CrowdStrike-Panne: Delta fordert 500 Millionen Dollar
Das fehlerhafte Update der Sicherheits-Software von CrowdStrike, durch das am 19. Juli etwa 8,5 Millionen Windows-Rechner lahmgelegt wurden, hat ein juristisches Nachspiel. Die US-Fluggesellschaft Delta fordert nun 500 Millionen Dollar als Entschädigung von CrowdStrike und Microsoft.
Von Wade Tyler Millward (CRN USA)
In den USA hat ein Kleinkrieg zwischen Delta Airlines und dem Security-Anbieter CrowdStrike begonnen. In einem Schreiben vom Donnerstag, das CRN (USA) vorliegt, sagt Delta-Anwalt David Boies, dass CrowdStrikes Entschuldigung völlig unzureichend sei. Das Schreiben werde von "…falschen Behauptungen und Versuchen begleitet, die Schuld auf Delta zu schieben".
Das Schriftstück ist von Boies unterzeichnet und an den Anwalt Michael Carlinsky gerichtet, der CrowdStrike vertritt und der zuvor ein Schreiben an Delta mit Sitz in Atlanta geschickt hatte, in dem der in Austin (US-Bundesstaat Texas), ansässige Sicherheitsanbieter "jegliche Behauptung, er habe grob fahrlässig gehandelt oder vorsätzliches Fehlverhalten begangen, entschieden zurückweist".
Boies sagte, dass Delta "immer noch daran arbeitet, das volle Ausmaß dessen zu verstehen, was CrowdStrike getan (und nicht getan) hat, was zu dem Desaster geführt hat, von dem jeder auf der Welt außer CrowdStrike zu wissen scheint, dass es stattgefunden hat."
380 Millionen Dollar Schaden
"Anstatt weiterhin zu versuchen, sich der Verantwortung zu entziehen, würde ich hoffen, dass CrowdStrike sofort alles, was es weiß, mitteilen würde", sagt Anwalt David Boies. "Es wird sowieso alles in einem Rechtsstreit ans Licht kommen. Wenn CrowdStrike wirklich versucht, eine Klage von Delta zu vermeiden, dann muss es echte Verantwortung für seine Handlungen übernehmen und Delta für den schweren Schaden entschädigen, den es dem Geschäft, dem Ruf und dem guten Ruf von Delta zugefügt hat."
Am Donnerstag gab Delta in einem behördlichen Bericht bekannt, dass das fehlerhafte CrowdStrike-Update dem Unternehmen direkte Umsatzkosten in Höhe von 380 Millionen Dollar verursacht hat. Delta-CEO Ed Bastian erklärte, dass Delta "rechtliche Ansprüche gegen CrowdStrike und Microsoft geltend macht, um den durch den Ausfall verursachten Schaden in Höhe von mindestens 500 Millionen Dollar zu ersetzen."
Auf Anfrage von CRN erklärte ein Sprecher von CrowdStrike in einer Stellungnahme, dass "Delta weiterhin eine irreführende Darstellung verbreitet". Der Sprecher beschrieb auch die Schritte, die der Sicherheitsanbieter unternommen hat, um der Fluggesellschaft während des Ausfalls zu helfen.
Wie CrowdStrike schickte auch Microsoft einen Brief an Delta. Darin behauptet der Tech-Gigant, dass "Delta wahrscheinlich die Hilfe von Microsoft abgelehnt hat, weil das IT-System, das am meisten Probleme bei der Wiederherstellung hatte - das System zur Verfolgung und Planung der Besatzung - von anderen Technologieanbietern wie IBM gewartet wurde, weil es auf den Systemen dieser Anbieter und nicht auf Microsoft Windows oder Azure läuft. Auf die Frage von CRN nach Deltas behördlichem Antrag und dem Brief an CrowdStrike verwies ein Microsoft-Sprecher auf den Brief des Tech-Giganten aus Redmond, Washington, an Delta. CRN hat Delta gefragt, ob es ein Antwortschreiben an Microsoft geschickt hat.
Delta antwortet auf CrowdStrike-Brief
In Deltas Antwort an CrowdStrike sagte Boies, dass die Bezeichnung der Auswirkungen des fehlerhaften Updates als "Vorfall" oder "Ausfall" die "internationale Katastrophe, die es (CrowdStrike) verursacht hat", herunterspielt. Er sagte, diese Verharmlosung habe Delta "überrascht und enttäuscht" und warf CrowdStrike vor, dem Opfer die Schuld zuzuweisen.
37.000 Delta-Computer lahmgelegt
Das fehlerhafte Update "legte mehr als 37.000 Computer lahm und brachte die Reisepläne von mehr als 1,3 Millionen Delta-Kunden durcheinander", so Boies in dem Schreiben. "Tausende von Besatzungsmitgliedern" wurden für einen längeren Zeitraum von ihren geplanten Aufträgen abgezogen".
"Es gibt keine Grundlage - keine - für die Annahme, dass Delta in irgendeiner Weise für die fehlerhafte Software verantwortlich war, die Systeme auf der ganzen Welt zum Absturz brachte", heißt es in dem Schreiben. "Als die Katastrophe eintrat, arbeiteten engagierte Delta-Mitarbeiter im gesamten Unternehmen unermüdlich daran, den von CrowdStrike verursachten Schaden zu beheben. Ihre Bemühungen wurden durch das Versäumnis von CrowdStrike behindert, umgehend eine automatische Lösung oder die zur Erleichterung dieser Bemühungen erforderlichen Informationen bereitzustellen."
Der Anwalt sagte, dass die Handlungen von CrowdStrike den Grad der "groben Fahrlässigkeit oder des vorsätzlichen Fehlverhaltens" erreichten. Der Vertrag mit Delta "begrenzt nicht die Haftung oder den Schadenersatz für grobe Fahrlässigkeit oder vorsätzliches Fehlverhalten".
Boies behauptet, dass CrowdStrikes vorläufige Überprüfung nach dem Vorfall (PIR) und die Ursachenanalyse (RCA) dies bestätigen. Die PIR besagt, "dass CrowdStrike das fehlerhafte Update nicht ordnungsgemäß validiert oder getestet hat und sich stattdessen auf Tests anderer, früher veröffentlichter Komponenten seines Falcon-Systems verlassen hat", so Boies.
Hilfe für Delta
Laut Anwalt Boies bestand die Hilfe von CrowdStrike in den ersten 65 Stunden nach dem Vorfall lediglich darin bestand, "Delta auf die öffentlich zugängliche Website von CrowdStrike zur Behebung des Problems zu verweisen, auf der Delta angewiesen wurde, jeden einzelnen betroffenen Computer manuell neu zu starten."
Boies bezeichnete ein "einziges Unterstützungsangebot" von CrowdStrike-CEO George Kurtz an Delta-CEO Ed Bastian am Abend des 22. Juli als "wenig hilfreich und unzeitgemäß".
"Als das Angebot gemacht wurde - fast vier Tage nach Beginn der CrowdStrike-Katastrophe - hatte Delta seine kritischen Systeme und die meisten anderen Maschinen bereits wiederhergestellt", sagte Boies. "Viele der verbleibenden Maschinen befanden sich in sicheren Flughafenbereichen, für die eine behördliche Zugangsgenehmigung erforderlich war. Zu diesem Zeitpunkt war das Vertrauen von Delta in CrowdStrike natürlich erschüttert."
In der per E-Mail an CRN gesendeten Erklärung von CrowdStrike sagte ein Sprecher, dass Kurtz "innerhalb von vier Stunden nach dem Vorfall am 19. Juli das Delta-Vorstandsmitglied David DeWalt angerufen" habe.
"Der Chief Security Officer von CrowdStrike stand innerhalb weniger Stunden nach dem Vorfall in direktem Kontakt mit dem CISO von Delta, um Informationen zu liefern und Unterstützung anzubieten", so der Sprecher. "Die Teams von CrowdStrike und Delta arbeiteten innerhalb weniger Stunden nach dem Vorfall eng zusammen, wobei CrowdStrike technischen Support bot, der über das hinausging, was auf der Website verfügbar war."