Wie das BSI künftig gravierende IT-Ausfälle vermeiden will

Nach den IT-Störungen am 19. Juli 2024 hat das BSI gemeinsam mit CrowdStrike und Microsoft erste Maßnahmen zur Vermeidung zukünftiger Vorfälle entwickelt. Eine tiefgründige technische Aufarbeitung der Ursache wird erwartet, während bereits umgesetzte Maßnahmen auf ihre Wirksamkeit überprüft werden. Ziel ist es, dass Betriebssysteme auch bei schwerwiegenden Fehlern wenigstens noch in einem abgesicherten Modus starten können, um die Fehlerbehebung zu erleichtern. Zudem sollen neue, resiliente Komponenten entwickelt werden, die weniger tiefgreifende Eingriffsrechte in die Betriebssysteme benötigen, um Auswirkungen von Softwarefehlern zu minimieren. Das BSI hat auf Grundlage der Gespräche, der Auswertung der vorliegenden Analysen sowie weiterer laufender Rückmeldungen von Crowdstrike zunächst folgende Maßnahmen entwickelt:

Kurzfristige Maßnahmen bis spätestens 15.08.2024

1. Analyse der Betroffenheit: Untersuchung, wie stark Deutschland vom Sicherheitsvorfall betroffen ist.

2. Wiederherstellungsquote verfolgen: Überwachung der Wiederherstellung betroffener Systeme (Stand 25. Juli 2024: 97 % der Systeme mit Windows-Sensoren sind laut CrowdStrike wieder online).

3. Warnungen und CVEs zusammenführen: Verknüpfung bestehender Warnungen mit erwarteten Sicherheitslücken (CVEs) basierend auf dem etablierten CVD-Prozess.

Mittelfristige Maßnahmen bis spätestens 30.09.2024

1. Abschlussbericht auswerten: Analyse des abschließenden Berichts zur Ursache des Vorfalls.
2. Testkonzept überprüfen: Überprüfung und Anpassung des Testkonzepts von CrowdStrike in Abstimmung mit internationalen Partnerbehörden.
3. Zügigen Rollout sicherstellen: Festlegung zukünftiger Maßnahmen, um schnelle und stabile Updates für Kundensysteme zu gewährleisten.
4. Updates überwachen: Überprüfung der gestaffelten und überwachten Update-Rollouts bei Kunden durch erweiterte Telemetrieanalysen zur sofortigen Erkennung von Störungen.
5. Organisationen sensibilisieren: Aufklärung der Nutzer von CrowdStrike-Produkten über Betriebsrisiken und Schaffung betrieblicher Redundanzen für kritische Szenarien.

Langfristige Maßnahmen bis spätestens 31.12.2024

1. Evaluierung der Softwareentwicklungsprozesse: Diskussion zur Bewertung der Softwareentwicklungsprozesse von CrowdStrike durch unabhängige Dritte gemäß BSI TR-03185.
2. Systemstart bei Fehlern ermöglichen: Zusammenarbeit mit CrowdStrike und Microsoft, um sicherzustellen, dass Systeme auch bei Fehlern des EDR-Tools mindestens im abgesicherten Modus starten können.
3. Resilienz von EDR-Tools erhöhen: Gespräche mit relevanten Stakeholdern zur Verbesserung der Resilienz von EDR-Tools.

Weitergehende Maßnahmen im Jahr 2025

1. Neue Architekturen entwickeln: Entwicklung neuer, resilienterer Architekturen zur Ausführung von EDR-Tools mit minimal erforderlichen Privilegien bei gleichbleibender Funktionalität und Schutzwirkung.
2. Weitere Hersteller einbeziehen: Einbeziehung anderer Hersteller dieser Produktkategorie und relevanter Betriebssystemplattformen sowie ganz allgemein der Hersteller von Produkten mit (derzeit noch) zu hohen Privilegien.

Das BSI bleibt im ständigen Austausch mit CrowdStrike und Microsoft, um konkrete Ergebnisse und Lösungen zu erarbeiten. CrowdStrike hat bereits zahlreiche weiterführende Informationen veröffentlicht, welche die Umsetzung der genannten Maßnahmen beschreiben.

Weitere Informationen: www.bsi.bund.de