Im Juli und August 2024 kam es zu bedeutenden globalen Ausfällen bei zwei großen Technologiedienstleistern, Microsoft und CrowdStrike. Diese Vorfälle haben erhebliche Auswirkungen auf Unternehmen weltweit, einschließlich Neuseeland, und werfen wichtige Fragen zur Haftung und zum Risikomanagement auf. Die plötzlichen und weitreichenden Störungen spiegeln die Anfälligkeit der Unternehmen wider, die stark von diesen technischen Diensten abhängig sind. Bemerkenswert ist, dass insbesondere kritische Infrastrukturen wie Fluggesellschaften, Banken und medizinische Dienste betroffen waren, was die Dringlichkeit der Diskussion um rechtliche Auswirkungen noch verstärkt.
Hintergrund und Überblick
Am 19. Juli 2024 führte ein Software-Update von CrowdStrike zu einem weitreichenden Computerausfall. Das Cybersicherheitsunternehmen CrowdStrike, bekannt für seine Dienstleistungen in der Endpunktsicherheit und Bedrohungsintelligenz, verursachte durch einen Fehler im Update den berüchtigten „Blue Screen of Death“ auf etwa 8,5 Millionen Computern weltweit. Diese Störung betraf unter anderem kritische Dienstanbieter wie Fluggesellschaften und Banken. Die Konsequenzen dieses Vorfalls waren verheerend: Unternehmen, die in hohem Maße auf die betroffenen Computersysteme angewiesen waren, sahen sich gezwungen, Notfallstrategien zu implementieren. Dies führte zu erheblichen wirtschaftlichen Verlusten und betrieblichen Unterbrechungen.
Ursachen der Ausfälle
Der Vorfall wurde durch eine einzelne inkompatible Codezeile im CrowdStrike-Update ausgelöst. Obwohl dieser Fehler durch das Löschen einer bestimmten Datei behoben werden konnte, verhinderte er das reguläre Starten der Computer. Die Lösung des Problems erforderte oft die Unterstützung durch IT-Teams und das Starten im „sicheren Modus“, was den Ausfall erheblich verlängerte. Die Unannehmlichkeiten, die dadurch entstanden, reichten von geringfügigen Verzögerungen bis hin zu schwerwiegenden betriebswirtschaftlichen Einbußen. Am 1. August 2024 wurde Microsoft von einem „Distributed-Denial-of-Service“-Angriff (DDoS) getroffen, was Ausfälle bei den neuseeländischen Nutzern verursachte. Diese nicht zusammenhängenden Ereignisse verdeutlichen jedoch die allgemeine Anfälligkeit von Unternehmen gegenüber solchen Ausfällen.
Auswirkungen auf neuseeländische Unternehmen
In Neuseeland spitzte sich der CrowdStrike-Vorfall gegen Abend des 19. Juli zu und setzte sich über das Wochenende fort. Die National Emergency Management Agency wurde eingeschaltet, um die Betriebsfähigkeit von Polizei, Feuerwehr, medizinischen Diensten und anderen kritischen Infrastrukturen sicherzustellen. Viele Unternehmen waren gezwungen, auf manuelle Systeme zurückzugreifen, um ihren Betrieb aufrechtzuerhalten. Der Übergang zu manuellen Systemen, obwohl ein Notfallpuffer, war nicht ohne Herausforderungen. Die betroffenen Unternehmen sahen sich mit erheblichen Betriebsunterbrechungen konfrontiert, was oft zu einem deutlichen Rückgang der Produktivität und Effizienz führte.
Wirtschaftliche Konsequenzen
Der Ausfall hatte erhebliche wirtschaftliche Auswirkungen. In den USA wurden Tausende von Flügen gestrichen und im Vereinigten Königreich waren Arztpraxen und der National Health Service stark beeinträchtigt. Auch neuseeländische Unternehmen erlitten Umsatzeinbußen und sehen sich möglicherweise Verbindlichkeiten gegenüber ihren Vertragspartnern gegenüber. Die wirtschaftlichen Konsequenzen waren nicht auf direkte Verluste beschränkt, denn der Vertrauensverlust in die betroffenen Technologien könnte langfristig zu reduzierten Investitionen und einer verstärkten Suche nach alternativen Lösungen führen.
Rechtliche Folgen und Force-Majeure-Klauseln
Unternehmen, die über Force-Majeure-Klauseln in ihren Verträgen verfügen, könnten sich in einer besseren Position befinden, um sich gegen finanzielle Verluste abzusichern. Diese Klauseln könnten es ihnen ermöglichen, Verpflichtungen auszusetzen oder zu verzögern, wenn sie von unvorhergesehenen und unkontrollierbaren Ereignissen betroffen sind. Doch die Anwendbarkeit solcher Klauseln hängt oft von der spezifischen Formulierung der Verträge und den jeweils geltenden Rechtsvorschriften ab. Unternehmen ohne solche Schutzklauseln könnten sich in einer wesentlich schwierigeren Lage wiederfinden und müssten möglicherweise erhebliche rechtliche Auseinandersetzungen führen, um etwaige Verluste zu kompensieren.
Haftungsfragen und CrowdStrikes allgemeine Geschäftsbedingungen
CrowdStrikes Allgemeinen Geschäftsbedingungen begrenzen ihre Haftung auf das erneute Erbringen der Dienstleistungen oder die Rückerstattung der gezahlten Gebühren. Diese Bestimmungen könnten entscheidend sein, wie sich rechtliche Schritte gegen das Unternehmen gestalten. Die Schiedsgerichtsklausel könnte dazu führen, dass Ansprüche nicht in den Herkunftsgebieten der Kläger verhandelt werden. Die Bedeutung solcher Vertragsklauseln kann nicht unterschätzt werden, da sie oft der entscheidende Faktor sind, ob und in welchem Umfang Geschädigte ihre Ansprüche durchsetzen können.
Verbraucherschutz und Haftungsbeschränkungen in Neuseeland
In Neuseeland sind Haftungsbeschränkungen und Haftungsausschlüsse in Verträgen zwischen Unternehmen üblicherweise durchsetzbar. Es gibt jedoch Ausnahmen durch Verbraucherschutzgesetze wie den Consumer Guarantees Act 1993 und den Fair Trading Act 1986. Diese gesetzlichen Bestimmungen könnten die rechtlichen Implikationen für betroffene Unternehmen beeinflussen. Trotz der weit verbreiteten Gültigkeit von Haftungsbeschränkungen gibt es immer wieder Fälle, in denen die Gerichte solche Klauseln für nicht durchsetzbar erklären, insbesondere wenn sie als unangemessen oder irreführend angesehen werden.
Versicherungsansprüche und Cyber-Policen
Unternehmen könnten versuchen, sich über ihre Versicherungspolicen, insbesondere über Cyber-Versicherungen, finanziell abzusichern. Allerdings sind die Konditionen dieser Policen oft unterschiedlich anwendbar. Business-Interruption-Policen decken in der Regel den Verlust von Gewinnen durch physische Schäden ab und könnten für Cybervorfälle daher weniger geeignet sein. Die Suche nach geeigneten Versicherungsdeckungen für solche spezifischen Vorfälle ist oft eine Herausforderung, da die Versicherer häufig strenge Bedingungen und Ausschlüsse anwenden.
Risikomanagement und Präventionsstrategien
Zukünftige Risiken könnten durch vorsichtige Planungsstrategien gemindert werden. Unternehmen sollten Backups von Daten erstellen, Notfallpläne ausarbeiten, ihre Lieferverträge überprüfen und ihre Versicherungspolicen aktualisieren. Technologieanbieter sollten darüber nachdenken, Updates phasenweise einzuführen, um Massen-Ausfälle zu verhindern. Diese Maßnahmen können die Widerstandsfähigkeit eines Unternehmens erheblich verbessern und die Wahrscheinlichkeit ähnlicher Vorfälle in der Zukunft reduzieren. Insbesondere die Schaffung redundanter Systeme und die kontinuierliche Schulung des Personals können als zusätzliche Vorsichtsmaßnahmen dienen.
Marktreaktionen und potenzielle Klagen
Im Juli und August 2024 ereigneten sich weltweit bedeutende Ausfälle bei zwei führenden Technologiedienstleistern: Microsoft und CrowdStrike. Diese Vorfälle haben Unternehmen auf dem gesamten Globus, einschließlich Neuseeland, schwer getroffen und wichtige Fragen zur Haftung sowie zum Risikomanagement aufgeworfen. Die plötzlichen und umfassenden Störungen offenbarten die Verwundbarkeit der Unternehmen, die stark auf diese technischen Dienste angewiesen sind. Besonders hervorzuheben ist, dass kritische Infrastrukturen wie Fluggesellschaften, Banken und Gesundheitsdienste betroffen waren. Diese Tatsache unterstreicht die Notwendigkeit einer intensiveren Diskussion über die rechtlichen Konsequenzen und Vermeidungsstrategien.
Die Ausfälle führten zu gravierenden Betriebsunterbrechungen und wirtschaftlichen Verlusten. Unternehmen sahen sich gezwungen, ihre Notfallpläne zu aktivieren und alternative Lösungen zu finden, um ihren Betrieb aufrechtzuerhalten. Diese Ereignisse bringen die Bedeutung einer robusten IT-Sicherheitsstrategie erneut in den Fokus. Zudem verdeutlichen sie, dass selbst die größten und scheinbar sichersten Technologiedienstleister nicht immun gegen Störungen und Cyberangriffe sind.
Unternehmen und Regierungen sind nun gefordert, ihre IT-Sicherheitsmaßnahmen zu überdenken und zu verbessern. Dabei sollte ein besonderer Fokus auf der Sicherstellung der Kontinuität kritischer Dienste liegen. Es ist unerlässlich, dass nicht nur technologische, sondern auch organisatorische und rechtliche Maßnahmen evaluiert und gegebenenfalls angepasst werden, um zukünftige Risiken zu minimieren.