CrowdStrike: Grund für Update-Fehler und AGB-Schutz vor Schadensersatz

Vor nunmehr knapp drei Wochen sorgte ein fehlerhaftes Update der Falcon-Schutzsoftware aus dem Hause CrowdStrike für einen weltweiten Ausfall von Windows-Computern. Mehrere Branchen, unter anderem Flughäfen, Krankenhäuser und Banken, waren betroffen. Einen ersten Bericht zum Thema hatte ich am 22. Juli veröffentlicht: CrowdStrike – Wie ein fehlerhaftes Update weltweiten Schaden anrichtete. Nun hat CrowdStrike eine offizielle Aufarbeitung zum Thema veröffentlicht. Maßnahmen zur Vermeidung eines weiteren Großausfalls wurden ebenfalls vorgestellt. Unternehmen, die für den letzten Ausfall auf Schadensersatz hoffen, könnten aufgrund der CrowdStrike-AGB, denen sie zugestimmt haben, leer ausgehen.

Der genaue Grund für das fehlerhafte CrowdStrike-Update im Juli 2024

Eigentlich sollte die Ausgabe von Bedrohungsupdates für CrowdStrike Falcon an die PCs der User vereinfacht werden. Dazu sollte eine neue Methode für die dynamische Konfiguration der Datenbanken zum Einsatz kommen. Selbige sah ein Update mit 21 Datensätzen vor. Das fragliche Update enthielt aber lediglich 20 Datensätze, was zu einer fehlerhaften Suche nach dem 21. Datenpaket führte. Ein unzulässiger Speicherzugriff über das Ende des entsprechenden Eingabefelds hinaus führte dann zum Systemabsturz. Alle Details zum Fall, der hier nur in Kurzform zusammengefasst wird, gibt es im offiziellen 12-seitigen Bericht (PDF).

So sollen größere Ausfälle durch zukünftige Updates verhindert werden

Aufgrund der festen Vorlagen der installierten CrowdStrike-Software wird im Rahmen eines Updates also nach einer bestimmten Anzahl von Datensatz-Instanzen gesucht. Laut CrowdStrike wurde für zukünftige Updates nun sichergestellt, dass die Anzahl der Instanzen nun immer der Anzahl in der jeweiligen Vorlage entspricht. Und sollte es doch zu einem Unterschied kommen, soll eine Laufzeitbeschränkung dafür sorgen, dass die Suche nach den fehlenden Inhalten nicht mehr zum Crash der Systeme führt. Zudem werden Updates jetzt nur noch schrittweise ausgespielt. Sollten sie also größere Ausfälle verursachen, dann nur noch in einem begrenzten Maß.

Schadensersatz-Klagen gegen CrowdStrike von unterschiedlichen Seiten

Es wird angenommen, dass der weltweit in unterschiedlichsten Branchen verursachte Systemausfall einen Schaden von insgesamt rund 5 Milliarden US-Dollar angerichtet hat. Allein Delta Airlines, eine der lautesten Stimmen im Nachgang des Update-Fehlers, will sowohl CrowdStrike als auch Microsoft wegen der 500 Millionen Dollar erlittenen Schadens verklagen. Auch CrowdStrike-Shareholder wollen vor Gericht ziehen – mit der Begründung, dass sie hinsichtlich CrowdStrikes Methoden für Software-Tests fehlinformiert gewesen seien. Eine weitere Sammelklage könnte von kleineren Unternehmen ausgehen, die von dem Crash betroffen waren.

Warum betroffene Unternehmen auf dem Schaden sitzen bleiben könnten

Mit Bezug auf den Rechtsprofessor Jonathan Cardi, dessen Spezialgebiet die zivilrechtliche Haftung ist, heißt es bei 9to5Mac allerdings, dass die CrowdStrike-AGB das Unternehmen vor größeren Haftungsansprüchen schützen könnten. Immerhin haben die User, egal ob kleine und mittelständige Unternehmen oder globale Konzerne, diesen AGB zugestimmt. Wer Geld einklagen wolle, müsse eine kreative Formulierung des Falls finden, um eine Chance zu haben. CrowdStrikes Kleingedrucktes würde den Anbieter ziemlich gut gegen solche Fälle abschirmen. Das Originalzitat findet ihr hier, die AGB von CrowdStrike gibt es mit diesem Link.

Johannes Domke

Johannes hat nach dem Abitur eine Ausbildung zum Wirtschaftsassistenten in der Fachrichtung Fremdsprachen absolviert. Danach hat er sich aber für das Recherchieren und Schreiben entschieden, woraus seine Selbstständigkeit hervorging. Seit mehreren Jahren arbeitet er nun u. a. für Sir Apfelot. Seine Artikel beinhalten Produktvorstellungen, News, Anleitungen, Videospiele, Konsolen und einiges mehr. Apple Keynotes verfolgt er live per Stream.