1 Punkte von GN⁺ 2024-07-26 | 1 Kommentare | Auf WhatsApp teilen
  • Die CrowdStrike-Update-Panne vom 19. Juli 2024 soll 8,5 Millionen Computer außer Betrieb gesetzt und Schäden von mehr als 5,4 Milliarden US-Dollar verursacht haben; sie könnte zu einer ähnlichen Haftungslogik wie im französischen OVH-Fall führen
  • Im OVH-Fall befand das Gericht, dass ein Backup-Anbieter ein angemessenes Niveau und bewährte Verfahren einhalten muss; Backups am selben Standort oder in nahegelegenen Rechenzentren wurden nicht als angemessener Betrieb anerkannt
  • Da CrowdStrike Sicherheitssoftware ist, die auf Kernel-Ebene als Erstes ausgeführt wird, steigt mit der Verteilung auf Geräte von Unternehmen und kritischen Branchen wie Banken, Reiseunternehmen und Supermärkten die Pflicht zu Tests und gestaffelter Bereitstellung
  • Das fehlerhafte Update wurde gleichzeitig auf Millionen Geräte weltweit ausgerollt und verursachte BSODs; die Wiederherstellung erforderte physischen Zugriff, Administratorrechte, den Start im abgesicherten Modus oder Wiederherstellungsmodus sowie das Löschen eines Treibers
  • Kunden in regulierten Branchen müssen Änderungen testen, gestaffelt ausrollen und nachverfolgen; falls CrowdStrike dies nicht tat oder verweigerte, könnte dies zu Compliance-Verstößen der Kunden und zu Gründen für eine Vertragskündigung führen

CrowdStrike-Ausfall und Struktur der Schadenersatzhaftung

  • Der CrowdStrike-Vorfall ist ein Beispiel dafür, wie ein einziges Update zu einer großflächigen Computerstörung führte
  • Die Möglichkeit von Schadenersatz wird mit der Rechtsprechung im französischen OVH-Fall verglichen
  • Haftungsausschlüsse in Standardverträgen sind in vielen Rechtsordnungen außerhalb der USA nur begrenzt wirksam; Haftung im Zusammenhang mit grober Fahrlässigkeit, Straftaten oder Rechtsverstößen lässt sich in der Regel schwer ausschließen
  • Entscheidend ist, dass Schadenersatz möglich wird, wenn eingetretener Schaden und Vorsatz oder Fahrlässigkeit zusammenkommen

Im OVH-Fall offengelegte operative Versäumnisse

  • OVH ist ein französischer Rechenzentrums- und Cloud-Anbieter, der physische Server, virtuelle Maschinen und verschiedene Cloud-Dienste bereitstellt
  • Am 10. März 2021 brach am OVH-Standort SGB ein Feuer aus
    • Die Rechenzentren SGB1 und SGB2 wurden zerstört
    • Auch SGB3 und SGB4 waren zeitweise nicht betriebsfähig
  • Mehrere Kundensites wurden zerstört, Dienste und Daten gingen unwiederbringlich verloren, und einige Kunden verklagten OVH erfolgreich
  • Für das Gericht war entscheidend, dass Serviceverlust und Backupverlust gleichzeitig eintraten
    • Während und nach dem Vorfall kam es zu einem vollständigen Serviceausfall
    • Nach dem Vorfall blieb ein nicht wiederherstellbarer Datenverlust zurück
    • OVH bot Kunden Backup-Dienste an, doch auch die Backups gingen vollständig und unwiederbringlich verloren
  • Obwohl es mehrere Rechenzentren gab, befanden sie sich tatsächlich nahe beieinander am selben Standort; das Gericht sah dies nicht als vorhersehbare oder angemessene Konfiguration an
  • Auch dass Backups im selben Rechenzentrum oder in einem anderen Rechenzentrum am selben Standort gespeichert sein konnten, wurde als unangemessen bewertet
  • OVH argumentierte, die Kunden hätten Best Practices befolgen und mehrere Backups an unterschiedlichen Standorten vorhalten müssen; das Gericht befand jedoch, dass OVH als Backup-Anbieter Backups nach angemessenen Standards bereitstellen musste
  • Im Ergebnis erfüllte der Backup-Dienst von OVH seinen Zweck nicht und wurde als Dienst bewertet, der nicht auf angemessenem Niveau betrieben wurde

Technische Besonderheiten des CrowdStrike-Ausfalls

  • CrowdStrike ist Antivirus- bzw. EDR-Software (Endpoint Detection and Response), die auf Unternehmensgeräten installiert wird
  • Die Software arbeitet beim Start des Computers und ist tief auf Kernel-Ebene in Windows- oder Linux-Betriebssysteme integriert
    • Sie wird so früh wie möglich ausgeführt, noch vor anderen Komponenten
    • Sie kann ausgeführte Elemente überwachen und verdächtige Elemente blockieren oder melden
  • Am 19. Juli 2024 verteilte CrowdStrike ein Software-Update, das die betroffenen Computer zum Absturz brachte
  • Millionen Computer weltweit erhielten gleichzeitig das Update und gerieten in einen Zustand fehlerhaften Verhaltens
  • Aufgrund der Architektur, bei der die Software mit hohen Rechten zuerst ausgeführt wird, können Fehler oder Fehleinschätzungen von CrowdStrike die Ausführung anderer Software oder sogar des Systems selbst verhindern

Streitpunkte bei Bereitstellung, Tests und Monitoring

  • CrowdStrike ist breit auf Geräten großer Unternehmen wie Banken, Reiseunternehmen und Supermärkten ausgerollt und richtet sich vor allem an kritische Branchen und wichtige Geräte, die mit vertraulichen Informationen umgehen
  • Da es sich um eine zentrale Anwendung in sensiblen Umgebungen handelt, sind bei Entwicklung und Tests besondere Sorgfaltspflichten erforderlich
  • Am Tag des Vorfalls wurde das Update auf einmal auf Millionen wichtiger Geräte verteilt; gute Praxis ist es, Software-Upgrades gestaffelt auszurollen
  • Im Mittelpunkt steht die Frage, wie sich das defekte Update innerhalb weniger Minuten auf Millionen Geräte verbreiten konnte und ob es Tests oder eine gestaffelte Bereitstellung gab
  • In Online-Diskussionen gab es Berichte, dass Krankenhauskunden dieses Problem bereits zuvor erlebt und CrowdStrike um Kontrolle über Updates gebeten hätten
    • Ein Kunde behauptete, CrowdStrike habe ein 50-seitiges Memo geschickt, in dem eine gestaffelte Bereitstellung abgelehnt wurde
  • Wenn CrowdStrike keine Funktion für gestaffelte Bereitstellung hatte oder diese verweigerte, könnte das mit den Anforderungen der regulierten Branchen kollidieren, an die das Unternehmen verkauft
  • Das fehlerhafte Update verursachte auf den betroffenen Computern BSODs; dass ein offensichtlich defektes Update vor der externen Verteilung nicht erkannt wurde, wird als Hinweis auf fehlende Tests herangezogen
  • Es gab Berichte, dass ein ähnliches Problem einige Wochen zuvor auch beim CrowdStrike-Agenten für Linux aufgetreten sei; daraus ergibt sich die Argumentation, dass es sich nicht nur um einen Einzelfall handelte
  • Nachdem das fehlerhafte Update verteilt worden war, dauerte es fast zwei Stunden, bis CrowdStrike das Problem erkannte und das Update stoppte
  • Entwickler kritischer Software müssen nach der Bereitstellung überwachen, ob sie wie erwartet funktioniert und keine Probleme verursacht

Schwierigkeit der Wiederherstellung und Schäden der Kunden

  • Betroffene Computer konnten nicht mehr booten, und Nutzer konnten nicht auf ihre Computer zugreifen, um Tickets zu erstellen oder das Problem zu diagnostizieren
  • In betroffenen Unternehmen erhielten Mitarbeiter nicht funktionierende Computer und konnten ihre Arbeit nicht erledigen
  • Eine Wiederherstellungsmethode bestand darin, dass IT-Teams die Computer entgegennehmen und vollständig neu installieren oder neu imagen mussten
  • Eine später gefundene andere Methode bestand darin, dass Administratoren physischen Zugriff auf den Computer erhielten, ihn im abgesicherten Modus oder Wiederherstellungsmodus starteten und anschließend die CrowdStrike-Treiberdatei löschten
  • Diese Wiederherstellung erfordert sowohl physischen Zugriff als auch Administratorrechte
    • Es kann ein spezielles Passwort oder ein USB-Schlüssel mit Passwort erforderlich sein, um einen Laptop im Wiederherstellungsmodus zu starten
  • Für betroffene Unternehmen kann es Wochen dauern, alle Benutzer-Laptops, Desktops und Server physisch einzusammeln
    • Die Zahl der betroffenen Geräte kann von Tausenden bis zu Hunderttausenden reichen
  • Geräte, die eingeschlossen oder schwer zugänglich sind, etwa Anzeigeterminals an Flughäfen, medizinische Geräte und Ausrüstung in Krankenhäusern oder Aufzugspanels, können noch länger benötigen
  • Geräte, die physisch blockiert sind oder deren Wiederherstellungspasswort unbekannt ist, lassen sich möglicherweise nicht wiederherstellen
  • Da auch Ersatzcomputer vom selben Problem betroffen waren, war es schwierig, betroffenen Nutzern Austauschgeräte bereitzustellen
  • CrowdStrike war Sicherheitssoftware, die Computer betriebsbereit halten und vor Bedrohungen schützen sollte, verfehlte jedoch ihren Zweck, indem sie die zu schützenden Computer außer Betrieb setzte

Regulierte Branchen und mögliche Vertragskündigung

  • Kunden in regulierten Branchen wie Gesundheitswesen, Finanzwesen, Luft- und Raumfahrt sowie Transport müssen Änderungen testen, gestaffelt bereitstellen und nachverfolgen
  • CrowdStrike erklärt, über mehrere Zertifizierungen und Standards zu verfügen, doch diese Kriterien verlangen bestimmte Entwicklungspraktiken und mehrere Teststufen
  • Wenn CrowdStrike solche Verfahren nicht durchgeführt und aktiv verweigert hat, könnte dies zu einem Compliance-Verstoß von CrowdStrike selbst führen
  • Durch den Einsatz von CrowdStrike könnten auch Kunden in einen Zustand der Compliance-Verletzung geraten; für Kunden, die dies wollen, könnte das ein ausreichender Grund sein, den CrowdStrike-Vertrag einseitig zu beenden

Vergleichsfälle und zusätzliche Belege

  • Test- und Bereitstellungsweise von BitLocker

    • Eine Diskussion eines BitLocker-Mitarbeiters über Test- und Bereitstellungsweisen wird als zusätzlicher Beleg herangezogen
    • BitLocker ist ein Werkzeug zur sicheren Verschlüsselung von Computerfestplatten
    • Es verhindert, dass andere die Daten lesen können, wenn ein Computer verloren geht oder gestohlen wird
    • Es wird beim Start zuerst ausgeführt; ohne BitLocker lassen sich keine Daten von der Festplatte laden
    • Ein Fehler in BitLocker kann einen Computer unbrauchbar machen und alle Daten unlesbar werden lassen, ähnlich dem unwiederbringlichen Datenverlust im OVH-Fall
    • BitLocker durchläuft mehrere Teststufen: auf dem eigenen Computer, im eigenen Team und anschließend in anderen Teams
  • Behauptete frühere Erfahrungen mit CrowdStrike-Ausfällen

    • Auch die frühere Erfahrung eines Mitarbeiters eines anonymen Unternehmens mit einem CrowdStrike-Ausfall wird als zusätzlicher Beleg herangezogen
    • Das betreffende Unternehmen behauptet, von einem früheren CrowdStrike-Problem betroffen gewesen zu sein
    • Das Unternehmen habe CrowdStrike offiziell gebeten, gestaffelte Bereitstellung zu erlauben; CrowdStrike habe daraufhin ein 50-seitiges Memo geschickt, das dies kategorisch ablehnte
    • Falls diese Behauptung zutrifft, könnte das Memo ein wichtiges belastendes Beweismittel gegen CrowdStrike sein

1 Kommentare

 
GN⁺ 2024-07-26
Meinungen auf Hacker News
  • Ich arbeite in Frankreich bei einem anderen französischen Cloud-Service-Provider, habe den OVH-Vorfall in Echtzeit miterlebt und auch alle Nachwirkungen gesehen.
    OVH wurde nicht wegen der Service-Unterbrechung haftbar gemacht, sondern wegen des Datenverlusts. Datenverlust ist ein irreversibler, dauerhafter und endgültiger Schaden; einige Unternehmen sind faktisch untergegangen, weil sie keine Daten mehr für den Betrieb hatten. Noch schlimmer war, dass OVH „Offsite-Backups“ buchstäblich nur wenige Meter vom Rechenzentrum entfernt verkaufte. Eine Service-Unterbrechung ist bedauerlich, kann aber vorkommen und wird über den zwischen beiden Seiten vereinbarten SLA-Vertrag geregelt. Ein Ausfall von ein paar Tagen lässt ein Unternehmen nicht schließen.
    Ich bezweifle, dass CrowdStrike gegenüber Unternehmen in großem Umfang haftbar gemacht wird. Wenn sie die Schäden vollständig ersetzen müssten, müsste das Unternehmen schließen. Der Gesundheitssektor ist allerdings ein eigenes Thema; ich denke, es wird auf mehr Regulierung für kritische Einrichtungen hinauslaufen.

    • Wenn das hier nicht zur Schließung von CrowdStrike führt, wäre das meiner Ansicht nach ein wirklich falsches Signal.
      Der größte Ausfall der Geschichte wurde durch einen Fehler im Konfigurationsparser verursacht, und es sieht so aus, als seien bei Konfigurations-/Parsing-Verarbeitung keine Best Practices der Branche befolgt worden; wahrscheinlich wurden auch beim Programmieren von Kernel-Modulen keine Best Practices eingehalten. Wenn das so ist, wäre es ehrlich gesagt seltsam, wenn sie wegen der Schadensersatzforderungen keinen Insolvenzantrag stellen müssten. Das heißt nicht, dass die Software verschwinden oder nicht mehr gewartet würde; es gibt viele Möglichkeiten, das zu verhindern. Microsoft etwa hatte ohnehin Interesse an einer Übernahme von Falcon.
    • Nach meinem Verständnis hat wohl jeder, der BitLocker nutzte, seine Daten unwiederbringlich verloren.
      Logischerweise gilt: Je wichtiger die Daten, desto wahrscheinlicher ist es, dass sie verschwunden sind. Inoffizielle Beispiele aus meinem Umfeld: Viele Nutzer hatten BitLocker im Einsatz, was auch viel Datenverlust bedeutet.
      Edit: Ich habe gesehen, dass sich BitLocker-verschlüsselte Laufwerke in vielen Fällen wiederherstellen lassen. Ich frage mich, wie groß der tatsächliche Datenverlust ist.
    • Wenn ein Unternehmen wegen des OVH-Vorfalls schließen musste, wie wurde dann die Schadenshöhe berechnet? War es das 1-Fache des Jahresumsatzes, auf Gewinnbasis, das 5-Fache?
  • Diese Überschrift ist etwas irreführend. Tatsächlich handelt es sich um die persönliche, wenn auch sachkundige Einschätzung einer Person in einem Blog, nicht um eine Tatsachenbehauptung.
    Die Überschrift sollte eher lauten: „Ich denke, CrowdStrike wird haften“ oder „CrowdStrike sollte haften“.

    • Der vollständige Titel ist zumindest im Moment nuancierter als das, was auf HN zu sehen ist: „Auf Grundlage des OVH-Präzedenzfalls wird CrowdStrike in Frankreich schadensersatzpflichtig sein“.
  • Es ist gut, daran zu erinnern, dass die in Lizenzverträgen häufig zu findenden allgemeinen Haftungsausschlüsse außerhalb der US-Gerichtsbarkeit bedeutungslos sein können, wenn man in anderen Rechtsräumen Geschäfte macht.

    • Es ist absurd, wie viele US-Tech-Unternehmen überrascht sind, dass sie bei der Arbeit in anderen Rechtsräumen Arbeitsrecht und Datenschutzrecht einhalten müssen, oder glauben, sie könnten das ignorieren.
    • Ich frage mich, ob es eine Website wie eine Haftungskarte gibt, die für typische Softwarelizenzen nach Land zeigt, in welchem Umfang die Haftung nach dem jeweiligen Recht ausgeschlossen werden kann.
  • Vermutlich sprechen bereits enorm viele Anspruchsteller mit Anwälten darüber, wie sie Entschädigung erhalten können. Nicht nur in Frankreich, sondern weltweit.
    Ich frage mich, wie so etwas bei so vielen Gerichtsbarkeiten organisiert wird.

    • In der Theorie ist es einfach. Wenn CrowdStrike in Bundesstaat/Land X geschäftlich tätig ist, werden Entschädigungsansprüche vor den Gerichten von X verhandelt.
      Daher werden viele Gerichte und Anwälte auf der ganzen Welt eine Zeit lang ziemlich mit diesem Fall beschäftigt sein.
  • Ich bin kein Anwalt und erst recht kein französischer Anwalt, aber ich halte den Vergleich mit OVH nicht für stichhaltig.
    Im OVH-Fall ist das gesamte Backup-System ausgefallen. Viele Kunden hatten am Ende null Daten, und laut Artikel entschied das Gericht, „dass der OVH-Backup-Service nicht auf einem angemessenen Niveau betrieben wurde und seinen Zweck nicht erfüllte“.
    CrowdStrike hingegen hat „nur“ die Kernel seiner Kunden für etwa eine Stunde zum Absturz gebracht. In dieser Zeit waren sie allerdings zu 100 % vor Cyberangriffen sicher. Die anschließende Verzögerung beim Wiederhochfahren der Systeme lag aus meiner Sicht daran, dass die Disaster-Recovery-Pläne der Kunden nicht gut genug waren. Man kann sicher argumentieren, dass die CrowdStrike-Software „nicht angemessen“ war, aber die unmittelbare Auswirkung – ein Software-Crash – hat eine völlig andere Größenordnung als der dauerhafte Verlust aller Daten, buchstäblich in einem Feuerball, wie bei OVH.
    Software stürzt ständig ab. Ob man es mag oder nicht: In den meisten Branchen gelten Software-Bugs als unvermeidbar. Es gibt natürlich Ausnahmen. Die „Verantwortung“ für Software-Bugs liegt beim Anbieter, aber die Abmilderung ihrer Auswirkungen ist Sache derjenigen, die sie ausrollen. Der einzige Grund, warum der CrowdStrike-Fall im Vergleich zu anderen täglichen Software-Crashes zur Nachricht wurde, ist, dass viele CrowdStrike-Kunden diese Software in mehrere kritische Pfade eingebaut hatten.
    CrowdStrike hat eine Trumpfkarte verkauft, und die Kunden haben collectively damit ein Haus gebaut.
    PS: Bitte versteht das nicht als Verteidigung von CrowdStrike. Ich halte ihre Software für miserabel und schlampig entwickelt. Ich denke, für diese Schlampigkeit sollten sie bezahlen, aber im bestehenden Rechtssystem wird das wohl nicht passieren. Allenfalls können die Leute künftig mit ihrem Geldbeutel abstimmen.

    • „Etwa eine Stunde“ stimmt überhaupt nicht.
      Die meisten von dem Fehler betroffenen Computer steckten in einer Reboot-Schleife fest und konnten den Fix nicht herunterladen; daher war ein physischer Eingriff über Booten im abgesicherten Modus nötig. Nach meinem Verständnis musste in den meisten Fällen ein IT-Techniker vor Ort gehen und physisch auf den Computer zugreifen, um das Problem zu beheben.
      Selbst nach einer Woche, also 168 Stunden, gibt es immer noch sehr viele Computer, die wegen dieses Fehlers gebrickt sind. Es ist schrecklich schwer zu reparieren.
    • Es ist nicht einfach nur abgestürzt; es hat 100 % der zu diesem Zeitpunkt laufenden Computer zum Absturz gebracht, und zwar auf eine Weise, die zur Wiederherstellung physischen Eingriff erforderte.
      Deshalb sollte man es deutlich anders betrachten als einen normalen Crash. Die Wiederherstellung ist viel schwieriger, und viele Computer waren gleichzeitig betroffen.
      Außerdem sind manche Unternehmen an ihren eigenen Wiederherstellungsverfahren gescheitert. Aber selbst mit guten Verfahren kann das ein großer Ausfall sein, weil er sich nicht leicht zurückrollen lässt und gleichzeitig viele Konfigurationen betrifft, die normalerweise gegen viele andere Ausfälle redundant ausgelegt sind.
    • Ein Disaster-Recovery-Plan sollte nicht durch einen Anbieter ausgelöst werden. Das sollte buchstäblich eine Katastrophe tun.
  • Kann mir jemand erklären, warum die Schutzfunktionen, die Falcon bietet, nicht vom Betriebssystem selbst bereitgestellt werden? Ich bin nicht völlig ahnungslos und habe auch schon ziemlich viele wichtige Linux-Server abgesichert, aber unter Windows scheint mir die Rollenverteilung bei Sicherheit nicht ebenso klar zu sein.
    Verglichen mit Red Hat oder Canonical habe ich dort eher das Gefühl, dass ich gegen die Systemsicherheit ankämpfe, damit Nutzer meine Anwendung überhaupt verwenden können – und das fühlt sich eigentlich eher nach der richtigen Richtung an.

    • Ich habe gelesen, dass Microsoft in der EU eine Kartellklage verloren hat und die EU verlangt hat, dass auch Drittanbieter-Konkurrenten diesen Dienst anbieten können. Microsofts eigene Lösung ist Windows Defender.
      https://www.theregister.com/2024/07/22/windows_crowdstrike_k...
    • Falcon bietet grundsätzlich mehrere Schutzebenen. In der Praxis lässt die in diesem Vorfall sichtbar gewordene extreme Inkompetenz allerdings Zweifel aufkommen, ob es im besten Fall nicht doch eher Schlangenöl ist.
      Für einige davon gibt es Standard-Alternativen im Betriebssystem, für andere nicht, und die meisten sind unter Linux nicht standardmäßig eingebaut. Zum Beispiel verfügt das Linux-Kernel-Team nicht über eine Malware-Signaturdatenbank, gegen die neue Softwarekomponenten geprüft werden, bevor Kernel, Init-System oder Shell sie ausführen. Falcon tut das.
      Ein weiteres Beispiel: Linux oder der übliche Linux-Userspace ist derzeit nicht standardmäßig in ein Fleet-Management-System integriert, um zu prüfen, ob ein bestimmter Nutzer bestimmte Software ausführen darf. Es gibt mehrere ähnliche Fragen.
      Und schließlich: Selbst wenn das Betriebssystem solche Dienste standardmäßig bereitstellt – Windows Enterprise bietet diese Funktionen zum Beispiel –, kann es völlig vernünftig sein, die Lösung eines anderen Anbieters zu bevorzugen. Man könnte etwa der Malware-Signaturliste von CrowdStrike mehr vertrauen als der von Microsoft; dann wäre das ein Grund, CrowdStrike statt Windows Defender zu kaufen.
      Ich will weder CrowdStrike noch Windows verteidigen. Es scheint nur offensichtlich, dass unter dem Schirm „Security“ viele Funktionen fallen, die man nicht unbedingt im Betriebssystem selbst haben möchte, und dass ein Unternehmen selbst dann, wenn es eine eingebaute Version gibt, einen anderen Anbieter wollen kann.
    • Windows hat Defender, und der verfolgt für verschiedene Arten von Malware bis zu einem gewissen Grad Signaturen und Heuristiken.
      Aber es hat sich gezeigt, dass das nicht ausreicht, um viele reale Probleme wie Ransomware zu verhindern.
      Deshalb ist ein Markt für aggressivere Drittanbieter-Lösungen entstanden. Um mit echten Bedrohungen Schritt zu halten, müssen sie häufig aktualisiert werden und mit hohen Berechtigungen laufen. Dadurch entsteht die Situation, dass solche Drittanbieter-Lösungen Bluescreens oder Boot-Loops verursachen können. Dann muss die Art und Weise, wie Updates ausgerollt werden, sehr gut konzipiert sein.
    • Gefährliches Verhalten ist auch im Userspace ohne Rechteausweitung möglich.
      Man kann zum Beispiel eine Datei herunterladen und ihren Inhalt als Code ausführen oder alle zugänglichen Dateien hochladen oder verschlüsseln.
      CrowdStrike und Defender kümmern sich um solche möglichen, aber verdächtigen Verhaltensweisen.
    • CrowdStrike Falcon EDR ist in gewissem Sinne ein verstärktes Antivirenprogramm, und CrowdStrike macht auch nicht nur EDR.
      Es ist zwar auf vielen Systemen ausgerollt, aber dass es weniger als 1 % der Windows-Systeme betrifft, macht es in absoluten Zahlen immer noch zu einer Nische. Die meisten kannten nicht einmal CrowdStrike selbst, geschweige denn die Konkurrenz.
      Einer der großen Unterschiede zwischen CrowdStrike und Antivirenprogrammen ist aus meiner Sicht, dass man angesichts der enormen Kosten nicht erwartet, dass immer ein Mensch eingreift. Bei Consumer-Software ist das auch wegen Datenschutzfragen nicht feasible.
      Selbst innerhalb dieser kleinen Nische sind die Lösungen sehr heterogen, auf einem einzelnen Gerät wenig sinnvoll und möglicherweise tatsächlich dafür konzipiert, auf Netzwerkebene zu funktionieren.
  • Bei Verbrauchern wusste ich, dass so etwas möglich ist, aber ich dachte, B2B-Verträge gelten als Verträge zwischen zwei sachkundigen Parteien, sodass es über die Vertragsbedingungen hinaus kaum gesetzlichen Schutz gibt.
    Mein Rechtsverständnis orientiert sich überwiegend am Vereinigten Königreich, aber wenn das haftungsbegründende Ereignis nicht im Bereich Gesundheit und Sicherheit oder in einem anderen stark gesetzlich geregelten Bereich liegt, sondern eine allgemeine Frage von Sorgfalt/Kompetenz bei der Vertragserfüllung ist, kenne ich kein Gesetz, das Haftungsbeschränkungsklauseln aushebelt.
    Daher bin ich nicht überzeugt von der Aussage des Artikels, dass dies nicht nur eine Frage des „französischen Rechtssystems“ sei und in anderen Rechtsordnungen ähnliche Entscheidungen möglich wären.

    • Wie im Artikel bereits erwähnt, kann man in den meisten Rechtsordnungen die Haftung für grobe Fahrlässigkeit nicht vertraglich ausschließen. In solchen Rechtsordnungen wird genau das am Ende der Streitpunkt sein.
      Wenn sie absichtlich keinen gestaffelten Rollout implementiert haben, sieht das für mich nach Fahrlässigkeit aus, aber ich bin kein Anwalt. Es gibt einen Grund, warum man Kanarienvögel sterben lässt.
    • Zunächst einmal hatte es tatsächlich Auswirkungen auf den Bereich Gesundheit und Sicherheit. Krankenhäuser und Rettungsdienste wurden erheblich beeinträchtigt, und es wird mit Sicherheit vermeidbare Todesfälle geben, die sich direkt auf CrowdStrike zurückführen lassen.
    • Die allgemeine Idee ist meiner Meinung nach, dass grobe Fahrlässigkeit eine Vertragsverletzung darstellt. Jeder Vertrag setzt implizit voraus, dass beide Seiten in gutem Glauben versuchen, die Vertragsbedingungen einzuhalten.
      Wenn sie das nicht tun, kann das eine Vertragsverletzung sein, und Haftungsbeschränkungsklauseln gelten dann möglicherweise nicht mehr.
  • Das betrifft nicht nur Frankreich.
    Die meisten, vielleicht alle EU-Länder haben Gesetze, die Haftungsausschlüsse begrenzen, egal was im Vertrag steht.
    Ich kenne die genauen Grenzen je nach Land nicht, bin mir aber ziemlich sicher, dass zumindest Krankenhäuser, Notrufdienste usw. wegen eines nicht unerheblichen Teils der direkt durch den Ausfall verursachten Schäden klagen könnten.
    Auch Einzelpersonen, die geschädigt wurden, weil sie nicht rechtzeitig operiert werden konnten, könnten wahrscheinlich wegen des gesamten ihnen entstandenen Schadens klagen. Allerdings ist die Schadensberechnung schwierig, und es müsste vielleicht indirekt laufen: erst eine Klage gegen das Krankenhaus, woraufhin das Krankenhaus seinerseits einen größeren Schaden geltend macht.
    Schwierig einzuklagen wären vermutlich entgangene Opportunitätskosten, Personalkosten für die Wiederherstellung usw.
    Außerdem wird in vielen Fällen, die weder so gravierend sind wie Personenschäden noch so indirekt wie entgangene Opportunitätskosten, ein wichtiger Faktor sein, wie Richter den Grad der Fahrlässigkeit einschätzen. Mit „Fahrlässigkeit“ ist hier nicht nur die konkrete Änderung gemeint, die den Bug verursacht hat, sondern auch, ob bei der Auswahl der Tools, der Vorgehensweise und den Geschäftsprozessen die Sorgfaltspflicht erfüllt wurde, um Risiken angemessen zu reduzieren. Zum Beispiel, ob die Art des Parsens der Konfiguration unangemessen war, ob Best Practices der Branche befolgt wurden – meiner Meinung nach sieht es nicht so aus – oder ob es angemessen war, den betreffenden Treiber als bootkritisch zu markieren. Wenn nicht, hätte Windows ihn automatisch deaktiviert und anschließend neu gestartet.

  • Es heißt: „Am 19. Juli 2019 hat CrowdStrike ein Software-Update verteilt“; gemeint ist vermutlich das Jahr 2024.

  • Zu der Passage „Das ist kein Einzelfall. Schon vor einigen Wochen passierte dasselbe mit dem CrowdStrike-Agenten für Linux, der Systeme lahmlegte; möglicherweise gab es davor weitere Fälle“: Gibt es einen Link zu diesem Vorfall?