Crowdstrike: The winner takes it all (and when the winner loses, everybody loses)
Der Crowdstrike-Incident zeigt einmal mehr die Gefahren von Monokulturen auf. Ein paar Gedanken zu Bananen, Microsoft und zur Swiss Government Cloud.
95 Prozent der weltweit gehandelten Bananen gehören zur Sorte Cavendish. Seit einigen Jahren breitet sich ein aggressiver Schädling aus, der ganze Plantagen und damit die Lebens- und Ernährungsgrundlage von Millionen Menschen vernichtet (a.k.a. Bananageddon). Ob Microsoft Server eine Bananensoftware ist, sei dahingestellt, doch Fakt ist, dass auch bei Server-Betriebssystemen eine Monokultur entstanden ist. Microsoft hat hier einen weltweiten Marktanteil von 55%. Welche Probleme und Risiken das birgt, zeigte der Crowdstrike-Incident.
Dabei war der Vorfall noch einigermassen harmlos: Nur 1% der Microsoft-Server waren von dem fehlerhaften Crowdstrike-Update betroffen und das Problem konnte relativ einfach und zeitnah behoben werden. Trotzdem rechnen Experten mit einem Schaden in Milliardenhöhe. Man stelle sich vor, es wären mehr Server betroffen gewesen und die Behebung hätte nicht Stunden sondern Tage gedauert.
The winner takes it all: Weltweit und branchenübergreifend findet eine Konzentration auf immer weniger immer grössere Unternehmen statt. Diese werden dann «too big to fail» oder «systemkritisch» und geniessen besonderen Schutz oder zumindest besonderes Augenmerk. And when the winner loses, everybody loses: Wenn eine UBS in eine kritische Schieflage gerät, kann das die ganze Schweizer Volkswirtschaft in Mitleidenschaft ziehen, und wenn ein eigentlich vermeidbarer Fehler in einer weit verbreiteten Software zentrale Systeme vom Netz nimmt, können Menschen weltweit kein Geld mehr abheben, keine Einkäufe mehr tätigen und stehen sich an Dutzenden von Flughäfen die Beine in den Bauch.
Das spricht dafür, Monokulturen zu vermeiden, ob es sich jetzt um Bananen, Banken oder Software handelt. Heterogene Biotope sind in der Regel stabiler und krisenresistenter. Zwar können auch in heterogenen Landschaften Probleme auftreten, diese sind aber kleinräumiger, leichter zu beheben und verursachen geringeren Schaden. Monokulturen vermeiden heisst in der heutigen IT-Welt, einen Bogen um die grossen Anbieter zu machen.
Und damit zur Swiss Government Cloud, denn genau das bezweckt dieses Projekt: eine Alternative zu den globalen Hyperscalern aufzubauen. Aber ist es wirklich sinnvoll, eine zentrale Cloud für alle Anwendungen des Bundes zu bauen? Wollen wir wirklich eine kleine Bananenplantage bauen, um die grossen Plantagen zu vermeiden? Wäre es nicht besser, eine starke Einkaufsorganisation aufzubauen, die den Markt genau kennt und die IT-Ressourcen dezentral und zielgenau bei der Vielzahl der bereits existierenden Schweizer Anbieter beschafft? Nicht nur in der Landwirtschaft haben Polykulturen viele Vorteile gegenüber Monokulturen.
Jetzt aber genug des Vergleichs von Bananen und Software. Es gibt nämlich durchaus auch Unterschiede. Zum Beispiel handelt es sich beim Schädling, der die Cavendish-Banane bedroht, nicht um ein Virus sondern um einen Pilz. Und Computer-Pilze gibt es keine, oder?
Noch mehr zu Crowdstrike, Bananen und Monokulturen:
- Die Welt räumt die Trümmer der Crowdstrike-Panne auf (Inside IT)
- CrowdStrike: what happened? (Risk Business)
- Fungus Once Decimated the Most Common Bananas. Could It Happen Again? (Bon Appétit)
- What We Can Learn From the Near-Death of the Banana? (TIME Magazine)
- Swiss Government Cloud soll 320 Millionen Franken kosten (Netzwoche)