Der Ausfall vom 19.07.2024 war kein bloßer Dienstestörer, sondern ein globaler Systemvorfall mit erheblichen Folgen für Windows-Endpunkte, Lieferketten und kritische Abläufe. Für die rechtliche Einordnung zählt regelmäßig nicht die erste öffentliche Schuldzuweisung, sondern die konkrete Vertragskette, die technische Ursache, die Dokumentation des Schadens, das anwendbare Recht und die Versicherungsdeckung.
Dieser Beitrag ordnet einen historischen, aber weiterhin lehrreichen Großausfall an der Schnittstelle von Sicherheitssoftware, Plattformabhängigkeit und Anspruchsdurchsetzung ein. Im größeren Zusammenhang von IT-Recht & Digitalisierung zeigt der Fall, wie eng Vertragsarchitektur, Vorfallsteuerung und wirtschaftliche Schadensfolgen zusammenhängen.
Für Unternehmen mit Ausfallkosten, für IT- und Managed-Service-Vertragspartner, für Inhouse-Juristen, IT-Leitung, Einkauf, Risk-Management und Versicherungsverantwortliche.
Ansprüche beginnen mit der Klärung des Vertragspartners. Danach folgen Haftungsregeln, Rechtswahl, Gerichtsstand, Kausalität, Schadensdarlegung und die gesonderte Deckungsprüfung unter der Cyberversicherung.
Das Wichtigste in Kürze
- Der Vorfall betraf nach Microsofts damaliger Schätzung rund 8,5 Millionen Windows-Geräte und traf deshalb nicht nur einzelne Dienste, sondern vielfach ganze betriebliche Abläufe.
- Ersatzansprüche richten sich nicht automatisch nur gegen einen Anbieter. Maßgeblich ist zunächst, wer in der eigenen Vertragskette welche Leistung schuldet und welche Haftungsregeln vereinbart wurden.
- Bei Ausfällen dieser Größenordnung werden Rechtswahl, Gerichtsstand, Dokumentationsqualität und Kausalitätsnachweis schnell genauso wichtig wie die technische Ursache.
- Cyberversicherungen können wirtschaftlich entlasten, ersetzen aber nicht die Prüfung von Deckungsausschlüssen, Obliegenheiten, Sublimits und regressfähigen Ansprüchen.
Aktuelle Einordnung
Stand April 2026
Microsoft hat die Reichweite des Vorfalls im Juli 2024 mit rund 8,5 Millionen betroffenen Windows-Geräten beziffert. CrowdStrike hat im August 2024 eine Root Cause Analysis veröffentlicht und den technischen Auslöser näher beschrieben, darunter einen Parameter-Mismatch und eine daraus folgende out-of-bounds-Lesung im Content Interpreter.
Microsoft verweist inzwischen selbst auf den Vorfall als Referenz für zusätzliche Resilienzmaßnahmen im Rahmen der Windows Resiliency Initiative. Dazu gehören insbesondere gestufte sichere Rollouts, Quick Machine Recovery und ein stärker auf Ausfallresilienz ausgerichteter Plattformansatz.
Für die haftungsrechtliche Kernaussage dieses Beitrags ändert das nichts: Entscheidend bleiben die konkrete Vertragskette, das anwendbare Recht, der Gerichtsstand, die Darlegung von Kausalität und Schaden sowie die Prüfung der Versicherungsbedingungen.
Ansprüche gegen Crowdstrike
Am vergangenen Freitag, den 19.07.2024, ging eine Nachricht über eine weltweite Microsoft Störung durch die Massenmedien, die in diesem Ausmaß wohl als bisher beispiellos gelten dürfte. Zwar gab es auch schon in der Vergangenheit Microsoft Störungen, die weltweite Auswirkungen hatten. Fehler bei Änderungen der Netzwerk-Konfiguration sorgen dabei immer wieder für großflächige Ausfälle von einzelnen Microsoft 365 Diensten: dies zum Beispiel im Januar sowie im Juni 2023.
Die Störung vergangene Woche war allerdings weitaus gravierender. Die Störung betraf nicht nur einzelne Dienste, vielmehr waren betroffene Windows-Rechner vollständig lahmgelegt. Betroffen waren durch den weltweiten Ausfall nach Angaben von Microsoft 8,5 Millionen Rechner. Unter diesen auch Systeme von Krankenhäusern, Banken, Fernsehsendern, Supermärkten und vielen anderen Einrichtungen.
Was ist passiert?
Hintergrund war ein fehlerhaftes Update einer Virenschutz-Software für Windows-Computer (Falcon Sensor), welches das Unternehmen Crowdstrike im Auftrag von Microsoft aufgespielt hat. Microsoft nutzt die Dienste des Unternehmens aus Texas, welches sich seit der Gründung im Jahr 2011 zu einem führenden Anbieter von cloudbasierten Sicherheitsdiensten entwickelt hat.
Durch die Panne kam es auch in Deutschland zu erheblichen Störungen. So musste Eurowings eine Vielzahl von Flügen, insbesondere alle innerdeutschen Flüge, streichen, um das IT-System zu entlasten.
Supermärkte mussten schließen, da die EDV basierten Kassen nicht nutzbar waren. Auch kritische Infrastrukturen waren betroffen: Krankenhäuser in Schleswig-Holstein und Baden-Württemberg mussten geplante Operationen absagen.
Das tatsächliche Ausmaß und der tatsächliche hieraus resultierende Schaden für deutsche Unternehmen kann derzeit noch nicht abgeschätzt werden. Die Fragen, die sich Geschädigte derzeit stellen sind einerseits, wer für den entstandenen Schaden haftet und andererseits, ob die Schäden von Cyberversicherungen abgedeckt sind.
Wer haftet für Schäden?
Die Frage, wer für finanzielle Schäden durch die Microsoft Panne haftet und wie Ersatzansprüche wegen der Microsoft Panne durchgesetzt werden können, setzt die Klärung einzelner Vorfragen voraus. Zunächst muss geprüft werden, wer der direkte Vertragspartner ist, wenn dies nicht Microsoft ist.
Wenn dieser festgestellt ist, muss in jedem Einzelfall geprüft werden, ob ein Anspruch gegen diesen und/oder unmittelbar gegen Crowdstrike oder auch direkt gegen Microsoft besteht.
In einem dritten Schritt ist dann zu prüfen, welches Recht zur Anwendung kommt und an welchem Ort ein Schaden ggf. auch gerichtlich geltend gemacht werden kann.
Haftung des Vertragspartners (wenn dieser nicht Microsoft ist)
Wer seine Schäden gegenüber seinem direkten Vertragspartner geltend mache möchte, wird sich vielen rechtlichen Hürden ausgesetzt sehen. Mit Vertragspartner sind hier die Unternehmen gemeint, die andere Unternehmen mit Software und Hardware ausstatten und dabei Microsoft Lizenzen vertreiben. Ein Schadensersatzanspruch setzt jeweils voraus, dass dem Vertragspartner eine Pflichtverletzung vorgeworfen werden kann, die er auch zu vertreten hat. Eine Pflichtverletzung dürfte dem Vertragspartner aber nicht vorgeworfen werden können. Allerdings ist in vielen Wartungs-, Hosting- oder Dienstleistungsverträgen auch eine verschuldensunabhängige Haftung geregelt. In diesen Fällen können Ansprüche direkt gegen den Vertragspartner in Frage kommen.
Wenn Sie von der Microsoft Störung (oder einer andern IT-Störung) betroffen sind oder waren, prüfen unsere Fachanwälte für IT-Recht anhand ihres Vertrags mit Ihrem Vertragspartner, ob diesem gegenüber Ansprüche geltend gemacht werden können.
Sofern Sie als Vertragspartner in Anspruch genommen werden, nehmen wir die Prüfung spiegelbildlich ebenfalls vor. In jedem Fall können unsere erfahrenen Fachanwälte für Informationstechnologierecht Ihren Einzelfall prüfen und Sie bestmöglich vertreten.
Ansprüche gegen Crowdstrike
Es gilt ebenfalls für Sie herauszufinden, ob Ansprüche gegen Crowdstrike als Schutzprogrammprogrammierer direkt bestehen können, wenn Sie einen Schaden wegen des fehlerhaften Updates von Falcon Sensor erlitten haben. In diesem Fall eruieren die Fachanwälte der ITMR Rechtsanwälte für Sie, welches Recht zur Anwendung kommt und an welchem Gericht geklagt werden kann.
Als erstes müsste hierbei ermittelt werden, ob die Crowdstrike-Geschäftsbedingungen zur Anwendung kommen. In den recherchierten Crowdstrike-Geschäftsbedingungen ist unter Punkt 14.3 festgelegt, dass das Recht des Bundesstaates Kalifornien zur Anwendung kommt und Streitigkeiten vor den Staats- und Bundesgerichten in Santa Clara County zu verhandeln sind. Dies würde eine Durchsetzung von Schadensersatzansprüchen deutscher Unternehmen, insbesondere kleiner und/oder mittelständischer Unternehmen, unverhältnismäßig erschweren.
Ansprüche gegen Microsoft
Sofern das Schutzprogramm über Crowdstrike in das Microsoft System eingebettet mitgeliefert wurde, kann ein Anspruch auch gegenüber Microsoft bestehen. In den Bedingungen von Microsoft ist zu lesen, dass für Unternehmen, die ihren Sitz in der EU oder im EWR haben, gilt, dass Microsoft Ireland Operations Ltd. die vertragsschließende Gesellschaft ist und dass für alle Ansprüche im Zusammenhang mit kostenlosen und kostenpflichtigen Diensten die Gesetze von Irland gelten. Als Gerichtsstand gilt das Gericht am Wohnsitz des Nutzers als vereinbart.
Ansprüche könnten demnach in Deutschland – wenn auch nach irischem Recht – durchgesetzt werden. Auch diesbezüglich ist eine profunde Prüfung notwendig, die Ihnen die Fachanwälte für IT-Recht der ITMR Rechtsanwälte gerne anbieten.
Abgedeckt durch Cyberversicherung?
Einfach für Unternehmen wäre es, wenn eine Cyberversicherung besteht, welche die erlittenen Schäden ausgleicht (und sich selbst bei Microsoft, Crowdstrike oder dem Vertragspartner schadlos hält). Je nach der abgeschlossenen Cyberversicherung sind die Schäden, die durch die Störung entstanden sind, von dieser Versicherung abgedeckt.
Hier gilt es, die Versicherungsbedingungen durch die ITMR Rechtsanwälte prüfen zu lassen. Mehreren Berichten zu Folge haben Versicherer die Regulierung schon aus verschiedenen Gründen abgelehnt, die wir nicht für haltbar erachten. Aufgrund des Ausmaßes der Störung (und damit des Versicherungsfalls) haben die Versicherer ein erhebliches Interesse daran, ihre Eintrittspflicht weitestgehend in Frage zu stellen. Hier bedarf es unbedingt anwaltlicher Hilfe.
Bei allen rechtlichen Fragen zu der Microsoft Störung (Crowdstrike) aber auch zu allen anderen Fragen im Bereich des IT Rechts stehen wir Ihnen gerne zur Verfügung.
Was Unternehmen daraus mitnehmen sollten
- Anspruchsprüfung beginnt mit Verträgen, Leistungsbildern und Haftungsklauseln. Öffentliche Schuldzuweisungen ersetzen keine Vertragsanalyse.
- Für die Schadensdarlegung zählen Ausfallzeiten, Wiederanlaufkosten, Drittaufwand, SLA-Bezüge, Ersatzbeschaffung, Kommunikationskosten und belastbare Zeitachsen.
- Bei systemischen IT-Ausfällen sollten Versicherer, Dienstleister, interne Technik und Rechtsfunktion früh auf derselben Tatsachengrundlage arbeiten.
Für die vertiefende rechtliche Einordnung ähnlicher Ausfalllagen ist IT-Recht für Software, SaaS, Cloud und IT-Projekte die passende erste Vertiefung. Wenn der Schwerpunkt stärker auf Vorfallsteuerung, Sicherheitsorganisation, Dienstleisterketten und Resilienz liegt, ist ergänzend Cybersecurity & IT-Sicherheitsrecht einschlägig.
Offizielle Quellen und weiterführende Hinweise
- Microsoft: Helping our customers through the CrowdStrike outage
Einordnung des Vorfalls und Microsofts damalige Schätzung zum Umfang der betroffenen Windows-Geräte. - CrowdStrike: Root Cause Analysis — Channel File 291
Technische Ursachenanalyse mit Beschreibung des Parameter-Mismatch und der nachgezogenen Maßnahmen. - Microsoft: Windows Resiliency Initiative
Aktuelle Microsoft-Seite zu Resilienzmaßnahmen, Quick Machine Recovery und Safe Deployment Practices. - Microsoft: The Windows Resiliency Initiative
Weiterführende Einordnung der Initiative und ihres Bezugs zu Sicherheits- und Zuverlässigkeitsvorfällen. - BSI: Cybersicherheitswarnung zum fehlerhaften CrowdStrike-Update
Deutsche behördliche Einordnung des Vorfalls und der betroffenen Systeme. - BSI: Folgemaßnahmen nach den Ausfällen
Hinweis auf behördliche und branchenseitige Nachbereitung des Vorfalls in Deutschland.
Fachliche Einordnung bei ITMR
Bei Ausfällen an der Schnittstelle von Sicherheitssoftware, Plattformabhängigkeit, Dienstleisterkette und Anspruchsdurchsetzung ist bei ITMR insbesondere Dr. Alexander Pleh naheliegend. Als Partner und Fachanwalt für IT-Recht liegt sein Schwerpunkt insbesondere bei technisch geprägten IT-Mandaten, Cybersecurity-nahen Fallbildern und streitigen Ausfall- und Vertragskonstellationen.