Am 4. August hat CrowdStrike über seine Anwälte verlauten lassen, dass der eigene CEO George Kurtz noch am Tag des Update-Fehlers, dem 19. Juli, Deltas CEO Ed Bastian ein Angebot zur sofortigen Unterstützung gemacht habe. Dieses erste Hilfeangebot sei jedoch nicht beantwortet worden. Kurze Zeit darauf habe man weitere Hilfe angeboten. Diese habe Delta jedoch mit dem Hinweis, dass sie nicht benötigt würde, abgelehnt.
Die Lage spitzt sich für beide zu
Dies verwundert, denn Delta bekam von allen betroffenen Fluggesellschaften seine Probleme am langsamsten in den Griff. Zusätzlich beschwerte sich Delta-CEO Bastian in einem Interview über die ausgebliebene Hilfe von Microsoft. Das Vorgehen Deltas während der CrowdStrike-Falcon-Panne beschäftigt jetzt das Büro für Verbraucherschutz in der Luftfahrt des US-Verkehrsministeriums (Office of Aviation Consumer Protection beim US Department of Transportation).
Damit wird es für beide Parteien ungemütlich. Denn CrowdStrike-Aktionäre haben eine Sammelklage eingereicht. Die Vorwürfe lauten zum einen, dass der Cybersecurity-Anbieter falsche Angaben bezüglich seiner Technologie gemacht habe. Zum anderen seien den Aktionären die unzureichenden Testpraktiken verschwiegen worden.
Dass CrowdStrike Fehler bei der Qualitätssicherung seiner Produkte machte, überrascht. Bislang genoss das Unternehmen einen guten Ruf für technische Exzellenz und Geschwindigkeit. Dementsprechend werden weltweit 8,5 Millionen Computer mit der Windows-Version der Cybersecurity-Software Falcon betrieben.
Der Supergau vom 19. Juli hat jedoch viele Experten dazu bewegt zum einen CrowdStrike an sich und die Rolle von privilegierten Zugriffen auf Computersysteme von Programmen allgemein zu hinterfragen.
Wegschauen lohnt nicht
Dies liegt vor allem an den Garantien beziehungsweise dem Fehlen solcher in der IT-Branche, sollte es zu Pannen oder Problemen kommen. Dies ist eine Situation, vor der insbesondere die Regulierungsbehörden nach Meinung von Branchenkennern jahrzehntelang die Augen verschlossen haben. Man wollte so die Big-Tech-Unternehmen nicht verärgern und den Innovationswettlauf bremsen.
Deshalb ist es Usus, dass Verträge mit IT-Anbietern überwiegend die Zahlung einer festgestellte Entschädigung für unterbrochene Dienste vorsehen. Diese berechnet sich auf der Grundlage der Zeit, in der die Software nicht genutzt werden kann.
Gähnende Leere tut sich auf
Von einem "Rechtsvakuum" spricht in diesem Zusammenhang Paloma Llaneza, eine renommierte Akademikerin der Königlichen Akademie für Jurisprudenz und Gesetzgebung in Madrid.
"Es gibt eine Position, die bei allen technologischen Entwicklungen immer beibehalten wurde und die mit dem Wilden Westen vergleichbar ist: Zuerst lassen wir die Leute losziehen und sich gegenseitig umbringen, um das Territorium zu erobern. Sobald sie sich dann niedergelassen haben, ernennt man einen Sheriff und stellt Regeln auf", skizziert die Juristin das US-Rechtssystem. Das gleiche sei dann in der industriellen Revolution geschehen. Man ließ Menschen 18 Stunden arbeiteten, sich nicht ausruhen und in Fabriken leben. Mit entsprechenden Folgen für die Gesundheit, denn es gab lange Zeit überhaupt keine Regulierung, weder in den USA noch in Europa. "Innovation wurde beziehungsweise wird über alles gestellt. Die Ergebnisse sind katastrophal", kritisiert die Juristin.
Deshalb seien Fälle wie der von CrowdStrike unter der aktuellen Gesetzgebung unvermeidlich. Zwar werde daran gearbeitet diesen Missstand zu ändern aber nur sehr langsam und selektiv. So hat die US-amerikanische Food and Drug Administration (FDA) Software für implantierbare Geräte wie Herzschrittmacher reguliert. Hierdurch wurde den Herstellern eine proaktive Verantwortung bei der Aktualisierung von Schwachstellen und Cyberangriffen übertragen, die sich direkt oder indirekt auf diese Geräte auswirken könnten.
Keine Garantien, dafür Regularien
Eine solche Verpflichtung gibt es momentan aber nicht für Softwarehersteller, so Llaneza. Und zum Teil kann es sie auch gar nicht geben. So verwies Microsoft selbst einige Tage nach dem CrowdStrike-Vorfall auf eine Regelung hin, die die Europäische Kommission dem Unternehmen 2009 auferlegte.
In dem Bemühen, wettbewerbswidriges Verhalten von Microsoft zu bekämpfen, verpflichtete die EU den Konzern dazu, Herstellern von Sicherheitssoftware den gleichen Zugang zu Windows-Kernel-Komponenten zu gewähren wie ihn Microsoft selbst hat. Damit, so die Meinung vieler Experten, könne Microsoft die Kernel-Integrität nicht mehr gewährleisten, da das Unternehmen durch die EU-Vereinbarung keinen Einfluss mehr auf fehlerhafte Treiber etc. habe.
Veränderungen nicht zwingend zum Besseren
In einer Analyse des CrowdStrike-Vorfalls , die auf der IDC-Website veröffentlicht wurde, heißt es: "Indem sie unabhängigen Softwareanbietern [ISVs] in ihrem Ökosystem direkten Zugriff auf den Systemkern gewähren, entfernen sich die Betriebssystemanbieter im Wesentlichen aus der trust value chain", so das Analyseunternehmen.
Für IDC macht die Situation die unterschiedlichen Ansätze der großen Betriebssystemhersteller deutlich. So wurde Microsoftgezwungen, einen offeneren Ansatz zu wählen, der es mindestens einem Dutzend ISVs erlaubt, moderne Security-Software anzubieten. Apple dagegen konnte seinen eher präskriptiven und geschlossenen "Walled Garden"-Ansatz weiterfahren. Dementsprechend ist es Anbieter nahezu unmöglich, Konfigurationsänderungen einzuführen, die potenziell katastrophale Auswirkungen auf iOS- oder macOS-Kernel haben könnten. Dies hat allerdings dazu geführt, dass das Unternehmen mit der Europäischen Kommission wegen angeblich unlauteren Wettbewerbs in Konflikt geraten ist.