Ein von CrowdStrike veröffentlichtes fehlerhaftes Update führte am vergangenen Freitag zu massiven globalen IT-Ausfällen. Die globalen Folgen dieses Ausfalls waren erheblich und trafen zahlreiche Branchen und kritische Infrastrukturen. Nach Angaben von Microsoft waren weltweit etwa 8,5 Mio. Windows-Geräte betroffen.
Ein von CrowdStrike verteiltes Update seiner Security-Software Falcon verursachte in Windows-Systemen einen kritischen Speicherfehler. Dadurch stürtzte Windows während des Bootvorgangs mit einem „Blue Screen of Death“ (BSOD) ab und war danach in einer Endlosschleife von Absturz und Neustart gefangen.
(Bild: rdomino - stock.adobe.com)
Das von CrowdStrike veröffentlichte, fehlerhafte Update des Falcon-Sensors führte am Freitag und am Wochenende weltweit zu IT-Ausfällen; das BSI stufte den Vorfall in die Bedrohungsstufe 3 / Orange ein. Dabei kam es auch zu erheblichen Störungen im Luftverkehr. Viele Fluggesellschaften, darunter Eurowings, American Airlines, United Airlines und Delta, mussten zahlreiche Flüge stornieren oder verschieben. Am Flughafen Zürich, dem britische Flughafen Gatwick sowie am internationalen Flughafen in Prag kam es zu Störungen und Verspätungen. Die Flugsicherung Skyguide reduzierte vorübergehend die Kapazität im Transitverkehr und für Anflüge auf Zürich um 30 Prozent, konnte diese Maßnahmen aber am Nachmittag wieder aufheben.
Banken weltweit und auch in Deutschland waren durch Betriebsstörungen stark betroffen. Nach Berichten des IT-Finanzmagazin waren unter anderem die Deutsche Bank, Sparkassen und Volks- und Raiffeisenbanken betroffen. Kunden berichteten über Schwierigkeiten beim Zugang zu Geldautomaten, Online-Banking, sowie bei Zahlungen über Visa und Paypal.
Auch mehrere Krankenhäuser und Gesundheitseinrichtungen meldeten Betriebsstörungen. Am Universitätsklinikum Schleswig-Holstein (UKSH) waren beide Standorte in Kiel und Lübeck betroffen, was zur Absage aller nicht-kritischen Eingriffe und zur Schließung der Ambulanzen führte. Trotz der IT-Probleme konnte die Notfallversorgung jedoch aufrechterhalten werden.
Neben den genannten Sektoren waren auch Medienunternehmen und diverse andere Geschäftszweige betroffen. Die IT-Ausfälle führten zu Betriebsunterbrechungen, die die tägliche Arbeit und den Kundenservice beeinträchtigten. Viele Unternehmen, die auf Cloud-Dienste und IT-Infrastrukturen angewiesen sind, mussten den Betrieb aufgrund der Störungen unterbrechen.
Was ist genau passiert?
Das von CrowdStrike verteilte Update des Falcon-Sensors enthielt eine fehlerhafte Treiberdatei namens "C-00000291.sys", die tief in das Windows-Betriebssystem integriert ist und einen kritischen Speicherfehler verursachte. Dieser sorgte dafür, dass Windows während des Bootvorgangs abstürzte und ein Blue Screen of Death (BSOD) angezeigt wurde. Da der fehlerhafte Treiber nach jedem Neustart weiterhin vorhanden war, gerieten die betroffenen Systeme in eine Endlosschleife von Abstürzen und Neustarts, wodurch sie unbrauchbar wurden und kritische Dienste zum Erliegen kamen.
Was können betroffene Unternehmen tun?
Um das Problem zu beheben müssen IT-Admins betroffene Systeme zunächst im abgesicherten Modus oder in der Windows-Wiederherstellungsumgebung starten. Ist das geschehen, gilt es zum Verzeichnis C:\Windows\System32\drivers\CrowdStrike zu navigieren und dort die Datei "C-00000291*.sys" zu suchen und zu löschen. Nach einen weiteren Neustart sollte das Problem behoben sein. Was bei einzelnen Rechnern oder Servern noch praktikabel ist, scheitert jedoch, wenn hunderte oder gar zehntausende Systeme betroffen sind.
Microsoft hat inzwischen ein spezielles Wiederherstellungstool veröffentlicht, das IT-Administratoren dabei helfen soll, die betroffenen Systeme zu reparieren. Dieses Tool kann von einem USB-Stick gestartet werden und automatisiert den Löschvorgang der problematischen Treiberdatei. Sogar Hyper-V-Systeme lassen sich mit dem Tool reparieren, wenn man das Wiederherstellungssystem in eine ISO-Datei schreibt.
Das Microsoft-Tool bietet zwei Optionen: „Recover from WinPE“ und „Recover from safe mode“. Die erste Option stellt Systeme schnell und direkt wieder her, indem es über USB in die Windows PE-Umgebung bootet, auf die Festplatte des betroffenen Rechners zugreift und die problematische CrowdStrike-Datei automatisch löscht, damit der Rechner ordnungsgemäß starten kann. Das Tool und erfordert keine lokalen Admin-Rechte. Sollte ein Laufwerk allerdings durch BitLocker verschlüsselt sein muss der BitLocker-Wiederherstellungsschlüssel manuell eingegeben werden.
Die zweite Option „Wiederherstellung aus dem abgesicherten Modus“ ermöglicht die Wiederherstellung auf BitLocker-aktivierten Geräten, ohne dass die Eingabe von BitLocker-Wiederherstellungsschlüsseln erforderlich ist. Um diese Option zu nutzen, muss der Admin allerdings Zugriff auf ein Konto mit lokalen Administratorrechten auf dem Gerät haben.
Für eine großflächige Bereitstellung in Unternehmensnetzwerken empfiehlt Microsoft einen PXE-Boot-Server einzurichten, um die reparierten Images über das Netzwerk zu verteilen und alle betroffenen Systeme zu patchen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Wiederherstellung von Cloud-Umgebungen in Azure und AWS
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/80/88/8088b527009ccf9af3ccdaf466e09afb/0119597777v3.jpeg "Ein einziges Update einer Software der IT-Sicherheitsfirma Crowdstrike ist die Ursache für die weltweiten IT-Ausfälle. (Bild: lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/5a/d65a05a6f1f8f938e4af7aeb6dba90ca/0128263315v2.jpeg "Windows Backup for Organizations sichert Einstellungen und Store-Apps cloudbasiert und bietet die Wiederherstellung bereits im OOBE an. Es ersetzt jedoch kein klassisches Backup. (Bild: © Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/7f/da7f45f6f19f349558280c7370c4008f/0123330152v2.jpeg "0Patch versorgt Windows 10 weiter mit Updates: Das steckt dahinter. (Bild: Vadim - stock.adobe.com)")