CrowdStrike-Ausfall: Wer trägt die Verantwortung?
Der globale Kollaps der CrowdStrike-Software, der in der vergangenen Woche Millionen von Computern in verschiedenen Branchen betroffen hat, wirft eine zentrale Frage auf: Wer ist schuld? Wie so oft bei Cybersicherheitsvorfällen gibt es viele Beteiligte, die Verantwortung tragen.
CrowdStrike hat es versäumt, die neueste Kanaldatei ausreichend zu prüfen, bevor sie an die Kunden verteilt wurde. Diese Datei brachte zahlreiche Windows-Computer zum Absturz. Zusätzlich führte CrowdStrike das Update gleichzeitig für alle Kunden ein, anstatt es zuerst bei einer kleinen Gruppe zu testen. Dies hätte mögliche Probleme vor einer breiten Freigabe aufgedeckt.
Auf der anderen Seite erlaubte Microsoft CrowdStrike und anderen Drittentwicklern den Zugriff auf die Kernel-Ebene seines Windows-Betriebssystems. Der Kernel kontrolliert das gesamte Computersystem. Ohne diesen Zugriff wäre die Wirkung des CrowdStrike-Updates wahrscheinlich weniger gravierend gewesen und leichter zu beheben, ohne dass alle betroffenen Systeme manuell neu gestartet werden müssten.
Die Gewährung von Kernel-Zugriff an Softwareunternehmen ist riskant. Bei einem Fehler oder einer Kompromittierung kann die Kontrolle über den Computer schnell verloren gehen. Deshalb entschied Apple im Jahr 2020, Drittentwicklern keinen Kernel-Zugriff mehr für das MacOS-Betriebssystem zu gewähren, und womöglich wurde dadurch das CrowdStrike-Problem von Apple-Geräten ferngehalten.
Jedoch liegt nicht die gesamte Schuld bei Microsoft. Ein Abkommen aus dem Jahr 2009 mit der Europäischen Kommission verpflichtet Microsoft, externen Entwicklern denselben Zugang zu Windows zu gewähren, wie es seine eigene Sicherheitssoftware besitzt. Dieses Abkommen sollte sicherstellen, dass zahlreiche Microsoft-Produkte und -Dienste mit fremder Software interoperabel sind und Wettbewerbschancen fördern.
Obgleich viele Bestimmungen des Abkommens sinnvoll sind, wie etwa die Unterstützung gängiger Kalenderformate in Outlook, bleibt eine spezifische Anforderung problematisch: Microsoft muss allen Sicherheitssoftware-Herstellern denselben API-Zugang gewähren wie seiner eigenen Software. Dies zwingt Microsoft, Kernel-Zugriff zu ermöglichen. Solange diese Bestimmung nicht geändert wird, kann Microsoft die Hauptlehre aus diesem Vorfall – das Einstellen der Kernel-Zugriffe – nicht umsetzen.
Neben einer Änderung des Abkommens mit Microsoft muss die Kommission – wie andere Regulierungsbehörden auch – über die Risiken nachdenken, die entstehen, wenn Sicherheitsaspekte zugunsten des Wettbewerbs geopfert werden. Technologiefirmen warnen seit langem, dass eine zu starke Offenheit ihres Ökosystems für externe Entwickler die Sicherheit gefährden könnte. Diese Bedenken werden manchmal als Vorwand für wettbewerbswidriges Verhalten abgetan, doch tatsächlich gibt es legitime Abwägungen zwischen Sicherheit und Wettbewerb.
Die Kommission hat letzten Monat erklärt, dass Apple, um den Vorgaben des Digital Markets Act der EU zu entsprechen, den Zugriff auf und das Herunterladen von Software außerhalb des offiziellen App Stores erleichtern müsse. Das erhöht den Wettbewerb bei Apps, könnte aber auch dazu führen, dass Nutzer unsichere, nicht geprüfte Software herunterladen.
Um einen solchen Wettbewerb zu fördern, muss das Betriebssystem so weit wie möglich abgesichert sein, da andernfalls Software von vielen unbekannten und unzuverlässigen Entwicklern heruntergeladen werden könnte. Daher führte Apple im Januar neue Sicherheitsmaßnahmen für sein mobiles Betriebssystem ein, um mögliche Schäden durch ungeprüften Code auf iPhones zu begrenzen. Regulierungsbehörden müssen sorgfältig über das Maß an Zugriff nachdenken, das sie von Technologiefirmen für deren Konkurrenten und Drittentwickler fordern.
Vielleicht sind wir bereit, etwas Sicherheit für mehr Wettbewerb zu opfern, doch sollten wir niemals, unter keinen Umständen, unsere Computerkernel aufs Spiel setzen.
