Es fällt mir schwer, an Tagen wie diesen mit Millionen1 betroffener Windows-Rechner, nicht “told you so” zu sagen. Das muss doch Wasser auf Ihren Mühlen sein schrieb mir noch am späten Freitag Abend ein Kunde, bei dem ich im Verlauf der vergangenen Jahre nach und nach Endgeräte mit Linux-Clients und sogar Raspi-basierten Thinclients2 ersetzt habe.
Dem interessierten Leser dieses Blogs brauche ich nicht zu erklären, welche drei Ereignisse sich am Freitag ereignet haben. Die Beschreibung von a) einem weltweiten Ausfall bei Microsoft3, b) einem leicht feststellbaren Programmierfehler4 und c) einer leeren Datei5 - das können andere besser.
Es wäre falsch, sich zurück zu lehnen, über den Ausfall zu ranten und Herstellern wie Microsoft oder Crowdstrike die Schuld zu geben. Kann man machen, nur würde das nicht die ganze Geschichte erzählen.
Die Sachlage ist eine andere. Wir haben es mit dem bislang größten globalen IT Desaster zu tun. Mit 24 Mrd. USD6 noch größer als die bislang schlimmste Ransomware-Welle mit “nur” 10 Mrd. USD7 Schaden. Die Auswirkungen werden noch Tage und Wochen spürbar sein. Zur Behebung müssen Rechner manuell mit vollen Adminrechten und ggf. Bitlocker-Schlüsseln von einem USB-Stick gestartet werden.8
Crowdstrike als Verursacher wird nicht für die Schäden aufkommen müssen. Der Blick auf Punkt 8.2 der von allen zugestimmten Nutzungsbedingungen macht deutlich:9
Produktgewährleistung. Wenn der Kunde ein Produkt erworben hat, gewährleistet CrowdStrike […], dass: (i) das Produkt fehlerfrei funktioniert; […]
Nicht zu früh freuen, der Absatz mit Einschränkungen und Ausschlüssen folgt:
Ihr einziger und ausschließlicher Rechtsbehelf und die gesamte Haftung von CrowdStrike für die Verletzung dieser Gewährleistung besteht darin, dass CrowdStrike auf eigene Kosten mindestens eine der folgenden Maßnahmen ergreift: (a) wirtschaftlich vertretbare Anstrengungen zu unternehmen, um einen Workaround zu bieten oder einen solchen Fehler zu korrigieren; oder (b) Ihre Lizenz für den Zugriff und die Nutzung des entsprechenden nicht konformen Produkts zu beenden und die im Voraus bezahlte Gebühr anteilig für den nicht genutzten Zeitraum der Subskriptionsdauer/Laufzeit der Bestellung zu erstatten.
Ist das nicht schön? Im Zweifel kündigt Crowdstrike das laufende Software-Abo und zahlt den verbleibenden Restzeitraum einfach aus.
Ein Kunde hat nach meiner Einschätzung nach keine weiterreichenden Ansprüche da diese beiden Punkte “einzig und ausschließlich” gelten. Doch es wird noch spannender bei Punkt 8.6:
DIE CROWDSTRIKE-ANGEBOTE UND CROWDSTRIKE-TOOLS SIND NICHT FEHLERTOLERANT UND NICHT FÜR DEN EINSATZ IN GEFÄHRLICHEN UMGEBUNGEN AUSGELEGT ODER VORGESEHEN, DIE EINE AUSFALLSICHERE LEISTUNG ODER EINEN AUSFALLSICHEREN BETRIEB ERFORDERN. WEDER DIE ANGEBOTE NOCH DIE CROWDSTRIKE-TOOLS SIND FÜR DEN BETRIEB VON FLUGZEUGNAVIGATION, NUKLEARANLAGEN, KOMMUNIKATIONSSYSTEMEN, WAFFENSYSTEMEN, DIREKTEN ODER INDIREKTEN LEBENSERHALTENDEN SYSTEMEN, FLUGVERKEHRSKONTROLLE ODER ANWENDUNGEN ODER ANLAGEN BESTIMMT, BEI DENEN EIN AUSFALL ZU TOD, SCHWEREN KÖRPERVERLETZUNGEN ODER SACHSCHÄDEN FÜHREN KÖNNTE.
Zusammengefasst: Das Produkt ist nicht in “Kommunikationsanlagen” zu benutzen, die unter anderem zu “Sachschäden” führen können. Danke, damit ist alles erschlagen.
Wer jetzt laut nach Schadenersatz oder Produkthaftung ruft, kann sich an jene wenden, die bei Beschaffung eine Risikoeinschätzung vorgenommen bzw. abgenickt haben. Im Zweifel das verantwortliches C-Level.
Doch Empörung ist fehl am Platz. Solche Verträge sind branchenüblich bei nahezu allen Cloud- und Softwareunternehmen. Warum das so erwähnenswert ist:
Viele IT-Entscheider bringen als Einwand gegen freie Open-Source Lösungen, dass niemand eine Gewährleistung übernehmen würde. Ja, natürlich nicht möchte ich laut zurückrufen. Bei der teuer, in Software-Abos eingekauften Closed-Source Software erst Recht nicht. Lest den per Mausklick zugestimmten Vertag doch wenigstens einmal durch!
Manch andere mögen nach Cyber-Versicherungen rufen. Nur um Missverständnisse aus der Welt zu bringen hat sich der Hauptgeschäftsführer des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) zu Wort gemeldet.10
Gedeckt sind in der Regel nur Schäden, die durch eine unzulässige Nutzung oder einen unberechtigten Eingriff entstehen, beispielsweise bei einem Hackerangriff.
Das liegt hier eindeutig nicht vor. Jeder Betreiber einer IT-Infrastruktur sollte sich fragen, warum keine mitigierenden Maßnahmen ergriffen wurden. Das könnten zum Beispiel Ersatzsysteme sein, die schnell gegen die nicht mehr funktionierenden getauscht hätten können. Das wären aber auch ein Offline-Betrieb mit eigener Infrastruktur unter eigener Kontrolle, wo kein intransparentes und automatisch eingespieltes Update in den Betriebsablauf eingreift.
Was wir am Freitag gesehen haben ist das Endstadium von Digitalisierung. IT Abteilungen in Unternehmen, die blind und handlungsunfähig sind bei gleichzeitig schweren, gesellschaftliche Schäden. Wer kann in Haftung genommen werden?
Ist es der Softwarehersteller Crowdstrike, der in “Success Stories” auf seiner Website sich damit brüstet, Millionen von Endpoints in kürzester Zeit schützen zu können und dabei leider unterschlägt mitzuteilen, dass Gleiches auch in die andere Richtung gehen kann: Millionen von Rechnern lassen sich bei einem Fehler stilllegen. Die vorläufigen Ergebnisse dokumentieren fehlende Checks und Qualitätskontrollen. Die Ware wird maximal kostenoptimiert und agil an die Endkunden verteilt. Sowas nennt man im Volksmund auch Bananenware11, die beim Kunden reift. Einem solchen Unternehmen legt man natürlich gerne das Wohlergehen des eigenen Unternehmens in die Hände.
Damit sind wir bei den IT-Entscheidern mit Ihren nachweislich falschen Entscheidungen. Warum überhaupt ein System einsetzen, welches ohne eine zusätzliche Software sich offensichtlich nicht sicher betreiben lässt?
Das meine Damen und Herren ist das Endstadium einer maximal optimierten und menschenverachtenden Digitalisierung. Die Kombination aus Gier, Unwissenheit, Desinteresse und organisierter Verantwortungslosigkeit.
Meine ganz persönliche Zukunftsprognose: Vorfälle dieser Art werden häufiger und schlimmer, bis irgendwann der Groschen vielleicht fällt.
In diesem Sinne,
Tomas Jakobs
Update vom 25.07.2024, morgens:
Ein paar weitere Datenpunkte zum Endstadium gefällig?
Betroffene Crowdstrike Partner erhalten einen 10 USD Geschenkgutschein.12
Crowdstrikes’ Geschäftsmodell sei nichts anderes als Reverse-Ransomware.13
Ein Quote vom Guardian: “The outage exposed how modern tech systems are built on precarious ground.”14
Microsoft zeigt mit dem Finger auf die EU und sagt: “Die sind Schuld!”15
Update vom 25.07.2024, abends:
Der von Crowdstrike versendete 10,- USD Geschenkgutschein war bereits abgelaufen.16 Mir fehlen einfach die Worte. Dieses Internet-Meme bringt es auf den Punkt:
https://blog.jakobs.systems/micro/20220511-ct-fachartikel-kiosk/ ↩︎
https://bleepingcomputer.com/news/microsoft/major-microsoft-365-outage-caused-by-azure-configuration-change/ ↩︎
https://threadreaderapp.com/thread/1814376668095754753.html ↩︎
https://www.borncity.com/blog/2024/07/20/crowdstrike-analyse-wie-so-eine-leere-datei-zum-bluesceen-fhrte/ ↩︎
https://en.wikipedia.org/wiki/2024_CrowdStrike_incident#Cost ↩︎
https://en.wikipedia.org/wiki/Petya_(malware_family)#Impact ↩︎
https://techcommunity.microsoft.com/t5/intune-customer-success/new-recovery-tool-to-help-with-crowdstrike-issue-impacting/ba-p/4196959 ↩︎
https://techcrunch.com/2024/07/24/crowdstrike-offers-a-10-apology-gift-card-to-say-sorry-for-outage/ ↩︎
https://theguardian.com/technology/article/2024/jul/24/crowdstrike-outage-companies-cost ↩︎