Netzwerkhersteller Ubiquiti verklagt IT-Sicherheitsexperten Brian Krebs

Der renommierte Journalist und IT-Sicherheitsexperte Brian Krebs wurde vom Hersteller Ubiquiti für seine angeblich falsche Berichterstattung verklagt.

In Pocket speichern vorlesen Druckansicht 39 Kommentare lesen
Aufmacher Krebs von Ubiquiti verklagt

(Bild: Wirestock Images/Shutterstock.com)

Lesezeit: 5 Min.
Von
Inhaltsverzeichnis

Der Netzwerktechnikhersteller Ubiquiti hat eine Verleumdungsklage gegen den Journalisten und IT-Sicherheitsexperten Brian Krebs eingereicht. Er habe in der Berichterstattung falsche Vorwürfe gegen das Unternehmen erhoben, um mehr Werbeeinahmen durch mehr Traffic auf seine Webseite KrebsOnSecurity.com zu generieren.

Der Netzwerkgerätehersteller Ubiquiti hat im Januar 2021 einen Einbruch in Cloud-Systeme bei einem bis dahin ungenannten Anbieter gemeldet, bei dem die Angreifer Zugriff auf Informationen wie Kundenpasswörter von Ubiquiti gehabt haben könnten. Es gebe keine Belege für solche Zugriffe, sie ließen sich jedoch nicht ausschließen, schrieb das Unternehmen an seine Kunden. Daher empfehle es, die Passwörter zu wechseln und Zwei-Faktor-Authentifizierung zu aktivieren.

Ende März 2021 wurde Krebs von einem Whistleblower, einem IT-Sicherheitsexperte von Ubiquiti, der mit der Bekämpfung des Einbruchs und seiner Folgen zu tun hatte, kontaktiert. In dem fraglichen Online-Artikel erläuterte dieser, er habe Bedenken gegenüber der firmeninternen Whistleblower-Hotline sowie gegenüber dem EU-Datenschutzbeauftragten geäußert.

"Es war katastrophal schlimmer als berichtet, und die Rechtsabteilung habe die entschiedenen Bemühungen, die Kunden zu schützen, zum Schweigen gebracht und außer Kraft gesetzt", schrieb der Whistleblower demzufolge an den EU-Datenschutzbeauftragten. "Der Einbruch war massiv, Kundendaten waren in Gefahr, Zugriff auf von Kunden in Unternehmen und Heimnetzen eingesetzten Geräten war in Gefahr."

Da Ubiquiti nicht protokolliere, welches Konto auf welche Daten zugegriffen habe, könne das Unternehmen in seinem Nutzerforum auch behaupten, dass es keine Belege habe, dass Kundeninformationen zugegriffen oder überhaupt Ziel des Einbruchs waren. Dem Whistleblower zufolge hatten die Einbrecher vollen Lese- und Schreibzugriff auf die Ubiquiti-Datenbanken auf den Amazon Web Services (AWS); sie hätten administrativen Zugang erhalten. Das Unternehmen habe in der Nachricht an die Kunden den Vorfall "heruntergespielt und absichtlich so geschrieben, dass die Meldung impliziert, der Dritthersteller-Cloud-Anbieter sei in Gefahr und Ubiquiti lediglich ein Opfer davon, anstatt das eigentliche Ziel des Angriffs".

Im Dezember 2021 hat das US-Justizministerium den ehemaligen Mitarbeiter Nickolas S. angeklagt, der vermeintlich der Whistleblower sei. Er habe den Angriff initiiert und Ubiquiti dann um Lösegeld erpresst. Es gebe Belege nach einer Durchsuchung durch das FBI bei S., dass dieser etwa denselben VPN-Provider wie der Einbrecher verwende. Zudem könne sein Arbeits-Laptop mit den Daten-Downloads in Verbindung gebracht werden. Die Internetverbindung sei ein paar Mal abgebrochen, das VPN habe dann nicht richtig funktioniert und die reale IP-Adresse preisgegeben.

Daraufhin habe Nickolas S. angeleiert, dass "falsche oder irreführende Nachrichtenmeldungen über den Vorfall veröffentlicht würden", so die Staatsanwaltschaft. Die Anklageschrift spricht KrebsOnSecurity zufolge davon, dass "in Folge der Publikation dieser Artikel zwischen Dienstag, dem 30. März 2021 und Mittwoch, den 31. März, der Aktienkurs um etwa 20 Prozent gefallen ist, einem Verlust von über vier Milliarden US-Dollar in der Marktkapitalisierung."

Die Vorwürfe in der Klageschrift gegen Brian Krebs lauten nun, dass er absichtlich die Fakten übergangen habe, dass Ubiquiti die Kunden und die SEC benachrichtigt habe, dass ein Einbruch und eine Lösegeldforderung im Raume standen. Er wolle so Werbeeinnahmen durch mehr Traffic auf der Webseite erhöhen. Es gebe keine Belege für Krebs' Behauptungen, und als einzige Quelle für seine Geschichte diene Nickolas S., ein ehemaliger Angestellter Ubiquitis, der den Angriff ausgeführt habe.

In dem Artikel über die Klageerhebung gegen Nickolas S. wiederhole Krebs die Behauptungen und führe seine Leser in die Irre, dass die frühere Meldung nicht auf die Quelle Nickolas S. zurückgingen. Das Verhalten von Krebs mache deutlich, dass er entschlossen war, Artikel zu veröffentlichen, die seiner vorgefassten Meinung entsprechen, dass Ubiquiti und andere Unternehmen die Online-Sicherheit ihrer Kunden missachten. Krebs habe die Wahrheit absichtlich falsch dargestellt, weil er einen finanziellen Anreiz dazu hatte. Sein gesamtes Geschäftsmodell basiert auf der Veröffentlichung von Geschichten, die mit dieser Erzählung übereinstimmen.

Ubiquiti sei substanzieller Schaden aufgrund dieser wissentlichen Fehldarstellungen von Krebs entstanden. Das Unternehmen sehe den Rechtsstreit als letzte Möglichkeit, um Schadensersatz zu erhalten, die Dinge richtigzustellen und Brian Krebs zur Rechenschaft zu ziehen. Ubiquity fordert schließlich mindestens 75.000 US-Dollar kompensierenden Schadensersatz sowie 350.000 US-Dollar Schadenseratz als Strafe für Krebs.

Experten schätzen die Anklage als Angriff auf die in den USA rechtlich garantierte freie Rede ein.

Es handle sich bei der Anklage um einen "SLAPP", Strategic Lawsuit against Public Participation; das sind Klagen, die das Recht missbrauchen, um Kritiker einzuschüchtern und ihre Meinung oder Kritik aus der Öffentlichkeit verschwinden zu lassen. Die Klageerhebung sei zudem deshalb in Virginia erfolgt, da es in dem Bundesstaat keine Anti-SLAPP-Gesetze gebe.

Da die Anklageschrift jedoch sehr darauf abzielt, dass Krebs den Whistleblower nicht öffentlich benenne, steht auch der Quellenschutz auf dem Spiel. Der ist auch den USA Teil der Pressefreiheit.

(dmk)