Aufwändiger zu warten, ja. Man profitiert halt nicht von den Skaleneffekten.
Anfälliger für Attacken/Fehler: nein
Hätten wir hier mehr verbreitete Anbieter (Crowdstrike ist von einer Monopolstellung ja noch entfernt), wären eben weniger Flughäfen, Krankenhäuser, etc. betroffen. Dann könnten wir OPs in andere Krankenhäuser verlegen (klar, Kapazitäten nicht vorhanden), Fluggäste mit etwas Aufwand von anderen Flughäfen starten lassen, es wären weniger Fluggesellschaften betroffen, Menschen könnten in anderen Supermärkten einkaufen gehen, …
Das sind alles Redudanzen, die wir mit dem Kostenargument einfach mal abbauen. Einem Kostenargument, dass in vielen der Bereiche, um die es hier geht, Peanuts sind. Ein ausgefallener Flug kostet viel mehr als es eine alternative Security-Software je könnte.
Bestes Beispiel: Die Flughäfen Köln und Düsseldorf sind mit der Bahn gerade mal eine gute Stunde voneinander entfernt. Betroffene Passagiere und Flugzeuge zum anderen Flughafen schicken und mit 2-3h Verspätung den Flug durchführen? Keine Chance, leider waren beide Flughäfen betroffen.
Immerhin der Flughafen Frankfurt ist der Panne scheinbar entgangen.
Wirkt vielleicht so, weil mein Post eine Reaktion auf einen Apfel-Birne Gleichsetzung war. Zurück zur Debatte.
Eine Regulierung wie im Ausgangspost formuliert, führt nur zur Verantwortungsübernahme durch den Staat. Quasi nimmt man dem Kunden das Denken ab. Und wenn was schief geht, es wird auch da vieles schief gehen, war es ein Staatsversagen. Prima. Das Problem ist doch auch, wie kann ein Krankenhaus eine solche Lösung einsetzen und hat auf seiner Seite keinen Plan-B? Gerade bei Outsourcing von Leistungen, was erstmal nicht falsch ist wenn es sich nicht um Kernaufgaben handelt, muss ich mir bewusst sein, damit immer noch die Verantwortung zu haben. Statt einer staatlichen Regulierung würd ich mal nach dem Risiko-Management des Krankenhaus / BER nachfragen.
Stimmt, und ich würde erwarten, dass die Zuverlässigkeit und Robustheit des Rollout-Prozesses Teil der SLAs sein sollte, wenn ich eine Firma wie Crowdstrike einkaufe.
Ich hoffe, dass die betroffenen Firmen ihre Service Level Agreements im Griff haben und ein Rollback < 30 Minuten für ihre kritischen Systeme hineingeschrieben haben.
Allerdings ist der Börsenabsturz von Crowdstrike sehr schnell gebremst worden. Wahrscheinlich haben die Investoren die SLAs gelesen und festgestellt, dass Crowdstrike nichts zu befürchten hat…
Sorry, ist eigentlich nicht witzig, aber ich habe SLAs in Firmen gesehen, bei denen ich mich gewundert habe, dass diese unterschrieben wurden…
Auch bei systemischer Relevanz kommt es ja immer auf die Service Level Agreements an, die der Auftraggeber akzeptiert - beispielsweise eine Recovery Time von < 1h bei systemkritischen Applikationen.
Die müssen dann auch hart definiert werden (Servergruppen, PC-Gruppen) und konstant aktualisiert werden.
Die Stichworte sind hier Maximum Tolerable Period of Disruption (MTPD), Minimum Business Continuity Objective (MBCO), Recovery Time Objective (RTO). Ich kenne Crowdstrike und ihre SLAs nicht und weiß nicht, inwieweit diese von Kunde zu Kunde unterschiedlich sind.
Nach meinem Wissensstand geben die bisherigen Konkretisierungen der deutschen KRITIS-Verordnung noch keine RTOs vor, also ab wann ein System wieder funktional sein muss. Dann gibt es leider auch keine Handbabe von Strafzahlungen. Wenn jemand da mehr weiß, gerne ergänzen.
ES GIBT KEINE GEWÄHRLEISTUNG, DASS DIE ANGEBOTE ODER CROWDSTRIKE-TOOLS FEHLERFREI SIND ODER DASS SIE OHNE UNTERBRECHUNG FUNKTIONIEREN ODER BESTIMMTE ZWECKE ODER BEDÜRFNISSE DES KUNDEN ERFÜLLEN. DIE CROWDSTRIKE-ANGEBOTE UND CROWDSTRIKE-TOOLS SIND NICHT FEHLERTOLERANT UND NICHT FÜR DEN EINSATZ IN GEFÄHRLICHEN UMGEBUNGEN AUSGELEGT ODER VORGESEHEN, DIE EINE AUSFALLSICHERE LEISTUNG ODER EINEN AUSFALLSICHEREN BETRIEB ERFORDERN. WEDER DIE ANGEBOTE NOCH DIE CROWDSTRIKE-TOOLS SIND FÜR DEN BETRIEB VON FLUGZEUGNAVIGATION, NUKLEARANLAGEN, KOMMUNIKATIONSSYSTEMEN, WAFFENSYSTEMEN, DIREKTEN ODER INDIREKTEN LEBENSERHALTENDEN SYSTEMEN, FLUGVERKEHRSKONTROLLE ODER ANWENDUNGEN ODER ANLAGEN BESTIMMT, BEI DENEN EIN AUSFALL ZU TOD, SCHWEREN KÖRPERVERLETZUNGEN ODER SACHSCHÄDEN FÜHREN KÖNNTE.
Da darf man mal gespannt sein, ob da Köpfe bei den Verantwortlichen der Flughäfen etc rollen.
PLEASE READ CAREFULLY: THE INDIVIDUAL ACCEPTING THESE TERMS AND CONDITIONS ON BEHALF OF A COMPANY OR OTHER LEGAL ENTITY (“CUSTOMER” OR “YOU”), REPRESENTS AND WARRANTS THAT HE OR SHE HAS FULL AUTHORITY TO BIND THE CUSTOMER TO THIS AGREEMENT. UNLESS THE CUSTOMER HAS ANOTHER VALID AGREEMENT FOR THE PURCHASE AND USE OF CROWDSTRIKE PRODUCTS AND SERVICES, THESE TERMS AND CONDITIONS GOVERN YOUR RIGHTS TO USE THE CROWDSTRIKE PRODUCTS AND SERVICES.
Das bedeutet, die Geschäftsbedingungen gelten nur wenn nicht andere Absprachen bestehen. Andere Absprachen können dann aber beispielsweise SLAs enthalten oder ähnliches.
Ich kann mir nicht vorstellen, dass bspw. die Flughäfen keine entsprechenden Verträge geschlossen haben sollen, die SLA enthalten.
Gerade bei Flughäfen wäre das nicht unbedingt der Fall. Das Flugzeug welches auf einem lahmgelegten Flughafen steht kann auch nicht von woanders starten, Personal ist nicht am passenden Ort etc.
Auch weniger betroffene Flughäfen würde noch immer einen großen Eingriff in den Flugverkehr bedeuten.
Mehr Anbieter würde aber auch bedeuteten, dass Vorfälle häufiger vorkämen und kleinere Anbieter hätten weniger Kapazität für eine schnelle Behebung eines solchen Problems.
Ich glaube die gesamte Problematik wäre dann nur etwas anders aber nicht unbedingt grundlegend besser.
Kann mir eine(r) mal erklären, wie Microsoft bzw. CrowdStrike überhaupt nicht für die Schäden aus diesem Fehler, z.B. Ertrags- nach einem Umsatzausfall, haften?
Wenn ich als Berater im Rahmen meiner Beratung bei einem meiner Mandanten einen Fehler machen, hafte ich für den entstehenden Vermögensschaden. Diese Haftung kann ich zwar vertraglich begrenzen, aber niemals ausschließen. Ein solcher Ausschluss wäre - zumindest nach deutschen Recht - unzulässig. Gegenüber Verbrauchern ist das noch strikter. Genau aus diese Grund schließen Berater wie ich eine Vermögenshaftpflichtversicherung ab.
Warum sollen Microsoft bzw. CrowStrike nicht für den Ertragsaufalls haften, wenn z.T. Tegut sämtliche Supermärkte schließen muss?
Das reicht nicht. Im deutschen Recht kann nicht alles über die AGB‘s ausgeschlossen werden. Deutsches Recht darf dort nicht gebrochen werden. Da hat @TilRq absolut recht. Dieser Mythos hält dich leider zum Vorteil der Verkäufer.
Große Cloud-Anbieter nehmen es sich teilweise raus keine Verhandlungen über SLAs zu führen. Außer der Kunde ist groß genug gemessen am Umsatz den er bei dem
Anbieter macht. Dass diverse Flughäfen nicht groß genug sind dahingehend halte ich für möglich. Aber ehrlicherweise kenne ich es aus kritischer Infrastruktur wie dem Flugverkehr, dass man sich sehr gut überlegt was man tut und auch wenn man groß genug ist kleine Sonderklauseln unterbringen kann. Also eventuell sollte man als Interessengemeinschaft gemeinsam einkaufen und dann mehr Spielraum dadurch gewinnen.
Das ist eine interessante Ansicht. Du kehrst hier das Käufer und Lieferant um. Der Käufer der Software kann frei entscheiden welche Software er nimmt. Zum Beispiel könnte der Staat entscheiden, die Software selber schreiben zu lassen oder er wählt einen anderen Anbieter aus.
Hier handelt es sich um eine Plattform (Vertriebsnetz), wie du richtig schreibst. Das hat jedoch nichts mit dem Kauf von Software zu tun.
Kauf sich eine Behörde, Gemeinde, Flughafen eine z.B. Mircosoft Software, mit allen Applikationen, dann müssen sie vor dem Kauf prüfen, ob sie diese Abhängigkeit haben wollen.
Trotzdem ist grade bei Software die Marktlage sehr Monopolistisch, wie das oben schon beschrieben wurde. Die Skaleneffekte sind gigantisch in diesem Bereich, was zu sehr schnell wachsenden Monopolstrukturen führt. Wenn ich mir alleine die MS Office Verbreitung ansehe, dann wüsste ich nicht wie diese jemals gebrochen werden sollte. Zum jeder Schüler darauf seine ersten Schritte macht. Das ist noch stärker als die Happy Meal Anfütterung.
Sogar Apple musste Office für IOS freigeben. Die erste Version von Microsoft Office erschien am 1. August 1989 ausschließlich für den Apple Macintosh und umfasste die Textverarbeitung Word (Version 4.0)… Das hat Apple nicht freiwillig gemacht, sondern weil der Druck aus dem Markt dermaßen hoch war.
Was will ich sagen, wenn man an diese Monopolstellungen ran will, dann müsste man Mircosoft verstaatlichen und der UN übergeben. Das gilt auch für andere Tech Giganten wie Amazon, Google, wobei diese Plattform sind und nicht Software.
Ich wette darauf, das diese AGBs von sehr hoch qualifizierten Anwälten gelesen und akzeptiert wurden. Wenn das nicht der Fall gewesen sein sollte, dann haben die betroffenen Firmen und Behörden ganz andere Probleme, die zu ganz anderen Konsequenzen führen müssten.
Kann er in diesem Fall ja gerade nicht, weil es nur ein paar (oder nur ein) Unternehmen gibt, dass die Anforderungen erfüllt.
Mal ehrlich: Das Prinzip, dass marktbeherrschende Unternehmen insbesondere in systematisch wichtigen Bereichen Sonderregeln unterliegen ist doch durch und durch anerkannt. Die Bundesnetzagentur macht zum Beispiel nichts anderes, als Post, Bahn, Telkos, Stromnetzbetreiber usw. zu regulieren, um eine allgemein Versorgung zu erschwinglichen Preisen sicherzustellen. Die Betreiber von Gasspeichern werden seit ein paar Jahren dazu verpflichtet, zu bestimmten Jahreszeiten bestimmte Füllstände herzustellen. In den USA kann der Präsident sogar Unternehmen dazu zwingen, bestimmte Produkte (worunter auch Software fallen würde) in bestimmten Mengen herzustellen, wenn das für die Verteidigung des Landes nötig ist (wobei die Unternehmen für ihre Arbeit kompensiert werden müssen).
Da ist die entsprechende EU-Verordnugn neutral formuliert. Offiziell geht es um „Gatekeeper“, die ein paar Kriterien erfüllen müssen:
Die Gatekeeper-Kriterien sind erfüllt, wenn ein Unternehmen
eine starke wirtschaftliche Position mit erheblichen Auswirkungen auf den Binnenmarkt innehat und in mehreren EU-Ländern aktiv ist,
über eine starke Vermittlungsposition verfügt, d. h. eine große Nutzerbasis mit einer großen Anzahl von Unternehmen verbindet,
eine gefestigte und dauerhafte Position auf dem Markt hat (oder bald haben wird). Als über längere Zeit stabil gelten Unternehmen, wenn sie die beiden vorgenannten Kriterien in jedem der letzten drei Geschäftsjahre erfüllt haben.
Auch Meta/Facebook wird unter diesen Kriterien als Gatekeeper definiert, obwohl es ein reiner Software-Anbieter ist.
Das „Gesetz über digitale Märkte“ passt hier natürlich nicht, weil Crowdstrike keinen Markt herstellt. Aber das selbe Prinzip ließe sich natürlich auch auf Dienstleister wie Crowdstrike, AWS usw. anwenden: ab einer bestimmten systematischen Relevanz müsst ihr bestimmte Kriterien zur Garantie der Stabilität der von euch verkauften Software einhalten, ansonsten drohen Strafen in Höhe von 10% oder mehr des globalen Umsatzes.
Wie immer gilt, dass gesetzliche Vorgaben an der Stelle nur den Großen helfen, da sie die einzigen sind, die diese erfüllen werden können. Was stattdessen helfen könnte: awareness und Geld. Wenn Einkäufer und die, die ihnen zuarbeiten sich auskennen, wird das richtige gerkauft und verhandelt.
Richtig beschrieben. Es werden Preise sichergestellt.
Die Füllstände werden mit Lieferverträgen hinterlegt. Das war je das Problem mit Gazprom eigenen Gasspeichern. Erst nachdem diese „verstaatlicht“ wurden konnte die „Pflicht“ greifen.
Ich weiß nicht ob Facebook ein Software- Anbieter ist.
Und hier fängt das Problem an, meiner Meinung nach. Crowdstrike ist ein „Lieferant“ von Mircosoft. Beide Firmen haben keine Geschäftlichen Beziehungen innerhalb der EU. Und Crowdstrike hat keinen Einfluss darauf wohin Mircosoft seine Produkte verkauft. Heißt aber auch, die 10% Strafe können auf Crowdstrike nicht angewendet werden.
By the way, die EU kann niemals den globalen Umsatz als Maßstab nehmen, da sie nur für den EU Binnenmarkt verantwortlich ist.
