So reagieren deutsche Unternehmen auf die CrowdStrike-Panne

Weltweit ging nicht mehr bei vielen Airlines, Krankenhäusern, Betriebe schickten Mitarbeiter nach Hause. Wie traf die Panne die Unternehmen? Und wie bereiten sie sich auf den nächsten Blackout ihrer IT-Infrastruktur vor? Eine von vielen Maßnahmen dürfte Crowdstrike nicht gefallen.

Genau vor zwei Monaten passierte die bis dato schwerste IT-Panne mit massiven Folgen: Gestrichene Flüge, ausgefallene Server und PCs, Unternehmen, die ihre Beschäftigten nach Hause schicken, Krankenhäuser, die Operationen verschieben mussten. Die Schäden gingen in die Milliarden. Ein fehlerhaftes Update der weit verbreiteten Cybersicherheitslösung von CrowdStrike hatte weltweit zu zahlreichen IT-Ausfällen geführt. Wenn man überhaupt etwas Positives aus diesem Vorfall ziehen kann, so doch die Erkenntnis, dass selbst dem letzten Zeitgenossen klar sein müsste, dass digitale Vernetzung absolut zur Lebensader von Wirtschaft und Gesellschaft zählt. IT (und ihre Verfügbarkeit) gehört wie Energie zur kritischen Infrastruktur.

"Die IT-Ausfälle und ihre Folgen zeigen, welche herausragende Bedeutung digitale Technologien für unsere Wirtschaft und Gesellschaft haben", sagt denn auch Bitkom-Präsident Ralf Wintergerst. Wiederholen sollte sich seiner Meinung nach ein solcher IT-Ausfall besser nicht. "Diesmal ist es glimpflich ausgegangen, auch dank der gemeinsamen Anstrengungen von Wirtschaft und Behörden, mit Unterstützung von CrowdStrike und Microsoft", so Wintergerst.

Der Bitkom und das BSI, wollten wissen, wie stark die Folgen der CrowdStrike-Panne deutsche Unternehmen getroffen hat, ob sie Konsequenzen gezogen haben und wenn ja, welche? Über 300 Unternehmen wurden befragt. Repräsentativ sind die nun vorliegenden Ergebnisse nicht, aber sie geben immerhin ein "aussagekräftiges Stimmungsbild" ab, so der Bitkom.

So berichten der Befragung zufolge direkte und indirekt betroffene Unternehmen hierzulande (331) über die Folgen des von Crowdstrike verursachten IT-Ausfalls:

• 62 Prozent der damals betroffenen Unternehmen litten unter direkten Folgen, wie dem Ausfall der eigenen PCs oder Server
• 48 Prozent spürten indirekte Auswirkungen, weil zum Beispiel Zulieferer, Kunden oder Geschäftspartner betroffen waren
• 48 Prozent, also rund die Hälfte der direkt oder indirekt betroffenen Unternehmen, musste vorübergehend den Betrieb einstellen – im Schnitt für 10 Stunden
• 73 Prozent bezeichnen rückblickend die entstandenen Probleme und Störungen als gravierend für die deutsche Wirtschaft
• 64 Prozent sind sich mit Blick auf das eigene Unternehmen sicher: Ein solcher Vorfall lässt sich nicht vollständig verhindern.

"Ein Warnschuss für uns"

Letzterem pflichtet Claudia Plattner, BSI-Präsidentin bei: "Es wird auch in Zukunft keinen 100-prozentigen Schutz vor IT-Sicherheitsvorfällen geben. Trotzdem wollen wir so nah wie möglich an die 100 Prozent heran".

Dazu sei das BSI in engem Austausch mit CrowdStrike, Microsoft und weiteren Software-Herstellern, "damit diese die Qualität ihrer Software und ihrer Softwareupdates verbessern". Das allein reicht aber nicht. "Auch Unternehmen müssen und können mit präventiven Maßnahmen ihre Resilienz erhöhen, damit sie widerstandsfähiger gegen IT-Sicherheitsvorfälle werden", so die BSI-Chefin.

Was sie präventiv machen sollten, ist: größtmögliche Kontrolle über Updateprozesse und IT-Notfallkonzepte, die "wichtiger Bestandteil jeder Krisenvorsorge sein müssen!", so Plattner. "Wir müssen unsere Cybersicherheit dringend weiter verbessern und brauchen entsprechendes eigenes Know-how in Unternehmen und Behörden – nur so können wir uns vor unbeabsichtigten Ausfällen oder gezielten Angriffen besser schützen und digital souveräner werden", ergänzt Wintergerst. Die jüngste Panne müsse "ein Warnschuss für uns sein".

Nächste Seite: Pannenstatistik und Konsequenzen