Crowdstrike (CRWD)

[west263]

ntv hat gerade gemeldet, dass die Panne behoben ist

[TWP17]

vor 11 Minuten von basti_:

Dafür ist der Kurseinbruch aber ein bischen zu klein oder?

 

Kenne Risikoanalysen von Banken und Versicherungen aus den 90ern die bei 24Std IT Ausfall quasi Pleite sind. Nicht am nächsten Tag, aber aufgrund der Folgekosten, Imageschaden usw.
U.a. deshalb hat man damals auch Bunker für seine Rechenzentren gebaut.
Wäre interresant wie das heute ist. Die IT wird sicher noch relevanter sein als damals, aber ob man sich inzwischen rechtlich so abgesichert hat, dass das keinen hohen Schaden verursachen kann?

 

 

Crowdstrike wird sicher andere Verträge mit seinen Kunden haben als 0815 Softwareunternehmen und deshalb kann ich mir sogar vorstellen, dass zumindest kein hoher finanzeller Schaden entsteht. Trotzdem werden sicher viele Kunden Klagen, weil die natürlich nicht auf den Kosten sitzen bleiben wollen.

Was wäre den die peer group von crowdstrike? Zscaler, cloudflare, fastly und okta? Die bewegen sich kaum und sind afaik zusammen immer noch kleiner etwas größer als crowdstrike.

edit: sorry, dachte crowdstrike hat da quasi ein monopol. Sind zwar deutlich größer als alle anderen, aber sogroß dann doch nicht

Ne, passt, wieviel soll es dann noch kosten. Wir waren ja zwischendurch bei minus 20%. So was wird in einer solch vernetzten Welt bestimmt nicht der letzte "Umstand" gewesen sein, da wir hier auch ein IT-Architektur-Thema haben. Bei solch einen Fall hilft auch kein 2. Rechenzentrum im "Bunker" (wir hatten jedenfalls trotzdem 2-3 Stunden Ausfall). Und bei einen 24h Stunden Ausfall geht in den heutigen Zeiten auch keine Bank oder Versicherung mehr pleite.....schon gar nicht eine systemrelevante Banken/Versicherung .

[basti_]

vor einer Stunde von TWP17:

Ne, passt, wieviel soll es dann noch kosten. Wir waren ja zwischendurch bei minus 20%. So was wird in einer solch vernetzten Welt bestimmt nicht der letzte "Umstand" gewesen sein, da wir hier auch ein IT-Architektur-Thema haben. Bei solch einen Fall hilft auch kein 2. Rechenzentrum im "Bunker" (wir hatten jedenfalls trotzdem 2-3 Stunden Ausfall). Und bei einen 24h Stunden Ausfall geht in den heutigen Zeiten auch keine Bank oder Versicherung mehr pleite.....schon gar nicht eine systemrelevante Banken/Versicherung .

Die Lösung wäre diversifizieren und nicht einen Anbieter so mächtig werden lassen, das quasi jeder Kunde bei ihm ist? IT-Architektur verstehe ich in dem zusammenhang nicht. Die Software so bauen, dass sie im Fehlerfall trotzdem noch funktioniert?

 

War aber auch nicht wirklich meine Frage, meine Frage war wie so etwas vertraglich geregelt ist. Ein 0815 Softwarenbieter müsste in seinem Vertrag irgendwas von Verfügbarkeit drin stehen haben, also zB 95% und was passiert, wenn er das nicht erfüllen kann. Auch sollten Reaktionszeiten im Fehlerfall definiert sein, also zB 24h o.ä.
Nachdem es hier genau um diese Themen geht, Sicherheit, Verfügbarkeit usw. müsste crowdstrike das doch sehr genau in seinen Verträgen definiert haben? Wenn crowdstrike sein Geschäft versteht, dürfte es den Kurs somit kaum bewegen, weil man die Verträge entsprechend gestaltet hat und keine Dienstleistung verkauft, die man nicht erbringen kann. Umgekehrt ist der Kurseinbruch viel zu gering, wenn man davon ausgeht, das sie wirklich Mist gebaut haben.

[bmi]

vor 1 Minute von basti_:

Die Lösung wäre diversifizieren und nicht einen Anbieter so mächtig werden lassen, das quasi jeder Kunde bei ihm ist? IT-Architektur verstehe ich in dem zusammenhang nicht. Die Software so bauen, dass sie im Fehlerfall trotzdem noch funktioniert?

Oder einfach Autoupdates deaktivieren - da sie ein systematisches Risiko sind - und diese vorab in einer Testumgebung ausrollen. 

[chirlu]

vor 33 Minuten von basti_:

Ein 0815 Softwarenbieter müsste in seinem Vertrag irgendwas von Verfügbarkeit drin stehen haben, also zB 95% und was passiert, wenn er das nicht erfüllen kann. Auch sollten Reaktionszeiten im Fehlerfall definiert sein, also zB 24h o.ä.

 

Och, findest du nicht, dass schnell reagiert wurde? Und 95% Verfügbarkeit in einem Jahr ist auch bei 18 Tagen Ausfall noch erfüllt.

[CorMaguire]

vor 47 Minuten von basti_:

...  War aber auch nicht wirklich meine Frage, meine Frage war wie so etwas vertraglich geregelt ist. ...

Da gibt es hübsche Stapel von Service-Level-Vereinbarungen. Da findest Du was von aws dazu --> https://aws.amazon.com/de/what-is/service-level-agreement/

[WOVA1]

Nett: Nach FAZ weltweite-it-stoerung-crowdstrike-chef-kurtz-bedauert:

 

Zitat

Kurtz sagte, es habe eine „negative Interaktion“ zwischen dem Update und dem Betriebssystem von Microsoft gegeben, die dann zu Computerabstürzen geführt und den weltweiten Ausfall ausgelöst habe, der noch immer andauert.

Auf die Frage, wie ein fehlerhaftes Update ein solches globales Chaos verursachen könne, sagte er: „Wir müssen zurückgehen und sehen, was hier passiert ist. Unsere Systeme suchen immer nach den neuesten Angriffen von Gegnern, die es da draußen gibt.“

Naja, Microsoft als Gegner oder Sicherheits-Bedrohung anzusehen, ist etwas hart, aber prinzipiell nicht ganz falsch. Der nächste Update wird besser - versprochen..

[bobby13]

Ich hatte Crowdstrike diesen Monat auf meiner Einkaufsliste und habe den heutigen Tag genutzt

[lowcut]

vor 5 Stunden von bmi:

Oder einfach Autoupdates deaktivieren - da sie ein systematisches Risiko sind - und diese vorab in einer Testumgebung ausrollen. 

Ist mit der Lösung von Crowdstrike nicht möglich.

[morini]

Die Crowdstrike-Aktie scheint mir extrem überbewertet zu sein, sodass der gestrige Kurseinbruch nur ein Tropfen auf dem heißen Stein gewesen sein dürfte.

 

Das sehr hohe KGV von mehreren Hundert bis knapp 1000 hat mich gestern vom Kauf der Crowdstrike-Aktie abgehalten: https://www.onvista.de/aktien/kennzahlen/CROWDSTRIKE-HOLDINGS-INC-Aktie-US22788C1053

[CorMaguire]

Wenn man was ausfallsicheres wollte hätte man wohl besser die AGB gelesen: "8.6 Haftungsausschluss. .... ES GIBT KEINE GEWÄHRLEISTUNG, DASS DIE ANGEBOTE ODER CROWDSTRIKE-TOOLS FEHLERFREI SIND ODER DASS SIE OHNE UNTERBRECHUNG FUNKTIONIEREN ODER BESTIMMTE ZWECKE ODER BEDÜRFNISSE DES KUNDEN ERFÜLLEN. DIE CROWDSTRIKE-ANGEBOTE UND CROWDSTRIKE-TOOLS SIND NICHT FEHLERTOLERANT UND NICHT FÜR DEN EINSATZ IN GEFÄHRLICHEN UMGEBUNGEN AUSGELEGT ODER VORGESEHEN, DIE EINE AUSFALLSICHERE LEISTUNG ODER EINEN AUSFALLSICHEREN BETRIEB ERFORDERN. WEDER DIE ANGEBOTE NOCH DIE CROWDSTRIKE-TOOLS SIND FÜR DEN BETRIEB VON FLUGZEUGNAVIGATION, NUKLEARANLAGEN, KOMMUNIKATIONSSYSTEMEN, WAFFENSYSTEMEN, DIREKTEN ODER INDIREKTEN LEBENSERHALTENDEN SYSTEMEN, FLUGVERKEHRSKONTROLLE ODER ANWENDUNGEN ODER ANLAGEN BESTIMMT, BEI DENEN EIN AUSFALL ZU TOD, SCHWEREN KÖRPERVERLETZUNGEN ODER SACHSCHÄDEN FÜHREN KÖNNTE."

 

Sollten wohl einige mal überdenken ob sie da das richtige eingekauft haben. Besonders gut gefällt mir: "BEI DENEN EIN AUSFALL ZU TOD, SCHWEREN KÖRPERVERLETZUNGEN ODER SACHSCHÄDEN FÜHREN KÖNNTE".

 

Auch bei der Haftung könnte sich Crowdstrike elegant aus der Affäre ziehen: "8.2 Produktgewährleistung. Wenn der Kunde ein Produkt erworben hat, gewährleistet CrowdStrike dem Kunden während der geltenden Subskriptionsdauer/Laufzeit der Bestellung, dass: (i) das Produkt fehlerfrei funktioniert; ...

Ihr einziger und ausschließlicher Rechtsbehelf und die gesamte Haftung von CrowdStrike für die Verletzung dieser Gewährleistung besteht darin, dass CrowdStrike auf eigene Kosten mindestens eine der folgenden Maßnahmen ergreift:

(a) wirtschaftlich vertretbare Anstrengungen zu unternehmen, um einen Workaround zu bieten oder einen solchen Fehler zu korrigieren; oder

(b) Ihre Lizenz für den Zugriff und die Nutzung des entsprechenden nicht konformen Produkts zu beenden und die im Voraus bezahlte Gebühr anteilig für den nicht genutzten Zeitraum der Subskriptionsdauer/Laufzeit der Bestellng zu erstatten."

--> https://www.crowdstrike.com/terms-and-conditions-de/ (am 23.07 ca. 09:30).

 

"CrowdStrike-Fiasko: Der Null Pointer ist Schuld"

--> https://www.heise.de/hintergrund/Fataler-Fehler-bei-CrowdStrike-Schuld-war-ein-Null-Pointer-9807896.html

Solche fehlenden Prüfungen müsste man eigentlich automatisiert finden können ...

 

Danke für den Hinweis an @Cinquetti

 

Hier der erwähnte Artikel: "CrowdStrike: Microsoft nennt Zahlen, Ursachenforschung dauert an"

--> https://www.heise.de/news/CrowdStrike-Microsoft-nennt-Zahlen-Ursachenforschung-dauert-an-9808287.html

[Cinquetti]

vor 35 Minuten von CorMaguire:

"CrowdStrike-Fiasko: Der Null Pointer ist Schuld"

--> https://www.heise.de/hintergrund/Fataler-Fehler-bei-CrowdStrike-Schuld-war-ein-Null-Pointer-9807896.html

Solche fehlenden Prüfungen müsste man eigentlich automatisiert finden können ...

Der Artikel ist veraltet und inhaltlich falsch:

[Ramstein]

FAZ: Crowdstrike-Opfer gehen wohl leer aus

 

Zitat

Auch das Pannenunternehmen Crowdstrike hat vorgesorgt. In seinen allgemeinen Geschäftsbedingungen heißt es: „Die Crowdstrike-Angebote und Crowdstrike-Tools sind nicht fehlertolerant und nicht für den Einsatz in gefährlichen Umgebungen ausgelegt oder vorgesehen, die eine ausfallsichere Leistung oder einen ausfallsicheren Betrieb erfordern.“

 

[bmi]

vor 4 Stunden von CorMaguire:

Sollten wohl einige mal überdenken ob sie da das richtige eingekauft haben.

Ganz so einfach ist das nicht. Crowdstrike wurde offensichtlich in vielen Bereichen mit starker Regulierung eingesetzt (Finanzwesen, Gesundheitswesen, Fluggesellschaften, ...), da sie als einziger bzw einer der wenigen Anbieter die regulatorischen Anforderungen gewährleisten. Setzt man Crowdstrike ein, macht der Auditor einen Haken in den Einzeiler und fertig. Setzt man etwas anderes ein, wird's sehr schnell aufwändig und infolgedessen teuer. Die Regulatoren erzwingen dadurch quasi fast schon eine Monokultur.

[StE]

Ohh, bitte. Was die FAZ schreibt ist die Schlußfolgerung aus dem Irrglauben, eine Firma und noch dazu in den USA, könne sich per EULA oder AGB von jeglichen Klagen auf Schadenersatz präventiv freimachen. Einfach mal hier lesen, was da u.a. in Frage kommen könnte: https://de.wikipedia.org/wiki/Tort_law_(Vereinigte_Staaten)

 

Oder in perplexity.ai die magische Inkantation "famous cases of usa tort law with a jury finding for negligence" eingeben. Ja, der berühmte McDonalds-Kaffee mit 3rd degree burns ist da dabei. Angesichts der erwartbaren Schadenshöhen könnte eine Jury nicht wie die "Experten" der FAZ nach 5 Minuten mit "Software-Fehler, da kann man nichts machen" abwinken. Motion to dismiss, lachthaft.

[CorMaguire]

vor 23 Minuten von bmi:

Ganz so einfach ist das nicht. Crowdstrike wurde offensichtlich in vielen Bereichen mit starker Regulierung eingesetzt (Finanzwesen, Gesundheitswesen, Fluggesellschaften, ...), da sie als einziger bzw einer der wenigen Anbieter die regulatorischen Anforderungen gewährleisten. Setzt man Crowdstrike ein, macht der Auditor einen Haken in den Einzeiler und fertig. Setzt man etwas anderes ein, wird's sehr schnell aufwändig und infolgedessen teuer. Die Regulatoren erzwingen dadurch quasi fast schon eine Monokultur.

Dass es teuer wird auf Schlangenöl zu setzen hat man ja gesehen

Ich denke man kann jetzt schon befürchten, dass der Schaden mal wieder vergesellschaftet wird.

[Mithrandir77]

Microsoft gibt EU Mitschuld am Crowdstrike-Debakel

 

mal sehen ob Microsoft versucht Crowdstrike den Zugang zu ihrem System in Zukunft einschränkt

 

 

[CorMaguire]

vor 6 Minuten von StE:

Ohh, bitte. Was die FAZ schreibt ist die Schlußfolgerung aus dem Irrglauben, eine Firma und noch dazu in den USA, könne sich per EULA oder AGB von jeglichen Klagen auf Schadenersatz präventiv freimachen. Einfach mal hier lesen, was da u.a. in Frage kommen könnte: https://de.wikipedia.org/wiki/Tort_law_(Vereinigte_Staaten)

 

Oder in perplexity.ai die magische Inkantation "famous cases of usa tort law with a jury finding for negligence" eingeben. Ja, der berühmte McDonalds-Kaffee mit 3rd degree burns ist da dabei. Angesichts der erwartbaren Schadenshöhen könnte eine Jury nicht wie die "Experten" der FAZ nach 5 Minuten mit "Software-Fehler, da kann man nichts machen" abwinken. Motion to dismiss, lachthaft.

Ich denke man kann schon jetzt vorhersagen, dass Juristen verdienen werden

[d3xt4h]

Habe leider einen schlechten Zeitpunkt beim Kauf erwischt und bin aktuell 30% im Minus. Heute kommt die Aktie ja leicht zurück, aber der Reputationsschaden ist groß. Trotzdem sehe ich keine wirkliche Konkurrenz zu Crowdstrike. Fraglich, ob bestehende Kunden dem Unternehmen nun den Rücken kehren bzw. die Neukundengewinnung ins Stocken gerät. Ich ärgere mich ein wenig, dass ich nicht direkt am Freitag morgen verkauft habe und befürchte auf Grund von den genannten Faktoren plus einer möglichen Klagewelle nichts Gutes.

[wpf-leser]

vor 24 Minuten von d3xt4h:

Trotzdem sehe ich keine wirkliche Konkurrenz zu Crowdstrike. Fraglich, ob bestehende Kunden dem Unternehmen nun den Rücken kehren bzw. die Neukundengewinnung ins Stocken gerät. Ich ärgere mich ein wenig, dass ich nicht direkt am Freitag morgen verkauft habe und befürchte auf Grund von den genannten Faktoren plus einer möglichen Klagewelle nichts Gutes.

Nunja... Ist keine Konkurrenz zu sehen oder bleiben nun die Kunden fern? Beides gleichzeitig funktioniert so ja nicht. 

 

Wie sieht es eigentlich mit anderweitigen Klagen anlässlich diverser MS365-Downtimes aus? Lässt sich aus solchen Dingen etwas für den Fall Crowdstrike lernen oder ist der Vergleich dann doch nicht so naheliegend?

[morini]

vor 46 Minuten von d3xt4h:

Habe leider einen schlechten Zeitpunkt beim Kauf erwischt und bin aktuell 30% im Minus. Heute kommt die Aktie ja leicht zurück, aber der Reputationsschaden ist groß. Trotzdem sehe ich keine wirkliche Konkurrenz zu Crowdstrike. Fraglich, ob bestehende Kunden dem Unternehmen nun den Rücken kehren bzw. die Neukundengewinnung ins Stocken gerät. Ich ärgere mich ein wenig, dass ich nicht direkt am Freitag morgen verkauft habe und befürchte auf Grund von den genannten Faktoren plus einer möglichen Klagewelle nichts Gutes.

 

Es ist ja nicht "nur" der Reputationsschaden.

 

Hat dich denn beim Kauf das extrem hohe KGV von fast 1.000 nicht beunruhigt?

 

Naja, inzwischen dürfte das KGV um einiges niedriger sein...

[Doomer]

vor 12 Stunden von morini:

 

Es ist ja nicht "nur" der Reputationsschaden.

 

Hat dich denn beim Kauf das extrem hohe KGV von fast 1.000 nicht beunruhigt?

 

Naja, inzwischen dürfte das KGV um einiges niedriger sein...

Bei Wachstumswerten gibt es gar keinen Grund auf das KGV zu schauen, schließlich kauft man die Aktien für das künftige Wachstum. Forward P/E von ~55 und PEG von 21 sind zwar immer noch wenig attraktiv, aber man muss es auch nicht skandalöser aussehen lassen, als es eigentlich ist. Generell spielt bei CRWD der technologische Moat mit in die Bewertung ein. Wie stark der tatsächlich ist, wird sich nun in den kommenden 1-2 Jahren praktisch zeigen.

[morini]

vor 8 Stunden von Doomer:

Bei Wachstumswerten gibt es gar keinen Grund auf das KGV zu schauen, schließlich kauft man die Aktien für das künftige Wachstum. Forward P/E von ~55 und PEG von 21 sind zwar immer noch wenig attraktiv, aber man muss es auch nicht skandalöser aussehen lassen, als es eigentlich ist. Generell spielt bei CRWD der technologische Moat mit in die Bewertung ein. Wie stark der tatsächlich ist, wird sich nun in den kommenden 1-2 Jahren praktisch zeigen.

 

Ob eine Aktie ein KGV von 800 bis 900 oder aber eines von 55 hat, ist dennoch ein großer Unterschied. Gegen ein KGV von 55 hätte ich ja auch gar nichts einzuwenden gehabt.

[Doomer]

Am 23.7.2024 um 11:11 von Ramstein:

FAZ: Crowdstrike-Opfer gehen wohl leer aus

WELTWEITE IT-AUSFÄLLE: Crowdstrike entschuldigt sich mit Uber-Eats-Gutscheinen - Leider sind die 10-Dollar-Gutscheine nicht mehr gültig, da Uber Eats sie wohl als Betrug eingestuft hat.

 

[KLEARCHOS]

Das mag noch witzig sein, aber der Chart ist ganz mies.