Als im Juli das mittlerweile berüchtigte CrowdStrike-Softwareupdate Unternehmen auf der ganzen Welt lahmlegte, war es unvermeidlich, dass Klagen folgen würden – und das sind sie auch. Delta verklagt das Unternehmen Die Forderung nach bis zu 500 Millionen Dollar Schadenersatz und die Beauftragung des Anwalts David Boies ist vielleicht das bekannteste Beispiel.
Zu Boies‘ breitem Angebot an hochkarätige Kunden sind Theranos, Harvey Weinstein, Opfer von Jeffrey Epstein und Al Gore in Bush v. Gore rund um die Ergebnisse der Präsidentschaftswahlen 2000. Er leitete in den 1990er Jahren auch das Kartellverfahren der Regierung gegen Microsoft.
Schon bevor Delta sich meldete, wollten die Aktionäre ihr Pfund Fleisch und reichten eine Sammelklage gegen CrowdStrike mit der Begründung, das Unternehmen habe sie hinsichtlich seiner Software-Update-Verfahren in die Irre geführt.
CrowdStrike beauftragte seinerseits die Anwaltskanzlei Quinn Emanuel Urquhart & Sullivan, das Unternehmen gegen die erwartete Flut an Klagen zu verteidigen. Dies untermauerte die Annahme, dass die Anwälte mit diesem Fehler eine Menge Geld verdienen würden.
In geringerem Maße war Microsoft auch in die Schlacht gezogen weil das fehlerhafte CrowdStrike-Softwareupdate nur Windows-Rechner betraf.
Aber größtenteils muss CrowdStrike diese Last tragen und steht vor einer gewaltigen rechtlichen Herausforderung, sagt Rob Wilkins, der bei der Anwaltskanzlei Jones Foster in Florida arbeitet und dort die Praxisgruppe für komplexe Rechtsstreitigkeiten und Streitbeilegung leitet. Was CrowdStrike jedoch retten könnte, sind vertragliche Schadensbegrenzungen, die normalerweise in Unternehmenssoftwareverträgen enthalten sind.
„Was ich interessant fand, ist, dass es zwischen CrowdStrike und Delta eine vertragliche Schadensbegrenzung gibt, und ich gehe davon aus, dass es in den Verträgen der anderen Kunden eine ähnliche Art vertraglicher Schadensbegrenzung geben wird“, sagte Wilkins gegenüber Tech.
Delta behauptet jedoch, dass das fehlerhafte Software-Update grobe Fahrlässigkeit oder vorsätzliches Fehlverhalten seitens CrowdStrike, was möglicherweise die vertragliche Obergrenze ungültig machen könnte. Der Delta-Service wurde unterbrochen für fünf Tageverglichen mit United, das nur drei Tage mit CloudStrike-bedingten Verzögerungen zu kämpfen hatte. CrowdStrike sagt, dass Delta Probleme mit seine eigenen internen Systeme und dass das Unternehmen den gesamten Ausfall nicht auf das fehlerhafte Update von CrowdStrike zurückführen könne.
Wilkins sagt, Delta könnte Probleme haben, grobe Fahrlässigkeit oder vorsätzliches Fehlverhalten nachzuweisen, was eine erhebliche Beweislast mit sich bringt. Aktionäre, die das Unternehmen beschuldigen, irregeführt und sie betrogen haben, indem sie sie nicht vor dem Fehlen eines Softwaretestprogramms gewarnt haben, stehen auch vor erheblichen Herausforderungen, dies vor Gericht zu beweisen.
„Es läuft darauf hinaus: Hat CrowdStrike den Investoren absichtlich falsche Angaben gemacht oder es versäumt, ihnen mitzuteilen, dass es hinsichtlich aller Sicherheits- und Kontrollverfahren seiner Softwareplattform auf dem neuesten Stand ist?“, sagte Wilkins.
Wilkins sagt, dass die einzelnen Unternehmen, die CrowdStrike verklagen, sich wahrscheinlich zusammenschließen werden, um eine Sammelklage gegen das Unternehmen einzureichen, was auch immer passiert, da Einzelklagen für alle Beteiligten kostspielig und unhandlich werden. Es sei bemerkenswert, sagt er, dass Sammelklagen, sobald es sie gibt, dazu neigen, mehr Unternehmen anzuziehen, die sich beteiligen wollen.
„Bei Sammelklagen ist es normalerweise so, dass sich die Leute anhäufen, und es würde mich nicht überraschen, wenn das der Fall wäre. Dann sieht man, wie alles von der Multidistrict Litigation Panel zu einem einzigen Bundesbezirksgericht zusammengefasst wird, das alle Fälle im ganzen Land für alle Zwecke der Beweisaufnahme einem bestimmten Bundesbezirksgericht zuweist – und das verkürzt den Prozess erheblich“, sagte er.
Sobald dies geschehen ist, kommt es in der Regel zu einem „Leitprozess“, bei dem ein Fall als Präzedenzfall für alle anderen Kläger in der Sammelklage angesetzt wird. Wie auch immer die Jury entscheidet, dies ist ein Fahrplan für weitere Vergleiche. „Dann können Sie zu CrowdStrike zurückgehen und sagen: ‚Sehen Sie, Sie wurden von diesem einen Unternehmen um 20 Millionen Dollar betrogen, und wir haben 15 andere Unternehmen, die Sie in diesen Sammelklagen mit denselben Fakten usw. verklagen. Sie sollten sich einigen‘“, sagte er.
Ein weiterer erschwerender Faktor ist die Rolle der Versicherungsgesellschaften, die CrowdStrike und seine Kunden in diesen Fällen gegen mögliche Schäden absichern würden. Die Versicherungsgesellschaften der Kunden könnten auch gegen CrowdStrike vorgehen, um einen Teil der von ihnen geleisteten Zahlungen zurückzufordern.
„Wahrscheinlich gibt es eine Versicherung, und sie werden wahrscheinlich den Träger einschalten, und normalerweise verteidigen sie diese Dinge. Ich habe zwar ihre spezifische Police nicht gesehen, aber in den Cybersicherheitspolicen, die ich überprüft habe, würde diese Art von Fahrlässigkeit abgedeckt sein. Es hängt also davon ab, was sie haben und welche Ausschlüsse sie in ihrer Police haben, aber ich sehe, dass die Versicherung ein Teil davon ist.“
Neben den finanziellen Problemen gibt es laut Wilkins auch einen Reputationsfaktor. Je schneller das alles vorbei ist, desto schneller kann CrowdStrike vorankommen. Das Unternehmen hat gute Anwälte engagiert, um sich zu verteidigen, aber letzten Endes muss es sich mit seinen Aktionären und Kunden versöhnen, Beziehungen, die für den Erfolg eines jeden Unternehmens entscheidend sind.
„Mir scheint, dass sie die Sache mit dem Kampf angehen werden, aber auch mit dem Verständnis, dass sie das Problem wirklich lösen und weitermachen müssen. Das ist also, was ich erwarten würde.“