Danke für den interessanten Themenvorschlag! In dem Forum gibt es zu wenig Themen zum tatsächlichen gesellschaftlichen Impact von Technologie auf unsere Welt, deswegen freue ich mich.
Zu Crowdstrike:
Spannend ist der Fall im Speziellen, weil hier nicht ein normales Windows Update Management outgesourced wurde, sondern das IT-Sicherheitsmanagement:
CrowdStrike says the issue has been identified and a fix has been deployed, but fixing these machines won’t be simple for IT admins. The root cause appears to be an update to the kernel-level driver that CrowdStrike uses to secure Windows machines. While CrowdStrike identified the issue and reverted the faulty update after “widespread reports of BSODs on Windows hosts,” it doesn’t appear to help machines that have already been impacted.
Verwunderlich finde ich, dass der Fehler nicht bei Test-Rollouts entdeckt wurde, denn nach meiner Erfahrung hätte er bei der Breitenwirkung schon bei ersten Testclients auffallen müssen.
Aber zur eigentlichen Frage:
Im Bereich IT-Knowhow sind die meisten Firmen generell auf externe Ressourcen angewiesen, sei es aus Mangel an Arbeitskräften intern oder um Skalierungseffekte zu nutzen. Insbesondere im Bereich der IT Security ist das sehr viel verschärfter.
Es gibt einfach zu wenige IT-Security-SpezialistInnen insgesamt. Dann hast du das Thema, dass es nicht nur um Clients und Server geht, sondern auch um Schnittstellen, Zero-Day-Exploits bei Eigenwentwicklungen etc. Zu jedem beliebigen Zeitpunkt wirst du für alle Softwarepakete kritische Schwachstellen finden, die du bewerten musst, ob sie noch tolerierbar sind, weil Maschinen nicht von außerhalb zu erreichen sind oder ob die Software dann nicht einsetzbar ist.
Ich will sagen: Die Security von deinen PC-Clients und den Servern ist da eigentlich Standard und am ehesten noch an einen externen Dienstleister abzutreten, weil Standardprozesse. Jede Firma hat mit ihren Applikationen schon genug zu tun, konform zu bleiben, besonders wenn man Teil der KRITIS-Infratstruktur ist.
Erschwerend kommt hinzu, dass ein KRITIS-zertifizierter Anbieter es für eine Firma qua Zertifikat einfacher macht, KRITIS-konform zu sein und zumindest das Verantwortungsrisiko zu minimieren.
Ist das gut? Im Zweifel nein, aber total nachvollziehbar. Ich selber habe aus all den Gründen schon für externe Dienstleister entschieden, zumal es unmöglich ist, in IT-Abteilungen alles Know-How in der gebotenen Tiefe abbilden zu können. Windows-Server und PCs machen ja nur noch 2% der eigentlichen Themen aus.
Müssen wir uns also dran gewöhnen? Absolut ja.
Ist es kritisch, dass wir so wenige Anbieter haben in den Spezialbereichen und damit eine Anfälligkeit? Unbedingt auch ja, weil es menschliche Fehler so stark multipiziert…
Sollte man für kritische Serverinfrastrukturen Linux-Server nutzen? Ja, ja und ja.