Das ist schon eine satte Hausnummer – die Firma Ubiquiti Networks verklagt den Blogger Brian Krebs (Krebs on Security) auf Schadensersatz (genannt wird eine Höhe von 425.000 US-Dollar). Der Vorwurf des Unternehmens lautet, Krebs habe bewusst unzutreffende Behauptungen über einen Sicherheitsvorfall veröffentlicht, der dem Unternehmen geschadet habe.
Anzeige
Das Thema ist weitgehend an mir vorbei gegangen – auch wenn ich über den von Ubiquiti Networks eingestandenen Sicherheitsvorfall Anfang 2021 berichtete. Der nachfolgende Tweet hat mich am Freitag aber neugierig gemacht. Ich bin mit den wenigen Informationen auf die Suche gegangen und wurde fündig. Hier ist eine kurze Aufarbeitung.
Ubiquiti hat am Dienstag, den 29. März 2021, eine Klage gegen den Branchenblogger Brian Krebs auf Schadensersatz eingereicht, weil er das Unternehmen fälschlicherweise beschuldigt hat, einen Cyberangriff zu vertuschen. In obigem Meme werden 425 Millionen US-Dollar genannt – der Artikel hier geht von 425.000 US-Dollar aus – ich selbst habe auf die Schnelle in der Gerichtsakte nur einen Hinweis auf einen Streitwert von mehr als 75.000 US-Dollar gefunden. Dies Zahl hat wohl prozesstechnische Gründe, wie ich hier gelesen habe, denn unterhalb dieses Streitwerts ist keine Klage vor dem betreffenden Gericht möglich.
Wer ist Ubiquiti?
Ubiquiti Networks ist ein amerikanischer Hersteller, der seit der Gründung im Jahr 2005 aktive Netzwerkkomponenten wie WLAN-Adapter für PCs vertreibt. Inzwischen wurde die Produktpalette um WLAN-Router, Access Points, WLAN-Antennen und Richtfunkantennen, insbesondere für den Außenbereich, erweitert. Seit dem Jahr 2014 hat der Hersteller auch VoIP-Telefone sowie Switche und Netzwerkkameras für den professionellen und semiprofessionellen Einsatz im Angebot. Die WLAN-Router von Ubiquiti basieren auf WLAN-Chips von Atheros und verwenden ein linuxbasiertes Betriebssystem („airOS"). Die nanoStation-Router sind im Freifunk-Bereich sehr populär, da sie die Nutzung einer eigenen Firmware gestatten. Ubiquiti-Produkte finden sich bei Amazon.de, Conrad und vielen anderen Elektronikhändlern im Angebot. Zudem hat Ubiquiti einen eigenen Shop, der auch EU-Kunden beliefert.
Anzeige
Der Ubiquiti-Sicherheitsvorfall
Im Januar 2021 wurde ein Sicherheitsvorfall bei diesem Anbieter bekannt, auch weil deren Cloud-Angebot kurzzeitig gestört war. Ich hatte im Blog-Beitrag Hersteller Ubiquiti gehackt, Nutzer sollten Passwörter ändern über diesen Vorfall berichtet, der zwar unschön ist, sich aber irgendwie harmlos anhörte. Damals hatte ich recherchiert und bin im Ubiquiti-Forum auf diese Bestätigung des Herstellers gestoßen, in dem er bekannt ab, dass man Kenntnis von einem unbefugten Zugriff auf bestimmte eigene IT-Systeme erhalten habe, die von einem dritten Cloud-Anbieter gehostet werden. Es gibt Hinweise, dass der Vorfall bereits 2020 stattgefunden hat. Der Hersteller empfahl Benutzern in seiner Meldung, die Kennwörter für Ubiquiti-Online-Konten vorsorglich zu ändern.
Worum geht es in der Klage?
Brian Krebs hatte in einem Folgeartikel im März 2021 den Sicherheitsvorfall bei Ubiquiti als "katastrophal" bezeichnet und einen angeblichen Whistleblower mit Alias Adam als Quelle angegeben. Vom Tenor lese ich heraus, dass der Hersteller den Vorfall herunterspiele. Vom 26. März bis zum 1. April 2021 fiel der Börsenkurs des Unternehmens von 343,39 US-$ auf 289,15 US-$ – kein Pappenstiel. Zufällig habe ich am 1. April 2021 das Thema im Blog-Beitrag Ubiquiti-Hack gravierender als zugegeben kurz aufgegriffen. So weit, so einfach.
Nun hat Brian Krebs seinen Beitrag vom März 2021 wohl mehrfach erweitert und aktualisiert. Im Dezember 2021 wurde bekannt, dass der Datenschutzvorfall wohl auf einen Insider zurückging. Eine Person mit Namen Nickolas Sharp, der wohl mal bei Uniquiti beschäftigt war, ist für den Vorfall verantwortlich und hatte seine Zugriffsberechtigungen missbraucht – so die Anklage einer Staatsanwaltschaft. Diese Person versucht das Unternehmen im Anschluss an den Vorfall zu erpressen.
Der Vorwurf in der Ubiquiti Klageschrift gegen Brian Krebs lautet nun, dass Brian Krebs das Unternehmen fälschlicherweise beschuldigt habe, einen Cyberangriff zu vertuschen. In der Klage beschuldigen die Ubiquiti-Anwälte Brian Krebs, die Öffentlichkeit in seinen Beiträgen absichtlich über die Datenpanne und einen anschließenden Erpressungsversuch getäuscht zu haben. Das Unternehmen habe seine Kunden informiert und auch die US-Börsenaufsicht über den Vorfall informiert.
Es heißt, Krebs habe dagegen unwahre Behauptungen in seinen Berichten veröffentlicht, um Ubiquiti ins Visier zu nehmen und die Werbeeinnahmen auf seiner Webseite KrebsonSecurity zu steigern. In der Klageschrift werden dann Tweets von Krebs, und Korrekturen an den Artikeln von Krebs als Belege herangezogen. Die Diskussion dreht sich meinem Verständnis nach um die Frage, ob Krebs absichtlich und wider besseres Wissen Sachverhalte falsch dargestellt hat, möglicherweise, um dem Unternehmen zu schaden und um selbst Einnahmen zu generieren. Es scheint auch, dass die WhistleBlower-Quelle von Krebs der eigentliche Täter war.
Auf reddit.com und Hacker News gibt es Diskussionen um dieses Vorgangs – die ich nicht abschließend beurteilen kann. Brian Krebs enthält sich bezüglich des Sachverhalts jeglichen Kommentars, da er ja Partei in dieser juristischen Auseinandersetzung ist. Das Ganze ist natürlich ein heftiges Damokles-Schwert, welches über dem Blogger hängt. Die Frage, die bleibt: Wie bewertet das Gericht den Sachverhalt, folgt es der Argumentation von Ubiquiti, und was ist mit der Höhe des Schadensersatzes (es wurden ja 425.000 US-Dollar in den Raum gestellt). Die weitere Frage ist, inwiefern durch diese Klage der Streisand-Effekt greift, der weitere negative Publicity für das Unternehmen bringt. Denn es läuft ja – zumindest aus der Entfernung betrachtet – auf Goliath gegen den kleinen David hinaus, der da irgendwie platt gemacht werden soll.
Anzeige
Naja, wenn der Brian Krebs nachweislich falsche Dinge über Ubiquiti verbreitet haben sollte, die zu einem erheblichen finanziellen Schaden geführt haben, dann gehört er bestraft. Völlig unabhängig ob David gegen Goliath.
Wie sagt man dazu, journalistischen Sorgfaltspflicht? Diese wird auch für einen Blogger gelten der mit seiner "Berichterstattung" sein Geld verdient und wenn ich etwas nicht beweisen kann dann berichte ich auch nicht darüber.
Der Verweis auf das Damokles-Schwert bringt mich gleichzeitig zu dem Spruch, die Feder ist mächtiger als das Schwert und negative mediale Aufmerksamkeit kann sich schon mal auf den Umsatz auswirken.
Ich denke sie Hr. Born werden selbst öfters entschieden haben über etwas nicht zu berichten weil die Faktenlage zu dünn war und die medialer Aufmerksamkeit sich hingegen Nachteilig für ein Unternehmen auswirken könnte.
So stellt sich für mich die Lage dieser Geschichte dar, aber ich lasse mich da gerne vom Gegenteil überzeugen wenn es gute und einleuchtende Argumente dafür gibt.