Der CrowdStrike-Vorfall vom 19. Juli 2024 betraf auch viele Unternehmen, die kritische Infrastruktur betreiben. Ein Blick in die Allgemeinen Geschäftsbedingungen (AGB) zeigt, dass CrowdStrike vom Einsatz der eigenen «Sicherheitssoftware» für kritische Infrastruktur abrät.
In der Schweiz wurde gemeldet, dass unter anderem Windows-Computer bei der Flugsicherung Skyguide und bei den Stromversorgern Axpo, BKW und CKW ausfielen. Diese staatlichen Unternehmen betreiben kritische Infrastruktur (KRITIS).
CrowdStrike verspricht in Ziff. 8.2 der Allgemeine Geschäftsbedingungen (AGB) ein Produkt, das «fehlerfrei funktioniert» sowie die «professionelle und fachmännische» Ausführung von Services. Gleichzeitig schliesst CrowdStrike aber mit weiteren Formulierungen (fast) jede Gewährleistung und Haftung aus.
In Bezug auf kritische Infrastruktur schreibt CrowdStrike in den AGB ausdrücklich, dass die eigene Software nicht für diesen Bereich bestimmt ist:
«Die CrowdStrike-Angebote und CrowdStrike-Tools sind nicht fehlertolerant und nicht für den Einsatz in gefährlichen Umgebungen ausgelegt oder vorgesehen, die eine ausfallsichere Leistung oder einen ausfallsicheren Betrieb erfordern. Weder die Angebote noch die CrowdStrike-Tools sind für den Betrieb von Flugzeugnavigation, Nuklearanlagen, Kommunikationssystemen, Waffensystemen, direkten oder indirekten lebenserhaltenden Systemen, Flugverkehrskontrolle oder Anwendungen oder Anlagen bestimmt, bei denen ein Ausfall zu Tod, schweren Körperverletzungen oder Sachschäden führen könnte.»
Nutzer, die Software von CrowdStrike dennoch für kritische Infrastruktur verwenden, übernehmen dafür ausdrücklich selbst die Verantwortung:
«Der Kunde stimmt zu, dass es in der Verantwortung des Kunden liegt, die sichere Nutzung eines CrowdStrike-Angebots und der CrowdStrike-Tools in solchen Anwendungen und Installationen zu gewährleisten.»
CrowdStrike schliesst aber, wie erwähnt, ohnehin (fast) jede Gewährleistung und Haftung aus. Bei den Services liest sich das in Ziff. 8.3 wie folgt:
«CrowdStrike gewährleistet Ihnen gegenüber, dass es alle Services professionell und fachmännisch in Übereinstimmung mit allgemein anerkannten Industriestandards ausführt.»
Die «allgemein anerkannten Industriestandards» für «Sicherheitssoftware» wie jener von CrowdStrike sind, sofern sie überhaupt existieren, eine tiefe bis unterirdische Messlatte. Gewährleistung gibt es aber selbst auf dieser Grundlage nur im «eigenen Ermessen» von CrowdStrike:
«Ihr einziger und ausschließlicher Rechtsbehelf und die gesamte Haftung von CrowdStrike für die Verletzung dieser Gewährleistung besteht darin, dass CrowdStrike nach eigenem Ermessen und auf eigene Kosten (a) wirtschaftlich angemessene Anstrengungen unternimmt, um die nicht konformen Services erneut zu erbringen, oder (b) den Teil der gezahlten Gebühren zurückerstattet, der den nicht konformen Services zuzurechnen ist.»
Unabhängig davon ist es offensichtlich problematisch, wenn kritische Infrastruktur in der Schweiz per Knopfdruck von einem Dienstleister heruntergefahren werden kann.
Nachtrag vom 25. Juli 2024: Keine kritische Infrastruktur bei Axpo und CKW in Gefahr
Die Axpo teilte mir heute mit, durch den CrowdStrike-Vorfall sei keine kritische Infrastruktur bei der Axpo oder bei der zum Axpo-Konzern gehörenden CKW in Gefahr gewesen. Die Axpo setze CrowdStrike nicht für Operational Technology (OT) ein und es sei nicht möglich gewesen, dass kritische Infrastruktur wie insbesondere Kraftwerke von CrowdStrike hätte heruntergefahren werden können.