Dies sagte schon Frau Prof. Dauner-Lieb in meinem ersten Semester. Ein Blick ins Gesetz und in die Verträge erleichtert die Rechtsfindung. Vieles ist vertraglich vereinbart und kann mit dem entsprechenden Gesetz auf Rechtswirksamkeit geprüft und wenn nichts vereinbart ist greift eh die gesetzliche Regelung. Also schauen wir uns doch einmal die Terms of Use, EULA und Regelungen von Crowdstrike an.
AGB ein Blick
Also schauen wir doch einmal in die AGB und konkret sucht man immer in den Haftungsausschlüssen, für welche Unternehmen und in welchem Einsatz keine Haftung übernommen wird. Dies interessiert aktuell wohl auch viele interne Rechtsabteilungen. Normalerweise sollte dies im IT Demandprozess vor dem produktiven Einsatz vom Datenschützer, Compliance Office, Legal oder dem Einkauf schon gefunden werden.
Hier ein Zitat. Die fett markieren Stellen kommen von mir:
„8.6 Haftungsausschluss. MIT AUSNAHME DER AUSDRÜCKLICHEN GEWÄHRLEISTUNGEN IN DIESEM ABSCHNITT 8 LEHNEN CROWDSTRIKE UND SEINE VERBUNDENEN UNTERNEHMEN ALLE ANDEREN GEWÄHRLEISTUNGEN AB, OB AUSDRÜCKLICH, STILLSCHWEIGEND, GESETZLICH ODER ANDERWEITIG. CROWDSTRIKE UND SEINE VERBUNDENEN UNTERNEHMEN UND LIEFERANTEN LEHNEN IM GRÖSSTMÖGLICHEN NACH GELTENDEM RECHT ZULÄSSIGEN UMFANG AUSDRÜCKLICH ALLE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK, DER RECHTEINHABERSCHAFT UND DER NICHTVERLETZUNG VON RECHTEN DRITTER IN BEZUG AUF DIE CROWDSTRIKE-ANGEBOTE UND CROWDSTRIKE-TOOLS AB. ES GIBT KEINE GEWÄHRLEISTUNG, DASS DIE ANGEBOTE ODER CROWDSTRIKE-TOOLS FEHLERFREI SIND ODER DASS SIE OHNE UNTERBRECHUNG FUNKTIONIEREN ODER BESTIMMTE ZWECKE ODER BEDÜRFNISSE DES KUNDEN ERFÜLLEN. DIE CROWDSTRIKE-ANGEBOTE UND CROWDSTRIKE-TOOLS SIND NICHT FEHLERTOLERANT UND NICHT FÜR DEN EINSATZ IN GEFÄHRLICHEN UMGEBUNGEN AUSGELEGT ODER VORGESEHEN, DIE EINE AUSFALLSICHERE LEISTUNG ODER EINEN AUSFALLSICHEREN BETRIEB ERFORDERN. WEDER DIE ANGEBOTE NOCH DIE CROWDSTRIKE-TOOLS SIND FÜR DEN BETRIEB VON FLUGZEUGNAVIGATION, NUKLEARANLAGEN, KOMMUNIKATIONSSYSTEMEN, WAFFENSYSTEMEN, DIREKTEN ODER INDIREKTEN LEBENSERHALTENDEN SYSTEMEN, FLUGVERKEHRSKONTROLLE ODER ANWENDUNGEN ODER ANLAGEN BESTIMMT, BEI DENEN EIN AUSFALL ZU TOD, SCHWEREN KÖRPERVERLETZUNGEN ODER SACHSCHÄDEN FÜHREN KÖNNTE. Der Kunde stimmt zu, dass es in der Verantwortung des Kunden liegt, die sichere Nutzung eines CrowdStrike-Angebots und der CrowdStrike-Tools in solchen Anwendungen und Installationen zu gewährleisten. CROWDSTRIKE ÜBERNIMMT KEINE GARANTIE FÜR PRODUKTE ODER LEISTUNGEN VON DRITTANBIETERN.“ Quelle: Terms and Conditions – DE – UI Template – June 2024 – crowdstrike.com
Auswirkungen
Ein Einsatz ist damit untersagt bei
- Infrastrukturen, die AUSFALLSICHERE LEISTUNG ODER EINEN AUSFALLSICHEREN BETRIEB ERFORDERN
- Infrastrukturen, wie
- FLUGZEUGNAVIGATION, NUKLEARANLAGEN, KOMMUNIKATIONSSYSTEMEN, WAFFENSYSTEMEN, DIREKTEN ODER INDIREKTEN LEBENSERHALTENDEN SYSTEMEN, FLUGVERKEHRSKONTROLLE ODER ANWENDUNGEN ODER ANLAGEN BESTIMMT
- kritischen Infrastrukturen insgesamt
außer man trägt das Risko zu 100% selber. In der Regel ist dies ein kompletter Ausschluss Crowdstrike überhaupt einzusetzen, da sie sich hier aus der Haftung ziehen.
Leider ist dies bei massiven Flugausfällen, Krankenhäusern und anderen betroffenen Bereichen entweder nicht gelesen worden oder man hat bewusst darüber hinweggesehen.
Es wird langsam Zeit, dass NIS2 greift und man wirklich bei der Cybersecurity durchgreift und insbesondere bei den Security Herstellern begonnen, die selbst oft die Anforderungen nicht einhalten.
Links
Terms of Use
CrowdStrike Software Terms of Use | CrowdStrike
Terms of Conditions
CrowdStrike Terms And Conditions | CrowdStrike
DE: Terms and Conditions – DE – UI Template – June 2024 – crowdstrike.com
Download der EULA for Governance über diverse Accounts auf X möglich, wie hier:
https://x.com/JusticeRage/status/1815499230674641157 (externer Link!)