Am vergangenen Freitag, dem 19. Juli, erschütterte ein schwerer IT-Sicherheitsvorfall die digitale Welt. Ein fehlerhaftes Update der Sicherheitsfirma Crowdstrike für deren Falcon-Software führte zu massiven Computerausfällen bei Unternehmen und Organisationen weltweit. In Österreich waren beispielsweise der Flughafen Wien, diverse Airlines und mehrere Krankenhäuser von den Störungen betroffen.
Was ist passiert?
Das am 19. Juli veröffentlichte fehlerhafte Update der Crowdstrike Falcon-Sicherheitssoftware, die auch von vielen IT-Dienstleistern eingesetzt wird, führte zu weitreichenden Systemausfällen und auf Windows-Systemen zu Abstürzen und dem sog. „Blue Screen of Death“. Von den Ausfällen waren Schätzungen zufolge Zehntausende von Systemen weltweit betroffen. Crowdstrike reagierte innerhalb weniger Stunden mit einem Workaround. Hierbei handelte es sich jedoch nicht um ein automatisches Update der betroffenen Systeme, sondern um eine Arbeitsanweisung für IT-Manager, wie die betroffenen Systeme zurückgesetzt werden können. Die Umsetzung dieser Anweisungen nahm erhebliche Zeit und Ressourcen in den betroffenen Unternehmen in Anspruch. Es wird derzeit in den Medien spekuliert, dass Crowdstrike das fehlerhafte Update nicht ausreichend getestet hatte. Einig ist man sich darüber, dass es sich bei dem Vorfall am 19. Juli nicht um einen Cyberangriff handelte und daher auch grundsätzlich keine Datenlecke verursacht worden sind – soweit derzeit bekannt ist.
Mögliche Rechtliche Implikationen
Dieser Vorfall wirft eine Reihe komplexer rechtlicher Fragen auf, nämlich die Frage der Verantwortung und Haftung von Crowdstrike für den massiven IT-Ausfall.
Einerseits könnte Crowdstrike bei der Entwicklung und Testung des Updates fahrlässig gehandelt haben; die Sorgfaltspflichten bei der Bereitstellung von Sicherheitssoftware sind generell besonders hoch. Andererseits ist je nach Vertragslage auch eine Haftung von IT-Dienstleistern für Schäden denkbar, die dadurch entstanden sind, dass das Problem nicht rechtzeitig erkannt bzw. behoben wurde - diese Fragen sind im Einzelfall zu prüfen. Weiters wäre eine Haftung von IT-Dienstleistern als Auftragsverarbeiter nach der DSGVO denkbar. Das Einspielen eines fehlerhaften Updates könnte beispielsweise eine Verletzung von Vorgaben der DSGVO zur Gewährleistung der Sicherheit der Verarbeitung (Art. 32 DSGVO) begründen.
Aber auch die vom Crowdstrike-Vorfall betroffenen Unternehmen selbst könnten gegenüber Kunden und Geschäftspartnern aus vertraglichen Verpflichtungen haftbar sein, die aufgrund des Systemausfalls nicht erfüllt werden konnten. Jedes von diesem Vorfall betroffene Unternehmen sollte Dauer und Ausmaß der Störungen, Schäden, Verluste und Aufwendungen sowie die getroffenen Maßnahmen zur Problembehebung gut dokumentieren. Dies gilt sowohl für die Geltendmachung eigener Ansprüche als auch zur Abwehr möglicher Ansprüche gegen das Unternehmen.
Grundsätzlich gilt, dass jedes Unternehmen mehrstufige Sicherheitskonzepte implementieren sollte, um sich mit detaillierten Notfallplänen und einem robusten Backup-System gegen IT-Ausfälle und Cyber-Vorfälle zu schützen.
Auswirkungen
Der Crowdstrike-Vorfall könnte weitreichende Auswirkungen auf die IT-Sicherheitsbranche und das regulatorische Umfeld haben. Es ist mit einer Verschärfung der Auflagen für Sicherheitssoftware-Anbietern zu rechnen, insbesondere in Bezug auf Testverfahren und Qualitätssicherung. Zudem könnte es zu einer Zunahme von Gerichtsverfahren zur Klärung von Haftungsfragen bei IT-Sicherheitsvorfällen kommen, die möglicherweise Präzedenzfälle zur Produkthaftung bei Sicherheitssoftware schaffen werden.
Als Expertinnen für IT-Recht und Datenschutz stehen wir Ihnen bei der Bewältigung der rechtlichen Herausforderungen im Zusammenhang mit dem Crowdstrike-Vorfall und ähnlichen IT-Sicherheitsproblemen zur Seite. Unser Leistungsangebot umfasst die rechtliche Analyse und Bewertung Ihrer individuellen Situation, Unterstützung bei der Kommunikation mit Behörden, Geschäftspartner:innen und Kund:innen, Beratung zur Optimierung Ihrer Verträge und AGBs sowie die Vertretung Ihrer Interessen in Verhandlungen und vor Gericht. Gemeinsam können wir die rechtlichen Herausforderungen im dynamischen Umfeld der IT-Sicherheit meistern, Ihr Unternehmen bestmöglich schützen und Ihre Ansprüche optimal geltend machen.
Zögern Sie nicht, uns zu kontaktieren, wenn Sie Fragen haben oder Unterstützung benötigen.