Die Anklage wirft ein bezeichnendes Licht auf die Anfälligkeit von Organisations-IT-Infrastrukturen für Sabotage durch Insider. Alles begann mit einem Passwortdiebstahl: Sohaib Akhter verschaffte seinem Bruder das Passwort einer Person, die eine Diskriminierungsbeschwerde bei der US-amerikanischen Equal Employment Opportunity Commission (EEOC) eingereicht hatte. Mit diesem Zugriffsrecht wurde das E-Mail-Konto der Beschwerdestelle unbefugt genutzt.
Doch das war erst der Anfang. Als der Arbeitgeber herausfand, dass Sohaib Akhter wegen früherer Straftaten nicht beschäftigt werden durfte, kündigte das Unternehmen ihm und seinem Bruder. Die beiden reagierten darauf mit einer orchestrierten Sabotage-Kampagne: Sie verschafften sich unbefugten Zugriff auf Computersysteme, schrieben Datenbanken schreibgeschützt und löschten schließlich 96 Datenbanken vollständig. Parallel versuchten sie, Spuren ihrer illegalen Aktivitäten zu verwischen.
Das Unternehmen, das die Infrastruktur hostet, beliefert mehr als 45 US-Bundesbehörden – darunter die EEOC selbst. Ein Flächenbrand von atemberaubendem Ausmaß.
Akhter wurde der Verschwörung zu Computerbetrug, des Passwort-Trafficking und des rechtswidrigen Besitzes von Schusswaffen schuldig befunden. Bei der Verurteilung am 9. September drohen ihm bis zu 21 Jahre Haft. Es ist nicht sein erstes Vergehen: 2015 war er bereits wegen ähnlicher Vorwürfe verurteilt und verbrachte zwei Jahre im Gefängnis.
Für deutsche Behörden und IT-Dienstleister ist dieser Fall lehrreich. Die DSGVO verpflichtet Datenverarbeiter zu Sicherheitsmaßnahmen und Meldepflichten bei Datenpannen. Das BSI empfiehlt zudem, Mitarbeiter mit Systemzugriff regelmäßig zu überprüfen und Privilege-Access-Management-Systeme einzuführen. Akhters Fall zeigt: Technische Sicherheit allein genügt nicht – das Vertrauen in Mitarbeiter muss durch Kontrollen und Monitoring gestützt werden.