Haftung von CrowdStrike für Schadensersatz in Frankreich nach dem OVH-Präzedenzfall

 (thehftguy.com)
1 Punkte von GN⁺ 2024-07-26 | 1 Kommentare | Auf WhatsApp teilen

Möglichkeit einer Schadensersatzhaftung von CrowdStrike in Frankreich

  • Es wird geschätzt, dass durch den jüngsten CrowdStrike-Vorfall 8,5 Millionen Computer außer Betrieb gesetzt wurden und Schäden von mehr als 5,4 Milliarden US-Dollar entstanden sind.
  • Es ist sehr wahrscheinlich, dass CrowdStrike schadensersatzpflichtig sein wird.
  • In Frankreich gab es mit dem OVH-Fall einen ähnlichen Präzedenzfall.

Zu OVH

  • OVH ist Europas größter Rechenzentrums- und Cloud-Anbieter und bietet physische Server, virtuelle Maschinen und verschiedene Cloud-Services an.
  • Am 10. März 2021 brach am Standort SGB ein Feuer aus, wodurch zwei Rechenzentren vollständig zerstört wurden und zwei weitere Rechenzentren vorübergehend nicht betriebsfähig waren.
  • Zahlreiche Kunden klagten auf Schadensersatz und bekamen Recht.
  • Zentrale vor Gericht diskutierte Punkte:
    • Während und nach dem Vorfall fiel der Service vollständig aus.
    • Daten gingen vollständig und irreversibel verloren.
    • OVH bot einen Backup-Service an, doch auch die Backups gingen unwiederbringlich verloren.
    • Mehrere Rechenzentren befanden sich zwar in räumlicher Nähe, lagen aber alle am selben Standort, was das Gericht als unvernünftig bewertete.
    • Dass Backups im selben Rechenzentrum oder in einem anderen Rechenzentrum am gleichen Standort gespeichert wurden, wurde ebenfalls als unvernünftig angesehen.
    • Das Gericht erkannte an, dass es eine gute Praxis ist, als Kunde Backups an mehreren Standorten vorzuhalten.
    • Das Gericht entschied, dass OVH als Anbieter von Backup-Diensten einen angemessenen Standard einhalten müsse.
    • Es urteilte, dass der Backup-Service von OVH diesen angemessenen Standard nicht erfüllte und seinen Zweck verfehlte.

Zu CrowdStrike

  • CrowdStrike ist eine auf Computern installierte Antiviren-Software, die hauptsächlich auf Geräten großer Unternehmen eingesetzt wird.
  • Am 19. Juli 2024 verteilte CrowdStrike ein Software-Update, das jedoch einen Fehler verursachte und Millionen von Computern außer Betrieb setzte.
  • Wichtige Diskussionspunkte:
    • CrowdStrike läuft beim Start des Computers in einem Modus mit hohen Berechtigungen.
    • Es wird auf Millionen kritischer Geräte ausgerollt.
    • Das Update wurde gleichzeitig an Millionen von Geräten verteilt.
    • Bei Software-Upgrades gilt ein schrittweises Rollout als gute Praxis.
    • CrowdStrike führte weder ausreichende Tests noch ein schrittweises Rollout durch.
    • Kunden hatten dieses Problem bereits zuvor angesprochen, doch CrowdStrike lehnte dies ab.
    • Fast zwei Stunden nach der Verteilung des Updates wurde das Problem nicht erkannt.
    • Alle Computer waren außer Betrieb, sodass Nutzer das Problem nicht selbst beheben konnten.
    • IT-Teams mussten physisch eingreifen, Computer neu installieren oder Treiberdateien löschen.
    • Die Wiederherstellung von Tausenden bis Hunderttausenden Geräten wird Wochen dauern.
    • Kritische Geräte könnten irreparabel ausfallen.
    • CrowdStrike zerstörte die Computer, die es eigentlich schützen sollte.
    • Dadurch entstanden den Kunden schwere Schäden.

Zusammenfassung von GN⁺

  • Es ist sehr wahrscheinlich, dass CrowdStrike im Fall des Vorfalls ähnlich wie im OVH-Fall schadensersatzpflichtig sein wird.
  • Durch den fehlerhaften Update-Rollout von CrowdStrike wurden Millionen Computer außer Betrieb gesetzt, was Unternehmen erhebliche Schäden zufügte.
  • Der Vorfall unterstreicht die Bedeutung von Software-Verteilung und Tests; insbesondere bei Software, die auf kritische Geräte ausgerollt wird, ist eine noch gründlichere Validierung erforderlich.
  • Andere Sicherheitssoftware mit ähnlichen Funktionen sind unter anderem Symantec und McAfee.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-07-26
Hacker-News-Kommentare

  • Als jemand, der bei einem französischen CSP arbeitet, habe ich den OVH-Vorfall in Echtzeit miterlebt

    • OVH wurde wegen Datenverlust haftbar gemacht
    • Datenverlust ist ein dauerhaftes und irreversibles Problem
    • Einige Unternehmen konnten aufgrund des Datenverlusts ihren Betrieb nicht mehr aufrechterhalten
    • Ein Dienstausfall ist ein Problem, das durch SLA-Verträge geregelt werden kann
    • CrowdStrike wird wahrscheinlich keine große Verantwortung tragen
    • Der Gesundheitssektor wird mehr Regulierung benötigen

  • Diese Überschrift ist irreführend

    • Eine persönliche Meinung wird als Tatsache dargestellt
    • Eine Formulierung wie „Ich denke, CrowdStrike sollte haften“ wäre angemessener

  • Allgemeine Haftungsausschlussklauseln haben außerhalb der USA in der Regel keine Bedeutung

  • Der Vergleich zwischen den Fällen OVH und CrowdStrike ist nicht angemessen

    • Bei OVH ist das gesamte Backup-System ausgefallen
    • CrowdStrike hat die Kernel der Kunden für etwa eine Stunde lahmgelegt
    • Softwarefehler werden in den meisten Branchen als unvermeidbar betrachtet
    • Die Software von CrowdStrike wurde zu einer Nachricht, weil sie in viele kritische Pfade eingebunden ist
    • Die Software von CrowdStrike wurde mangelhaft entwickelt
    • Es ist unwahrscheinlich, dass sie im rechtlichen Rahmen haftbar gemacht werden
    • Die Kunden werden wahrscheinlich mit ihrem Geldbeutel abstimmen

  • Viele Anspruchsteller versuchen wahrscheinlich bereits, über Anwälte Entschädigung zu erhalten

    • Ich frage mich, wie sich das über mehrere Gerichtsbarkeiten hinweg organisiert

  • Ich frage mich, warum der von Falcon gebotene Schutz nicht bereits vom Betriebssystem selbst bereitgestellt wird

    • Unter Windows gibt es keine klar definierte Sicherheitsrolle
    • Ein Vergleich mit Red Hat oder Canonical

  • B2B-Verträge gehen davon aus, dass beide Parteien sachkundig sind

    • Es wird wohl kaum rechtlichen Schutz über die Vertragsbedingungen hinaus geben
    • Das basiert auf meinem Verständnis des britischen Rechts

  • Die meisten EU-Länder haben Gesetze zur Begrenzung der Haftung

    • Krankenhäuser, Rettungsdienste usw. können wegen direkter Schäden klagen
    • Auch Privatpersonen können wegen Schäden klagen
    • Opportunitätskosten oder Personalkosten dürften schwer einzuklagen sein
    • Der Grad der Fahrlässigkeit wird ein wichtiger Faktor sein

  • Am 19. Juli 2019 hat CrowdStrike ein Software-Update ausgerollt

    • Das Jahr scheint fälschlicherweise mit 2024 angegeben zu sein

  • Vor einigen Wochen gab es einen Vorfall, bei dem der CrowdStrike-Agent Linux-Systeme beschädigt hat

    • Ich frage mich, ob das damit zusammenhängt