Wat is CrowdStrike, dat met een foute update een wereldwijde computerstoring veroorzaakte?

Terwijl Europeanen vrijdagochtend aan hun werk wilden beginnen, druppelden steeds meer berichten binnen over een grootschalige computerstoring. Uit Australië, waar de werkdag alweer op zijn einde liep, kwamen berichten over storingen bij zelfscankassa’s in supermarkten en in de reisinformatiesystemen van vervoersbedrijven.

Een golf van vastlopende computers rolde steeds verder de wereld over, in tijdzone na tijdzone lieten veel Windows-computers alleen nog een blauw scherm met een foutmelding zien. Luchtvaartmaatschappijen vliegvelden, mediabedrijven, de Londense beurs, banken en ziekenhuizen – allemaal behoren ze tot de getroffenen.

Het probleem is ontstaan bij CrowdStrike, een Amerikaans beveiligingsbedrijf. CrowdStrike levert een softwarepakket, Falcon, waarmee grote bedrijven hun computersystemen beschermen tegen digitale aanvallen. In een update daarvan is een fout ontstaan die ervoor zorgt dat Windows-computers en -servers vastlopen en continu opnieuw opstarten. CrowdStrike zegt dat er geen sprake is van een cyberaanval of een veiligheidsprobleem.

Het probleem doet zich bij zowel Windows 10 als 11 voor. Andere besturingssystemen zoals macOS en Linux, waar Falcon ook voor beschikbaar is, zijn niet getroffen door het probleem.

„De grootste IT-storing in de geschiedenis”, zo omschrijft Troy Hunt, een bekende Australische cybersecurity-expert, de problemen op X. „Dit is ongeveer waar we ons zorgen om maakten met de millenniumwisseling, maar dit keer gebeurde het ook echt.”

Automatische update

Hoe kan dit probleem zich zo snel uitgebreid hebben? Om een computer veilig te houden, heeft de Falcon-software diepe toegang tot het besturingssysteem van die computer nodig. Een zogeheten lichtgewicht Falcon Sensor houdt in de gaten wat er op het apparaat gebeurt en wat er binnenkomt. Op die manier kan hij aanvallen herkennen.

De Falcon-software draait grotendeels op cloudservers van CrowdStrike zelf. De Sensor op het apparaat van de gebruiker laat aan de clouddienst weten wat er gebeurt en krijgt vervolgens terug te horen of er actie moet worden ondernomen.

Normaal gesproken is dat model een voordeel. Omdat hackers continu naar nieuwe manieren zoeken om in te breken bij hun slachtoffers, moet beveiligingssoftware doorlopend bijgewerkt worden met informatie over nieuwe aanvallen. Als dat op een centrale plek gebeurt zoals bij CrowdStrike, is een update altijd direct bij alle klanten actief.

IT-afdelingen van bedrijven hebben dan zelf minder werk aan het veilig houden van hun systemen. Bovendien vraagt de Falcon-software om minder rekenkracht van de computers van gebruikers dan traditionele beveiligingssoftware, die op apparaten zelf werkt. Maar als het misgaat, dan gaat het ook meteen overal mis, zo bleek vrijdag wel. Klanten kunnen updates niet eerst zelf uittesten of tegenhouden.

„Heel veel bedrijven hebben het beheer van hun IT uit handen gegeven”, zegt Edwin Weijdema. Hij is cybersecurity technologist bij Veeam, een databeschermingsbedrijf dat ook CrowdStrike-klanten bedient. Het heeft veiligheidsvoordelen om uit te besteden aan gespecialiseerde partijen, maar je verliest ook controle. „Daar moet je een balans tussen zoeken.”


Lees ook

Over de hele wereld is er hinder van de computerstoring. Wat is er aan de hand, en hoe kan het opgelost worden?

Berlin Brandenburg Airport.  Onder meer in Berlijn, Madrid, Edinburgh, Sydney, Tokio en Mumbai hebben luchthavens last van de storing. Hoeveel vluchten er vandaag wel of niet kunnen doorgaan, is nog niet duidelijk.

CrowdStrike heeft de foute update inmiddels teruggetrokken en biedt een oplossing aan klanten. Maar zolang computers in een cyclus van crashes zitten, is het moeilijk om zo’n oplossing op afstand te laten uitvoeren. En een handmatige oplossing, waarbij een bestand verwijderd moet worden, is door gewone gebruikers moeilijk uit te voeren. Juist binnen grote bedrijven waar software zoals Falcon gebruikt wordt, hebben de meeste medewerkers daar om veiligheidsredenen geen bevoegdheid voor.

„Dan moet je handmatig bij elk systeem langs om het te fixen”, zegt Weijdema. „Bij een van onze klanten zijn 200.000 apparaten getroffen door dit probleem. Zij zijn nu snel mensen binnen de organisatie aan het trainen zodat ze het ter plekke kunnen verhelpen. Heel veel IT’ers wereldwijd zijn hier nu druk mee.”

Grote zakelijke speler

Onder consumenten mag CrowdStrike dan geen bekende naam zijn, in de zakenwereld is het een grote speler. CrowdStrike heeft naar eigen zeggen meer dan 29.000 bedrijven als klant, waaronder meer dan de helft van de 500 grootste Amerikaanse ondernemingen en 43 van de 50 Amerikaanse staten. Het biedt alleen diensten aan zakelijke klanten.

CrowdStrike is eind 2011 opgericht door George Kurtz en Dmitri Alperovitch, twee ondernemers die eerder samenwerkten bij virusscannermaker McAfee. Het bedrijf is gevestigd in de Texaanse hoofdstad Austin en is wereldwijd actief. Destijds wilden de oprichters zich onderscheiden met hun aanpak. Concurrenten zouden zich te veel bezighouden met individuele aanvallen en geen zicht hebben op het grotere plaatje.

„Dit is een oorlog”, schreven ze over het cybersecuritylandschap, in een blogpost vol militaire stijlfiguren. „Een stap terug nemen om het strijdveld te overzien, kan tot interessante inzichten leiden. CrowdStrike-teams kunnen dit en hebben zo kennis van wat er over de hele wereld gebeurt.”

Vorig jaar boekte CrowdStrike een omzet van ruim 3 miljard dollar (2,8 miljard euro), 36 procent meer dan in het jaar ervoor. De nettowinst bedroeg 90,6 miljoen dollar, terwijl een jaar eerder nog verlies geleden werd. Het bedrijf is sinds 2019 genoteerd aan de Nasdaq-beurs in New York. Sinds het debuut is de beurswaarde met 435 procent gestegen. CrowdStrike had voor de problemen van vrijdagochtend een marktwaarde van 83,4 miljard dollar (omgerekend 76,6 miljard euro). Maar bij het openen van de beurs in New York (toen de problemen in de rest van de wereld allang duidelijk waren) daalde het aandeel direct met 14 procent.

CrowdStrike staat hoog aangeschreven en heeft eerder geholpen bij het onderzoeken van grootschalige cyberaanvallen, zoals die van Sony Pictures in 2014. Ook stond het de Amerikaanse Democratische Partij bij toen die rond de presidentsverkiezingen in 2016 werd gehackt. CrowdStrike achterhaalde toen dat die aanval door Russische hackers was uitgevoerd.