PLEASE READ CAREFULLY: THE INDIVIDUAL ACCEPTING THESE TERMS AND CONDITIONS ON BEHALF OF A COMPANY OR OTHER LEGAL ENTITY (“CUSTOMER” OR “YOU”), REPRESENTS AND WARRANTS THAT HE OR SHE HAS FULL AUTHORITY TO BIND THE CUSTOMER TO THIS AGREEMENT. UNLESS THE CUSTOMER HAS ANOTHER VALID AGREEMENT FOR THE PURCHASE AND USE OF CROWDSTRIKE PRODUCTS AND SERVICES, THESE TERMS AND CONDITIONS GOVERN YOUR RIGHTS TO USE THE CROWDSTRIKE PRODUCTS AND SERVICES.
Das bedeutet, die Geschäftsbedingungen gelten nur wenn nicht andere Absprachen bestehen. Andere Absprachen können dann aber beispielsweise SLAs enthalten oder ähnliches.
Ich kann mir nicht vorstellen, dass bspw. die Flughäfen keine entsprechenden Verträge geschlossen haben sollen, die SLA enthalten.
Gerade bei Flughäfen wäre das nicht unbedingt der Fall. Das Flugzeug welches auf einem lahmgelegten Flughafen steht kann auch nicht von woanders starten, Personal ist nicht am passenden Ort etc.
Auch weniger betroffene Flughäfen würde noch immer einen großen Eingriff in den Flugverkehr bedeuten.
Mehr Anbieter würde aber auch bedeuteten, dass Vorfälle häufiger vorkämen und kleinere Anbieter hätten weniger Kapazität für eine schnelle Behebung eines solchen Problems.
Ich glaube die gesamte Problematik wäre dann nur etwas anders aber nicht unbedingt grundlegend besser.
Kann mir eine(r) mal erklären, wie Microsoft bzw. CrowdStrike überhaupt nicht für die Schäden aus diesem Fehler, z.B. Ertrags- nach einem Umsatzausfall, haften?
Wenn ich als Berater im Rahmen meiner Beratung bei einem meiner Mandanten einen Fehler machen, hafte ich für den entstehenden Vermögensschaden. Diese Haftung kann ich zwar vertraglich begrenzen, aber niemals ausschließen. Ein solcher Ausschluss wäre - zumindest nach deutschen Recht - unzulässig. Gegenüber Verbrauchern ist das noch strikter. Genau aus diese Grund schließen Berater wie ich eine Vermögenshaftpflichtversicherung ab.
Warum sollen Microsoft bzw. CrowStrike nicht für den Ertragsaufalls haften, wenn z.T. Tegut sämtliche Supermärkte schließen muss?
Das reicht nicht. Im deutschen Recht kann nicht alles über die AGB‘s ausgeschlossen werden. Deutsches Recht darf dort nicht gebrochen werden. Da hat @TilRq absolut recht. Dieser Mythos hält dich leider zum Vorteil der Verkäufer.
Große Cloud-Anbieter nehmen es sich teilweise raus keine Verhandlungen über SLAs zu führen. Außer der Kunde ist groß genug gemessen am Umsatz den er bei dem
Anbieter macht. Dass diverse Flughäfen nicht groß genug sind dahingehend halte ich für möglich. Aber ehrlicherweise kenne ich es aus kritischer Infrastruktur wie dem Flugverkehr, dass man sich sehr gut überlegt was man tut und auch wenn man groß genug ist kleine Sonderklauseln unterbringen kann. Also eventuell sollte man als Interessengemeinschaft gemeinsam einkaufen und dann mehr Spielraum dadurch gewinnen.
Das ist eine interessante Ansicht. Du kehrst hier das Käufer und Lieferant um. Der Käufer der Software kann frei entscheiden welche Software er nimmt. Zum Beispiel könnte der Staat entscheiden, die Software selber schreiben zu lassen oder er wählt einen anderen Anbieter aus.
Hier handelt es sich um eine Plattform (Vertriebsnetz), wie du richtig schreibst. Das hat jedoch nichts mit dem Kauf von Software zu tun.
Kauf sich eine Behörde, Gemeinde, Flughafen eine z.B. Mircosoft Software, mit allen Applikationen, dann müssen sie vor dem Kauf prüfen, ob sie diese Abhängigkeit haben wollen.
Trotzdem ist grade bei Software die Marktlage sehr Monopolistisch, wie das oben schon beschrieben wurde. Die Skaleneffekte sind gigantisch in diesem Bereich, was zu sehr schnell wachsenden Monopolstrukturen führt. Wenn ich mir alleine die MS Office Verbreitung ansehe, dann wüsste ich nicht wie diese jemals gebrochen werden sollte. Zum jeder Schüler darauf seine ersten Schritte macht. Das ist noch stärker als die Happy Meal Anfütterung.
Sogar Apple musste Office für IOS freigeben. Die erste Version von Microsoft Office erschien am 1. August 1989 ausschließlich für den Apple Macintosh und umfasste die Textverarbeitung Word (Version 4.0)… Das hat Apple nicht freiwillig gemacht, sondern weil der Druck aus dem Markt dermaßen hoch war.
Was will ich sagen, wenn man an diese Monopolstellungen ran will, dann müsste man Mircosoft verstaatlichen und der UN übergeben. Das gilt auch für andere Tech Giganten wie Amazon, Google, wobei diese Plattform sind und nicht Software.
Ich wette darauf, das diese AGBs von sehr hoch qualifizierten Anwälten gelesen und akzeptiert wurden. Wenn das nicht der Fall gewesen sein sollte, dann haben die betroffenen Firmen und Behörden ganz andere Probleme, die zu ganz anderen Konsequenzen führen müssten.
Kann er in diesem Fall ja gerade nicht, weil es nur ein paar (oder nur ein) Unternehmen gibt, dass die Anforderungen erfüllt.
Mal ehrlich: Das Prinzip, dass marktbeherrschende Unternehmen insbesondere in systematisch wichtigen Bereichen Sonderregeln unterliegen ist doch durch und durch anerkannt. Die Bundesnetzagentur macht zum Beispiel nichts anderes, als Post, Bahn, Telkos, Stromnetzbetreiber usw. zu regulieren, um eine allgemein Versorgung zu erschwinglichen Preisen sicherzustellen. Die Betreiber von Gasspeichern werden seit ein paar Jahren dazu verpflichtet, zu bestimmten Jahreszeiten bestimmte Füllstände herzustellen. In den USA kann der Präsident sogar Unternehmen dazu zwingen, bestimmte Produkte (worunter auch Software fallen würde) in bestimmten Mengen herzustellen, wenn das für die Verteidigung des Landes nötig ist (wobei die Unternehmen für ihre Arbeit kompensiert werden müssen).
Da ist die entsprechende EU-Verordnugn neutral formuliert. Offiziell geht es um „Gatekeeper“, die ein paar Kriterien erfüllen müssen:
Die Gatekeeper-Kriterien sind erfüllt, wenn ein Unternehmen
eine starke wirtschaftliche Position mit erheblichen Auswirkungen auf den Binnenmarkt innehat und in mehreren EU-Ländern aktiv ist,
über eine starke Vermittlungsposition verfügt, d. h. eine große Nutzerbasis mit einer großen Anzahl von Unternehmen verbindet,
eine gefestigte und dauerhafte Position auf dem Markt hat (oder bald haben wird). Als über längere Zeit stabil gelten Unternehmen, wenn sie die beiden vorgenannten Kriterien in jedem der letzten drei Geschäftsjahre erfüllt haben.
Auch Meta/Facebook wird unter diesen Kriterien als Gatekeeper definiert, obwohl es ein reiner Software-Anbieter ist.
Das „Gesetz über digitale Märkte“ passt hier natürlich nicht, weil Crowdstrike keinen Markt herstellt. Aber das selbe Prinzip ließe sich natürlich auch auf Dienstleister wie Crowdstrike, AWS usw. anwenden: ab einer bestimmten systematischen Relevanz müsst ihr bestimmte Kriterien zur Garantie der Stabilität der von euch verkauften Software einhalten, ansonsten drohen Strafen in Höhe von 10% oder mehr des globalen Umsatzes.
Wie immer gilt, dass gesetzliche Vorgaben an der Stelle nur den Großen helfen, da sie die einzigen sind, die diese erfüllen werden können. Was stattdessen helfen könnte: awareness und Geld. Wenn Einkäufer und die, die ihnen zuarbeiten sich auskennen, wird das richtige gerkauft und verhandelt.
Richtig beschrieben. Es werden Preise sichergestellt.
Die Füllstände werden mit Lieferverträgen hinterlegt. Das war je das Problem mit Gazprom eigenen Gasspeichern. Erst nachdem diese „verstaatlicht“ wurden konnte die „Pflicht“ greifen.
Ich weiß nicht ob Facebook ein Software- Anbieter ist.
Und hier fängt das Problem an, meiner Meinung nach. Crowdstrike ist ein „Lieferant“ von Mircosoft. Beide Firmen haben keine Geschäftlichen Beziehungen innerhalb der EU. Und Crowdstrike hat keinen Einfluss darauf wohin Mircosoft seine Produkte verkauft. Heißt aber auch, die 10% Strafe können auf Crowdstrike nicht angewendet werden.
By the way, die EU kann niemals den globalen Umsatz als Maßstab nehmen, da sie nur für den EU Binnenmarkt verantwortlich ist.
Souveräne Staaten(verbünde) dürfen erstmal alles. Die einzige Option die ein internationaler Konzern wie Microsoft, Crowdstrike oder Apple hat, wenn sie mit europäischen Regulierungen nicht einverstanden sind, ist aus dem europäischen Markt komplett auszusteigen. Das macht die EU ja auch so wichtig: Deutschland alleine könnte solche Maßnahmen wohl nie erfolgreich umsetzen.
Ob man jetzt Crowdstrike oder Microsoft einen Strick draus dreht ist doch wurscht. Wer immer den Vertrag mit dem Endkunden verhandelt hat sollte für den Inhalt des verkauften Pakets verantwortlich sein und entsprechend haften. Niemand kann mir erzählen, dass Microsoft gegenüber Crowdstrike nicht bestimmte Standards bei der Sicherheit der zugelieferten Software durchsetzen könnte, wenn es wollte.
Was denn sonst? Apps sind Software. Ich interagiere mit Meta ausschließlich über deren Softwareprodukte. Genauso wie vermutlich 99% der Nutzer.
Man muss die Dinge nicht komplizierter machen als sie sind. Wenn wir einem Restaurantbetreiber vorschreiben können, dass er für seine Gäste eine Toilette vorhalten muss (und eine zweite Toilette für seine Angestellten), dann können wir auch einem internationalen Softwarekonzern vorschreiben, dass er seine Software vor dem Ausrollen an die Endkunden auf eine bestimmte Art und Weise testen muss. In beiden Fällen sollte es natürlich eine Abwägung der Sinnhaftigkeit einer solchen Vorschrift geben, aber wenn (wie im Falle von Crowdstrike) bei einem Fehler auf einmal die Krankenhäuser und Flughäfen still stehen, dann ist das Urteil da doch recht offensichtlich.
Insider-Infos habe ich nicht. Aber ich arbeite in der kritischen Infrastruktur. Und bei uns wird bei jedem neuen Service im Vorfeld überlegt welche Ausfallwahrscheinlichkeit man sich leisten kann und welche SLA-Güte man daher benötigt.
Ich wäre sehr überrascht wenn wir die einzigen wären. Zumal die Berechnung von Ausfallwahrscheinlichkeiten zu diesem Zweck auch im Informatikstudium thematisiert wird.
Wie oben beschrieben, und von @turmfalke auch ausgeführt, gibt es hier zwei Aspekte. Die AGBs sind dabei leider die am wenigsten relevanten:
Das deutsche KRITIS-Gesetz schreibt keine Vorgaben für Recovery Time Objective (RTO), also Wiederherstellungszeitziele bei kritischen Infrastrukturen vor. Daher kann ein Anbieter nach jetzigem Stand auch gegen nichts verstoßen. Die Verantwortung liegt also bei den Unternehmen, die sich die Dienste einkaufen, z.B. der Flughafen.
Hier gilt dann, was der Einkäufer als Service Level Agreement (SLA) unterschreibt. Wenn dort zum Beispiel nur 1 Tag RTO steht oder länger, ist das natürlich ungünstig.
Ich warte gespannt darauf, was zu den vereinbarten SLAs herauskommen wird. Anders als @turmfalke traue ich es Einkäufern durchaus zu, da nicht genau hingesehen zu haben, obwohl das grob fahrlässig wäre.
Microsoft ist diesesmal unschuldig. Wie von @AndreasLDN schon oben beschrieben, geht es um die Software „falcon“:
The issue is not being caused by Microsoft but by third-party CrowdStrike software that’s widely used by many businesses worldwide for managing the security of Windows PCs and servers.
[…]
It appears the company was trying to update a driver in its Falcon offering, which is a cloud-based product that scans for potential hackers. Falcon requires deep access to a computer’s system in order to operate effectively, meaning any glitches it experiences can have serious consequences, like the one that took place this week. The massive CrowdStrike outage, briefly explained - Vox
Es waren nur 10Mio PCs betroffen, jetzt wissen wir immerhin, welche davon kritisch sind. Scherz.
Ja, das ist bekannt. Aber Microsoft hat die Software von CrowdStrike in sein Betriebssystem eingebaut und ist der Anspruchsgegner für Haftungsansprüche aus dem Vertrag zwischen Microsoft und seine Kunden. Microsoft wird vermutlich einen entsprechenden Schadensersatzanspruch an CrowdStrike (als Streitverkündete) weiterreichen können.
Wenn ich als Automobilhersteller mangelhafte Reisen beziehe und an meine Fahrzeuge montiere, haben die Käufer auch Ansprüche gegen den Automobilhersteller und nicht gegen den Reifenlieferant.
Wie gesagt: Nach deutschem Recht kann man die Schadensersatzhaftung, wenn überhaupt, nur individualvertraglich beschränken und auf keinen Fall ausschließen.