Am 19. Juli 2024 verursachte ein fehlerhaftes Update von Crowdstrike, einem Anbieter von IT- Sicherheitssoftware, weltweit massive Systemausfälle. Der Flugverkehr war dabei eine der am stärksten betroffenen Branchen. Flughäfen sind hochkomplexe Infrastrukturen, die eine Vielzahl von Funktionen und Dienstleistungen ganz wörtlich unter einem Dach vereinen: Passagierinformationssysteme, Gepäck- und Passagierabfertigung, Sicherheitskontrollen und eine Vielzahl anderer Sicherheitssysteme, Flugbetrieb, die einzelnen Fluggesellschaften, Flughafenmanagement und so weiter. Wenn ein Teil dieser Infrastruktur ausfällt, kann der gesamte Flughafenbetrieb zusammenbrechen. Genau dies passierte am 19. Juli an vielen Flughäfen: Irgendeines der Systeme, die für den Flugbetrieb notwendig sind, fiel aus und damit rutschte der gesamte Flughafenbetrieb ins Chaos. Flüge wurden gestrichen, Passagiere konnten nicht einchecken, keine Reservierungen vornehmen, kein Gepäck abholen, keine Flugstatusupdates erhalten. Der Betrieb der betroffenen Flughäfen kam weitgehend zum Erliegen, was wiederum Folgen für die Fluggesellschaften und andere Flughäfen hatte.
Fehlerquelle „Abkürzungen“
Ursache für die Störung war entgegen anfänglichen Vermutungen kein Cyberangriff, sondern ein Softwarefehler in einem Update von Crowdstrike. Prinzipiell sind solche Updates für die Sicherheit von Software unabdingbar. Fast jede Software enthält kritische Schwachstellen, und sobald eine solche Schwachstelle bekannt wird, wird sie auch von Cyberkriminellen ausgenutzt. Softwareanbieter und -nutzer stehen damit unter enormem Zeitdruck, sie müssen möglichst rasch Updates/Patches zur Verfügung stellen bzw. diese anwenden. Hoher Zeitdruck verleitet aber dazu, gefährliche Abkürzungen zu nehmen und auf scheinbar unnötige Vorsichtsmaßnahmen zu verzichten. Der Fall zeigt, welch fatale Folgen solche Abkürzungen haben können. Mit umfangreicheren Tests hätten sowohl Crowdstrike als auch die betroffenen Flughäfen bzw. deren Dienstleister den Fehler finden und so das weltweite Chaos im Luftverkehr vermeiden können.
Externe Angriffsoberflächen der Flughäfen
Wir haben den Crowdstrike-Vorfall zum Anlass genommen, die externen Angriffsoberflächen von 20 Flughäfen in Deutschland, anderen Ländern in Europa und in den USA genauer zu untersuchen. Wie verwundbar ist die über das Internet erreichbare IT der Flughäfen? Die IT aller Flughäfen ist hybrid: Sie wird teilweise selbst betrieben, teilweise von großen Cloudanbietern, teilweise ist sie an externe Dienstleister ausgelagert. Die Popularität dieser drei Modelle hängt stark von der Region ab. Deutsche Flughäfen nutzen zu 54 % selbst erbrachte IT-Dienste, etwa 37 % kommen von externen Dienstleistern, etwa 9 % von Clouds. Ganz anders sieht es in den USA und dem Rest von Europa aus. Dort dominieren mit 64 % bzw. 69 % die externen Dienstleister. In den USA folgen mit 21 % selbst erbrachte Dienste, 15 % kommen von Clouds. Im Rest von Europa ist es umgekehrt, es folgen Clouds mit 19 %, nur 12 % werden selbst erbracht. Diese Unterschiede in der Beliebtheit der Modelle beeinflussen auch die Häufigkeit und Art der Schwachstellen und Fehlkonfigurationen sowie die Homogenität der IT und damit den erforderlichen Verwaltungsaufwand.
Externe Dienstleister stellen das größte Risiko dar
Sicherheitsprobleme fanden wir in allen drei Regionen und in allen drei Modellen der Diensterbringung. Insgesamt schnitten die Flughäfen in den USA am besten ab, gefolgt von denen in Deutschland, danach die im Rest von Europa. Die externen Dienstleister erwiesen sich überall als die größte Quelle von Schwachstellen und anderen Sicherheitsproblemen, absolut und auch gerechnet auf ihren jeweiligen Anteil an den IT-Diensten der Flughäfen. Bei Flughäfen außerhalb Deutschlands fanden wir eine ganze Reihe kritischer Schwachstellen, die aktuell von Cyberkriminellen auch tatsächlich ausgenutzt werden. Ein weiterer kritischer Punkt waren öffentlich zugängliche private oder sensible Daten in den Webanwendungen der Flughäfen wie kryptographische Schlüssel, Passwörter, Konfigurationsdateien oder Backups. Etwa 85 % dieser exponierten sensiblen Daten wurden bei externen Dienstleistern gehostet, wobei diese Sicherheitsprobleme überwiegend Flughäfen im Rest von Europa betrafen. Dazu zählten beispielsweise exponierte Konfigurationsdateien mit Zugangsdaten zu Dateisystemen oder Sicherheitslücken im Checkpoint Quantum Security Gateway (CVE-2024-24919). Wir fanden auch eine ganze Reihe sehr häufig vorkommender Sicherheitsprobleme. Typisch sind etwa Schwachstellen in der TLS-/SSL-Verschlüsselung und auch die meisten fehlerhaft konfigurierten Zertifikate wurden bei externen Dienstleistern festgestellt, wie beispielsweise Zertifikate mit Namensunstimmigkeiten oder abgelaufene Zertifikate. Besonders problematisch waren die Fehlkonfigurationen von E-Mail-Diensten. Die meisten unsicheren EMail-Server, die schwache oder voreingestellte Anmeldedaten verwenden, wurden von externen Dienstleistern betrieben. Im Rest von Europa fanden wir die höchste Anzahl an verwundbaren E- Mail-Servern im Vergleich zu den USA und Deutschland. Auch die meisten verwundbaren Webdienste und Anwendungen sowie Webanwendungen, die nicht mehr unterstützte Technologien nutzen, befanden sich bei externen Dienstleistern. Webanwendungen, die vor Ort betrieben werden, wiesen die geringste Anzahl an Schwachstellen oder veralteten Komponenten auf. Auch die Webserver der Flughäfen waren häufig durch externe Komponenten gefährdet. Externe Analyse- oder Zahlungssysteme, die von Drittanbietern entwickelt wurden, trugen zu den Sicherheitslücken bei. Selbst in Fällen, in denen die Webserver an sich sicher und auf dem neuesten Stand waren, machten diese externen Komponenten die Systeme verwundbar. Die meisten Schwachstellen in grundlegenden Internetdiensten, die für das Auflösen und Auffinden von Internetdiensten verwendet werden, fanden wir ebenfalls in Instanzen, die bei externen Dienstleistern gehostet wurden.
Clouds und eigene IT sind im Schnitt sicherer
Externe Dienstleister stellen damit insgesamt die größte Quelle von Schwachstellen und Fehlkonfigurationen dar. Tatsächlich gilt dies nicht nur für Flughäfen, sondern in gleicher Weise für viele große und im Prinzip gut gemanagte Infrastrukturen, die wir untersucht haben. Auch Cyberkriminelle haben das erkannt und greifen ihre eigentlichen Ziele zunehmend über externe Dienstleister an. Ein gutes Beispiel ist der Kaseya-Angriff von 2021, über den gleichzeitig eine Vielzahl von Unternehmen weltweit angegriffen wurden. Umgekehrt sind Clouds und die von Flughäfen selbst betriebene IT im Schnitt sicherer als die von externen Dienstleistern betriebene. Woran liegt das? Im Hinblick auf die großen Cloudanbietern ist dies keine neue Erkenntnis. Dank ihrer Größe verfügen Clouds über umfangreiche und sehr professionelle IT- und IT-Sicherheitsteams, die schnell und mehr oder weniger für alle Kunden gleichzeitig auf Sicherheitsprobleme reagieren können. Die IT-Infrastrukturen sind auf Rechenzentren in der ganzen Welt verteilt, wodurch Clouds ihren Kunden über entsprechende Service Level Agreements (SLA) ein hohes Maß an Resilienz zusichern können. Hinzu kommt, dass große IT-Hersteller ihre Software zunehmend auf in Clouds gehostete Installationen ausrichten und deshalb Sicherheitsprobleme oft erst für diese Cloudinstallationen und danach für On-Premise-Installationen behoben werden. Überraschender mag erscheinen, dass auch die von den Flughäfen selbst betriebene IT deutlich besser abschneidet als die der externen Dienstleister. Dieser Umstand dürfte erklären, weshalb wir bei den deutschen Flughäfen weniger Sicherheitsprobleme gefunden haben als bei denen im Rest von Europa. Die Erklärung für die geringere Anzahl an Sicherheitsproblemen in der selbst betriebenen IT ist recht ähnlich wie die für die von großen Cloudanbietern betriebene: Flughäfen gelten weltweit als kritische Infrastrukturen und investieren daher im Allgemeinen relativ viel in ihre IT und in ein professionelles und ausreichend ausgestattetes IT- und IT-Sicherheitsmanagement. Die selbst betriebene IT ist meist recht homogen, was Überwachung und Management vereinfacht und sich daher positiv auf ihre Sicherheit auswirken kann. Im Gegensatz hierzu bringen externe Dienstleister zwangsläufig ein höheres Maß an Heterogenität für ihre Kunden mit sich. Heterogene Infrastrukturen sind komplexer und bringen vielfältigere Probleme und Schwachstellen mit sich. Theoretisch kann Heterogenität die Sicherheit verbessern, da nicht alle IT-Systeme auf dieselbe Art von Fehlern und Schwachstellen betroffen sind. In der Praxis wird dieser Vorteil aber selten realisiert. Statt mehr Sicherheit durch Redundanz erhält man eher mehr Unsicherheit, da die IT insgesamt mehr Fehler und mehr Schwachstellen enthält. Hinzu kommt, dass es sich bei vielen der externen Dienstleister um kleinere Unternehmen handelt. Solche externen Dienstleister haben oft weniger Ressourcen und weniger Fachkenntnisse als ihre Kunden und können schon aus diesem Grund kaum an das Sicherheitsniveau ihrer großen und gut gemanagten Kunden heranreichen. Während die interne IT also oft vergleichsweise gut gesichert und gepflegt ist, bringen die externen Anbieter signifikante Risiken für die Resilienz der gesamten IT-Infrastruktur mit sich – sowohl gegenüber Angriffen als auch gegenüber Systemausfällen.
Was kann man aus dem Crowdstrike-Vorfall und unserer Studie lernen?
Vorfälle wie der von Crowdstrike verursachte können auch in Zukunft passieren, aber es gibt einiges, was Anwender tun können, um die Wahrscheinlichkeit für solche Ausfälle zu reduzieren. Wie unsere Studien zeigen, haben praktisch alle IT-Infrastrukturen zahlreiche Schwachstellen und Fehlkonfigurationen, so dass häufige Updates und Patches unvermeidbar sind. Anwender sollten aber alle (auch sicherheitskritische) Updates nicht blind anwenden, sondern einen stufenweisen Ansatz verfolgen: Updates sollten zuerst in einer möglichst realistischen Testumgebung geprüft und erst danach und möglichst in mehreren Phasen auf den produktiven Systemen angewandt werden. Auch das schützt nicht komplett vor fehlerhaften oder korrumpierten Updates. Um die Folgen möglichst klein zu halten, sollte man alles tun, was auch die Folgen von Cyberangriffen begrenzt: IT-Infrastrukturen sollten redundant ausgelegt und unter Anwendung der Zero-Trust-Prinzipien in kleinere Segmente unterteilt werden, so dass Ausfälle eher toleriert oder zumindest in ihrer Wirkung begrenzt werden können. Anwender sollten sich auf den Notfall vorbereiten, also Pläne für die Wiederherstellung nach einem Angriff (Desaster Recovery) und Geschäftsfortführungspläne (Business Continuity Plans) vorbereiten und einüben. Der Crowdstrike-Vorfall ist auch ein gutes Beispiel für das Risiko, das sich aus der Abhängigkeit von externen Dienstleistern ergibt – hier von Crowdstrike selbst und von den Anbietern von Managed Security Services, von denen viele Crowdstrike verwenden. Unsere Studie zeigt, dass die IT-Infrastrukturen der externen Dienstleister den größten Anteil an Schwachstellen und anderen Sicherheitsproblemen haben. Wie der Crowdstrike-Vorfall zeigt, geht es dabei nicht nur um kleine und vielleicht schlecht aufgestellte Dienstleister, sondern auch um große, professionelle Unternehmen. Die Feststellung, dass die eigene IT im Schnitt sicherer ist als die IT externer Dienstleister kann man sicher nicht auf alle anderen Sektoren und Unternehmen übertragen. Für kleinere Unternehmen und öffentliche Einrichtungen sind externe Dienstleister oft die einzige Option und es gibt auch viele externe Dienstleister, deren Sicherheitsniveau sehr hoch ist und die in der Lage sind, ihren Kunden ein hohes Maß an IT-Sicherheit und Resilienz zuzusichern. Wichtig für jedes Unternehmen und jede Behörde ist, diese Dienstleister auch unter dem Gesichtspunkt ihrer zugesicherten Sicherheit auszuwählen, und – siehe oben – Vorsorge zu treffen. Für uns alle sollte der Crowdstrike-Vorfall Anlass sein, sich wieder intensiver mit den Themen digitale Souveränität und technologische Unabhängigkeit auseinanderzusetzen. Nicht alle Länder waren gleichermaßen von der Störung betroffen. Russland und Iran meldeten keine Ausfälle, da beide aufgrund internationaler Sanktionen keinen Zugriff auf US-Hochtechnologie haben und damit gezwungen sind, alternative Produkte einzusetzen. Auch China war nicht betroffen, da man dort aufgrund strategischer Überlegungen weitgehend auf selbst entwickelte Betriebssysteme setzt. Dies zeigt: Technologische Unabhängigkeit ist genauso entscheidend für die nationale Sicherheit wie etwa Energieunabhängigkeit. China hat durch seine auf technologische Unabhängigkeit ausgerichtete Politik nicht nur seine technologische Unabhängigkeit, sondern auch seine Resilienz verbessert. Was bedeutet das für Deutschland, für Europa? Unser Ziel sollte sein, eigenständige digitale Infrastrukturen zu schaffen. Der Aufbau widerstandsfähiger IT-Ökosysteme in Europa ist nicht nur eine Frage der wirtschaftlichen Wettbewerbsfähigkeit, es ist eine zwingende Notwendigkeit für unsere nationale Sicherheit. ■
© Illustration: Adobe Stock
