Ehemalige CrowdStrike-Mitarbeiter: „Qualitätskontrolle war kein Teil des Prozesses.“

 (semafor.com)
1 Punkte von GN⁺ 2024-09-14 | 1 Kommentare | Auf WhatsApp teilen
  • Softwareingenieure bei CrowdStrike beschwerten sich über mehr als ein Jahr hinweg bei Führungskräften des Unternehmens über verkürzte Fristen, übermäßige Arbeitsbelastung und zunehmende technische Probleme
    • Ingenieur Jeff Gardner: „Geschwindigkeit war das Wichtigste, und Qualitätskontrolle hatte keine Priorität“
    • Von 24 ehemaligen Mitarbeitern wurden 10 entlassen, 14 verließen das Unternehmen freiwillig
    • Der ehemalige Mitarbeiter Joey Victorino widersprach und sagte, CrowdStrike habe alles sehr sorgfältig gehandhabt
  • CrowdStrike bestreitet den Großteil der Berichterstattung von Semafor und bezeichnet die Informanten als „unzufriedene ehemalige Mitarbeiter“
    • Das Unternehmen erklärt, es arbeite mit strengen Tests und Qualitätskontrollen daran, die Stabilität seiner Produkte sicherzustellen
  • CrowdStrike wurde 2011 gegründet und stieg nach der Einführung des Falcon-Antivirenpakets im Jahr 2013 schnell zu einem führenden Unternehmen der Cybersicherheitsbranche auf
    • Nach dem Börsengang 2019 setzte das Unternehmen sein starkes Wachstum fort, vergrößerte die Belegschaft und steigerte den Umsatz bis zum Ende des Geschäftsjahres 2024 um mehr als 1.000 %
  • Im Juli führte ein fehlerhaftes Software-Update von CrowdStrike zum größten IT-Ausfall der Geschichte
    • 8,5 Millionen Computer fielen aus und verursachten bei Fortune-500-Unternehmen Verluste von bis zu 5,4 Milliarden US-Dollar
    • Reisende an Flughäfen strandeten, der Zugriff auf Online-Banking-Konten war nicht mehr möglich, und Notrufzentralen gingen offline

Von ehemaligen Mitarbeitern angesprochene Probleme

  • Um Produktveröffentlichungen zu beschleunigen, wurden Software-Qualitätsprüfungen teils nur unzureichend durchgeführt
  • In der Professional-Services-Abteilung kam es zu drei Vorfällen, bei denen Kundendaten versehentlich in die Ordner anderer Kunden hochgeladen wurden
  • Es gab Probleme mit dem Dienst Falcon LogScale
    • Aufgrund eines fehlerhaften Updates wurden Echtzeitwarnungen vor bösartigen Aktivitäten mindestens zweimal vorübergehend deaktiviert
  • Die Einführung des Cloud-Threat-Hunting-Dienstes Falcon OverWatch Cloud Threat Hunting im Jahr 2022 wurde überstürzt
    • Ingenieure und Threat Hunter wurden angewiesen, Arbeiten, die normalerweise ein Jahr dauern, innerhalb von zwei Monaten abzuschließen
    • Zum Zeitpunkt der Einführung fehlten interne Tools, mit denen Threat Hunter die Cloud-Systeme der Kunden vollständig überwachen konnten

Antwort von CrowdStrike

  • Das Unternehmen räumte ein, vorhandene Ingenieure eingesetzt zu haben, erklärte jedoch, dass es damals das Berufsfeld „Cloud Threat Hunter“ noch nicht gegeben habe und es daher unmöglich gewesen sei, erfahrene Fachkräfte dafür einzustellen
  • Die Behauptung, Mitarbeiter seien nicht für ihre Aufgaben geschult worden, sei falsch; Schulungen seien allen angeboten worden, die sie wollten
  • Die OverWatch-Produktlinie existiere seit mehr als zehn Jahren und werde fortlaufend verbessert, um sich an die sich wandelnden Bedrohungen und Anforderungen der Kunden anzupassen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-09-14
Hacker-News-Kommentare

  • CrowdStrike-Mac-Agent (Falcon) sendet alle Geheimnisse aus Umgebungsvariablen im Klartext an ein Cloud-gehostetes SIEM

    • Anmeldedaten für GitHub, AWS usw. können durchsucht werden
    • Betrifft nur die Mac-Version, und es gibt keine Möglichkeit, dieses Verhalten zu deaktivieren oder zu korrigieren
    • Wahrscheinlich sind zahlreiche Klartext-Geheimnisse von Kunden im SIEM gespeichert

  • Jeff Gardner behauptet, dass bei CrowdStrike nur Geschwindigkeit zählte und Qualitätskontrolle nicht berücksichtigt wurde

    • Der Meinung eines entlassenen ehemaligen Mitarbeiters ist nur schwer zu trauen
    • Da dieser Mitarbeiter Designer war, war er vermutlich nicht an der Qualitätskontrolle beteiligt

  • Von 24 ehemaligen Mitarbeitenden wurden 10 entlassen, 14 kündigten freiwillig

    • Einige ehemalige Mitarbeitende äußerten eine andere Meinung
    • Joey Victorino behauptet, CrowdStrike sei bei allen Arbeiten gründlich gewesen

  • Jeff Gardners Aussage stammt aus der Perspektive eines UX-Designers

    • Sie hat vermutlich nichts mit dem Prozess zur Verteilung von Kernel-Patches zu tun

  • Wichtige Software-Infrastruktur sollte wie physische Infrastruktur reguliert werden

    • Wie bei Gebäuden und Brücken sollte auch Software durch Regulierung und Inspektionen zuverlässig gemacht werden

  • Das Team, das den CrowdStrike-Agent ausgerollt hat, hatte Probleme mit den Logs

    • Der Daemon schreibt viele Logs, aber es gibt keine Einstellung, um das zu stoppen oder zu reduzieren

  • Das Kulturproblem bei CrowdStrike ähnelt Knight Capital

    • Kleine kulturelle Probleme führen zu Funktionsstörungen im gesamten Unternehmen

  • In der Softwareentwicklung fehlt oft die Qualitätskontrolle

    • Viele Projekte werden ohne ausreichende Tests überhastet veröffentlicht

  • Man beginnt über die Grenze zwischen Risikobereitschaft und Thrill-Seeking nachzudenken

    • Ab einem gewissen Punkt könnte es nicht mehr um Faulheit oder mangelnde Disziplin gehen, sondern um Neurose oder Sucht

  • CrowdStrike weist die Berichterstattung von Semafor zurück

    • Unzufriedene ehemalige Mitarbeitende könnten das Unternehmen absichtlich schlecht aussehen lassen
    • Dennoch ist die Glaubwürdigkeit von CrowdStrike sehr gering

  • Obwohl der schlimmste Fall eingetreten ist, steigt die CrowdStrike-Aktie weiterhin

    • Sie entwickelt sich besser als der S&P 500