Als BSI werden wir auch mit weiteren Software-Herstellern Gespräche führen und die Maßnahmen weiterentwickeln. Was wir konkret auf Basis von Gesprächen, Auswertungen und Hersteller-Rückmeldungen entwickelt haben, findet ihr in unserer Pressemitteilung: 👉https://bsi.bund.de/dok/1117268
Wie sieht die Vereinbarung aus, betroffene Kunden für entstandene Schäden zu entschädigen?
Und ja, mir ist schon klar dass es für Software keine Produkthaftung, gibt, allerdings steht in den Maßnahmen nirgends dass man in diese Richtung tätig werden möchte.
@kobold Hallo Kobold, wir können keine allgemeingültigen Aussagen treffen, die eine zivilrechtliche Haftung von Crowdstrike bejahen oder verneinen. Betroffene Kunden sollten sich - falls vorhanden - an ihre Versicherungen wenden oder Kontakt zu ihrer Rechtsabteilung bzw. zu ihren AnwältInnen aufnehmen, um sich individuell beraten zu lassen. Das Thema Herstellerhaftung wird in dem noch nicht in Kraft getretenen Cyber Resilience Act geändert, d.h. die Rechte der Kundinnen und Kunden gestärkt.
Ich bezweifel dass es irgendwelche Verhaltensänderungen bei Firmen gibt, wenn es nicht sofort auf Budgets und Profits durchschlägt. Man kann viel mit MS und CS in Deutschland besprechen, wenn aber die HQs in den USA andere Meinung sind wird sich nichts ändern. Änderungen erfolgen nur via der Quartalsbilanzen.
Die tagelangen Computer-Ausfälle durch ein defektes Update der IT-Sicherheitsfirma Crowdstrike haben die US-Airline Delta eine halbe Milliarde Dollar gekostet.
Ich weiß gar nicht, ob ich Lachen oder Weinen soll... Die einzige und richtige Konsequenz kann nur sein, dass die IT-Landschaft der öffentlichen Hand einem Stresstest unterzogen wird, um alle Single-point-of-Failures zu finden und danach konsequent zu beseitigen. KEIN Unternehmen darf in der Lage sein, versehentlich oder willentlich die IT in Deutschland derart zu stören! Dazu braucht es offenen Schnittstellen und zwingende Kompatibilität. ÜBERALL! Einfach mal MACHEN... 🧐
As BSI we will also enter into discussions with other software vendors to further develop these measures accordingly. Based on the discussions, the evaluation of the available analyses and continued feedback from the vendor, BSI has initially developed the following measures: 👉 https://www.bsi.bund.de/dok/1117280
How about not requiring operators of critical infrastructure to use untested snake oil? Maybe also product liability for commercial software vendors? Stop handling software development like a religion.
don't worry. If it happens again, and it will, it's a "Softwarefehler" and "da kann man nichts machen.". Like a Naturgewalt but with more ones and zeros.
Ohne verpflichtende finanzielle Kompensation für Ausfälle oder schwerwiegende Sicherheitsvorfälle werden sie wie immer nur mit Marketing und minimal notwendigen Schritten reagieren. Das hatten wir bereits.
Wenn ihr wirklich mal etwas bewegen wollt, dann braucht es Lobbying für ein digital souveränes Europa, das massiv auf #FOSS (#opensource) setzt & entsprechende Gelder dort investiert.
Alles andere ist langfristig sinnlos, wie wir in Jahrzehnten gelernt haben.
„Crowdstrike weist nach, dass sie alle SW-Updates einem Systemtest unterzogen haben“ - „Die Betroffenen werden dazu verpflichtet, SW-Updates einer Eingangskontrolle zu unterziehen, bevor diese auf ihre Systemlandschaft losgelassen werden.“ Fertig.
Kobold
in reply to BSI • • •Wie sieht die Vereinbarung aus, betroffene Kunden für entstandene Schäden zu entschädigen?
Und ja, mir ist schon klar dass es für Software keine Produkthaftung, gibt, allerdings steht in den Maßnahmen nirgends dass man in diese Richtung tätig werden möchte.
BSI
in reply to Kobold • • •Das Thema Herstellerhaftung wird in dem noch nicht in Kraft getretenen Cyber Resilience Act geändert, d.h. die Rechte der Kundinnen und Kunden gestärkt.
Kobold
in reply to BSI • • •Ich bezweifel dass es irgendwelche Verhaltensänderungen bei Firmen gibt, wenn es nicht sofort auf Budgets und Profits durchschlägt. Man kann viel mit MS und CS in Deutschland besprechen, wenn aber die HQs in den USA andere Meinung sind wird sich nichts ändern. Änderungen erfolgen nur via der Quartalsbilanzen.
Zum Glück geht die Delta Airlines jetzt mit guten Beispiel vorran, ist leider nur das falsche Land in dem dieses passiert: https://www.aero.de/news-47980/Delta-500-Millionen-US-Dollar-Schaden-nach-IT-Panne.html
Delta: 500 Millionen US-Dollar Schaden nach IT-Panne
aero.deCafé-Junkie
in reply to BSI • • •Die einzige und richtige Konsequenz kann nur sein, dass die IT-Landschaft der öffentlichen Hand einem Stresstest unterzogen wird, um alle Single-point-of-Failures zu finden und danach konsequent zu beseitigen.
KEIN Unternehmen darf in der Lage sein, versehentlich oder willentlich die IT in Deutschland derart zu stören!
Dazu braucht es offenen Schnittstellen und zwingende Kompatibilität. ÜBERALL!
Einfach mal MACHEN...
🧐
BSI
in reply to BSI • • •BSI reshared this.
basisbit 🦈🇪🇺🇺🇦
in reply to BSI • • •Enrico "meldrian" Michaelis
in reply to BSI • • •Martin Rust
in reply to BSI • • •BSI
in reply to Martin Rust • • •Nordnick :verified:
in reply to BSI • • •AngryTux
in reply to BSI • • •FOSS, selbstbestimmt, Produkthaftung, public money public code.
Aber Softwarefehler, kann Mensch machen nix.
Karl Voit :emacs: :orgmode:
in reply to BSI • • •Ohne verpflichtende finanzielle Kompensation für Ausfälle oder schwerwiegende Sicherheitsvorfälle werden sie wie immer nur mit Marketing und minimal notwendigen Schritten reagieren. Das hatten wir bereits.
Wenn ihr wirklich mal etwas bewegen wollt, dann braucht es Lobbying für ein digital souveränes Europa, das massiv auf #FOSS (#opensource) setzt & entsprechende Gelder dort investiert.
Alles andere ist langfristig sinnlos, wie wir in Jahrzehnten gelernt haben.
#Sicherheit #Souveränität
jogi
in reply to BSI • • •