Am vergangenen Freitag, den 19.07.2024, ging eine Nachricht über eine weltweite Microsoft Störung durch die Massenmedien, die in diesem Ausmaß wohl als bisher beispiellos gelten dürfte. Zwar gab es auch schon in der Vergangenheit Microsoft Störungen, die weltweite Auswirkungen hatten. Fehler bei Änderungen der Netzwerk-Konfiguration sorgen dabei immer wieder für großflächige Ausfälle von einzelnen Microsoft 365 Diensten: dies zum Beispiel im Januar sowie im Juni 2023.
Die Störung vergangene Woche war allerdings weitaus gravierender. Die Störung betraf nicht nur einzelne Dienste, vielmehr waren betroffene Windows-Rechner vollständig lahmgelegt. Betroffen waren durch den weltweiten Ausfall nach Angaben von Microsoft 8,5 Millionen Rechner. Unter diesen auch Systeme von Krankenhäusern, Banken, Fernsehsendern, Supermärkten und vielen anderen Einrichtungen.
Was ist passiert?
Hintergrund war ein fehlerhaftes Update einer Virenschutz-Software für Windows-Computer (Falcon Sensor), welches das Unternehmen Crowdstrike im Auftrag von Microsoft aufgespielt hat. Microsoft nutzt die Dienste des Unternehmens aus Texas, welches sich seit der Gründung im Jahr 2011 zu einem führenden Anbieter von cloudbasierten Sicherheitsdiensten entwickelt hat.
Durch die Panne kam es auch in Deutschland zu erheblichen Störungen. So musste Eurowings eine Vielzahl von Flügen, insbesondere alle innerdeutschen Flüge, streichen, um das IT-System zu entlasten.
Supermärkte mussten schließen, da die EDV basierten Kassen nicht nutzbar waren. Auch kritische Infrastrukturen waren betroffen: Krankenhäuser in Schleswig-Holstein und Baden-Württemberg mussten geplante Operationen absagen.
Das tatsächliche Ausmaß und der tatsächliche hieraus resultierende Schaden für deutsche Unternehmen kann derzeit noch nicht abgeschätzt werden. Die Fragen, die sich Geschädigte derzeit stellen sind einerseits, wer für den entstandenen Schaden haftet und andererseits, ob die Schäden von Cyberversicherungen abgedeckt sind.
Wer haftet für Schäden?
Die Frage, wer für finanzielle Schäden durch die Microsoft Panne haftet und wie Ersatzansprüche wegen der Microsoft Panne durchgesetzt werden können, setzt die Klärung einzelner Vorfragen voraus. Zunächst muss geprüft werden, wer der direkte Vertragspartner ist, wenn dies nicht Microsoft ist.
Wenn dieser festgestellt ist, muss in jedem Einzelfall geprüft werden, ob ein Anspruch gegen diesen und/oder unmittelbar gegen Crowdstrike oder auch direkt gegen Microsoft besteht.
In einem dritten Schritt ist dann zu prüfen, welches Recht zur Anwendung kommt und an welchem Ort ein Schaden ggf. auch gerichtlich geltend gemacht werden kann.
Haftung des Vertragspartners (wenn dieser nicht Microsoft ist)
Wer seine Schäden gegenüber seinem direkten Vertragspartner geltend mache möchte, wird sich vielen rechtlichen Hürden ausgesetzt sehen. Mit Vertragspartner sind hier die Unternehmen gemeint, die andere Unternehmen mit Software und Hardware ausstatten und dabei Microsoft Lizenzen vertreiben. Ein Schadensersatzanspruch setzt jeweils voraus, dass dem Vertragspartner eine Pflichtverletzung vorgeworfen werden kann, die er auch zu vertreten hat. Eine Pflichtverletzung dürfte dem Vertragspartner aber nicht vorgeworfen werden können. Allerdings ist in vielen Wartungs-, Hosting- oder Dienstleistungsverträgen auch eine verschuldensunabhängige Haftung geregelt. In diesen Fällen können Ansprüche direkt gegen den Vertragspartner in Frage kommen.
Wenn Sie von der Microsoft Störung (oder einer andern IT-Störung) betroffen sind oder waren, prüfen unsere Fachanwälte für IT-Recht anhand ihres Vertrags mit Ihrem Vertragspartner, ob diesem gegenüber Ansprüche geltend gemacht werden können.
Sofern Sie als Vertragspartner in Anspruch genommen werden, nehmen wir die Prüfung spiegelbildlich ebenfalls vor. In jedem Fall können unsere erfahrenen Fachanwälte für Informationstechnologierecht Ihren Einzelfall prüfen und Sie bestmöglich vertreten.
Ansprüche gegen Crowdstrike
Es gilt ebenfalls für Sie herauszufinden, ob Ansprüche gegen Crowdstrike als Schutzprogrammprogrammierer direkt bestehen können, wenn Sie einen Schaden wegen des fehlerhaften Updates von Falcon Sensor erlitten haben. In diesem Fall eruieren die Fachanwälte der ITMR Rechtsanwälte GbR für Sie, welches Recht zur Anwendung kommt und an welchem Gericht geklagt werden kann.
Als erstes müsste hierbei ermittelt werden, ob die Crowdstrike-Geschäftsbedingungen zur Anwendung kommen. In den recherchierten Crowdstrike-Geschäftsbedingungen ist unter Punkt 14.3 festgelegt, dass das Recht des Bundesstaates Kalifornien zur Anwendung kommt und Streitigkeiten vor den Staats- und Bundesgerichten in Santa Clara County zu verhandeln sind. Dies würde eine Durchsetzung von Schadensersatzansprüchen deutscher Unternehmen, insbesondere kleiner und/oder mittelständischer Unternehmen, unverhältnismäßig erschweren.
Ansprüche gegen Microsoft
Sofern das Schutzprogramm über Crowdstrike in das Microsoft System eingebettet mitgeliefert wurde, kann ein Anspruch auch gegenüber Microsoft bestehen. In den Bedingungen von Microsoft ist zu lesen, dass für Unternehmen, die ihren Sitz in der EU oder im EWR haben, gilt, dass Microsoft Ireland Operations Ltd. die vertragsschließende Gesellschaft ist und dass für alle Ansprüche im Zusammenhang mit kostenlosen und kostenpflichtigen Diensten die Gesetze von Irland gelten. Als Gerichtsstand gilt das Gericht am Wohnsitz des Nutzers als vereinbart.
Ansprüche könnten demnach in Deutschland – wenn auch nach irischem Recht – durchgesetzt werden. Auch diesbezüglich ist eine profunde Prüfung notwendig, die Ihnen die Fachanwälte für IT-Recht der ITMR Rechtsanwälte GbR gerne anbieten.
Abgedeckt durch Cyberversicherung?
Einfach für Unternehmen wäre es, wenn eine Cyberversicherung besteht, welche die erlittenen Schäden ausgleicht (und sich selbst bei Microsoft, Crowdstrike oder dem Vertragspartner schadlos hält). Je nach der abgeschlossenen Cyberversicherung sind die Schäden, die durch die Störung entstanden sind, von dieser Versicherung abgedeckt.
Hier gilt es, die Versicherungsbedingungen durch die ITMR Rechtsanwälte GbR prüfen zu lassen. Mehreren Berichten zu Folge haben Versicherer die Regulierung schon aus verschiedenen Gründen abgelehnt, die wir nicht für haltbar erachten. Aufgrund des Ausmaßes der Störung (und damit des Versicherungsfalls) haben die Versicherer ein erhebliches Interesse daran, ihre Eintrittspflicht weitestgehend in Frage zu stellen. Hier bedarf es unbedingt anwaltlicher Hilfe.
Bei allen rechtlichen Fragen zu der Microsoft Störung (Crowdstrike) aber auch zu allen anderen Fragen im Bereich des IT Rechts stehen wir Ihnen gerne zur Verfügung.
"Crowdstrike: Weltweite IT-Störung bei Microsoft"