Thought Leadership
Während IT-Administratoren und Sicherheitsbeauftragte weltweit noch daran arbeiten, die IT-Infrastruktur nach dem Crowdstrike-Vorfall vom vergangenen Freitag wieder voll funktionsfähig zu machen, stellen sich Rechtsabteilungen und Unternehmensleitungen die Frage, wie mit den massiven wirtschaftlichen Schäden umzugehen ist, die durch den globalen IT-Ausfall entstanden sind.
Denn es geht nicht nur darum, dass 8,5 Millionen Windows-Computer lahmgelegt wurden, sondern dass von kritischen Infrastrukturen über Fluggesellschaften bis hin zum produzierenden Gewerbe eine Vielzahl von unmittelbar an der Wertschöpfung beteiligten Unternehmen über Stunden, teils sogar Tage, ausgefallen ist. Noch lassen sich die genauen wirtschaftlichen Schäden nicht beziffern, die durch den Black IT Friday entstanden sind, sie dürften nach aktuellen Schätzungen aber weltweit im mittleren bis hohen einstelligen Milliardenbereich liegen. Wo nun in der medialen Debatte über Schuldzuweisungen und technische wie politische Versäumnisse diskutiert wird, arbeiten Juristen bereits jetzt daran, entsprechende Klagen zur Geltendmachung von Haftungsansprüchen vorzubereiten. Und ein erster Blick auf die Landschaft rechtlicher Ansprüche zeigt: Davon gibt es erst einmal mehr als genügend und auch die Versicherer und Rückversicherer stellen sich deshalb auf eine Welle an Schadensersatzforderungen ein.
Welche Ansprüche haben die Kunden von Crowdstrike?
Am naheliegendsten sind die Haftungsansprüche, die die unmittelbaren Kunden von Crowdstrike gegen den US-amerikanischen Cybersecurity-Konzern selbst sowie gegen etwaige Vermittler haben – denn nach gegenwärtigem Stand der technischen Sachlage hat Crowdstrike durch das Ausrollen des fehlerhaften Updates selbst unmittelbar zum globalen IT Blackout beigetragen. Unabhängig von vertraglichen Vereinbarungen zwischen Crowdstrike und seinen Kunden über den Gerichtsstand existieren in Deutschland seit 2022 Besonderheiten für die Haftung für fehlerhafte digitale Produkte, die zweifelsohne auch die Installation fehlerhafter Software-Aktualisierungen umfasst. Wenn es also durch einen solchen Produktmangel zu einem wirtschaftlichen Schaden bei einem Kunden kommt, kann dieser ersatzfähig sein, so zum Beispiel, wenn die mangelhafte Software eine Betriebsunterbrechung zur Folge hat. Denkbar sind aber auch Schäden wegen ausgefallener Reisen, entgangener Geschäftsabschlüsse oder abgesagter Veranstaltungen. Doch nicht nur das: Auch das Produkthaftungsrecht sieht zusätzlich eine wirtschaftliche Verantwortlichkeit für mangelhafte Produkte vor – und mangelhaft ist ein Softwareupdate, wenn es nicht nur keine Funktion hat, sondern die IT sogar schädigt.
Welche Ansprüche haben die Kunden von Unternehmen, die durch Crowdstrike betroffen waren?
Doch die Haftungskette endet nicht bei den Crowdstrike-Kunden selbst, sondern betrifft natürlich ebenso die Kunden der Unternehmen, die durch Crowdstrike ausgefallen sind. Hier dürften zuallermeist vielfältige vertragliche Beziehungen bestehen, se es in der Form von Beförderungsverträgen, aber auch zur Herstellung bestimmter Produkte oder zur pünktlichen Bereitstellung von Dienstleistungen. Wenn infolge einer durch das Softwareupdate hervorgerufenen Betriebsunterbrechung ebenjene Leistungen nicht mehr (pünktlich) erbracht werden können, entstehen schnell weitere Schadensersatzansprüche, die in der Lieferkette weitergereicht werden können.
Haftung ist eine Sache, Mitverschulden die andere
Freilich stehen all diese vorgenannten Schadensersatzansprüche unter der Voraussetzung, ob und inwieweit den geschädigten Unternehmen selbst ein Vorwurf gemacht werden kann, zum Beispiel fahrlässig gehandelt zu haben. So wurde recht schnell bekannt, dass die AGB von Crowdstrike den Einsatz der Software zumindest bei vielen kritischen Infrastrukturen ausschließen. Weiterhin gibt der US-Softwareanbieter laut seinen Allgemeinen Geschäftsbedingungen keine Garantie für die Funktionsfähigkeit seiner Produkte. Ob derart pauschale und generell vereinbarte Haftungsausschlüsse aber auch im Einzelfall wirksam sind, bedarf näherer juristischer Prüfung – für derartige Fälle existiert bereits eine jahrzehntelange Rechtsprechung im Softwarerecht. Ein anderer Aspekt betrifft die Frage, ob es sachgerecht ist, Updates in den betriebskritischen Bereichen eines Unternehmens automatisiert ohne vorherige weitere Prüfung auszurollen. Doch auch das Notfall- und Krisenmanagement spielt hier eine Rolle, denn wenn ein Unternehmen keinerlei Vorkehrungen für IT-Ausfälle getroffen hat und sich infolgedessen der wirtschaftliche Schaden potenziert, so können die Gerichte einen Schadensersatzanspruch zwar bejahen, aber im Ergebnis wegen eines Mitverschuldens kürzen. Gerade für die betroffenen kritischen Infrastrukturen dürfte dies bei der juristischen Wertung eine erhebliche Rolle spielen, um am Ende nicht in Teilen selbst auf dem entstandenen Schaden sitzen zu bleiben.
Lösung für ein systemisches Problem
Wo zurzeit einerseits vielfach darüber debattiert wird, was man aus dem Crowdstrike-Supergau lernen könnte, reift andererseits rasch die Erkenntnis, dass sich auch danach in der globalen IT-Landschaft zumindest bei den Anwendern nicht allzu viel ändern wird, denn über Jahre wurde bewusst eine technische Entwicklung eingeleitet, die die Kontrolle und Steuerbarkeit technischer Infrastruktur in die digitale Lieferkette ausgelagert hat. Und genau das ist eben eine Entwicklung, die sich nicht mehr ohne Weiteres beseitigen lässt – es sei denn, man wäre gewillt, das Mantra der 2020er-Jahre „IT aus der Steckdose“ aufzugeben. Ein Trend, der gegenwärtig aber nicht im Geringsten erkennbar ist. Umso wichtiger ist es deshalb auch, dass sich die Europäische Union der damit gestiegenen Herstellerverantwortung zumindest juristisch angenommen hat, indem der künftige EU Cyber Resilience Act „Security by Design“ auch für Softwareprodukte voraussetzt. Vorfälle wie am vergangenen Freitag können damit zwar nicht komplett verhindert, aber zumindest ihr Risiko und damit auch das Ausmaß ihres wirtschaftlichen Schadens verringert werden.
Autoren: Prof. Dr. Dennis-Kenji Kipker, cyberintelligence.institute, Frankfurt am Main; Tilmann Dittrich, LL.M., Heinrich-Heine-Universität Düsseldorf
