Gelingt Crowdstrike der Neustart?
Am Freitagmorgen, den 19. Juli 2024 erlebten Windows-Nutzer weltweit ihr blaues Wunder. Zahlreiche Windows-Computer auf der ganzen Welt starteten plötzlich nicht mehr und auf dem Display erschien eine Windows-Fehlermeldung auf blauem Hintergrund. Schnell wurde klar, dass es sich dabei um eine der grössten IT-Pannen aller Zeiten handeln musste, nachdem auch die Möglichkeit einer Cyberattacke im Raum stand. Im Verlauf des Tages stellte sich heraus, dass ein Update des Cybersicherheitsunternehmens Crowdstrike zum Ausfall von Millionen von Systemen geführt hat.
Was ist geschehen?
Plötzlich ging nichts mehr. Der Ausfall erstreckte sich über Landesgrenzen und diverse Geschäftsbereiche. Flughäfen konnten Passagiere nicht einchecken und mussten teilweise sogar Flüge annullieren, Spitäler operative Eingriffe nicht durchführen und auch einige Banken hatten mit Softwareausfällen zu kämpfen. Betroffen waren über acht Millionen Windows-Geräte weltweit, und beinahe 60 Prozent der 500 umsatzstärksten US-Unternehmen. Auch am Flughafen Zürich fielen über 100 Flüge aus. Da die Ausfälle in erster Linie Endgeräte mit Microsofts Windows-Betriebssystem betrafen und beispielsweise Geräte, auf welchen Apples macOS installiert waren verschont blieben, kam im ersten Moment die Vermutung auf, der Fehler sei Microsoft selbst unterlaufen.
Tatsächlich hat jedoch das Cybersicherheitsunternehmen Crowdstrike am Morgen des 19. Juli 2024 ein Update für die Windows-Version seiner Sicherheitssoftware «Falcon Sensor» veröffentlicht, infolgedessen betroffene Endgeräte und Server abgestürzt sind. Da Crowdstrikes Software «Falcon Sensor» primär als Sicherheitslösung für Unternehmen konzipiert wurde, erlitten nur vereinzelte private Endgeräte Ausfälle.
In den Tagen nach dem Zwischenfall brach der Aktienkurs von Crowdstrike um beinahe 20 Prozent von 343.96 US-Dollar per 18. Juli 2024 auf 254.15 US-Dollar per 25. Juli 2024 ein.
Nach dem Zwischenfall gab Crowdstrike in einem Bericht die Ursache des Ausfalls bekannt. Schuld war ein sogenannter «Null-Pointer», bei welchem ein Programm versucht, auf ein nichtexistentes Element zuzugreifen, wodurch eine Fehlermeldung entsteht.
Geschäftsmodell von Crowdstrike
Crowdstrike Holdings Inc., ein US-amerikanisches Unternehmen mit Sitz in Austin, Texas, ist ein etablierter Name in der Cybersicherheitsbranche. Der Kernbereich der Unternehmenstätigkeit ist der Schutz von Endgeräten, das Analysieren von Informationen zu Cyberbedrohungen und die Reaktion auf aktive Cyberangriffe. Gegründet wurde Crowdstrike 2011 von den Unternehmern Dimitri Alperovich, Gregg Marston und George Kurtz. Während zwei der drei ursprünglichen Gründer das Unternehmen über die Jahre verlassen haben, wuchs Crowdstrike unter der Leitung von George Kurtz von einem Dreimannbetrieb zu einem Grossunternehmen mit beinahe 8'000 Mitarbeitenden und einem Jahresumsatz von 2.24 Milliarden US-Dollar im Jahr 2023 heran.
Bei Crowdstrikes Hauptprodukt, der Sicherheitssoftware «Falcon», welche für den Ausfall vom 19. Juli verantwortlich war, handelt es sich um ein Programm, welches in erster Linie zur Verwendung in einem professionellen Umfeld konzipiert wurde. Dabei zählen mittlerweile Technologie-Grossunternehmen wie Google, Amazon und eben auch Microsoft zu Crowdstrikes Kunden. Die Hauptaufgaben der Software umfassen das Erkennen und Beseitigen von Gefahren, sowie das Interagieren und Austauschen von Daten mit der Crowdstrike-Cloud.
Da Cybersicherheitssoftware zur Abwehr von Angriffen tief in die Grundarchitektur von Rechnern eingreifen und über weitreichende Berechtigungen verfügen muss, entstehen dadurch auch erweiterte Gefahren durch Fehlfunktionen solcher Anwendungen. Anwenderorientierte Software verfügt hingegen über weitaus weniger tiefgreifende Berechtigungen und somit sind Fehlfunktionen dementsprechend oftmals weniger gravierend.
Um bezüglich Cybergefahren auf dem aktuellen Stand zu bleiben, erhält die «Falcon»-Software wie die meisten Konkurrenzangebote regelmässige Updates, um immer einfallsreicher werdenden Angreifern zuvorzukommen. Solche Updates werden dabei nach gängiger Praxis zunächst in einem sicheren Umfeld getestet, damit unvorhergesehene Fehler entdeckt und korrigiert werden können, ohne dass das Programm an die Endgeräte der Klienten gelangt ist. Um solche Fehler ausfindig zu machen, wird meist mit dazu speziell konzipierter Software gearbeitet. Ironischerweise hat sich laut Crowdstrike eben in einer solchen Software ein Fehler eingeschlichen, wodurch wiederum ein Fehler im eigentlichen Update übersehen wurde.
Wer kommt für die Schäden auf?
Auch die Frage der Haftung für Zwischenfälle dieser Art steht im Raum. Die ökonomischen Auswirkungen des Ausfalls sind für einige betroffene Unternehmen teilweise schwerwiegend. So hat die US-amerikanische Fluglinie Delta, die infolge des Zwischenfalls über 5'000 Flugausfälle zu beklagen hatte, bereits früh mit rechtlichen Schritten gedroht. Auch der Flughafen Zürich kündigte einige Tage nach dem Zwischenfall an, rechtliche Schritte zu prüfen.
Ob und wie sich im Endeffekt ein juristisches Nachspiel ergeben wird, bleibt unklar und wird wohl noch einige Zeit in Anspruch nehmen. Nichtsdestotrotz wird ein Entscheid das Potential haben, sich zu einem Präzedenzfall zu entwickeln, da ein solcher IT-Ausfall in der jüngeren Geschichte seinesgleichen sucht.
Crowdstrike verweist ausserdem darauf, dass in den Nutzungsbedingungen seiner Software vermerkt ist, dass bei kritischer Infrastruktur wie beispielsweise dem Betrieb von Flugzeugnavigation oder direkten lebenserhaltenden Massnahmen von einer Nutzung der Software abgesehen werden sollte.
Die Nachwirkungen des Zwischenfalls
Der weltweite Ausfall vom 19. Juli 2024 unterstreicht, wie unverzichtbar wichtig IT-Systeme und dessen einwandfreies Funktionieren für unsere Welt geworden ist. Man wird lange nach einem Grossunternehmen suchen müssen, bei welchem die essenziellsten Arbeitsprozesse nicht vom einwandfreien Funktionieren der Soft- oder Hardware abhängen. Obwohl dieser Zwischenfall glücklicherweise nicht von einem bösartigen Cyberangriff ausgelöst wurde, bleiben solche Gefahren nach wie vor präsent und haben nichts an Relevanz einbüssen müssen.
Neben einem Einbruch des Aktienkurses erlitt Crowdstrike auch einen nicht unerheblichen Imageschaden. In der Cybersicherheitsbranche kommt Reputation und Zuverlässigkeit eine grosse Bedeutung zu. Unternehmen, die das Vertrauen ihrer Stakeholder verlieren, können es nur schwer wiedergewinnen. Hinzu kommt, dass auch Konkurrenzangebote oft sowohl preislich als auch qualitativ vergleichbare Angebote anbieten können.
Vieles wird davon abhängen, welche Massnahmen das Unternehmen in nächster Zeit ergreifen und kommunizieren wird, um solche Zwischenfälle zu verhindern und das Wohlwollen der Kunden und Investoren zurückzugewinnen. Der von Crowdstrike verursachte Ausfall hat dem Aktienkurs des Unternehmens stark zugesetzt. Offen bleibt, ob der momentan gehandelte Kurs tatsächlich einem gerechten Wert des Unternehmens entspricht, oder ob der Markt überreagiert haben könnte. Für Anleger, mit einer Stabilisierung oder Erholung des Aktienkurses über längere Frist rechnen, könnten Barrier Reverse Convertibles («BRC») von Interesse sein. BRCs gehören zur Klasse der Renditeoptimierungsprodukte. Durch eine eingebaute Barriere verfügt diese Produktklasse über einen Risikopuffer, der vor gewissen Kursrückschlagen schützen kann. Gleichzeitig profitieren Investoren dabei von einem attraktiven Coupon. Auf diese Weise können bei leicht sinkenden oder seitwärtstendieren Kursen des zugrundeliegenden Basiswerts Renditen optimiert werden. Investoren tragen bei einer Anlage in einen BRC ein potenzielles Verlustrisiko sowie das Emittentenrisiko. Weitere Ausführungen zur Funktionsweise eines BRCs finden Sie im Know-How auf Vontobel Markets.
Multi Callable Barrier Reverse Convertibles
Wie diversifiziert in das Thema Cyber Security investiert werden könnte
Für Anleger, die an der Entwicklung der breiteren Cybersicherheitsbranche teilhaben möchten, könnte es sich lohnen, auch einen Blick auf das Tracker-Zertifikat auf den Cyber Security Performance-Index zu werfen. Der Index setzt sich aus einer breiten Auswahl von fünfzehn Cybersicherheits-Unternehmen zusammen, wodurch eine gewisse Diversifikation von unternehmensspezifischen Risiken erreicht und gleichzeitig an der Entwicklung der Branche teilgenommen werden kann.