Whistleblower 2.0
Sein Verbrechen: Er hatte im Jahr 2010 eine Sicherheitslücke bei AT&T dazu ausgenutzt, um die Identitätsdaten von mehr als 100.000 Tablet- Nutzern des Unternehmens auszuspähen. So weit, so kriminell, jedoch: Auernheimer hatte seine Erkenntnisse erst öffentlich gemacht, nachdem die Lücke geschlossen worden war. Für die Staatsanwälte zählte das freilich nicht. Sie wandten das Gesetz gegen Computerbetrug und -missbrauch gegen Auernheimer an, und zwar ohne Rücksicht darauf, dass er offensichtlich keine kriminelle Motivation hatte, im Gegenteil. Und Auernheimer ist in der US-Justiz damit kein Einzelfall.
Wie also soll man sein Hacking einordnen? Gut, weil es jetzt eine Sicherheitslücke weniger gibt? Oder schlecht, weil Diebstahl eben Diebstahl ist? Wie wäre es stattdessen mit „Whistleblowing 2.0“? Es gibt schließlich vier Kriterien für Whistleblowing in der analogen Welt, und die sind hier alle erfüllt: 1. Eine brisante Enthüllung, 2. Gemeinwohlbezug, 3. es werden zuerst die Betroffenen angesprochen, und 4. der Whistleblower geht ein hohes persönliches Risiko ein.
Bei der Bekämpfung von Finanzbetrug sind gesetzliche Regelungen zum Informantenschutz international anerkannt und auch erfolgreich. Wäre Andrew Auernheimer also korruptiven Machenschaften statt IT- Sicherheitslücken auf der Spur gewesen, hätte er Schutz genossen. Heute diskutieren wir, ob Unternehmen gezwungen werden sollen, Hacker-Angriffe auf ihre IT zu melden. Sollte dazu nicht flankierend auch ein Informantenschutz für Hacker gehören? Falls nicht, werden Auernheimer und Co beim nächsten Mal wohl tatsächlich „weniger nett“ sein...
Wieland Mundt, stellvertretender Geschäftsführer VSWN e.V.
Passend zu diesem Artikel
Seit Juli 2023 ist die Whistleblower-Richtlinie mittels Hinweisgeberschutzgesetz (HinSchG) in der deutschen Gesetzgebung angekommen. Die Umsetzungsfrist ist gerade zum Jahresende ausgelaufen.
Mittels Smartphone-Wallets ist mittlerweile ein modernes und sicheres Identitäts- und Zutrittsmanagement für viele Anwenderszenarien umsetzbar.
Kleine und mittelständische Unternehmen (KMU) stehen im Fokus beim Diebstahl von Daten und Identitäten, wie Sophos im Threat Report 2024 veröffentlicht hat.