So groß war der Schaden der Crowdstrike-Panne für deutsche Unternehmen
Ein fehlerhaftes Update einer Cybersicherheitslösung des Unternehmens Crowdstrike hatte weltweit zu zahlreichen IT-Ausfällen geführt. Auch viele Unternehmen in Deutschland litten unter den Auswirkungen, zeigt eine jetzt veröffentlichte Untersuchung.
Inhaltsverzeichnis
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Digitalverband Bitkom haben in einer gemeinsamen Befragung von 331 von den Ausfällen betroffenen Unternehmen ermittelt, welche Folgen die großflächige Update-Panne von Crowdstrike für Unternehmen in Deutschland hatte.
Diese nicht repräsentative Umfrage gebe ein aussagekräftiges Stimmungsbild, heißt es. 62 % der damals betroffenen Unternehmen litten demnach unter direkten Folgen, etwa unter dem Ausfall der eigenen PCs oder Server. Bei 48 % zeigten sich indirekte Auswirkungen, weil zum Beispiel Zulieferer, Kunden oder Geschäftspartner von dem Ausfall betroffen waren.
Jedes zweite Unternehmen musste nach Crowdstrike-Fehler vorübergehend den Betrieb einstellen
48 % der direkt oder indirekt betroffenen Firmen mussten wegen des Vorfalls vorübergehend den Betrieb einstellen. Im Schnitt legten die Folgen des fehlerhaften Crowdstrike-Updates diese Unternehmen für zehn Stunden lahm. Rund drei Viertel (73 %) der Befragten finden rückblickend, dass die entstandenen Probleme und Störungen gravierend für die deutsche Wirtschaft waren. Gleichzeitig sind 64 % jedoch mit Blick auf das eigene Unternehmen auch davon überzeugt, dass sich solche Vorfälle nicht vollständig verhindern lassen.
Eine Einschätzung, die auch die BSI-Präsidentin Claudia Plattner teilt: „Es wird auch in Zukunft keinen 100-prozentigen Schutz vor IT-Sicherheitsvorfällen geben“, sagt sie. Künftig wolle man aber so nah wie möglich an die 100 % heran. Dazu sei BSI in engem Austausch mit Crowdstrike, Microsoft und weiteren Softwareherstellern, damit diese die Qualität ihrer Software und ihrer Softwareupdates verbessern. Plattner sieht aber auch Unternehmen in der Pflicht: Sie müssten und könnten mit präventiven Maßnahmen ihre Resilienz erhöhen, damit sie widerstandsfähiger gegen IT-Sicherheitsvorfälle würden. Dazu sei es wichtig, den Anwenderinnen und Anwendern die größtmögliche Kontrolle über Updateprozesse zu geben. In diesem Zusammenhang betont die BSI-Präsidentin die Wichtigkeit von eingeübten IT-Notfallkonzepten, die ein wichtiger Bestandteil jeder Krisenvorsorge sein sollten.
Leistungsausfall für Tage durch Crowdstrike-Störung
Die direkt betroffenen Unternehmen gaben an, dass im Schnitt 32 % der PCs und Notebooks sowie 51 % der Server durch den Vorfall in Mitleidenschaft gezogen waren. Sie hatten vor allem mit Systemabstürzen (83 %) zu kämpfen, Anwendungen ließen sich nicht nutzen (64 %) und Daten waren nicht verfügbar (58 %).
Weil sie Leistungen nicht erbringen konnten, berichten 40 % der Unternehmen Schäden in der Zusammenarbeit mit ihren Kunden. Durchschnittlich zwei Tage vergingen, bis die durch den Crowdstrike-Vorfall verursachten Störungen wieder vollständig behoben waren. Ein Fünftel der direkt betroffenen Unternehmen kämpfte sogar drei Tage und länger mit den Folgen.
Woher Hilfe kam
Die meisten Unternehmen (74 %) haben die durch den Vorfall entstandenen Probleme selbst behoben. 15 % erhielten Unterstützung von externen IT-Dienstleistern. 9 % ließen sich von Crowdstrike und 4 % von Microsoft helfen. Ihre ersten Informationen zur IT-Panne bekamen die Firmen vorwiegend über Social Media und von Crowstrike, gefolgt von der Presse. Auch vdi-nachrichten.com verwies bereits wenige Stunden nach Bekanntwerden des Problems auf einen Weg zur Fehlerbehebung.
Eine Mehrheit von 62 % der direkt oder indirekt betroffenen Unternehmen hatte einen Notfallplan für solche IT-Ausfälle vorbereitet. Bei 19 % der betroffenen Unternehmen mit Notfallplan haben die Abläufe sehr gut funktioniert, bei 45 % eher gut. Umgekehrt hat bei 12 % der Plan eher nicht funktioniert, lediglich bei 2 % funktionierte der Plan nicht.
Laut Bitkom-Präsident Ralf Wintergerst sollte der damalige Vorfall ein Warnschuss für alle sein: „Wir müssen unsere Cybersicherheit dringend weiter verbessern und brauchen entsprechendes eigenes Know-how in Unternehmen und Behörden – nur so können wir uns vor unbeabsichtigten Ausfällen oder gezielten Angriffen besser schützen und digital souveräner werden.“
Die Lehren aus Crowdstrike
Die betroffenen Unternehmen wollen sich künftig besser aufstellen. Zwei Drittel (66 %) geben an, einen IT-Notfallplan entwickeln bzw. den bestehenden nachbessern zu wollen. Einige haben das bereits getan. Mehr als die Hälfte (55 %) plant Schulungen oder hat sie schon durchgeführt, ebenso viele wollen das Patch-Management ihrer Software verbessern oder haben es bereits umgestellt. 49 % wollen Back-up-Systeme einführen oder verbessern. Ebenso viele Unternehmen planen, die Netzwerke stärker zu segmentieren sowie Redundanzen in der IT aufzubauen (48 %). Ein Fünftel will die Kriterien für die Auswahl von IT-Sicherheitsanbietern anpassen, 4 % haben den IT-Sicherheitsanbieter gewechselt oder planen einen solchen Wechsel (6 %).