IT-Sicherheit Ein Maßnahmenplan nach dem Crowdstrike-Vorfall

Anbieter zum Thema

bb-net media GmbH

WatchGuard Technologies GmbH

Impossible Cloud GmbH

Auf Krisen folgen Maßnahmen: Das BSI hat nach den Gesprächen mit Crowdstrike an einem Maßnahmenplan gearbeitet, das nach den globalen IT-Ausfällen für mehr Sicherheit sorgen und vergleichbare Vorfälle vermeiden soll.

Seit dem Vorfall mit Crowdstrike steht das Bundesamt für Sicherheit in der Informationstechnik (BSI) in ständigem Austausch mit dem globalen IT-Dienstleister in Deutschland und den USA. Diese arbeiten nun zusammen mit Microsoft und Herstellern vergleichbarer Softwarelösungen vermehrt daran, dass ein Betriebssystem künftig auch bei schwerwiegenden Fehlern noch in einem abgesicherten Modus starten und funktionieren kann. Ziel ist es, die Funktionalität und den Schutz weiterhin zu gewährleisten, doch die Fehlerbehebungen dafür zu vereinfachen, sodass keine tiefgreifenden Eingriffsrechte in die Betriebssysteme mehr benötigt werden.

Auf Basis der Analysen, Rückmeldungen und Auswertungen des Herstellers, hat das BSI neben den bisher vorgestellten Sofortlösungen von Crowdstrike, nun einen Maßnahmenplan entwickelt und ausgearbeitet, das die Betriebsstabilität des Systems trotz kurzfristig notwendiger Software-Updates sicherstellt und künftig auch weitere Vorfälle vermeiden soll.

Kurzfristige Maßnahmen bis spätestens 15.08.2024

• Analyse der Betroffenheit vom Sicherheitsvorfall in Deutschland.

• Laufende Verfolgung der Wiederherstellungsquote betroffener Systeme (Stand 25. Juli: Laut Crowdstrike sind 97 Prozent aller Systeme mit Windows-Sensoren wieder online).

• Zusammenführung bereits erfolgter kurzfristiger Warnungen mit erwarteten CVEs zum Vorfall auf Basis des etablierten CVD-Prozesses.

Mittelfristige Maßnahmen bis spätestens 30.09.2024

• Auswertung des folgenden ausführlichen und abschließenden Analyseberichts (Root Cause Analysis).

• Überprüfung des aktuellen und weiterentwickelten Testkonzepts von Crowdstrike durch das BSI in Abstimmung mit weiteren internationalen Partnerbehörden sowie Diskussion zu erforderlichen Anpassungen mit Crowdstrike.

• Klärung zukünftiger Maßnahmen zur Sicherstellung eines zügigen Rollouts der Logiken/Signaturen unter strikter Gewährleistung der Betriebsstabilität von Kundensystemen.

• Prüfung der Wirksamkeit des von Crowdstrike bereits angekündigten gestaffelten und eng überwachten Ausrollprozesses von Updates bei Kunden mit erweiterten Telemetrieanalysen durch Crowdstrike zur unmittelbaren Erkennung von Störungen nach Installation der Updates.

• Sensibilisierung der Crowdstrike-Produkte nutzenden Organisationen hinsichtlich der grundsätzlichen Betriebsrisiken sowie zur Schaffung ausreichender betrieblicher Redundanzen für kritische Einsatzszenarien.

Langfristige Maßnahmen bis spätestens 31.12.2024

• Diskussion von konkreten Möglichkeiten zur Evaluierung der Softwareentwicklungsprozesse des Herstellers durch unabhängige Dritte auf Basis von bereits erfolgten Ankündigungen von Crowdstrike.

• Etablierung einer Zusammenarbeit des BSI mit Crowdstrike und Microsoft, um auch bei schwerwiegenden Fehlern des EDR-Tools ein Starten des Systems, mindestens in einem eingeschränkten Modus, zu ermöglichen.

• Erstgespräche mit allen relevanten Stakeholdern zur Architektur von EDR-Tools zur Erhöhung derer Resilienz.

Weitergehende Maßnahmen im Jahr 2025

• Konzeption und Umsetzungen neuer, resilienterer Architekturen zur Ausführung von EDR-Tools mit minimal erforderlichen Privilegien bei gleicher Funktionalität und Schutzwirkung.

• Einbeziehung aller weiteren Hersteller dieser Produktkategorie, aller relevanten Betriebssystemplattformen sowie ganz allgemein der Hersteller von Produkten mit (derzeit noch) hohen Privilegien.

Weitere Informationen zu bisher veröffentlichten Maßnahmen von Crowdstrike unter: www.crowdstrike.com.

Windows-Rechner betroffen

Computerpanne löst weltweit Probleme aus

Dieser Artikel erschien zuerst auf unserem Partnerportal eGovernment.

(ID:50113501)