Ein fehlerhaftes Update einer Sicherheitssoftware führte zu einem globalen Ausfall von Millionen Computern, was insbesondere Airlines und Flughäfen traf. Während der Hersteller eine schnelle Umgehungslösung bereitstellte, fordern Unternehmen wie Delta Air Lines Schadensersatz. Dieser Vorfall wirft komplexe rechtliche Fragen auf.
Am 19. Juli verursachte ein Fehler in einem Routine-Update der Sicherheitssoftware "Falcon" einen Ausfall von 8,5 Millionen Computern rund um den Globus. Betroffen waren Unternehmen und Organisationen aller Art, insbesondere Fluggesellschaften und Flughäfen.
Gepäck wurde nicht verladen, Passagiere wurden nicht abgefertigt und tausende Flüge mussten annulliert werden. Der Softwarehersteller Crowdstrike stellte schnell eine Umgehungslösung zur Verfügung und manche Unternehmen konnten ihre IT-Systeme nach einigen Stunden wieder zum Laufen bringen, während andere tagelang mit den Auswirkungen zu kämpfen hatten.Wissing erwartet mehr Cyberattacken – Streit zwischen Crowdstrike und Delta eskaliert Weltweit verursachte der Ausfall Milliardenschäden und stellt die Kunden vor die Frage, ob Crowdstrike dafür haftbar gemacht werden kann. Namentlich Delta Air Lines verlangt von Crowdstrike öffentlichkeitswirksam Schadensersatz in Höhe von 500 Millionen US-Dollar , da tausende betroffene Passagiere wegen der stornierten Flüge Entschädigung fordern. Andere Unternehmen werden diesem Beispiel folgen und den Ausfall nicht klaglos als einen Akt höherer Gewalt hinnehmen. Auf der anderen Seite bringt der Hersteller Crowdstrike sich in Position und weist Schadensersatzansprüche vehement zurück, obwohl er selbst einräumt, dass das fehlerhafte Update der Software "Falcon" die Ausfälle verursacht hat. Der Crowdstrike-Präsident Michael Sentonas nahm sogar persönlich auf der Hackerkonferenz "Def Con" den "Pwnie Award" in der Kategorie "Most Epic Fail" entgegen.Die Rechtslage scheint einfach zu sein: Grundsätzlich muss Software den Zweck erfüllen, für den sie entwickelt und vermarktet wird, und beim Kunden störungsfrei funktionieren. Wenn Programmfehler oder Sicherheitslücken auftreten, muss der Hersteller umgehend Abhilfe schaffen, indem er dem Kunden Patches und Updates zur Verfügung stellt. Der Kunde wiederum kann die Vergütung kürzen und eine Vertragsstrafe verlangen, falls der Hersteller mit einem Service Level Agreement eine bestimmte Verfügbarkeit der Software zugesichert hat. Wird der Fehler nicht behoben, kann der Kunde den Vertrag beenden. Er hat dann Anspruch auf Rückzahlung der Vergütung, darf die Software aber nicht weiter benutzen.Weiterhin kann der Kunde den Ersatz der Schäden verlangen, die durch den Ausfall seiner Prozesse, Kommunikation und Produktion verursacht werden, und der Hersteller muss ihn so stellen, als hätte es den Ausfall nicht gegeben. Dazu gehören neben den Kosten und Aufwendungen des Kunden auch Umsatzeinbußen, entgangener Gewinn sowie etwaige Entschädigungen, die er aufgrund des Ausfalls an Dritte zahlen muss. Andererseits ist der Kunde verpflichtet, den Schaden im Rahmen seiner Möglichkeiten zu begrenzen, indem er dem Hersteller den Fehler meldet, ihn bei der Behebung unterstützt und während des Ausfalls provisorische Lösungen verwendet.Tatsächlich stehen Kunden und Hersteller vor zahlreichen Problemen und es ist nicht selbstverständlich, dass Crowdstrike an Delta Air Lines für die mehrtägigen Systemausfälle Schadensersatz in neunstelliger Höhe zahlen muss: IT-Systeme sind hochkomplex und der Kunde muss nachweisen, dass die Software fehlerhaft ist und der Ausfall nicht etwa durch Störungen der Hardware, der Netzwerke oder einen Hackerangriff verursacht wird.Möglich ist auch, dass die Software fehlerfrei ist, aber der Kunde selbst Updates nicht installiert, die Software falsch bedient oder sie in einer ungeeigneten Systemumgebung einsetzt. Kann die Ursache identifiziert werden, muss der Kunde entscheiden, gegen welches Unternehmen er vorgeht. Da seine Ansprüche vertraglich sind, kann er sie nur gegenüber seinem Vertragspartner geltend machen. Das kann der Hersteller selbst sein, wenn er die Software dem Kunden direkt zur Verfügung gestellt hat, oder ein Dienstleister, der ihm die Software verkauft und implementiert hat. Bei komplexen IT-Projekten mit mehreren Beteiligten können die Vertragskonstruktionen so unübersichtlich sein, dass der Kunde nicht einfach erkennen kann, ob der Hersteller oder der Dienstleister verpflichtet ist, den Fehler zu beheben und den Kunden zu entschädigen. Falls der Fehler nicht beseitigt wird, ist der Kunde berechtigt, den Vertrag zu beenden, doch diese Möglichkeit scheidet praktisch aus, wenn er auf die Benutzung der Software trotz des Fehlers angewiesen ist und nicht gleich eine Alternative einsetzen kann. Die größte Herausforderung für die Beteiligten ist die Ermittlung und Bezifferung des Schadens, der dem Kunden entstanden und von dem Hersteller zu ersetzen ist. Die Spannweite ist riesig: Kleine Softwarefehler und -ausfälle können den Kunden verärgern und Zeit kosten, aber keinen konkreten, greifbaren Schaden verursachen, sodass der Kunde sich nicht die Mühe macht, den Hersteller in Anspruch zu nehmen. Ganz anders ist es, wenn ein Fehler bei vielen Kunden zu gravierenden Ausfällen führt, die wichtige Unternehmensprozesse lahmlegen, kritische Infrastrukturen beeinträchtigen oder auch bei Dritten wie Verbrauchern und Abnehmern erhebliche Kosten verursachen. Diese Schäden sind unüberschaubar und die drohenden Schadensersatzansprüche gehen selbst bei soliden Herstellern wie Crowdstrike an die Substanz und lassen Aktienkurse einbrechen. Vor diesem Hintergrund wollen Hersteller von Standardsoftware für den Massenmarkt ihr Haftungsrisiko in den Kundenverträgen möglichst reduzieren, während die Kunden im Gegenteil daran interessiert sind, die Hersteller umfassend in die Pflicht zu nehmen. An diesem Punkt zeigt sich die Komplexität der Sach- und Rechtslage sowie die Marktmacht der Parteien. Ein etablierter Hersteller gibt die Vertragsbedingungen mit ausgefeilten Haftungsbeschränkungen vor: Typischerweise soll der Kunde grundsätzlich akzeptieren, dass die Software Fehler hat und jederzeit ausfallen kann. In kritischen Bereichen soll der Kunde die Software daher auf eigenes Risiko verwenden. Etwaige Schadensersatzansprüche werden auf niedrige Pauschalbeträge oder die vertragliche Vergütung reduziert und eine Haftung für mittelbare Schäden wie den entgangenen Gewinn des Kunden oder die Schäden seiner eigenen Kunden werden gänzlich ausgeschlossen. Solche Vertragsbedingungen können zu kuriosen Ergebnissen führen, wenn ein Hersteller von Sicherheitssoftware wie Crowdstrike gerade nicht dafür einstehen will, dass die Software diesen Zweck erfüllt, und der Kunde letztlich selbst daran schuld sein soll, wenn er sich darauf verlässt, dass die Software sicher läuft. Für Privatuser ist es aussichtslos, mit einem Hersteller günstigere Haftungsregelungen zu vereinbaren. Großkunden dagegen können ihre Nachfragemacht ausüben und Haftungsbeschränkungen aus den Verträgen streichen, bevor sie einen großvolumigen Auftrag vergeben. Für Betreiber kritischer Infrastrukturen können Haftungsbeschränkungen prinzipiell inakzeptabel sein und sie werden noch zusätzliche Herstellergarantien verlangen.Noch ist nicht bekannt, wie die Verträge zwischen Crowdstrike und Großkunden wie Fluggesellschaften und Flughafenbetreibern die Haftung für Softwarefehler regeln und ob Haftungsbeschränkungen vor Gericht Bestand haben. Doch es ist absehbar, dass es eine Prozesslawine geben wird und Gerichte sich jahrelang damit beschäftigen werden, wie weit Crowdstrikes Haftung nach dem weltweiten Ausfall reicht.- Als eine der ersten Städte ist Hamburg im Juni 2018 offiziell in der Urban Air Mobility Initiative der von der EU-Kommission unte...- GAS German Aviation Service provides services at all German airports. If you can’t find an airport in the list below, please contact ou...Mehr InformationenLaden Sie diesen Artikel als gestaltetes PDF herunter, zum Ausdrucken oder Abspeichern. Als airliners+ Abonnent haben Sie Vollzugriff auf 20 Jahre Luftverkehrs-Expertise. Ihr Feedback liegt uns am Herzen. Schreiben Sie uns eine E-Mail, wenn Sie einen Fehler entdeckt haben oder geben Sie der Redaktion Hinweise, gerne auch anonym.
Deutschland Neuesten Nachrichten, Deutschland Schlagzeilen
Similar News:Sie können auch ähnliche Nachrichten wie diese lesen, die wir aus anderen Nachrichtenquellen gesammelt haben.
„ÄrzteTag“-Podcast : Crowdstrike-Ausfall: Sind solche Risiken für das Gesundheitssystem tragbar, Professor Dierks?Wenn das Update die Praxis- oder Klinik-IT in die Knie zwingt, sind im schlimmsten Fall Patientenleben in Gefahr. Wie können wir mit solchen Risiken umgehen? Arzt und Rechtsanwalt Christian Dierks versucht im „ÄrzteTag“-Podcast eine Antwort.
Weiterlesen »
Globaler IT-Ausfall: BSI nimmt Crowdstrike und Microsoft in die PflichtNach den massiven Problemen durch ein fehlerhaftes Crowdstrike-Update will das BSI nun Taten sehen – auch von Microsoft.
Weiterlesen »
NASDAQ-Wert CrowdStrike-Aktie freundlich: CrowdStrike belohnt Angestellte mit Mini-Gutschein für Hilfe bei Mega-PanneNach dem Fehler, der weltweite Computerausfälle auslöste, bedankt sich die Softwarefirma CrowdStrike bei überarbeiteten IT-Experten mit einem Zehn-Dollar-Gutschein.
Weiterlesen »
NASDAQ-Wert CrowdStrike-Aktie: CrowdStrike belohnt Angestellte mit Mini-Gutschein für Hilfe bei Mega-PanneNach dem Fehler, der weltweite Computerausfälle auslöste, bedankt sich die Softwarefirma CrowdStrike bei überarbeiteten IT-Experten mit einem Zehn-Dollar-Gutschein. Wer diesen einlösen wollte, stieß aber teilweise auf technische Probleme.
Weiterlesen »
NASDAQ-Wert CrowdStrike-Aktie leichter: CrowdStrike belohnt Angestellte mit Mini-Gutschein für Hilfe bei Mega-PanneNach dem Fehler, der weltweite Computerausfälle auslöste, bedankt sich die Softwarefirma CrowdStrike bei überarbeiteten IT-Experten mit einem Zehn-Dollar-Gutschein. Wer diesen einlösen wollte, stieß aber teilweise auf technische Probleme.
Weiterlesen »
CrowdStrike und der IT-Ausfall: Morgan Stanley sieht begrenzte HaftungsrisikenCrowdStrike und der IT-Ausfall: Morgan Stanley sieht begrenzte Haftungsrisiken
Weiterlesen »