Blue Screen of Death – Wie weit geht die Haftung des Softwareherstellers?

Jeder Windows-Benutzer kennt den berüchtigten „Blue Screen of Death“ (BSoD): Ein kritischer Systemfehler verursacht einen Totalausfall des Computers. Was bei dem Privatbenutzer zu Frust führt, kann für große Organisationen katastrophal sein. Wer muss dafür haften?

Der CrowdStrike-Ausfall

Auf den Bildschirmen von 8,5 Millionen Computern zeigte ein BSoD am 19. Juli 2024, dass nichts mehr ging. Weltweit waren Behörden, Banken, Flughäfen, Krankenhäuser und Unternehmen aller Größen und Branchen von dem Ausfall betroffen. (Bei der Deutschen Bahn dagegen liefen die IT-Systeme nach eigener Auskunft reibungslos.) Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stufte den Ausfall zunächst als „3 / Orange“ ein: „Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs.“ Doch entgegen ersten Vermutungen hatte kein Hackerangriff die Ausfälle verursacht, sondern ein Fehler in einem Routine-Update der Sicherheitssoftware „Falcon“. Der Hersteller CrowdStrike konnte den Kunden schnell eine Umgehungslösung zur Verfügung stellen, damit die Computer nach einigen Stunden intensiver Arbeit der IT-Abteilungen wieder in Betrieb genommen werden konnten. Trotzdem stellte der IT-Sicherheitsforscher Troy Hunt auf der Plattform X fest: „I don’t think it’s too early to call it: this will be the largest IT outage in history.“ Die Wirtschaftsweise Veronika Grimm schätzte vorläufig, dass der CrowdStrike-Ausfall weltweit einen Milliardenschaden anrichtete.

Wer ersetzt den Schaden?

Nachdem die Computer wieder zum Laufen gebracht wurden, werden die betroffenen Kunden Schadensersatz für den Ausfall und die massive Störung ihrer Prozesse, Produktion und Kommunikation verlangen. Falls eine Betriebsunterbrechungs- oder Cyberversicherung nicht einsteht, können sie versuchen, den Hersteller CrowdStrike oder einen Dienstleister, der die Software in ihren IT-Systemen implementiert hat, in Anspruch zu nehmen. Die Sach- und Rechtslage sieht einfach aus: Die Software muss den Zweck erfüllen, für den sie entwickelt und auf den Markt gebracht wird, und sie muss ohne Störungen und Ausfälle funktionieren. Der Hersteller ist verpflichtet, bestehende Programmfehler und Sicherheitslücken mit Patches, Updates und neuen Releases zu beheben. Wenn das nicht gelingt, kann der Kunde die zu zahlende Lizenzgebühr reduzieren oder den gesamten Vertrag rückabwickeln, indem er die Software nicht mehr benutzt und der Hersteller die Lizenzgebühr vollständig erstattet. In einem Fall wie dem CrowdStrike-Ausfall ist der Schadensersatzanspruch des Kunden gegen den Hersteller besonders relevant, aber auch problematisch: Zuerst muss der Kunde beweisen, dass die Software tatsächlich mangelhaft ist und den Absturz des Computers verursacht hat. Möglich wäre aber auch, dass die Software mangelfrei ist und stattdessen Störungen der Hardware und Netzwerke, Malware oder Bedienfehler des Benutzers zu dem Ausfall geführt haben. Wenn feststeht, dass die Software einen relevanten Mangel hat, dreht sich die Beweislast und der Hersteller muss nachweisen, dass er den Mangel nicht zu vertreten hat, weil er bei der Entwicklung alle Normen und Best Practices berücksichtigt und die Software vor der Veröffentlichung intensiv getestet hat. In der Praxis sind sowohl der Kunde als auch der Hersteller in einer schwierigen Position, denn naturgemäß sind IT-Systeme hochkomplex und ein Ausfall kann viele Ursachen haben. Wenn nicht der Hersteller selbst – wie CrowdStrike – den Mangel der Software einräumt, kann es dem Kunden schwerfallen, die Ursache genau zu bestimmen. Andererseits sind die Anforderungen an die Softwareentwicklung sehr hoch und der Hersteller kann kaum beweisen, dass er wirklich alles Denk- und Zumutbare unternommen hat, um Mängel zu verhindern. 

Schaden? Welcher Schaden?

Wenn die Software nachweislich mangelhaft ist und der Hersteller dies zu verantworten hat, stehen Kunden, Hersteller und Rechtsanwender vor der Herausforderung, den Schaden zu ermitteln und zu beziffern. Im deutschen Recht gilt die Grundregel, dass der Hersteller den Kunden so stellen muss, als hätte es den Ausfall und den dadurch verursachten Schaden nicht gegeben. Dabei liegt das Problem auf der Hand: Vielleicht hatte der Kunde mit dem Ausfall erheblichen Ärger und konnte seine Computer stundenlang nicht benutzen, doch ohne dass ihm dadurch ein Schaden entstanden ist, den er konkret benennen und beziffern kann. Dagegen kann der Hersteller mit Schadensfällen konfrontiert werden, die er kaum absehen und beherrschen kann, wenn bei den Kunden Produktionsanlagen stillstehen, Lieferketten unterbrochen oder kritische Infrastrukturen gestört werden. Dazu kommen die Kollateralschäden der verärgerten Bankkunden und gestrandeten Urlauber, für die der Hersteller in der Konsequenz auch verantwortlich sein kann. Daher beschränken Hersteller in den Kundenverträgen ihre Haftung so weit wie möglich und die befassten Juristen können bestätigen, dass über diese Vertragsklauseln in der Regel intensiv verhandelt wird und große Projekte daran scheitern können, dass die Parteien keinen Kompromiss finden. In manchen IT-Verträgen wird postuliert, dass Software gar nicht mangelfrei sein kann und muss. Hinter diesem „as-is“ Disclaimer steht die Überlegung, dass der Hersteller für etwaige Mängel nicht verantwortlich gemacht werden kann, weil dem Kunden bewusst sein muss, dass es Mängel gibt und er die Software auf eigenes Risiko benutzt. Verbreitet ist auch die Bestimmung, dass die Software nicht für sicherheitskritische Anwendungen und Systeme verwendet werden darf, bei denen ein Ausfall schwerwiegende Folgen haben kann. In einem Fall wie dem CrowdStrike-Ausfall kann das zu dem Paradox führen, dass eine Sicherheitssoftware zum Schutz eines empfindlichen IT-Systems gerade nicht zu diesem Zweck eingesetzt werden soll und der Hersteller für etwaige Schäden nicht einstehen will. Aus Sicht des Herstellers ist es auch sinnvoll, mit dem Kunden zu vereinbaren, dass die Höhe des Schadensersatzes auf den Betrag der Vergütung beschränkt wird, damit der Ertrag aus der Vermarktung der Software in einem angemessenen Verhältnis zu dem Haftungsrisiko steht. 

Man trifft sich vor Gericht

Privatbenutzer werden ihren Ärger meistens herunterschlucken, doch die Geschäftsführung eines Finanzinstituts oder Industrieunternehmens kann massive Schadensfälle nicht einfach beiseitelegen. Nach dem CrowdStrike-Ausfall werden weltweit Kunden und Rechtsanwälte testen, wie weit die Haftung eines Herstellers reicht und ob die rechtlichen Schutzwälle vor Gericht halten. International tätige Hersteller von Standardsoftware für den Massenmarkt müssen damit rechnen, dass sie von Kunden in verschiedenen Ländern mit unterschiedlichen Rechtsordnungen in Anspruch genommen werden und Verschärfungen wie Massenklagen und Strafschadensersatz drohen. Selbst wenn manche Klagen vor einem unzuständigen Gericht erhoben werden oder im Ergebnis keinen Erfolg haben, muss der Hersteller Prozessstrategien entwickeln, um Rechtsstreitigkeiten zu vermeiden und Klagen abzuwehren. Wegen der Komplexität der Sach- und Rechtslage können Gerichtsverfahren im IT-Recht sich über Jahre erstrecken und sowohl den Kunden als auch den Hersteller viel Zeit und Geld kosten. Man darf gespannt sein, welche juristischen Nachspiele der weltweite CrowdStrike-Ausfall haben wird.

Dieser Beitrag ist zuerst als Gastbeitrag bei Industry of Things am 12.08.2024 erschienen.