Die amerikanische Fluggesellschaft Delta Air Lines hat am Freitag vor dem Superior Court des Bundesstaates Georgia Klage gegen den Cybersicherheitsdienstleister CrowdStrike eingereicht. Grund ist die folgenschwere Panne im Juli, die zu massiven Flugausfällen führte und dem Unternehmen nach eigenen Angaben einen Schaden von mehr als 500 Millionen Dollar zufügte.
Im Zentrum der juristischen Auseinandersetzung steht das fehlerhafte Software-Update, das Delta als „katastrophal“ bezeichnet. Der Vorwurf wiegt schwer: CrowdStrike habe „ungetestete und fehlerhafte Updates“ an seine Kunden ausgeliefert, was weltweit zum Absturz von mehr als 8,5 Millionen Microsoft-Windows-Computern führte. Die Auswirkungen waren weitreichend: Nicht nur Fluggesellschaften, sondern auch Banken, Gesundheitseinrichtungen, Medienunternehmen und Hotelketten waren betroffen.
Die Dimension der Störung war beachtlich. Delta musste über einen Zeitraum von fünf Tagen etwa 7.000 Flüge streichen, was die Reisepläne von 1,3 Millionen Passagieren durcheinanderwirbelte. Das Unternehmen, das seit 2022 Kunde bei CrowdStrike ist, macht nun nicht nur die direkten Verluste von über 500 Millionen Dollar geltend, sondern fordert auch Schadenersatz für Gewinnausfälle, Anwaltskosten sowie Reputationsschäden und künftige Umsatzeinbußen: „Hätte CrowdStrike das fehlerhafte Update vor dem Einsatz auch nur auf einem Computer getestet, wäre dieser abgestürzt“, heißt es in der Klage von Delta. „Da das fehlerhafte Update nicht remote entfernt werden konnte, legte CrowdStrike Deltas Geschäft lahm und verursachte immense Verzögerungen für Deltas Kunden.“
Streit um Verantwortung entfacht
CrowdStrike weist die Vorwürfe entschieden zurück. In einer am späten Freitag veröffentlichten Stellungnahme bezeichnete das Unternehmen Deltas Anschuldigungen als auf „widerlegten Fehlinformationen“ basierend. Der Cybersicherheitsspezialist wirft der Fluggesellschaft zudem vor, kein Verständnis für moderne Cybersicherheit zu haben und die Schuld für die langsame Wiederherstellung des Betriebs von der eigenen veralteten IT-Infrastruktur ablenken zu wollen.
„Während wir eine geschäftliche Lösung angestrebt haben, bei der die Kunden an erster Stelle stehen, hat Delta einen anderen Weg gewählt. Deltas Behauptungen beruhen auf unbewiesenen Fehlinformationen, zeugen von mangelndem Verständnis für die Funktionsweise moderner Cybersicherheit und spiegeln einen verzweifelten Versuch wider, die Schuld für die langsame Erholung des Unternehmens von dem Versäumnis abzulenken, seine veraltete IT-Infrastruktur zu modernisieren.“
CrowdStrike in einer offiziellen Stellungnahme
Vor dem US-Kongress hatte sich bereits im vergangenen Monat ein hochrangiger CrowdStrike-Manager für den Vorfall entschuldigt. Adam Meyers, Senior Vice President des Unternehmens, räumte ein, dass ein fehlerhaftes Konfigurations-Update für die Falcon-Sensor-Sicherheitssoftware zu den weltweiten Systemabstürzen geführt hatte.
Präzedenzfall für die Branche
Der Fall hat auch die Aufmerksamkeit der US-Verkehrsbehörde erregt, die eine Untersuchung eingeleitet hat. Delta betont in der Klageschrift, dass das Unternehmen Milliarden in seine IT-Infrastruktur investiert und „einige der besten technologischen Lösungen in der Luftfahrtbranche“ aufgebaut habe. Die Argumentation von CrowdStrike, dass andere Fluggesellschaften weitaus weniger betroffen waren und die eigene Haftung minimal sei, weist Delta kategorisch zurück.
Der Fall zeigt deutlich, wie stark Fluggesellschaften heute von ihrer Computertechnik abhängen. Experten erwarten, dass dieser Rechtsstreit richtungsweisend sein wird – besonders wenn es darum geht, wer bei großen IT-Pannen die Verantwortung trägt.