Microsoft macht EU-Abkommen von 2009 für Crowdstrike-Fehler verantwortlich

Ein Microsoft-Sprecher machte kürzlich laut dem Wall Street Journal eine Panne bei Crowdstrike für eine regulatorische Vereinbarung von 2009 zwischen Microsoft und der Europäischen Union verantwortlich. Unter der Vereinbarung, so der Sprecher, habe Microsoft zugestimmt, externen Sicherheitsentwicklern denselben Zugang zu Software-Interaktionen zu gewähren wie Microsoft selbst, was den Weg für kritische Schwachstellen ebnete.

Patrick Wardell, CEO von DoubleYou, erklärte, dass monolithische Ökosysteme wie macOS von Apple aufgrund ihrer geschlossenen Architektur widerstandsfähiger gegen solche kritischen Fehler seien. Im Jahr 2020 zog Apple ähnliche Sicherheitsberechtigungen von seinem Betriebssystem zurück und schützte es so vor Sicherheitsfehlern und Codierungskonflikten durch Dritte. Die Microsoft-Richtlinie von 2009 gewährte Drittanbieter-Sicherheitsfirmen umfassenden Zugang.

Zwischen dem 18. und 19. Juli 2023 wurde die Welt von dem, was als "die größte IT-Störung in der Geschichte" beschrieben wurde, getroffen. Der IT-Ausfall betraf weltweit etwa 8,5 Millionen Windows-Systeme und legte den Betrieb von Finanzinstituten, Flughäfen, Notdiensten und Mediennetzwerken lahm.

Im Zentrum des Zusammenbruchs stand eine Update-Schwachstelle, die mit der Drittanbieter-Sicherheitsfirma CrowdStrike in Verbindung gebracht wurde. In einem Update betonte CrowdStrike-CEO George Kurtz, dass die Ausfallzeit nicht durch Hacking oder böswillige Exploits verursacht wurde, und wies die Benutzer an, mit dem offiziellen CrowdStrike-Supportkanal zu interagieren und betroffene Software über das Portal des Sicherheitsunternehmens zu aktualisieren. Der CEO versicherte der Öffentlichkeit auch, dass das Problem identifiziert und behoben worden sei.