integrierte Sicherheit

Eine Frage des Gewissens der Cybersicherheit

Druckfreundlich, PDF & E-Mail

Eine der seit langem bestehenden ethischen Herausforderungen für Cybersecurity-Experten besteht darin, dass es so etwas wie privilegierte Kommunikation zwischen ihnen und den Unternehmen, die sie beschäftigen, nicht gibt. Infolgedessen gibt es keine allgemein vereinbarten ethischen Verfahren, auf die sich Cybersecurity-Experten verlassen können, wenn es einen Konflikt zwischen den Verpflichtungen gegenüber ihren Arbeitgebern und dem Allgemeinwohl gibt.

Diese Frage steht jetzt im Mittelpunkt zweier prominenter Fälle, in denen sich die Cybersecurity-Gemeinschaft für eine Seite entscheidet. Der erste Fall betrifft den ehemaligen Chief Security Officer von Uber, Joe Sullivan, der wegen „Behinderung des Verfahrens der Federal Trade Commission und wegen eines Kapitalverbrechens im Zusammenhang mit der versuchten Vertuschung eines Hacks im Jahr 2016 bei Uber" verurteilt wurde.

Ein Bundesgericht stimmte mit der Regierung darin überein, dass Uber es versäumt hat, den Aufsichtsbehörden mitzuteilen, dass es ein Bug-Bounty-Programm verwendet hat, um Cyberkriminelle auszuzahlen, die das Unternehmen erpresst haben, nachdem sie eine Sicherheitslücke genutzt hatten, um auf die persönlichen Daten von mehr als 50.000 Kunden zuzugreifen. Die Frage, um die es hier geht, ist nicht so sehr, wie der Verstoß gehandhabt wurde, sondern vielmehr, ob das Versäumnis, ihn offenzulegen, die treuhänderische Verantwortung gegenüber den Anlegern eines börsennotierten Unternehmens verletzt hat.

Der zweite Fall betrifft Peiter „Mudge“ Zatko, der eine Whistleblower-Klage gegen seinen Arbeitgeber Twitter einreichte, weil das Unternehmen sowohl die Bundesaufsichtsbehörden als auch den Vorstand über „extreme, ungeheuerliche Mängel“ bei der Abwehr von Hackern und die dürftigen Bemühungen zur Bekämpfung von Spam getäuscht hatte. In der Beschwerde, die bei der Securities and Exchange Commission, dem Justizministerium und der Federal Trade Commission (FTC) eingereicht wurde, wird behauptet, dass Twitter gegen die Bedingungen einer 11 Jahre alten Vereinbarung mit der FTC verstoßen hat, indem das Unternehmen vorgibt, einen soliden Sicherheitsplan zu haben.

Natürlich gibt es Leute, die die Einreichung der Klage im Namen des Allgemeinwohls begrüßen, während andere sich fragen, ob eine Auszeichnung der SEC für Whistleblower eine Rolle gespielt hat.  Diese Prämien können in die Millionen gehen, und Kritiker spekulieren, dass dies ein Anreiz für die rechtlichen Schritte gewesen sein könnte.

Unabhängig davon, wie diese beiden Fälle nach einem sicherlich jahrelangen juristischen Gerangel mit mehreren Berufungen ausgehen werden, wird der Umfang der rechtlichen Verantwortung, die ein Cybersecurity-Experte übernimmt, insbesondere wenn er für ein börsennotiertes Unternehmen arbeitet, auf eine harte Probe gestellt. Das Vorenthalten von Informationen, die sich wesentlich auf die Bewertung eines Unternehmens auswirken können, gilt seit jeher als Straftat. Der einzige wirkliche Unterschied besteht darin, dass die US-Bundesregierung nun die Wertpapiergesetze auf Fachleute im Bereich der Cybersecurity anwendet, da sich Datenschutzverletzungen auf die Bewertung von Aktien auswirken. Falsche Angaben gegenüber den Bundesbehörden sind unabhängig von Geheimhaltungsvereinbarungen (NDA) stets mit rechtlichen Risiken behaftet.

Gleichzeitig sollten Unternehmen jedoch in der Lage sein, mit Cybersecurity-Experten ein offenes Gespräch über das von ihnen eingegangene Risiko zu führen, ohne befürchten zu müssen, dass alles, was gesagt wird, im Rahmen von Gerichtsverfahren an die Öffentlichkeit gelangt. Viele Führungskräfte, die mit dieser Aussicht konfrontiert sind, werden sich einfach dafür entscheiden, so wenig wie möglich über Cybersecurity-Fragen zu sprechen. Das wird wahrscheinlich eine abschreckende Wirkung haben, die sich für alle Beteiligten als kontraproduktiv erweisen wird. Es muss eine sichere Dimension geben, in der ein Dialog geführt werden kann. Das bedeutet nicht, dass eine Whistleblower-Beschwerde nicht eingereicht werden sollte, wenn auf Kosten der Aktionäre Cybersecurity-Risiken ignoriert werden, aber es muss eine Reihe von dokumentierten Verfahren geben, die dafür sorgen, dass derartige Klagen nur als letztes Mittel eingereicht werden.

Natürlich werden viele Cybersecurity-Fachleute zu dem Schluss kommen, dass sie besser für ein privates Unternehmen arbeiten sollten, das nicht die gleichen Verpflichtungen gegenüber den öffentlichen Aktionären hat. Unabhängig von der Art des Unternehmens, für das sie arbeiten, werden die meisten weiterhin aus ethischen Gründen damit hadern, was sie preisgeben sollen. Es ist unwahrscheinlich, dass jedwede Art von Privilegien für Cybersecurity-Experten jemals von Gerichten anerkannt wird. Stattdessen wird es wie immer jedem Cybersecurity-Experten überlassen bleiben, auf sein eigenes Gewissen zu hören.

Nach oben scrollen
Twittern
Teilen
Teilen