welt lahm legten

[DMW007]

Leider ein generelles Problem von proprietärer Software der großen Konzerne. Wir geben aktuell wieder Rekordsummen für MS, Oracle & co aus und verstärken damit die Abhängigkeit weiter - statt auf freie, quelloffene Alternativen zu setzen.

[U-Labs YouTube]

Antwort von @turbo2sven476:
CrowdStrike kann gleich das Geld nehmen und Microsoft und Co. zahlen, da das ein Milliarden schaden ist, der weltweit entstanden ist. Eine Sauerei was CrowdStrike sich geleistet hat

[DMW007]

Wenn es an die Kunden geht, stimme ich dir zu. Die haben ja die Schäden, MS dagegen kaum. Im Gegenteil, die arbeiten selbst kräftig daran, dass ihre Kunden auch leiden müssen. Da wir keine Softwarehaftung haben, befürchte ich allerdings, dass nicht viel Geld von CrowdStrike fließen wird - wenn überhaupt. Die haben ewig lange AGB und schließen darin alles mögliche aus - nach dem Motto: Wer unser Zeugs einsetzt, ist selbst schuld.

[U-Labs YouTube]

Antwort von @heirix6964:
Also, das mit der Null Haftung, das glaube ich noch nicht... Bin selber C++ Entwickler bei einem großen Automotive Konzern, und dieser Fehler war grob fahrlässig und mit Sicherheit stimmen dort bei Crowdstrike grundsätzliche Prozesse zur QA nicht. Eine banale Null-pointer Dereferenz (das war's wohl soweit ich es mitbekommen habe) in einer ganz gewöhnlichen Alltagssituation, so ein Fehler wäre bei uns niemals ausgeliefert worden. Es gibt Dutzende von Sicherheitsmaßnahmen, die durchlaufen werden müssen, von code-review, unit-test mit 100% code coverage, Tools zur statischen Code Analyse, CI/CT Pipelines, Rollout erstmal in kleiner Stückzahl, usw. usw.

[DMW007]

Dann seid ihr weitaus Überdurchschnittlich unterwegs, was löblich ist. Die von dir aufgelisteten Dinge sollten bei jedem größeren Unternehmen, dass behauptet professionell Software zu entwickeln, der Standard sein. Wie im Beitrag erwähnt, sieht das bei vielen anderen in der Branche aber leider ganz anders aus. Die Studie alleine zu Sicherheitsmängeln habe ich ja zweimal gezeigt. Brauchst du mir also nicht glauben. Belege dafür findet man mehr als genug, wenn man etwas sucht.

Schau dir z.B. alleine bei Microsoft oder Atlassian an, auf welchem Niveau die arbeiten. Dazu habe ich mehrere Beiträge gemacht und selbst das deckt nur einen Bruchteil von allem, was die für Murks an ihre Kunden ausliefern. Wenn ich zu jedem einen Beitrag oder gar Video machen würde, hätte ich vom Zeitbedarf her eine Vollzeitbeschäftigung und würde zu keinen anderen Themen mehr kommen...

[U-Labs YouTube]

Antwort von @jornkenntnisreich689:
@heirix6964 ach ja c++ die angeblich aussterbende programmiersprache und dennoch nicht tot zu kriegen. Ich vertrete da aber deinen Punkt, Updates ohne ausgiebig testen ist ein No go

[U-Labs YouTube]

Antwort von @kaffeetasse2461:
sehe ich das richtig? also solche antivir anti intrusion oder wie auch immer dieses zeugs genannt wird, die uberwachen den ganzen pc? also koennen die da rein teoretisch auch alles mitlesen was der user macht...dieser john mcaffee...musste angeblich auch verschwinden, weil er zu viel wusste...

[DMW007]

Ein Antivirus klinkt sich sehr tief in den Kern vom PC ein und überwacht alles, was dort passiert. Beispielsweise prüft es heruntergeladene Dateien auf Schadsoftware oder Netzwerkverbindungen auf alles, was aus deren Sicht "verdächtig" ist. Bei John McAfee wäre ich vorsichtig, der hat im höheren Alter ein ziemlich wildes Leben geführt. Da lässt sich schwer sagen, was stimmt und was sich wohl nur in seinem Kopf abgespielt hat.

Fakt ist: Antivirensoftware sieht alles und hat volle Rechte auf das gesamte System. Das macht sie selbst zu einer großen Gefahr, insbesondere wenn sie schlampig entwickelt wurde. Dies ist bei vielen in der Branche der Fall. Daher sehe ich das als Grundsatzproblem: Heute muss der eine schwere Sicherheitsmängel zugeben, morgen einer seiner Konkurrenten und übermorgen stellt sich heraus, dass er unfähig war, wenigstens nach bekannt werden die Mängel zu korrigieren...

[U-Labs YouTube]

Antwort von @kaffeetasse2461:
angeblich sitzen die server von krautstreik in der ukraine. da gibts auch schon eine konspirazi teorie dazu und die is schon 4 jahre alt. weil der trump hat damals dieser firma krautstreik vorgeworfen, dass die mit ihren servern irgendwie wahlmanipulation gemacht hetten. und 'rein zufellig' kommt jetz alles zusammen mit trump attentat zur gleichen zeit. und wieder plotzlich und unerwartet. es wird ja immer gesagt, dass wir einen film sehen. der zu krautstreik eingeladene experte bei br24 vorgestern hiess rein zufellig 'espenlaub'...ihr kennt ja den spruch, wenn man vor angst zittert wie espenlaub...sublimale botschaft? krautstreik heisst auf deutsch ubrigens 'massenstreik'...rein zufellig...steht halt so im drehbuch, damits gut passt?

[DMW007]

Trumps Strategie ist Masse, der ballert am laufenden Band alles mögliche raus. Vieles davon ist irreführend bis Unsinn. Interessiert ihn aber nicht, weil das die Strategie ist: Wer nur oft genug mit der Schrotflinte schießt, wird irgendwann auch mal was treffen. Ich wäre daher sehr vorsichtig mit dem seinen Aussagen und würde das besonders gründlich prüfen - die Chance ist hoch, dass das nicht der Fall ist oder zumindest relevante Informationen weggelassen wurden.

Generell sehe ich es nicht zielführend, sich mit solchen Theorien zu beschäftigen. Gerade Antivirenprogramme sind voller Mängel. Hersteller von Antivirenprogrammen wurden schon gehackt und Schadsoftware per offizielles Update verteilt. Mich wundert es eher, dass da bisher noch relativ wenig passiert, obwohl die Dinger voller Sicherheitsmängel sind. Von der Branche hält man sich daher am besten fern. Wer so was am Ende ausnutzt, ist weniger wichtig. Ich sehe daher auch diese ganzen Diskussionen bei Angriffen, ob es die Chiesen, Russen oder sonst wer war, für Nebelkerzen. Wenn Sicherheitsmängel bestehen, muss man dagegen etwas tun. Und nicht groß darüber debattieren, welcher Langfinger das bloß war. Davon wird nichts sicherer.