Ein ehemaliger WhatsApp-Mitarbeiter, Attaullah Baig, hat Meta verklagt. Er behauptet, seine Kündigung im Februar 2025 sei erfolgt, nachdem er wiederholt auf systemische Schwachstellen in der Cybersicherheit hingewiesen hatte. Die Klage stützt sich auf den Sarbanes‑Oxley Act (SOX), der Whistleblower schützt, die potenzielle Irreführung von Aktionären oder Verstöße gegen SEC-Vorgaben melden.
Kernaussagen der Klage: Zugriff, Protokollierung und Datenschutzrisiken
Laut Baig gefährdeten entdeckte systemische Mängel die Vertraulichkeit von Nutzerdaten und könnten gegen die Privacy-Order von 2020 verstoßen, die für Meta gilt. Besonders brisant ist der Vorwurf, dass rund 1.500 Ingenieure weitreichende Zugriffsrechte auf sensible Daten gehabt hätten – mit Möglichkeiten zum Kopieren und Exfiltrieren bei unzureichender Protokollierung und eingeschränkter Auditierbarkeit.
Interne Meldungen und Eskalationen
Baig gibt an, die Bedenken 2022–2023 intern adressiert und das Management von WhatsApp, darunter CEO Will Cathcart und den leitenden Ingenieur Nitin Gupta, informiert zu haben. Anfang 2024 habe er Mark Zuckerberg und die Chefjuristin Jennifer Newstead kontaktiert sowie die SEC über mutmaßliche Verstöße unterrichtet. Er spricht zudem von manipulierten Berichten, die Risiken beschönigt hätten.
Reaktion von Meta und regulatorischer Kontext
Meta weist die Vorwürfe zurück. Baig habe keine Sicherheitsorganisation geleitet, sondern als Software-Engineering-Manager gearbeitet. Seine Kündigung sei das Resultat unzureichender Leistungen, die von mehreren senioren Ingenieuren bewertet worden seien. Unternehmenssprecher Andy Stone bezeichnete die Vorwürfe als „bekanntes Muster“ nach leistungsspezifischen Trennungen.
OSHA-Bescheid zum Whistleblowing
Nach Medienberichten hat das US-Arbeitsministerium die ursprüngliche Beschwerde bereits abgewiesen: Die Arbeitsschutzbehörde OSHA sah keine Anhaltspunkte für Whistleblower‑Repressalien und erkannte die gemeldeten Handlungen nicht als durch SOX geschützt an. Dieses Ergebnis ist für das Zivilverfahren nicht bindend, bildet aber einen relevanten Hintergrund für die Jury.
Rechtlicher Rahmen: SOX-Whistleblowing und SEC-Offenlegungspflichten
Der Sarbanes‑Oxley Act schützt Mitarbeitende, die in gutem Glauben potenzielles Wertpapier- oder Kontrollversagen melden. Für einen Anspruch sind vier Elemente entscheidend: geschützte Meldung, Kenntnis des Arbeitgebers, nachteilige Personalmaßnahme und Kausalität. Seit 2023 verlangt die SEC zudem die Offenlegung wesentlicher Cybervorfälle (Form 8‑K, Item 1.05) und Beschreibungen zu Governance, Risikomanagement und Zugriffskontrollen (Reg S‑K, Item 106) – ein klarer Fokus auf Logging, Audit und Berechtigungsmanagement.
Technische Einordnung: Insiderzugriff in E2EE-Messengern
Selbst bei Ende‑zu‑Ende‑Verschlüsselung (E2EE) bleiben Metadaten, Telemetrie und Systemjournale für Betrieb und Sicherheit zugänglich. Breite Entwicklerrechte widersprechen dem Least‑Privilege‑Prinzip und modernen Zero‑Trust‑Ansätzen. Vorfälle wie der Missbrauch interner Tools bei Twitter 2020 oder Kompromittierungen administrativer Konsolen in anderen Tech-Unternehmen zeigen, dass übermäßige Berechtigungen und schwache Audits häufig zentrale Risikotreiber sind.
Best Practices: Zugriff minimieren, Nachvollziehbarkeit maximieren
Bewährte Kontrollen umfassen fein granulare RBAC/ABAC, strikte Segregation of Duties, Just‑in‑Time‑Zugriff mit Re‑Zertifizierung, „Break‑Glass“-Szenarien mit erhöhter Überwachung, Tokenisierung von PII, DLP für Datenabfluss sowie manipulationssichere Protokollierung (z. B. WORM‑Logs). Unabhängige Audits und regelmäßige Berichte an den Aufsichtsrat stärken die Compliance mit SOX und SEC‑Anforderungen.
Datenpunkte und Branchenbefunde
Branchenberichte wie der Verizon DBIR und die ENISA Threat Landscape weisen seit Jahren auf die Relevanz der Human‑ und Insiderkomponente hin – von legitimen Missbräuchen bis zu Social‑Engineering‑gestützten Zugriffsübernahmen. Fallstudien (Twitter 2020, Uber 2022) belegen, dass privilegierte Zugänge und unzureichende Protokollierung Eskalationen begünstigen. Für börsennotierte Unternehmen erhöht dies das Risiko wesentlicher Vorfälle mit Offenlegungspflichten.
Unabhängig vom Ausgang des Verfahrens sollten Unternehmen jetzt handeln: Engineering‑Zugriffe inventarisieren, Privilegien auf das notwendige Minimum reduzieren, JIT‑Freigaben und unveränderliche Logs etablieren, DLP‑Signale mit Identity‑Risiken korrelieren und Whistleblower‑Kanäle auf Wirksamkeit prüfen. Das senkt das Incident‑Risiko, verbessert die Beweisführung gegenüber Aufsicht und Gericht und stärkt das Vertrauen der Nutzer.
