- Jonathan Cardi und tausende Reisende erlebten ein Chaos am Flughafen Raleigh-Durham wegen eines IT-Ausfalls. Der Software-Fehler von CrowdStrike verursachte finanzielle Schäden über 5 Milliarden Dollar und betraf mehrere Branchen. Delta und andere Betroffene planen rechtliche Schritte gegen CrowdStrike und Microsoft. Haftungsbeschränkungsklauseln in Verträgen könnten die Wiedergutmachung der Schäden erschweren. Mitglieder der IT-Industrie fordern regulatorische Reformen zur Haftungsverantwortung von Softwareanbietern.
Am 19. Juli erlebten Jonathan Cardi und seine Familie ein surreales Spektakel im Raleigh-Durham International Airport in North Carolina. Der Abfluganzeiger verwandelte sich von beruhigendem Grün in ein alarmierendes Rot. “Es war verrückt”, berichtet Cardi, ein Jura-Professor an der Wake Forest University und Mitglied des American Law Institute. Er war auf dem Weg zu einer Konferenz in Fort Lauderdale, Florida, und sollte mit Delta Air Lines fliegen. Doch tausende Reisende, darunter Cardi und seine Familie, verbrachten den Tag damit, in Warteschlangen zu stehen, während das Personal wiederholt versprach, dass die Flüge “jeden Moment starten würden”. Als klar wurde, dass keinerlei Flugzeuge starten würden, entschloss sich Cardi, die 11-stündige Fahrt mit einem Mietwagen anzutreten. Andere Reisende, die zur selben Konferenz wollten, verbrachten die Nacht am Flughafen.
Die Wurzel des Chaos
Die Ursache des Chaos: ein fehlerhaftes Software-Update vom Cybersicherheitsunternehmen CrowdStrike. Der IT-Ausfall hatte mehrere Branchen, darunter Fluggesellschaften und Finanzdienstleistungen, lahmgelegt und verursachte laut Schätzungen einen finanziellen Schaden von über 5 Milliarden Dollar. “Wegen der gigantischen Verluste wird es rechtliche Schritte geben”, prognostiziert Cardi, der auf zivile Haftung spezialisiert ist. Und tatsächlich, der juristische Kampf hat bereits begonnen.
Am 29. Juli informierte Delta CrowdStrike und Microsoft über seine Absicht, Klage wegen des Ausfalls einzureichen. Die Anwaltskanzlei Labaton Keller Sucharow reichte bereits eine Sammelklage im Namen der CrowdStrike-Aktionäre ein, da sie behaupten, durch die Praktiken des Unternehmens bei der Softwareprüfung getäuscht worden zu sein. Eine weitere Kanzlei, Gibbs Law Group, prüft ebenfalls die Möglichkeit einer Sammelklage im Namen kleiner Unternehmen, die durch den Ausfall geschädigt wurden.
Rechtliche Implikationen und Schutzmechanismen
In einer Antwort an WIRED bezüglich der Aktionärsklage erklärte CrowdStrike: “Wir glauben, dass diese Klage unbegründet ist und werden das Unternehmen energisch verteidigen.” Ein juristischer Vertreter von CrowdStrike bestritt vehement jegliche Anschuldigung von grober Fahrlässigkeit oder vorsätzlichem Fehlverhalten. Microsoft verweigerte einen Kommentar, und auch Delta’s Rechtsbeistand lehnte ein Interview ab.
Die Hoffnung, die finanziellen Verluste wieder hereinzuholen, wird jedoch durch typische Haftungsbeschränkungen in Softwareverträgen erschwert, warnt Cardi. Auch wenn es intuitiv erscheint, CrowdStrike zur Verantwortung zu ziehen, ist das Unternehmen wahrscheinlich durch vertragliche Klauseln gut geschützt.
Tücken der Vertragsklauseln
Paul MacMahon, Professor für Jurisprudenz an der London School of Economics, erklärt, dass Kunden, die argumentieren, CrowdStrike habe seinen Vertrag gebrochen, sich einer harten Realität stellen müssen: Die Summe, die zurückgeholt werden kann, wird durch die Haftungsbeschränkungsklausel wahrscheinlich stark begrenzt sein. Diese Klauseln dienen als eine Art “Freifahrtschein”, der die finanzielle Verantwortung eines Softwareanbieters begrenzt. CrowdStrike hat bereits angegeben, dass seine Haftung auf eine “einstellige Millionensumme” begrenzt ist, weit entfernt von den 500 Millionen Dollar, die Delta zu verlieren angibt.
Um eine höhere Summe zu erhalten, müsste Delta ein Gericht überzeugen, dass die Klausel grundsätzlich unfair und daher nicht durchsetzbar ist. Oder sie müssten beweisen, dass CrowdStrike in irgendeiner Weise Betrug begangen hat.
Die Situation ist komplex, ähnlich wie die des Unternehmens, dessen Containerschiff den Suezkanal blockierte – finanziell eindeutig gravierend, aber rechtlich schwer zu fassen. Dennoch wird erwartet, dass zahlreiche rechtliche Schritte eingeleitet werden, angesichts des enormen finanziellen Schadens.
Zukünftige Reformen im IT-Sektor
Mitglieder der IT-Industrie fordern jetzt regulatorische Reformen, um zu verhindern, dass Softwareanbieter die Verantwortung für Fehler auf ihre Kunden und die davon abhängigen Unternehmen abwälzen. “Bis zu diesem Punkt war das eher ein insidetechnisches Thema, das nur diejenigen interessierte, die die unbeabsichtigten Konsequenzen hautnah miterlebten”, sagt Brian Fox, CTO des Software-Lieferketten-Unternehmens Sonatype. Reformen in Bezug auf Haftung wären möglicherweise das einzige, was Unternehmen dazu bringt, den Themen Architektur, Testing und Sicherheit mehr Aufmerksamkeit zu schenken.
Aktuell bleibt den Geschädigten jedoch nur, sich innerhalb der geltenden rechtlichen Rahmenbedingungen zu bewegen. “Die raue, praktische Realität ist, dass Kläger, egal ob Verbraucher oder große Unternehmen, innerhalb des bestehenden Rechtssystems arbeiten müssen”, sagt McGrath.
Die kommenden Monate werden zeigen, wie sich dieser monumentale IT-Ausfall und die damit verbundenen rechtlichen Auseinandersetzungen weiter entwickeln werden.
