Korrekt oder vertretbar?
Soweit ich die Abfolge richtig verstehe, hat Facebook einen Kriminellen zunächst dem FBI gemeldet, und dem FBI Hilfe über einen Dritten angeboten, mittels eines Exploits diesen ausfindig zu machen.
Sofern sich das tatsächlich so zugetragen hat, ist an Facebooks Verhalten nicht lediglich nichts auszusetzen, sondern man muss davon ausgehen, dass sie hierzu auch rechtlich verpflichtet waren.
Die Argumentation, dies sei nicht Facebooks Aufgabe, halte ich insoweit für fehlgeleitet, als Facebook eben keineswegs auf eigene Faust gehandelt hat, sondern zunächst das FBI eingeschaltet hat. Dass dann letzten Endes der Auftrag und die Anwendung des Exploits von Facebook erfolgten, ist ebenso unerheblich, da Facebook hier lediglich Erfüllungsgehilfe des FBI war.
Dass Strafverfolger einen Zero-Day-Exploit entwickeln oder kaufen, um Verdächtige zu hacken, ist insbesondere in den USA nichts Neues. Aber dass ein privates Unternehmen einen Exploit in Auftrag gibt und bezahlt, und damit Polizeiarbeit übernimmt, ist mindestens heikel. Man könnte argumentieren, dass das nicht Facebooks Aufgabe sei.
Problematisch sehe ich in der Tat allerdings das Nicht-Melden der Schwachstelle:
Hinzu kommt, dass Facebook und die beauftragte IT-Sicherheitsfirma die Entwickler von Tails nicht vorgewarnt haben.
Damit wird wissentlich und willentlich in Kauf genommen, dass Dritte durch die Ausnutzung der Schwachstelle möglicherweise geschädigt werden, und das ist seinerseits jedenfalls grob fahrlässig, und könnte bzw. sollte im Zweifel auch zivilrechtlich zu Regressansprüchen gegen Facebook führen.
