Whistleblower 2.0

Sein Verbrechen: Er hatte im Jahr 2010 eine Sicherheitslücke bei AT&T dazu ausgenutzt, um die Identitätsdaten von mehr als 100.000 Tablet- Nutzern des Unternehmens auszuspähen. So weit, so kriminell, jedoch: Auernheimer hatte seine Erkenntnisse erst öffentlich gemacht, nachdem die Lücke geschlossen worden war. Für die Staatsanwälte zählte das freilich nicht. Sie wandten das Gesetz gegen Computerbetrug und -missbrauch gegen Auernheimer an, und zwar ohne Rücksicht darauf, dass er offensichtlich keine kriminelle Motivation hatte, im Gegenteil. Und Auernheimer ist in der US-Justiz damit kein Einzelfall.

Wie also soll man sein Hacking einordnen? Gut, weil es jetzt eine Sicherheitslücke weniger gibt? Oder schlecht, weil Diebstahl eben Diebstahl ist? Wie wäre es stattdessen mit „Whistleblowing 2.0“? Es gibt schließlich vier Kriterien für Whistleblowing in der analogen Welt, und die sind hier alle erfüllt: 1. Eine brisante Enthüllung, 2. Gemeinwohlbezug, 3. es werden zuerst die Betroffenen angesprochen, und 4. der Whistleblower geht ein hohes persönliches Risiko ein.

Bei der Bekämpfung von Finanzbetrug sind gesetzliche Regelungen zum Informantenschutz international anerkannt und auch erfolgreich. Wäre Andrew Auernheimer also korruptiven Machenschaften statt IT- Sicherheitslücken auf der Spur gewesen, hätte er Schutz genossen. Heute diskutieren wir, ob Unternehmen gezwungen werden sollen, Hacker-Angriffe auf ihre IT zu melden. Sollte dazu nicht flankierend auch ein Informantenschutz für Hacker gehören? Falls nicht, werden Auernheimer und Co beim nächsten Mal wohl tatsächlich „weniger nett“ sein...