Fachartikel
IT-Ausfall: Agentenlose Cyber Security als Lösungsansatz
Ein einfacher Klick auf „Update“ sollte eigentlich für mehr Sicherheit sorgen. Doch im Fall des IT-Ausfalls von CrowdStrike führte dieser Schritt zu einem digitalen Chaos, das weltweit für Störungen sorgte.
Ein fehlerhaftes Update der Sicherheitssoftware legte weltweit zahlreiche Systeme lahm – von Flughäfen über Krankenhäuser bis hin zu Unternehmen. Obwohl Sicherheitslösungen eigentlich dazu dienen sollen, Systeme zu schützen, zeigt dieser Vorfall, dass auch sie fehleranfällig sein können. Er wirft auch die Frage auf, welche Folgen solche Ausfälle für Unternehmen und Verbraucher haben.
Wir zeigen, wie man sich vor derartigen IT-Ausfällen schützen kann.
Der IT-Ausfall von CrowdStrike zusammengefasst
Ein fehlerhaftes Update des Antivirenprogramms führte am 19. Juli 2024 zu einem weltweiten IT-Ausfall. Laut eigenem Update wurde während der Testphase des Updates dessen Code nicht als Bedrohung erkannt, da er nicht in der Datenbank enthalten war. Das fehlerhafte Update wurde unmittelbar nach der Testphase auf alle mit dieser Lösung verbundenen Computer ausgerollt und nicht vorab auf einer kleineren Anzahl von Geräten getestet.
Millionen von Windows-Computern fielen aus, was zu erheblichen Störungen in vielen Bereichen von der Luftfahrt bis zum Gesundheitswesen führte. Das Unternehmen reagierte schnell und konnte das Problem beheben, aber die Auswirkungen des IT-Ausfalls waren weitreichend und verursachten erheblichen wirtschaftlichen Schaden.
Die Grenzen traditioneller Cyber-Sicherheit bei IT-Ausfällen
Der IT-Ausfall von CrowdStrike hat die Grenzen traditioneller IT-Sicherheitslösungen deutlich aufgezeigt. Diese Systeme basieren häufig auf statischen Signaturen und regelbasierten Mechanismen, die nur bekannte Bedrohungen erkennen können. In diesem Fall schlummerte eine neuartige Schwachstelle in einem Update und die regelbasierten Mechanismen waren überfordert. Da der fehlerhafte Code nicht in den Datenbanken der Antivirensoftware hinterlegt war, blieb er unentdeckt und führte zu weitreichenden Störungen.
Agentenbasiert vs. agentenlos: Ein grundlegender Unterschied
Bei agentenbasierten Lösungen werden Software-Agenten auf den Endgeräten (wie Computern oder Servern) installiert, die das System kontinuierlich überwachen. Diese Agenten sammeln Daten über das System und senden sie an eine zentrale Konsole.
Im Gegensatz dazu gibt es agentenlose Lösungen. Autonome und selbstlernende Lösungen können durch ihre Fähigkeit, das Netzwerkverhalten kontinuierlich zu analysieren und Anomalien zu erkennen, Abweichungen frühzeitig erkennen. KI-basierte Cyber Security-Lösungen ohne Agenten identifizieren ungewöhnliche Netzwerkaktivitäten als Abweichungen vom normalen Verhalten und leiten automatisch Gegenmaßnahmen ein. Dadurch wird das System nicht belastet und das Risiko von Konflikten mit anderer Software reduziert. Das kann bei IT-Ausfällen der entscheidende Vorteil sein.
Die Rolle der KI
Sowohl agentenbasierte als auch agentenlose Lösungen nutzen KI, um Bedrohungen zu erkennen. Ihre Ansätze unterscheiden sich jedoch – was sich auch bei IT-Ausfällen zeigt.
Agentenbasierte Lösungen
Die KI in agentenbasierten Lösungen wird hauptsächlich zur Erkennung und Klassifizierung bekannter Bedrohungen eingesetzt. Sie basiert oft auf einem sogenannten Supervised Learning-Ansatz, bei dem die KI mit großen Mengen an bereits bekannten Bedrohungsdaten trainiert wird. Erkennt die KI eine Anomalie, stellt sie das gesamte Gerät unter Quarantäne und der Nutzer kann nicht mehr damit arbeiten. Das ist sicher, aber unerwünscht. Die Teams müssen dann alles bereinigen oder das Gerät austauschen, und die Mitarbeitenden können unter Umständen einige Tage nicht arbeiten. Deswegen sorgt ein IT-Ausfall in diesem Fall für hohe Verluste.
Agentenlose Lösungen
Agentenlose Lösungen hingegen nutzt eine Kombination aus Supervised und Unsupervised Learning. Während Supervised Learning zur Erkennung bekannter Bedrohungen eingesetzt wird, ermöglicht Unsupervised Learning die Identifizierung von Anomalien, die von herkömmlichen signaturbasierten Ansätzen übersehen werden. So kann die KI neue und unbekannte Bedrohungen erkennen, ohne dass dafür Vorbilder bekannt sein müssen. Eine solche Lösung blockiert selbständig die Kommunikation auf IP-Ebene, verhindert IT-Ausfälle, bevor sie stattfinden, und erlaubt es dem Benutzer, seine gewohnte Arbeit fortzusetzen.
Agentenlose Lösungen bieten mehrere Vorteile, die bei IT-Ausfällen schnell helfen können:
- Geringere Belastung des Systems: Da keine Agenten auf den Endgeräten installiert werden, wird das System weniger belastet und es besteht ein geringeres Risiko für Leistungseinbußen.
- Schnellere Bereitstellung: Die Bereitstellung einer agentenlosen Lösung ist in der Regel schneller und einfacher, da keine Software auf den einzelnen Endgeräten installiert werden muss.
- Höhere Sicherheit: Agentenlose Lösungen sind weniger anfällig für Manipulationen, da sie nicht direkt auf den Endgeräten installiert werden.
- Bessere Sichtbarkeit: Durch die Analyse des gesamten Netzwerkverkehrs können agentenlose Lösungen eine umfassendere Sichtbarkeit des Netzwerks bieten und somit potenzielle Bedrohungen früher erkennen und weitreichende IT-Ausfälle verhindern.
Fazit
Der CrowdStrike-Ausfall hat einmal mehr gezeigt, wie anfällig selbst gut geschützte IT-Systeme sein können. Ein einfaches Software-Update, das eigentlich für mehr Sicherheit sorgen sollte, führte zum globalen IT-Ausfall. Dieser Vorfall unterstreicht die Notwendigkeit, von reaktiven zu proaktiven Sicherheitsmaßnahmen überzugehen. Agentenlose und selbstlernende Cyber-Sicherheitslösungen wie Darktrace, die sich an die sich ständig verändernde Bedrohungslandschaft anpassen können, bieten hier einen vielversprechenden Ansatz.
Zukünftig könnte es darum gehen, die Zusammenarbeit von Mensch und Maschine in der Cyber-Sicherheit zu stärken und KI gezielt zum Schutz kritischer Infrastrukturen einzusetzen. Es ist davon auszugehen, dass Cyber-Angriffe in Zukunft immer komplexer und zielgerichteter werden. Unternehmen und Organisationen müssen daher ihre Sicherheitsmaßnahmen kontinuierlich überprüfen und anpassen, um sich vor neuen Bedrohungen und IT-Ausfällen zu schützen.