Ein Richter in den Vereinigten Staaten hat der Fluggesellschaft Delta Air Lines gestattet, mehrere Kernforderungen in ihrer Klage gegen das Cybersicherheitsunternehmen CrowdStrike weiterzuverfolgen. Die Klage resultiert aus einem Software-Update, das im vergangenen Jahr angeblich einen massiven Ausfall in den Systemen von Delta verursacht hat und der Fluggesellschaft nach eigenen Angaben Kosten von mehr als 500 Millionen US-Dollar verursacht haben soll.
Mit einer Gerichtsanordnung vom 16. Mai wies Richter Kelly Lee Ellerbe vom Superior Court des Fulton County den Antrag von CrowdStrike auf teilweise Abweisung der Klage von Delta ab. Die Klage wirft dem Cybersicherheitsanbieter unter anderem grobe Fahrlässigkeit, unbefugtes Eindringen in Computersysteme und Betrug vor. Der Fall dreht sich um ein fehlerhaftes Software-Update vom Juli 2024, das laut Delta den Betrieb der Fluggesellschaft lahmlegte und zur Streichung von 7.000 Flügen führte.
Delta argumentiert, das Update habe Sicherheitsvorkehrungen umgangen und unautorisierte, ungetestete Programmierung eingeschleust, die zu weit verbreiteten Abstürzen in Systemen führte, die Microsoft Windows betrieben, darunter Flughafenanzeigen und Mitarbeiterarbeitsplätze. Die Klage behauptet, das Update habe „Millionen von Menschen auf der ganzen Welt negativ beeinflußt“.
Gericht sieht genügend Gründe für weitere Prüfung der Vorwürfe
CrowdStrike räumte zwar Fehler in dem Update ein, argumentierte jedoch, daß Deltas Schadenersatzansprüche nach dem Recht von Georgia unzulässig seien. Das Unternehmen beteuert, im Rahmen einer Abonnementvereinbarung die Genehmigung gehabt zu haben, auf Deltas Systeme zuzugreifen und diese zu aktualisieren.
Das Gericht in Atlanta befand jedoch, daß Deltas Vorbringen ausreichend sei, um Ansprüche auf unbefugten und rücksichtslosen Zugriff zu stützen, insbesondere angesichts der Behauptungen, CrowdStrike habe heimlich seinen Update-Auslieferungsmechanismus geändert, um die behördliche Kontrolle zu umgehen. Der Richter merkte an, daß Deltas Behauptungen über verheimlichte Handlungen, potenziellen Betrug und grobe Fahrlässigkeit eine weitere Prüfung rechtfertigten.
Die Entscheidung erlaubt es der ursprünglich im Oktober 2024 eingereichten Klage, in die Beweisaufnahme und das Gerichtsverfahren einzutreten, mit Ausnahme von zwei zurückgezogenen Ansprüchen und Teilen von Deltas Betrugsvorwürfen, die aufgrund vertraglicher Beschränkungen abgewiesen wurden.
CrowdStrike und Delta äußern sich zuversichtlich zum Ausgang des Verfahrens
In einer Stellungnahme gegenüber Reuters zeigte sich Michael Carlinsky, der Anwalt von CrowdStrike, zuversichtlich, daß der Richter Deltas Fall als unbegründet ansehen oder den Schadenersatz gemäß dem Recht von Georgia auf einen „einstelligen Millionenbetrag“ begrenzen werde.
Delta teilte Reuters mit, daß die Fluggesellschaft mit der Entscheidung zufrieden sei und weiterhin von den Erfolgsaussichten ihres Falles überzeugt bleibe. Der Rechtsstreit beleuchtet die potenziellen Folgen fehlerhafter Software-Updates in kritischen Infrastrukturen und die damit verbundene Frage der Verantwortlichkeit von Softwareanbietern. Der Ausgang des Verfahrens könnte präzedenzbildend für ähnliche Fälle in der Zukunft sein.
and 