Fluggesellschaft bereitet Schadensersatzklagen gegen Crowdstrike vor
Die US-amerikanische Fluggesellschaft Delta Air Lines strich durch die von Crowdstrike ausgelöste IT-Panne mehr als 6.000 Flüge, wovon mehr als 500.000 Passagiere betroffen waren. Auf 500 Mio. US-Dollar (460 Mio. Euro) beziffert Delta-Chef Ed Bastian den entstandenen Schaden und will sich diese von Crowdstrike zurückholen. Die IT-Firma verweist darauf, dass die eigene Haftung jedoch begrenzt sei. Auch Microsoft steht am Pranger.
Ein fehlerhaftes Software-Update der Firma Crowdstrike sorgte am 19. Juli für weltweite Störungen u.a. bei Flughäfen, Krankenhäusern, Banken und Versicherern. Nach Angaben von Microsoft fielen schätzungsweise 8,5 Millionen Windows-Geräte aus. Dies entspricht weniger als einem Prozent aller Windows-Rechner, aber die Auswirkungen waren global so immens, weil viele betroffene Firmen auf den IT-Sicherheitsdienstleister Crowdstrike setzen, der 29.000 Geschäftskunden aufweist. Nach mehreren Stunden wurde der Fehler entdeckt und behoben, aber es dauerte eine Weile, bis man auch die Rechner der Kunden auf den neuesten Stand gebracht hatte.
Am sichtbarsten war der Luftverkehr betroffen – von Los Angeles über Singapur bis Hongkong und Amsterdam. Der Flughafen BER in Berlin musste den Betrieb aussetzen, ebenso gab es in Hamburg Probleme und bei zahlreichen Fluggesellschaften fielen die Rechner ebenfalls aus. Am stärksten war wohl die US-Airline Delta Air Lines betroffen. Über einen Zeitraum von sechs Tagen sollen laut Delta 5.000 Flüge gestrichen worden sein, Bloomberg spricht von 5.500 Ausfällen und Reuters gar von 6.000. Das US-Verkehrsministerium untersucht, warum Delta so viel länger brauchte, um sich von dem Ausfall zu erholen als andere Fluggesellschaften.
Der US-Sender CNBC berichtet, dass Delta eine bekannte Anwaltskanzlei damit beauftragt hat, Schadensersatzforderungen gegen Crowdstrike und Microsoft zu prüfen. Delta-Chef Ed Bastian beziffert den entstandenen Schaden auf bis zu 500 Millionen US-Dollar (460 Millionen Euro). Dazu gehörten „entgangene Einnahmen, aber auch zig Millionen Dollar pro Tag für Entschädigungen und Hotelkosten“, so der Delta-CEO. Solche Verluste würden Schadenersatzforderungen notwendig machen, sagte Bastian in einem CNBC-Interview. Crowdstrike erklärte, dass es bislang keine Kenntnis von einer möglichen Klage seitens Delta habe.
In einem Schreiben entschuldigte sich die IT-Firma erneut bei der Fluggesellschaft, erklärte jedoch, dass man „sehr enttäuscht von Deltas Andeutung ist, dass Crowdstrike unangemessen gehandelt hat, und weist jede Behauptung, dass es grob fahrlässig gehandelt oder ein Fehlverhalten begangen hat, entschieden zurück.“ Zudem geht aus dem Schreiben hervor, dass „jegliche Haftung von Crowdstrike vertraglich auf einen Betrag im einstelligen Millionenbereich begrenzt ist“. Crowdstrike fügte hinzu, dass im Falle einer Klage die Airlines eine Erklärung abgeben müsse, „warum Deltas Konkurrenten, die mit ähnlichen Herausforderungen konfrontiert waren, alle ihren Betrieb viel schneller wiederhergestellt haben“ und „warum Delta die kostenlose Vor-Ort-Hilfe von CrowdStrike-Experten abgelehnt hat, die vielen anderen Kunden geholfen haben, ihren Betrieb viel schneller wiederherzustellen als Delta.“ Von Delta gab es bislang keine Stellungnahme zu dem Crowdstrike-Brief ab.
Delta-CEO Bastian kritisierte auch das Verhalten von Microsoft. „Microsoft hat uns nichts angeboten – keine kostenlose Beratung, um uns zu helfen.“ Als Konsequenz werde Delta seine Abhängigkeit von der „verwundbarsten Plattform“ der Technologiebranche überdenken. Er stellte auch die Frage, wann es das letzte Mal einen größeren Ausfall bei Apple gegeben habe. Ein Weggang von Microsoft käme in Betracht.
Experten gingen von Anfang an davon aus, dass manche betroffene Unternehmen wohl direkt Crowdstrike verklagen werden. „Fluggesellschaften (und andere Branchen) haben möglicherweise Rechte aus ihren Verträgen, die ihnen eine finanzielle oder sonstige Entschädigung aufgrund des Crowdstrike-Ausfalls zugestehen“, erklärte Sam Levine, Senior Vice President beim Spezialversicherungsmakler CAC. Allerdings gilt als sicher, dass die Haftung von Crowdstrike nicht hoch ausfallen wird, ebenso von den Versicherern von Crowdstrike.
Ein Großteil der Schäden durch den Crowdstrike-Panne entfällt wohl auf die Betriebsunterbrechungs-Versicherung. Manche All-Risk-Betriebsunterbrechungspolicen haben zwar einen Cyber-Ausschluss, der jedoch in diesem Fall nicht greifen wird. Die Ratingagentur Fitch rechnet mit einem weltweit versicherten Gesamtschaden von etwa zehn Mrd. Dollar – die Summe ist vergleichbar mit einem Hurrikanschaden. Der US-Versicherer Parametrix schätzt die Schäden allein für die 500 größten US-Unternehmen auf 5,4 Mrd. Dollar. Davon könnten zehn bis 20 Prozent versichert sein. Die Summe hätte viel höher ausfallen können. Das liegt einerseits daran, dass der Fehler schnell beseitigt wurde und aufgrund der Zeitzonen in den USA weniger Schäden anrichtete als etwa in Europa und Asien. Andererseits liegt es schlicht an der Ausgestaltung der Versicherungsverträge und den hohen Selbstbehalten, VWheute berichtete.
Autor: VW-Redaktion