Eine Abmahnung gegen Adafruit zeigt, wie schnell aus einer Sicherheitsmeldung ein juristischer Streit wird. Der bekannte Open-Hardware-Hersteller aus Brooklyn wollte über eine Server-Fehlkonfiguration beim KI-Startup Flux berichten und kassierte dafür ein anwaltliches Drohschreiben. Der Fall berührt eine Frage, die jedes Unternehmen mit IT-Abteilung betrifft: Wie weit reicht der Schutz für Sicherheitsforscher, die im guten Glauben Lücken melden?
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Das Wichtigste in Kürze
- Adafruit erhielt am 22. Mai 2026 ein Drohschreiben der Kanzlei Fenwick & West im Auftrag des KI-Startups Flux (Defy Gravity Inc.).
- Flux beruft sich unter anderem auf den Computer Fraud and Abuse Act und wirft Adafruit falsche und rufschädigende Aussagen vor.
- Adafruit stoppte daraufhin vorübergehend seine Blog-Veröffentlichungen, kündigte am 9. Juni aber an, weiter Fakten zu publizieren.
- Das Unternehmen sichert allen Mitarbeitern und Auftragnehmern bei verantwortungsvollen Sicherheitsmeldungen Rechtsschutz zu.
Nach Darstellung von Adafruit griff das Unternehmen ausschließlich auf Informationen zu, die Flux über eine fehlkonfigurierte Server-Einstellung selbst öffentlich zugänglich gemacht hatte. Die geplante Berichterstattung betraf nach eigener Aussage ein Thema von öffentlichem Sicherheitsinteresse und lief im üblichen Rahmen einer verantwortungsvollen Offenlegung.
Worum dreht sich der Streit?
Das Schreiben stammt von Jonathan Lenzner, früher Stabschef beim FBI und heute Partner bei Fenwick & West. Es fordert Adafruit auf, einen Artikel über Flux nicht zu veröffentlichen, der nach Lesart der Kanzlei falsche und potenziell diffamierende Behauptungen über das geistige Eigentum, die kommerzielle Reichweite und die Nutzerbasis von Flux enthalte. Zusätzlich macht das Schreiben Ansprüche nach dem Computer Fraud and Abuse Act geltend, einem US-Gesetz gegen unbefugten Computerzugriff.
Adafruit weist die Vorwürfe entschieden zurück, hat aber das Bloggen vorübergehend ausgesetzt, um die Reaktion abzuwägen. Limor Fried, Gründerin von Adafruit, suchte zunächst den direkten Weg und schrieb an Flux-Gründer Matthias Wagner, ohne Anwälte. Ihr Vorschlag: ein offenes Podcast-Gespräch mit Fragen und Antworten vor der Community, statt eines teuren Rechtsstreits.
Eine Abmahnung gegen einen Hersteller, der eine offen liegende Lücke melden will, trifft am Ende die ganze Branche. Wenn das Melden von Fehlkonfigurationen zum Prozessrisiko wird, schweigen die Ehrlichen und die Lücken bleiben offen.
— Michael Dobler, Herausgeber Dr. Web
Warum sollten DACH-Unternehmen den Fall verfolgen?
Der Streit zeigt das Spannungsfeld zwischen Sicherheitsforschung und Haftungsangst in aller Schärfe. Wer eine Schwachstelle meldet, bewegt sich oft auf unsicherem rechtlichem Boden, selbst wenn die Daten durch einen Konfigurationsfehler frei zugänglich waren. In Deutschland sorgt der Paragraf 202a des Strafgesetzbuchs (das sogenannte Hackerparagraf-Thema) seit Jahren für ähnliche Unsicherheit bei Sicherheitsforschern.
Für Unternehmen ergeben sich daraus zwei praktische Konsequenzen. Richten Sie erstens einen klaren Meldeweg für Schwachstellen ein, etwa über eine security.txt-Datei und eine definierte Kontaktadresse, damit Forscher Lücken melden können, ohne ins Rechtsrisiko zu laufen. Sorgen Sie zweitens dafür, dass eigene Server keine sensiblen Daten durch Fehlkonfiguration preisgeben, denn genau solche offenen Einstellungen stehen am Anfang fast jedes dieser Fälle.
Adafruit hält an der Linie fest, weiter Fakten zu veröffentlichen, und hat den Rechtsschutz für seine Mitarbeiter ausdrücklich verankert. Das Gesprächsangebot an Flux steht nach Unternehmensangaben weiter. Prüfen Sie in Ihrem eigenen Haus, ob Mitarbeiter, die im guten Glauben Sicherheitsprobleme melden, abgesichert sind, denn diese Frage entscheidet darüber, ob Lücken intern überhaupt gemeldet werden.
