TOP

LOGIN
Der CrowdStrike-Vorfall – ein Warnschuss für Versicherer?
Cyber Risk, General Liability
February 19, 2025 Gerrit Drefke
Deutsch English

Am 19. Juli 2024 veröffentlichte das US‑amerikanische Cybersecurity-Unternehmen CrowdStrike ein fehlerhaftes Update für seine Falcon-Sensor-Sicherheits­software, das weltweit zu massiven IT‑Ausfällen führte. Das Update verursachte Abstürze bei etwa 8,5 Millionen Windows-Systemen, was erhebliche Störungen in verschiedenen Branchen verursachte, insbesondere bei Fluggesellschaften, Banken und Krankenhäusern.

Infolge eines Logikfehlers kam es durch das fehlerhaft Update zu einem Absturz und bei einem Neustart des Systems zu einem sog. Bluescreen of Death, wodurch es Nutzern nicht möglich war, das System ordnungsgemäß hochzufahren.1 Obwohl CrowdStrike schnell reagierte und einen Fix bereitstellte,2 mussten viele betroffene Systeme manuell repariert werden. Dies verlängerte den Ausfall teilweise um Tage.

Die finanziellen Schäden wurden auf mindestens USD 10 Milliarden geschätzt.3 Aufsehen­erregend waren insbesondere die Konsequenzen für die US‑amerikanische Airline Delta Air. Dort führte der Ausfall dazu, dass 7.000 Flüge annulliert werden mussten, wovon 1,3 Millionen Passagiere betroffen waren. Den daraus resultierenden Schaden, der auf über USD 500 Millionen beziffert wird, macht Delta Air nun mit einer Klage vor einem Gericht im US‑Bundesstaat Georgia gegen CrowdStrike geltend.4

Welche Versicherung könnte Deckung bieten?

Die geltend gemachten Schäden könnten über die Berufs­haftpflicht­versicherung (PI/E&O) oder die Manager-Haftpflicht­versicherung (D&O) von CrowdStrike gedeckt sein. Auch eine Cyberversicherung mit Third-Party-Versicherungs­schutz könnte getriggert werden, sofern CrowdStrike eine solche abge­schlossen hat.

Voraussetzung hierfür ist, dass CrowdStrike für die entstandenen Schäden haftet. Dies ist fraglich, da CrowdStrike die Haftung für Schäden, die durch den Gebrauch der Software in kritischen Umgebungen, die eine Fehlertoleranz von null erfordern, in den Allgemeinen Geschäftsbedingungen ausschließt:5

„Alle Produkte, produktbezogene Dienste oder Professional Services (CrowdStrike-Angebote) sowie die CrowdStrike-Tools sind nicht fehlertolerant und wurden nicht für den Einsatz in gefährlichen Umgebungen entwickelt und vorgesehen, in denen eine fehlerfreie Leistung oder Funktionsweise erforderlich ist. Weder die CrowdStrike-Angebote noch die CrowdStrike-Tools sind für den Einsatz in den folgenden Bereichen zugelassen: Flugzeugnavigation, Kernkraftanlagen, Kommunikations­systeme, Waffensysteme, direkte oder indirekte Lebens­erhaltungs­systeme, Waffensysteme, direkte oder indirekte Lebens­erhaltungs­systeme, Flugverkehrskontrolle und jegliche andere Nutzungen oder Anlagen, bei denen ein Ausfall zum Tod, zu schweren Körperverletzungen oder zu Sachschäden führen könnte. Der Kunde stimmt zu, dass es in seiner Verantwortung liegt, die sichere Nutzung der CrowdStrike-Angebote und der CrowdStrike-Tools in derartigen Anwendungen und Installationen sicherzustellen.“6

Insbesondere ausgeschlossen ist damit eine Haftung für den Einsatz in der Flugzeugnavigation, in Kommunikations­systemen, in lebenserhaltenden Systemen oder in der Flugsicherung. Krankenhäuser oder die Luftfahrt dürften sich somit nicht auf Programme mit CrowdStrike-Software verlassen.

Daneben besteht die Möglichkeit, dass die Schäden zumindest teilweise auch von den Geschädigten selbst begünstigt wurden, was wiederum zu einer Mithaftung führen würde. So ist es denkbar, dass bspw. eine langsame Reaktion der Geschädigten auf den Ausfall oder veraltete Technologie die Verzögerungen bei der Wiederaufnahme des Betriebs maßgeblich mitverursacht haben.7

Haftung nach der EU‑Produkthaftungs­richtlinie?

Die am 18. November 2024 im Amtsblatt der Europäischen Union veröffentlichte neue Produkt­haftungs­richtlinie der EU (RL 2024/2853)8 kommt zeitlich zu spät, um Geltung für diesen Fall zu entfalten. Im Übrigen sind hierdurch nur natürliche Personen anspruchsberechtigt. Bemerkenswert ist jedoch, dass nach Art. 4 RL 2024/2853 nun auch Software unter den Produktbegriff im Sinne der Richtlinie fallen soll, und der Anwendungsbereich entsprechende Software-Updates umfasst. Die Richtlinie ist nach Art. 2 Abs. 1 RL 20024/2853 erst ab dem 9. Dezember 2026 anwendbar.

Deckung der Schäden durch Versicherungen der Geschädigten?

Unabhängig davon, ob CrowdStrike selbst oder eine dort vorhandene Versicherung die Schäden übernehmen, besteht die Möglichkeit, dass eine Deckung durch Versicherungen der Geschädigten besteht.

In diesem Zusammenhang ist eine Deckung durch eine selbstständige Cyber­versicherung denkbar. Diese müsste das hier in Rede stehende Ereignis – das fehlerhafte Update von CrowdStrike – decken. Legt man die GDV-Musterbedingungen für die Cyberversicherung (AVB Cyber) zugrunde, dürfte es schon an einem „Eingriff in das informations­verarbeitende System des Versicherungsnehmers“ nach A1‑2.4, 3. Var. AVB Cyber fehlen.9 Darunter versteht man Vorfälle der unbefugten Nutzung der IT‑Systeme, z. B. einen Hackerangriff oder auch die Sabotage versicherter IT durch Mitarbeiter. Hierzu gehört auch die Fehlbedienung der Systeme.10 Werden die Schäden allerdings nicht durch eine Person, sondern unmittelbar durch eine fehlerhafte Software verursacht, ist dies kein Eingriff im Sinne der Bedingungen. Selbst wenn jedoch ein Eingriff angenommen würde, wäre der Unterbrechungs­schaden durch Software­fehler nach den A4‑1.2 lit. d) AVB Cyber ausgeschlossen.11 Der dort ebenfalls normierte Rückausschluss für „relevante Sicherheits­updates“ könnte greifen, sofern das „Sicherheits­update speziell die Sicherheits­lücken jener Software schließen soll, auf die es sich bezieht und wenn es nach den vom VN verwendeten Systemen oder der von ihm verwendeten Software von Bedeutung ist, weil gerade dort eine Sicherheits­lücke besteht oder aufgrund objektiver Anhaltspunkte zu vermuten ist“.12 CrowdStrike stellt eine Reihe von Sicherheits­softwareprodukten für Unternehmen her, die Computer vor Cyberangriffen schützen sollen, und verteilt hierzu regelmäßig Patches an seine Kunden, damit deren Computer gegen neue Bedrohungen gewappnet sind. Auch Sicherheits­updates sollten zunächst auf Verträglichkeit hin überprüft werden – das ist ein Ausfluss des Patch-Managements nach A1‑16.1 lit. d) AVB Cyber.13

Ob der Ausschluss nach A4‑1.2 lit. d) AVB Cyber greift, ist folglich eine Frage, über die zu entscheiden sein wird. Bei der Beantwortung dieser Frage ist zu berücksichtigen, dass die GDV-Muster­bedingungen erst seit etwa einem Jahr (Februar 2024) existieren.14 Bereits vorher bestehende Versicherungs­verträge haben ggf. abweichende Formulierungen in ihren Bedingungen. Insbesondere größere Unternehmen werden bei den Verhandlungen mit Cyber­versicherern Wert darauf gelegt haben, auch Schäden, die nicht durch Hacker verursacht wurden („non-malicous acts“) – wozu auch fehlerhafte Sicherheits­updates gehören – miteinzubeziehen.15

Neben der klassischen Cyber­versicherung könnte eine Deckung über eine Betriebs­unterbrechungs­police bestehen. Potenzielle Cyberrisiken können im Rahmen einer herkömmlichen Sachversicherungs­police gedeckt sein, die das Cyberrisiko möglicherweise nicht explizit ausschließt (sog. Silent Cyber).16 Hier ist jedoch zu bedenken, dass die Erstversicherer die Bedingungen – spätestens nach der Covid-Pandemie – dahingehend konkretisiert haben, dass Voraussetzung für eine Deckung ein Sach­substanz­schaden ist, der Unterbrechungs­schaden also auf einem Sachschaden beruht.17 Daten stellen jedoch keine Sache dar, weshalb eine Deckung über die Betriebs­unterbrechungs­versicherung ausgeschlossen sein dürfte.18

Fazit

Ob Schäden, die durch das fehlerhafte Update verursacht wurden, von einer Police gedeckt sind, hängt maßgeblich von der individuellen Ausgestaltung der Verträge ab. So kann eine Cyber­versicherung, die nicht nur auf Angriffe durch Hacker zielt, auch Deckung für Softwarefehler bieten. Dies wird jedoch eher die Ausnahme sein. Auch eine Deckung über Sachversicherungen dürfte nicht gegeben sein.

Ob die Schäden über eine von CrowdStrike abgeschlossene Versicherung ersetzt werden können, hängt entscheidend von der Haftungsfrage ab. Hier hat CrowdStrike einerseits mit dem beschriebenen Haftungs­ausschluss vorgesorgt und andererseits gute Argumente für ein Mitverschulden der Verwender der Software auf seiner Seite.

Fest steht, dass ein solcher Vorfall mit diesen massiven Auswirkungen jederzeit auch durch einen klassischen Cyberangriff ausgelöst werden kann. Führt man sich vor Augen, dass im Juli lediglich 1 % der Systeme, die Microsoft verwenden, betroffen waren, stellt sich die Frage, ob und inwieweit solche Vorfälle überhaupt deckungs­fähig sind.19

  1. Eikenberg, Kunz, Zota, CrowdStrike-Fiasko: Der Null Pointer ist Schuld, heise online v. 20.7.2024, https://www.heise.de/hintergrund/Fataler-Fehler-bei-CrowdStrike-Schuld-war-ein-Null-Pointer-9807896.html.
  2. Channel File 291 Incident: Root Cause Analysis is Available, CrowdStrike Blog v. 6.8.2024, https://www.crowdstrike.com/en-us/blog/channel-file-291-rca-available/#:~:text=Channel%20File%20291%20Incident%3A%20Root%20Cause%20Analysis%20is%20Available&text=On%20July%2019%2C%202024%2C%20as,resulted%20in%20a%20widespread%20outage.
  3. Wee, Here comes the wave of insurance claims for the CrowdStrike outage, Business Insider v. 22.7.2024, https://www.businessinsider.com/businesses-claiming-losses-crowdstrike-outage-insurance-billions-losses-cyber-policies-2024-7.
  4. Anz, Delta Air Lines verklagt CrowdStrike auf Millionen Schadensersatz, Inside IT v. 28.10.2024, https://www.inside-it.ch/delta-air-lines-verklagt-crowdstrike-auf-millionen-schadensersatz-20241028.
  5. CrowdStrike-Geschäftsbedingungen, https://www.crowdstrike.com/en-us/terms-conditions/.
  6. „8.6 Disclaimer: … The offerings and CrowdStrike tools are not fault-tolerant and are not designed or intended for use in any hazardous environment requiring fail-safe performance or operation. Neither of the offerings nor CrowdStrike tools are for use in the operation of aircraft navigation, nuclear facilities, communication systems, weapons systems, direct or indirect life support systems, air traffic control, or any application or installation where failure could result in death, severe physical injury, or property damage. Customer agrees that it is Customer’s responsibility to ensure safe use of an Offering and the CrowdStrike Tools in such applications and installations. …”. Übersetzung durch die Redaktion.
  7. Novet/Josephs, CrowdStrike sue each other over widespread IT outage that caused thousands of cancellations, CNBC v. 25.10.2024, https://www.cnbc.com/2024/10/25/delta-suit-against-crowdstrike-after-it-outage-caused-cancellations.html.
  8. Richtlinie (EU) 2024/2853 des Europäischen Parlaments und des Rates v. 23.10.2024 über die Haftung für fehlerhafte Produkte und zur Aufhebung der Richtlinie 85/374/EWG des Rates, https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:L_202402853.
  9. Schier, Nach IT‑Chaos – Warum die Versicherung vermutlich nicht zahlt, Handelsblatt, 23.7.2024, https://www.handelsblatt.com/finanzen/banken-versicherungen/versicherer/crowdstrike-nach-it-chaos-warum-die-versicherung-vermutlich-nicht-zahlt/100054839.html.
  10. Hoffman/Altundag, Die Cyber-Versicherung: Die Basics, CMS Blog, v. 6.11.2024, https://www.cmshs-bloggt.de/banking-finance/die-cyber-versicherung-die-basics/.
  11. Allgemeine Versicherungsbedingungen für die Cyberrisiko-Versicherung (AVB Cyber), Stand: Februar 2024, https://www.gdv.de/resource/blob/6100/a0fed56c4947751cdc20b5206c171d98/01-allgemeine-versicherungsbedingungen-fuer-die-cyberrisiko-versicherung-avb-cyber--data.pdf: A4.1,2 lit. d): Besondere Ausschlüsse: Vom Versicherungsschutz ausgeschlossen sind ohne Rücksicht auf mitwirkende Ursachen Unterbrechungsschäden … d) durch den Einsatz ungetesteter oder für den Einsatzzweck nicht freigegebener informationsverarbeitender Systeme oder Verfahren sowie Software. Dieser Ausschluss findet keine Anwendung, soweit es sich um relevante Sicherheitsupdates handelt …
  12. Rudkowski, Die AVB Cyber 2024 – Ein erster Überblick, VersR 2024, 606 f.
  13. Ebenda.
  14. GDV, Versicherungsschutz gegen Cyberangriffe – GDV veröffentlicht neue Musterbedingungen, 19.2.2024, https://www.gdv.de/gdv/medien/medieninformationen/versicherungsschutz-gegen-cyberangriffe-gdv-veroeffentlicht-neue-musterbedingungen--168132.
  15. Preuschat, CrowdStrike-Opfer gehen wohl leer aus, FAZ v. 22.7.2024. https://www.faz.net/aktuell/finanzen/crowdstrike-opfer-gehen-wohl-leer-aus-schaden-ist-schwer-einzuklagen-19871948.html.
  16. Marsh, Silent Cyber: What It Is and How You Can Cover Cyber Perils, 5.12.2019, https://www.marsh.com/en-gb/services/cyber-risk/expertise/silent-cyber-how-you-can-cover-perils.html.
  17. Hoffman/Altundag, a. a. O. (Fn. 9).
  18. OLG Brandenburg, Urt. v. 6.11.2019, Az.: 4 U 123/19.
  19. Why the CrowdStrike Incident Was Small and How Critical a Microsoft Outage Could Be, Teamwire, 1.8.2024, https://teamwire.eu/en/blog/why-the-crowdstrike-incident-was-small-and-how-critical-a-microsoft-outage-could-be/.

Alle Internetseiten wurden zuletzt am 3. Februar 2025 aufgerufen.

Tags:
Betriebshaftpflicht
Betriebsunterbrechung
Cyber
neue Risiken
Produkthaftung
Risikomanagement
Schaden
Technologie 

Gerrit Drefke

Claims Executive – Germany, Eastern Europe, North Africa

See All Articles