Die nationale und internationale Berichterstattung war in den vergangenen Wochen „gut gefüllt“ vom vermeintlich größten IT-Ausfall aller Zeiten – die Rede ist vom Vorfall Crowdstrike. Im nachfolgenden Beitrag wollen wir kurz den Vorfall näher beleuchten und anschließend der Frage nachgehen, welche Bedeutung derartige Konstellationen für die Informationssicherheit und den Datenschutz haben können.
Was war eigentlich passiert?
Am 19. Juli 2024 kam es durch ein fehlerhaftes Update des Sicherheitsanbieters Crowdstrike weltweit zu Millionen von Störungen und Ausfällen bei Microsoft-Systemen. Betroffen waren Organisationen in zahlreichen Branchen, darunter auch Betreiber Kritischer Infrastrukturen, d.h. Flughäfen, Krankenhäuser, Behörden und eine Vielzahl weiterer Organisationen. Medial viral gingen Bilder von sogenannten Bluescreens.
Ursache für die Ausfälle ist offenbar ein fehlerhaftes Update des Herstellers Crowdstrike im Produkt Crowdstrike Falcon, einer weit verbreitete Enterprise Detection und Response (EDR) Schutzsoftware für Endgeräte. Die IT-Sicherheitslösung von Crowdstrike wird von zahlreichen weiteren IT-Diensten genutzt, die in der Folge ausgefallen sind. Weitere Schilderungen und Informationen wurden durch das BSI zur Verfügung gestellt. Cyberkriminelle nutzen die Vorfälle für unterschiedliche Formen von Phishing, Scam oder Fake-Webseiten aus. Berichten zufolge gibt es jedoch auch zahlreiche Organisationen, die vom Vorfall nicht betroffen waren, obwohl die mutmaßlichen Gründe hierfür nicht unbedingt ein sicheres Gefühl vermitteln.
Ebenso haben sich Claudia Plattner, Präsidentin des BSI, und Manuel Atug, Gründer und Sprecher der Arbeitsgruppe Kritische Infrastrukturen, zu den IT-Ausfällen geäußert. Crowdstrike selbst veröffentlichte im Anschluss zeitnah eine Ursachenanalyse. Der Digitalverband Bitkom und das BSI haben in der Folge eine Umfrage veröffentlicht, die darauf abzielt in welcher Form Unternehmen von dem Vorfall betroffen waren und ob Notfallpläne zur Verfügung standen und welche Maßnahmen ergriffen wurden.
Eine rechtliche Einordnung
Als Folge des Vorfalls werden nunmehr viele Fragen rund um eine mögliche Haftung von Crowdstrike diskutiert. In Betracht gezogen werden neben vertraglichen Ansprüchen auch das Produkthaftungs- sowie das Datenschutzrecht. Einer der Streitpunkte sind hier insbesondere die AGB von Crowdstrike. Eine mögliche Darstellung zur Sachlage gibt es hier. Offene Fragen gibt es außerdem hinsichtlich der Verantwortlichkeit von Microsoft und einer möglichen Überprüfungspflicht gegenüber des eingesetzten Unterauftragsverarbeiters Crowdstrike.
An dieser Stelle möchten wir mit der Betrachtung tiefer einsteigen. Es soll im Kern weder um mögliche Haftungsansprüche noch um eine vertiefte Auseinandersetzung mit dem Fall Crowdstrike gehen. Vielmehr wollen wir der Frage nach den grundsätzlichen bestehenden Verantwortlichkeiten aus dem Recht der Informationssicherheit und insbesondere dem Datenschutzrecht nachgehen.
Zur Ausgangssituation: Eine umfassende und übergreifende Pflicht zur Herstellung von Informationssicherheit besteht nicht. Ebenso wenig erschöpft sich das Recht der Informationssicherheit in einer einzigen Rechtsquelle. Mit Blick auf die aktuelle Normenlandschaft wird jedoch klar, dass in der Informationssicherheit umfassende Pflichten bestehen. Diese folgen zum Beispiel aus dem Gesellschaftsrecht, dem Datenschutzrecht, branchen- und sektorspezifischen Vorgaben usw. Für Beauftragung von Dienstleistern gibt es aus Organisationssicht ebenfalls eine Reihe von Gründen. Hierzu gehören allen voran die steigende Komplexität von Prozesse und den dazugehörigen Anwendungen sowie die rasant voranschreitende Technologieentwicklung und nicht zu vergessen die kontinuierlichen wachsenden rechtlichen Anforderungen an die Informationssicherheit.
Insbesondere im Bereich der Cybersicherheit bzw. IT-Sicherheit wächst das Bedürfnis aufgrund der aktuellen Bedrohungslage sich mit externen Fachdienstleistern vermeintlich sicher aufzustellen. Organisationen hegen dabei ein großes Interesse an der Erfüllung von Informationssicherheitspflichten durch die jeweiligen Vertragspartner, um so unter anderem mögliche Haftungsrisiken zu steuern.
Insofern Organisationen entsprechenden Pflichten unterliegen, werden sie bei der Inanspruchnahme von Dienstleistern bestrebt sein, den jeweilig beauftragten Vertragspartner auf die Einhaltung der bestehenden Informationssicherheitspflichten zu verpflichten und diese mithin „in der Kette“ weiterzugeben beziehungsweise durchzureichen. Hierbei ist jedoch zu berücksichtigen, dass die auslagernden Organisationen auch bei der Erfüllung der Informationssicherheitsvorgaben durch ihre Auftragnehmer nicht gänzlich von den bestehenden Pflichten entbunden werden. Die grundlegende Verantwortung kann gerade nicht entlang der Kette weitegereicht werden. Es verbleiben insoweit mindestens Überprüfungs- und zuweilen auch Nachweispflichten. Mit der Erforderlichkeit zur Prüfung von Dienstleistern aus Sicht der Informationssicherheit haben sich mein Kollege Max Just und ich uns in unserem Beitrag zum 20. Deutschen IT-Sicherheitskongress bereits vertieft auseinandergesetzt. Interessierte können hier jederzeit nachlasen.
Schwenken wir nun zum Datenschutzrecht: Im Rahmen einer Auftragsverarbeitung kann sich eine Prüfpflicht bereits aus Art. 28 Abs. 1 DS-GVO (Geeignetheit des Auftragsverarbeiters) und einem bestehenden Haftungsrisiko des Verantwortlichen ergeben. Weiter ergeben sich für die Auftragsverarbeiter nach Art. 28 Abs. 2 und Abs. 4 DS-GVO Pflichten zur Überprüfung und Beaufsichtigung der eingesetzten Unterauftragnehmer. Ebenso ist Art. 32 DS-GVO mit seiner Verpflichtung für eine angemessene Sicherheit der Verarbeitung zu sorgen, heranzuziehen. Diese Verpflichtung adressiert Verantwortliche sowie auch Auftragsverarbeiter.
Mit Blick auf das Datenschutzrecht gibt es hier ein anschauliches Interview zwischen netzpolitik.org und Dr. Stefan Brink, dem ehemaligen Landesdatenschutzbeauftragten von Baden-Württemberg, in dem mögliche datenschutzrechtliche Folgen betrachtet werden. Es wird aber deutlich hervorgehoben: „Datenschutzrechtlich kann sich Microsoft gegenüber seinen Kunden jedenfalls nicht darauf berufen, dass die Datenverarbeitungspanne nicht von ihnen, sondern von einem Sub-Unternehmer zu verantworten wäre. Als Auftragsverarbeiter ersten Ranges treffen Microsoft stets die vollen datenschutzrechtlichen Pflichten. […] Wirtschaftlich mag sich das Risiko von Datenverarbeitungen verschieben lassen, datenschutzrechtlich bleibt der „Verantwortliche“, also der Vertragspartner des Endkunden, immer in der Haftung.“ Eine Entlastung von Rechtsverstößen der Dienstleister sei daher ausgeschlossen.
Fazit
Was bleibt? „Aus den Augen aus dem Sinn“ gilt in der Informationssicherheit gerade nicht. Es ist unumgänglich, dass Organisationen auch bei Auslagerung von Prozessen oder Leistungen dennoch für die Einhaltung der Vorgaben der Informationssicherheit und damit auch des Datenschutzes verantwortlich bleiben. Vorfälle wie bei Crowdstrike müssen Organisationen einmal mehr vor Augen führen, dass ein „Durchreichen“ von Verantwortlichkeit nicht vollständig auf externe Auftragnehmer bzw. Dienstleister möglich ist.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.