In ein Gesetz kann man erst einmal viel reinschreiben. Aber ob das dann vor Gerichten standhält ist nochmal was anderes.
Die Erfahrungen der letzten Jahre zeigen ja immer wieder, dass genau das, was gesetzlich notwendig ist gemacht wird und kein Epsilon mehr. Aus Sicht der Unternehmen ist das vermutlich sinnvoll, denn solche Incidents sind selten, aber auf globaler Ebene dann doch ziemlich katastrophal.
Aus IT Sicht sehe ich das so, dass Crowdstrike ein separater Anbieter ist, dessen Software ich on top installiere, auch Software, die auf Kernel-Basis installiert wird und damit auf das Startup des Systems Einfluss hat. Das kann Verschlüsselung sein oder eben in diesem Fall ein Anti-Hacker-Screening. Es gibt viele Softwareanbieter dieser Art, und wenn ich als Kunde in eine Microsoft Server 2019-Installation Drittanbietersoftware draufsattele, ist es mein Risiko und nicht das von Microsoft.
Ich würde mich wirklich wundern, wenn das bei Crowdstrike anders wäre.
Die Analogie wäre vielleicht folgende:
Der Käufer hat sich ein Automobil gekauft und ist dann zu einem Drittanbieter gefahren, der ihm den Motor getuned und dafür ein Softwarepaket installiert hat. Damit ist der Käufer lange mit gutem Gefühl gefahren, nach einem Softwareupdate aber fuhr das Auto nicht mehr.
Kann in diesem Fall der Automobilhersteller zur Verantwortung gezogen werden?
Auch wenn es die meisten hier vermutlich schon gelesen haben dürften, möchte ich dieses wichtige Detail zum Crowdstrike-Vorfall hier auch nochmal festhalten:
Zitat der GDV:
[…] der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) betont, dass Schäden, die durch den Ausfall oder eine Störung von IT-Dienstleistern entstehen, nach den allgemeinen GDV-Musterbedingungen nicht vom Versicherungsschutz einer Cyberversicherung umfasst sind, wenn dadurch Systeme der Kunden ausfallen. „Dieser Ausschluss dient dazu, die wirtschaftliche Leistungsfähigkeit der Cyberversicherer im Fall eines Cyber-GAUs nicht zu gefährden“, erläutert der Verband.
Ich bin mal gespannt wie sich dieser Nebenschauplatz entwickelt, denn das Statement der GDV macht diese Art von Versicherung, in meinen Augen, zu einer Art Homöopathie.
Anders als in den USA haben Unternehmen in der EU keine eigenen Grundrechte. Es ist völlig abwegig, dass ein Gericht in Deutschland oder der EU ein Gesetz wie ich es beschrieben habe als grundsätzlich rechtswidrig verwerfen würde. Nur mal ein Beispiel: das Lieferkettengesetz wurde in Deutschland von Wirtschaftsvertretern als Ende des Abendlandes verschrien, das völlig unverhältnismäßige Kosten erzeuge. Geklagt hat dagegen meines Wissens nach keiner, weil es eben zu den Kernkompetenzen des Gesetzgebers gehört Unternehmen vorzuschreiben wie sie handeln dürfen. Selbst wenn diese Vorschriften objektiv dumm wären (was eine Sorgfaltspflicht bei kritischer Software wohl kaum wäre).
Ist das so? Ich bin bislang davon ausgegangen, dass Windows für Unternehmenskunden Crowdstrike beinhaltet. Aber vielleicht liege ich da falsch. Dann hast du natürlich recht.
In diesem Fall tatsächlich:
Der Kunde installiert die entsprechende Software und über das Cloudportal von Crowdstrike bekommt das Unternehmen dann von den Clients Rückmeldungen. Die Grundidee dahinter ist, dass im Falle eines Alarms der Client sofort in Quarantäne gesetzt wird.
Ähnliche Modelle werden auch von Sophos und anderen Anbietern angeboten, mit unterschiedlichen Schwerpunkten, aber immer wird das on top installiert und über die anbietereigene Cloud überwacht.
Es liegt dabei in der Natur der Sache, dass diese Programme tief in die Struktur des Betriebssystems eingreifen und als Basisdienst dann schon beim Boot mitstarten und parallel laufen. Ähnlich wie Virenscanner, aber noch viel mehr Überwachungen gegen „unübliches Verhalten“ wie zum Beispiel ungewöhnlicher Datenverkehr, plötzliche Verschlüsselungsaktivitäten (Ransomware) inkl. Stopp und Rollback etc.
Die Updates dieser Software laufen dann vom Anbieter rollierend, wie der Normaluser Updates von seinem Virenscanner bekommt. Das läuft ja auch im Hintergrund. Insofern muss man dem Anbieter schon sehr vertrauen.
Wie gesagt, Microsoft selbst ist bei solcher Third-Party-Software raus. Die ganze Security-Geschichte ist mittlerweile ein kompliziertes Feld geworden - daher ja auch diese Anbieter.
Microsoft gibt EU Mitschuld am Crowdstrike-Debakel
Na irgendeiner muss ja Schuld sein. Die schlechte Software kann es nicht sein, also die EU. Finde die Logik, die da von MS an den Tag gelegt wird zwingend. /s
Für die, die den Link nicht anklicken wollen: Microsoft wurde 2009 verpflichtet, Sicherheitssoftwareherstellern APIs anzubieten und diese zu dokumentieren, da Microsoft den Windows Defender bevorzugt behandelte.
Wenn man zurückdenkt, wie oft es zu Abstürzen kam damals weil Windows Sicherheitssoftware ausbremste, hinkt der Vergleich nicht, sondern braucht dringend einen Rollstuhl.
Nein, nur wenn man Defender for Enterprise lizenziert hat oder eine entsprechende M365-Lizenz, bekommt man von MA halt den Defender for Enterprise der macht dasselbe wie Crowdstrike plus der Überwachung der eigenen M365-Umhebung (Exchange, OneDrive, SharePoint etc).
Ist auch eigentlich Microsoft Dynamics (Cloud-Lösung) bei der man sich aktiv für diesen externen Zusatzservice entscheiden muss. Es ist absoluter Standard und auch eingefordert von der EU etc, dass auf solchen großen Plattformen auch externe Anbieter drauf dürfen. Ein solcher ist Crowdstrike.