{"id":24758,"date":"2024-10-21T09:47:28","date_gmt":"2024-10-21T09:47:28","guid":{"rendered":"https:\/\/cybercompare.com\/?p=24758"},"modified":"2024-11-04T10:11:05","modified_gmt":"2024-11-04T10:11:05","slug":"marktkommentar-11-wie-kundenfreundlich-sind-die-agb-der-security-hersteller","status":"publish","type":"post","link":"https:\/\/cybercompare.com\/de\/marktkommentar-11-wie-kundenfreundlich-sind-die-agb-der-security-hersteller\/","title":{"rendered":"Marktkommentar #11: Wie kundenfreundlich sind die AGB der Security-Hersteller?"},"content":{"rendered":"\t\t
\n\t\t\t\t
\n\t\t\t\t\t
\n\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Hallo zusammen,<\/p>\n

Security Breaches don\u2019t matter (much): Travis McPeak, ein ehemaliger Security-Architekt bei IBM und Netflix, hat einige Daten in seinem Vortrag Hard Truths your CISO won\u2019t tell you<\/a><\/strong> zusammengestellt. Diese zeigen, dass es im Regelfall weniger als 2 Monate dauert, bis sich der Aktienkurs eines Unternehmens nach einem bekanntgewordenen Cyberangriff erholt hat.<\/p>\n

Ein Berufsskeptiker unter meinen Kollegen (die angenehme Sorte, d.h., ohne Zusatzqualifikation zum Dauerquerulanten)\u00a0hat ebenfalls ein paar \u00f6ffentlich verf\u00fcgbare Zahlen aufarbeiten lassen und kommt zum Ergebnis: Im Durchschnitt verursacht ein Ransomware-Angriff Gesamtsch\u00e4den in H\u00f6he von ~40% des EBITDA bzw. ~2% des Umsatzes<\/strong>. Meine Interpretation: Das ist signifikant, aber im Vergleich zu anderen Gesch\u00e4ftsrisiken nicht dramatisch hoch (Ausnahmen best\u00e4tigen nat\u00fcrlich auch hier die Regel).<\/p>\n

Und dazu passt die Aufl\u00f6sung vom Quiz des letzten Marktkommentars: Dargestellt war der Umsatz von Solarwinds<\/strong> \u2013 dem Unternehmen, das 2020 Opfer einer Supply Chain Angriffs wurde (sicher erinnern sich viele noch an die Schlagzeilen), wor\u00fcber dann auch mehr als 10.000 Kunden betroffen waren. Interessant dabei ist nat\u00fcrlich, dass Solarwinds nachweislich Security-L\u00fccken in Kauf genommen hatte<\/a>, und die Kunden dem Anbieter trotzdem treu blieben \u2013 Kundenzahl und Umsatz sind seit dem Angriff gestiegen. Geschichte wiederholt sich nicht, aber sie reimt sich, hat ein kluger Mensch gesagt. Ich gehe daher davon aus, dass auch Crowdstrike<\/strong> trotz der kleinen Panne weiter erfolgreich sein wird.<\/p>\n

Das ist dann auch gleich die \u00dcberleitung zum n\u00e4chsten Thema: Das Feedback zum Thema MDR Breach Warranties hat Interesse an weiteren laienjuristischen Ausf\u00fchrungen bzgl. Terms + Conditions<\/strong> von Security-Anbietern signalisiert, nat\u00fcrlich befeuert durch den Crowdstrike-Incident.<\/p>\n

Daher hier mein aktueller Blick auf die AGB-Landschaft. Obwohl ich daf\u00fcr etwas Sch\u00fctzenhilfe durch unsere Kollegen aus der Rechtsabteilung bem\u00fcht habe, ist das selbstverst\u00e4ndlich weiterhin keine Rechtsberatung, sondern nur meine Meinung (die ich auch gerne mal \u00e4ndere, wenn mir jemand neue Fakten oder einfach gute Argumente auf den Tisch legt).<\/p>\n

Nicht nur bei Crowdstrike, sondern bei vielen Security-Anbietern (z.B. Darktrace, Palo Alto, SentinelOne, Trend<\/strong> Micro<\/strong>) finden sich sinngem\u00e4\u00df und teilweise sogar mit nahezu identischem Wortlaut die folgenden Klauseln in den \u00f6ffentlich zug\u00e4nglichen Nutzungsbedingungen bzw. deren \u00dcbersetzungen:<\/p>\n

    \n
  1. Es ist Kunden verboten, Testergebnisse zu ver\u00f6ffentlichen:<\/strong> \u201eDer Kunde verpflichtet sich, zu unterlassen: Stresstests, Wettbewerbsvergleiche oder -analysen zu einem Angebot durchf\u00fchren oder Leistungsdaten eines solchen Angebots ver\u00f6ffentlichen (vorausgesetzt, dass dies den Kunden nicht daran hindert, die Produkte mit anderen Produkten f\u00fcr den internen Gebrauch des Kunden zu vergleichen)\u201c<\/em><\/li>\n
  2. Die Wirksamkeit des Produkts wird nicht zugesichert:<\/strong> \u201eDER KUNDE ERKENNT AN, VERSTEHT UND STIMMT ZU, DASS [Hersteller] NICHT GARANTIERT ODER GEW\u00c4HRLEISTET, DASS [Produkt] ALLE SYSTEMBEDROHUNGEN, SCHWACHSTELLEN, MALWARE UND B\u00d6SARTIGE SOFTWARE DES KUNDEN ODER SEINER VERBUNDENEN UNTERNEHMEN FINDET, LOKALISIERT ODER ENTDECKT\u201c<\/em><\/li>\n
  3. Die Verf\u00fcgbarkeit des Produkts wird nicht zugesichert:<\/strong> \u201eES GIBT KEINE GEW\u00c4HRLEISTUNG, DASS DIE ANGEBOTE ODER TOOLS FEHLERFREI SIND ODER DASS SIE OHNE UNTERBRECHUNG FUNKTIONIEREN ODER BESTIMMTE ZWECKE ODER BED\u00dcRFNISSE DES KUNDEN ERF\u00dcLLEN. DIE ANGEBOTE UND TOOLS SIND NICHT FEHLERTOLERANT UND NICHT F\u00dcR DEN EINSATZ IN GEF\u00c4HRLICHEN UMGEBUNGEN AUSGELEGT ODER VORGESEHEN, DIE EINE AUSFALLSICHERE LEISTUNG ODER EINEN AUSFALLSICHEREN BETRIEB ERFORDERN. WEDER DIE ANGEBOTE NOCH DIE TOOLS SIND F\u00dcR DEN BETRIEB VON FLUGZEUGNAVIGATION, NUKLEARANLAGEN, KOMMUNIKATIONSSYSTEMEN, WAFFENSYSTEMEN, DIREKTEN ODER INDIREKTEN LEBENSERHALTENDEN SYSTEMEN, FLUGVERKEHRSKONTROLLE ODER ANWENDUNGEN ODER ANLAGEN BESTIMMT, BEI DENEN EIN AUSFALL ZU TOD, SCHWEREN K\u00d6RPERVERLETZUNGEN ODER SACHSCH\u00c4DEN F\u00dcHREN K\u00d6NNTE. Der Kunde stimmt zu, dass es in der Verantwortung des Kunden liegt, die sichere Nutzung eines Angebots und der Tools in solchen Anwendungen und Installationen zu gew\u00e4hrleisten.\u201c<\/em><\/li>\n<\/ol>\n

    H\u00f6rt sich erstmal nicht kundenfreundlich oder im Sinne der Community an. Generell festhalten l\u00e4sst sich:<\/p>\n