- Anzeige -
- Anzeige -
- Anzeige -
- Anzeige -
StartDigitalesBSI entwickelt Maßnahmen gegen zukünftige IT-Vorfälle - genaue Umsetzung unklar

BSI entwickelt Maßnahmen gegen zukünftige IT-Vorfälle – genaue Umsetzung unklar

Als Reaktion auf die weltweiten IT-Störungen am 19. Juli 2024 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit den Software-Unternehmen CrowdStrike und Microsoft erste Maßnahmen entwickelt, um ähnliche Vorfälle zukünftig zu vermeiden. Das BSI plant zudem weitere Gespräche mit anderen Software-Herstellern, um die Maßnahmen zu verfeinern.

Das BSI erklärte, dass neben einer kurzfristigen Analyse des Sicherheitsvorfalls, insbesondere in Bezug auf die Auswirkungen in Deutschland, auch eine tiefgründige technische Untersuchung der Ursachen notwendig sei. Mit CrowdStrike sollen Maßnahmen vereinbart werden, die sicherstellen, dass Kundensysteme auch bei der Installation kurzfristig notwendiger Software-Updates stabil bleiben. Bereits umgesetzte Maßnahmen sollen auf ihre Wirksamkeit hin überprüft werden.

In Gesprächen mit Microsoft, CrowdStrike und weiteren Softwareanbietern wird das BSI darauf hinarbeiten, dass Betriebssysteme auch bei schwerwiegenden Fehlern mindestens in einem abgesicherten Modus gestartet werden können. Dies soll die Fehlerbehebung für betroffene Nutzende erleichtern. Langfristig strebt das BSI an, neue, resiliente Komponenten zu entwickeln, die weniger tiefgreifende Eingriffsrechte in die Betriebssysteme benötigen, aber dieselbe Funktionalität und Schutzwirkung bieten, um die Auswirkungen möglicher Softwarefehler zu minimieren.

Seit dem Vorfall am 19. Juli 2024 steht das BSI in direktem Kontakt mit CrowdStrike sowohl in Deutschland als auch in den USA. Nach sofort umgesetzten Maßnahmen des Herstellers, um weitere Betroffenheiten zu verhindern, und der Bereitstellung eines Workarounds für betroffene Systeme, wurden fortlaufend vorläufige Analyseberichte diskutiert und veröffentlicht. Auf Basis dieser Gespräche und Analysen hat das BSI zunächst kurzfristige Maßnahmen wie die Analyse der Betroffenheit in Deutschland und die Verfolgung der Wiederherstellungsquote betroffener Systeme festgelegt, wobei laut CrowdStrike bis zum 25. Juli 2024 bereits 97 Prozent aller Systeme mit Windows-Sensoren wieder online waren. Zudem wurden kurzfristige Warnungen mit erwarteten Common Vulnerabilities and Exposures (CVEs) zum Vorfall auf Basis des etablierten Coordinated Vulnerability Disclosure (CVD)-Prozesses zusammengeführt.

Mittelfristig wird das BSI einen ausführlichen Abschlussbericht zur Ursachenanalyse auswerten und das Testkonzept von CrowdStrike in Abstimmung mit internationalen Partnerbehörden überprüfen. Es soll sichergestellt werden, dass die Rollouts von Updates zügig und unter strikter Gewährleistung der Systemstabilität erfolgen. Weiterhin wird die Wirksamkeit des gestaffelten Ausrollprozesses von Updates geprüft, um durch erweiterte Telemetrieanalysen eine unmittelbare Erkennung von Störungen nach der Installation der Updates zu ermöglichen. Die Sensibilisierung der Nutzer von CrowdStrike-Produkten hinsichtlich betrieblicher Risiken und der Schaffung ausreichender betrieblicher Redundanzen wird ebenfalls verfolgt.

Langfristig plant das BSI, in Zusammenarbeit mit CrowdStrike und Microsoft sicherzustellen, dass Systeme auch bei schwerwiegenden Fehlern im EDR-Tool mindestens in einem eingeschränkten Modus starten können. Es werden Gespräche mit relevanten Stakeholdern geführt, um die Resilienz von EDR-Tools zu verbessern. Im Jahr 2025 wird das BSI die Entwicklung resilienter Architekturen für EDR-Tools mit minimal erforderlichen Privilegien vorantreiben und weitere Hersteller sowie Betriebssystemplattformen einbeziehen, um die Reduktion von Privilegien zu fördern.

Das BSI bleibt weiterhin im Austausch mit CrowdStrike und Microsoft, um konkrete Ergebnisse und Lösungen zu erwarten. CrowdStrike hat bereits erste Umsetzungen der oben genannten Maßnahmen beschrieben.

Genaue Umsetzung unklar

Über die Tragweite der Kooperation von Microsoft und CrowdStrike mit dem BSI ist allerdings noch einiges unklar. Prof. Dr. Dennis-Kenji Kipker von der Universität Bremen, erklärte bei Deutschlandfunk Kultur, das globale Standards – wie zum Beispiel der Rollout von Updates stattzufinden habe – nötig seien. Das BSI könne jedoch nur als nationale Behörde agieren. Dazu stelle sich die Frage, ob weitere Hersteller in die Kooperation miteingebunden werden können oder ob die Hersteller sich automatisch anschließen könnten, sagte Kipker. Im Bereich Angriffserkennungssoftware gebe es viele Konkurrenten. Etwas helfen könne der Cyber Resilience Act (CRA) der wohl in diesem Jahr aktiv werde. Dieser werde dafür sorgen, dass Cyber-Sicherheit bereits in die Entwicklungsprozesse der Software miteinbezogen werde. 

Ferner stellt sich die Frage, wie die Zusammenarbeit vom BSI und Microsoft konkret aussieht. So werde sich zeigen, ob Microsoft bereit wäre, „Schnittstellen aus programmiertechnischer Sicht“ für das BSI offenzulegen. Grundsätzlich könne das BSI aber bestimmte Anordnungen gegenüber Microsoft aussprechen, dass BSI sei gesetzlich dazu befähigt. Dennoch bleibt vieles wage: „Diese Maßnahmen, die das BSI jetzt kurzfristig benennt, geben keinerlei Auskunft wie denn diese Zusammenarbeit im Einzelnen ausgestaltet wird“, so der IT-Sicherheits-Professor.

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein