Ein sogenannter Content Validator sollte Fehler in Updates für den Crowdstrike Falcon Sensor eigentlich erkennen. Am 19. Juli hat er das aber nicht getan.

Schätzungsweise 8,5 Millionen Windows-Systeme auf der ganzen Welt sind Ende letzter Woche aufgrund eines fehlerhaften Updates von Crowdstrike ausgefallen. Experten bezeichnen diesen Vorfall als größte IT-Panne aller Zeiten. Wie es dazu kam, hat die US-amerikanische Cybersicherheitsfirma nun in einer aktualisierten Mitteilung auf ihrer Webseite grob skizziert.

Ausgelöst wurde die Panne demnach durch ein Konfigurationsupdate für den Crowdstrike Falcon Sensor, das durch ein vom Hersteller als Rapid Response Content bezeichnetes Verfahren verteilt wurde. Dieses Verfahren dient dazu, möglichst schnell auf neue Cyberbedrohungen zu reagieren. Laut Crowdstrike werden darüber neue Konfigurationsdaten in Form proprietärer Binärdateien bereitgestellt.

Am 28. Februar führte Crowdstrike mit Version 7.11 des Falcon Sensor einen neuen Vorlagentyp namens Inter Process Communication (IPC) ein. Dessen Aufgabe ist es, neuartige Angriffstechniken, die Named Pipes missbrauchen, zu erkennen. Neue Erkennungsdaten werden dafür über sogenannte IPC-Vorlageninstanzen bereitgestellt. In den Monaten März und April hat Crowdstrike nach eigenen Angaben mehrere dieser Vorlageninstanzen verteilt, ohne dass es zu Problemen kam.