Wenn man im Job zu illegalen Handlungen aufgefordert wird: So sind diese Softwareingenieure damit umgegangen

 (blog.pragmaticengineer.com)
1 Punkte von GN⁺ 2025-10-04 | 1 Kommentare | Auf WhatsApp teilen
  • Es werden drei reale Fälle vorgestellt, in denen Softwareingenieure mit der Aufforderung zu illegalen Handlungen konfrontiert waren
  • Bei FTX wurde ein Ingenieur, der trotz Kenntnis des Betrugs nicht aus dem Unternehmen ausschied, rechtlich zur Verantwortung gezogen
  • Im Fall Frank erhielt ein Ingenieur die Aufforderung zur Manipulation realer Daten, lehnte dies jedoch ab und vermied so eine Haftung
  • Bei Pollen geriet ein Ingenieur später in Schwierigkeiten, nachdem er auf Anweisung des CEO doppelte Abbuchungen bei Kunden ausgeführt hatte
  • Diese drei Fälle unterstreichen, dass die klare Verweigerung illegaler Anweisungen die beste Reaktion ist

Einleitung: Die Realität illegaler Anweisungen für Softwareingenieure

  • In mehreren aktuellen Fällen wurden die Erfahrungen von Softwareingenieuren bekannt, die beinahe in illegale Handlungen ihres Unternehmens verwickelt worden wären
  • Wenn Ingenieure aufgefordert werden, bei illegalen Handlungen zu helfen, können sie unterschiedliche Entscheidungen treffen – mit sehr unterschiedlichen Folgen
  • Anhand realer Fälle soll vermittelt werden, wie man auf illegale Anweisungen richtig reagiert

FTX: Ein Engineering Director, der trotz Kenntnis der Illegalität im Unternehmen blieb

  • Im FTX-Skandal erkannte der Ingenieur Nishad Singh etwa im September 2022, dass Alameda Research Kundengelder in großem Umfang veruntreut hatte
  • Nachdem Singh dies erkannt hatte, hätte er kündigen oder sich für Whistleblowing, Rechtsberatung oder andere Schritte entscheiden können
  • Er blieb jedoch im Unternehmen und versuchte, „das Problem zu lösen“, und nahm später sogar ein Darlehen über 3.700.000 Dollar auf, um ein Haus zu kaufen
  • Letztlich drohten Singh wegen seiner Beteiligung am Betrug bis zu 75 Jahre Haft, doch im Urteil von 2025 wurde seine Verantwortung als begrenzt anerkannt, sodass er ohne Haftstrafe unter dreijähriger Aufsicht freikam
  • Die Lehre aus diesem Fall ist, dass man das Unternehmen sofort verlassen oder Whistleblowing betreiben beziehungsweise rechtlichen Rat einholen sollte, sobald man von illegalen Handlungen erfährt

Frank: Ein Softwareingenieur, der die Aufforderung zur Datenmanipulation ablehnte

  • Frank war ein Startup für Studienkredite, das 2016 gegründet und 2021 für 175 Millionen Dollar von JP Morgan übernommen wurde
  • Im Zuge der Übernahme bat ein Unternehmen, das tatsächlich nur Daten von 293.000 Kunden hatte, den Ingenieur darum, gefälschte Datensätze für 4,2 Millionen Personen zu erzeugen
  • CEO Charlie Javice und andere Führungskräfte versuchten dies mit Aussagen wie „Dafür wird niemand ins Gefängnis gehen“ zu rechtfertigen, doch der Ingenieur lehnte ab und lieferte nur die echten Daten
  • Dadurch konnte der Ingenieur, der sich nicht an der illegalen Handlung verschworen hatte, einer rechtlichen Verantwortung entgehen
  • CEO Javice wurde später wegen eines Betrugs über 175 Millionen Dollar zu sieben Jahren Haft verurteilt

Pollen: Ein Ingenieur, der auf Anweisung des CEO doppelte Abbuchungen bei Kunden ausführte

  • Pollen war ein Event-Tech-Startup, das nach Investitionen in Höhe von 200 Millionen Dollar erklärte, versehentlich Kundengelder in Höhe von 3.200.000 Dollar eingezogen zu haben
  • Eine Untersuchung in einer BBC-Dokumentation ergab, dass die doppelten Abbuchungen auf direkte Anweisung des CEO durch eine Codeänderung des Ingenieurs durchgeführt wurden
  • In internen Nachrichten räumte der Ingenieur ein, er habe „auf Wunsch des CEO das falsche Skript ausgeführt“, und bekannte Reue sowie eine Fehlentscheidung
  • Das rechtliche Ergebnis ist hier noch offen, doch die Lage weist auf eine hohe Wahrscheinlichkeit illegalen Handelns hin
  • Die Lehre lautet, dass man selbst illegale Anweisungen von CEO oder anderen Topmanagern dokumentieren und ablehnen sollte, um rechtlich möglichst sicher zu bleiben

Fazit und Lehren

  • In allen drei Fällen hatten die Entscheidungen der Ingenieure nach einer illegalen Aufforderung entscheidenden Einfluss auf ihre spätere rechtliche und ethische Verantwortung
  • Der einzige wirklich sichere Fall war bei Frank derjenige, in dem der Ingenieur sofort und eindeutig ablehnte
  • Bei FTX und Pollen zeigt sich, dass das passive Befolgen von Unternehmensanweisungen zu schwerwiegenden Folgen führen kann
  • Letztlich ist die wichtigste Lehre: „Jeder kann zu illegalen Anweisungen jederzeit Nein sagen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-10-04
Hacker-News-Kommentare

  • Ich habe erfahren, dass WellPoint 2010 Code verwendet hat, um Versicherungsverträge von Brustkrebspatientinnen automatisch zu kündigen. CEO war damals Angela Braly, die heute bei ExxonMobile ist. WellPoint war zu dieser Zeit der zweitgrößte Versicherer in den USA. Der Aufbau dieses Systems erforderte erhebliche Business-Analyse und Softwareentwicklung, und es muss intern Leute gegeben haben, die den Zweck dieses Codes verstanden haben. Vermutlich haben sie für diese „Einsparungen“ Boni erhalten.

    • Ich finde, zumindest die Namen der Beteiligten sollten dauerhaft mit diesem Verbrechen verbunden bleiben. Solche Entscheidungen wurden nicht von einer anonymen Gruppe namens „das Unternehmen“ getroffen, sondern von realen Personen, die entschieden haben, Brustkrebspatientinnen gezielt ins Visier zu nehmen. Die damalige CIO Lori A. Beer ist heute bei JP Morgan.
    • Ich hatte in den 2010er Jahren eine ähnliche Erfahrung, allerdings war sie nicht illegal. Ich arbeitete bei einem großen Pharmagroßhändler, ungefähr vor und nach der Opioidkrise. Damals gab es rechtlich noch keine Pflicht, auffällige Bestellungen an die DEA zu melden, und ohne Durchsuchungsbefehl wurden auch keine Daten herausgegeben. Um den Gewinn zu maximieren, wurden wichtige Opioidkunden ausgewählt, und das Bestandssystem wurde aktualisiert, damit sie mit Rabatten und Benachrichtigungen schneller und mehr kaufen. Dem Vertrieb wurden außerdem Ansprechpartner pro Anbieter zugeordnet, damit sich Boni leichter berechnen ließen. Wir waren Software Engineers, aber das meiste Geld aus diesen Programmen verdiente der Vertrieb, der anteilig an den Käufen beteiligt war.

  • Ich arbeitete an einem großen Regierungsprojekt und habe von Anfang an betont, dass man zum Jahresende keine fingierten Stunden abrechnen dürfe, weil das illegal und riskant sei. Dann stellte ich fest, dass ein Kollege in meinem Namen falsche Stunden in die Timesheets eingetragen hatte. Nach Rücksprache mit einem Anwalt wurde mir empfohlen, dies dem GAO zu melden, aber letztlich habe ich es nur dem zuständigen Professor gemeldet und beschlossen zu kündigen. Das war extrem belastend, weil die Verantwortung auf mich hätte abgewälzt werden können, wenn ich es nicht vorher gemeldet hätte. Am Ende scheint der Professor die Sache einfach unter den Teppich gekehrt zu haben.

    • Wenn es Aufzeichnungen über den Austausch mit dem Anwalt gibt, kann man es beim Ansprechpartner melden und ansonsten normal weiterarbeiten. Solange man sich das zusätzliche Geld nicht selbst eingesteckt hat, interessiert es bei einer Prüfung oder Untersuchung normalerweise niemanden besonders.

  • Meiner Erfahrung nach sind Großunternehmen sehr gut darin, Beweise für Fehlverhalten zu verbergen, und setzen alles daran, Top-Manager zu schützen. Am Ende zählt der Aktienkurs, und wenn Interna ans Licht kommen, geht eine Führungskraft einfach wegen „besserer Möglichkeiten“, während ehrliche Engineers den Stress tragen und die Führungskräfte unbeschadet zum nächsten Schritt übergehen. Rückblickend sind interne Melderichtlinien oder Gespräche mit Unternehmensjuristen nutzlos. Sie sind entweder inkompetent oder schützen, wenn sie kompetent sind, vor allem das Unternehmen. Besser ist es, direkt einen detaillierten Bericht bei der Aufsichtsbehörde einzureichen.

    • Das hängt vom Land ab. In Ungarn ist es unmöglich, ein großes Unternehmen zu betreiben, ohne der Familie des Ministerpräsidenten Geld zukommen zu lassen. Ich habe als einfacher Entwickler in einem multinationalen Unternehmen einmal Unterlagen unterschrieben, die dazu dienten, EU-Gelder abzuschöpfen. Ich war zu naiv und hielt es für ein echtes Projekt, aber das war es nicht. Erst später verstand ich, warum meine Kollegen sich dagegen gewehrt hatten.

  • Die Lehre „man kann immer Nein sagen“ ignoriert in der Realität die Möglichkeit von Vergeltungsmaßnahmen durch das Management gegen diejenigen, die sich weigern. Mit der Zeit erkennt man zwar, dass das Risiko einer Gefängnisstrafe größer ist als die Vergeltung, aber in dem Moment ist es nicht leicht, den Mut für ein „Nein“ aufzubringen.

    • Man kann jederzeit, absolut, „Nein“ sagen. Die Karotte, die sie einem hinhalten (Geld), kommt und geht. Die Peitsche, die sie einsetzen (Geld), ist ebenfalls nichts, worüber man sich allzu viele Sorgen machen sollte.
    • Ich finde, wenn ein Vorgesetzter eine illegale Handlung anordnet, gibt es selbst dann eine ethische und moralische Verantwortung, wenn man dadurch den Job verliert. Das Gesetz ist das Gesetz, Ausnahmen gibt es nicht. Der Vorgesetzte trägt Verantwortung, aber wer sich an der Illegalität beteiligt, trägt ebenfalls Verantwortung. Anders ist es nur bei Zwangslagen wie Lebensgefahr oder Drohungen. Es ist schwer, und ich verstehe, dass man in solchen Situationen nicht immer eine perfekte Ethik durchhalten kann, aber als Bürger ist es die grundlegende Pflicht, das Gesetz nicht zu brechen.
    • Vergeltungsmaßnahmen wie Kündigung, Schikane oder Versetzung in eine Abteilung ohne Perspektive wirken auf junge Engineers einschüchternd, sind nüchtern betrachtet aber nicht besonders stark (wobei viele Manager alles andere als rational handeln). Eine Kündigung ist für das Unternehmen teuer, und nach einer Entlassung steigt eher die Wahrscheinlichkeit, dass die betroffene Person alles der Regierung meldet. Intern finden Legal oder Accounting oft auch nicht illegale Alternativen. Häufig wirkt weniger tatsächliche Vergeltung als vielmehr die Atmosphäre von „wir könnten Vergeltung üben“ (natürlich gilt das für Länder, in denen Vergeltung selbst illegal ist und rechtlich verfolgt werden kann).
    • Solche Vergeltung ist selbst wieder ein weiterer Rechtsverstoß.
    • Deshalb sollten Whistleblower-Schutzgesetze meiner Meinung nach deutlich stärker werden (zum Beispiel automatische Haftstrafen bei Vergeltung, selbst wenn sich der Whistleblower geirrt hat), und auch die Entschädigungen sollten höher sein.

  • Ich wurde gebeten, den Antrag meines Teams auf R&D-Steuergutschriften zu genehmigen, habe ihn aber nach Prüfung abgelehnt. Später stellte sich in einem Gespräch mit dem Steuerberater heraus, dass sich alles auf Aussagen des CEO stützte. Als wir die Details gemeinsam durchgingen, stimmte er meiner Einschätzung weitgehend zu. Dabei lernte ich, dass Steuergutschriften zwar als „R&D“ bezeichnet werden, ihre rechtliche Definition aber nicht einfach normale Entwicklungsarbeit einschließt. In diesem Fall lag keine illegale Absicht vor, aber es gab Punkte, die eigentlich als Steuerhinterziehung hätten gewertet werden können. In solchen Situationen sollte man das Unternehmen immer bitten, einen direkt mit Fachleuten zusammenzubringen, damit sowohl man selbst als auch das Unternehmen rechtlich abgesichert sind. Wenn man die Wahrheit sagt, gibt es kein Problem.

  • Ich finde, Softwareentwickler sollten wie andere Berufsgruppen einen Ethikkodex unterschreiben und unethische Anforderungen unter Verweis auf diesen Kodex ablehnen können. Das wäre auch bei Entscheidungen wirksam, die zwar nicht illegal, aber unmoralisch oder unerquicklich sind, etwa wenn die Standard-Privatsphäre-Einstellung auf öffentlich/öffentlich gesetzt wird. Wenn man offizielle Kodizes von Organisationen wie IEEE oder ACM zitiert, kann das auch helfen, Vergeltung abzuschrecken.

    • Schon ein einziges Agile-Manifest zu befolgen, fällt uns nicht leicht.
    • So wie der hippokratische Eid bei Ärzten auch ohne Verpflichtung eine Rolle spielt, könnte ACM oder IEEE meiner Meinung nach ein entsprechendes Gelöbnis für Entwickler schaffen.
    • Ich frage mich zum Beispiel, ob gemeint ist: A) Entwickler sollten freiwillig einen Ethikkodex unterschreiben können, B) die Unterschrift sollte verpflichtend verlangt und Nichtunterzeichner von der Beschäftigung ausgeschlossen werden, oder C) es geht um etwas anderes.
    • Auch ACM hat einen Ethikkodex, aber es scheint kaum Durchsetzung gegen Unternehmen zu geben, die ihn systematisch verletzen.
    • Solche rein deklarativen Kodizes reichen nicht aus. Durchsetzungskraft und Whistleblower-Schutz sind unverzichtbar.

  • Im Nachhinein wirkt es oft offensichtlich, aber in dem Moment ist es nicht leicht zu beurteilen, welches Handeln richtig ist. Das Gefühl, überzureagieren, Erklärungen, die die Situation rationalisieren, und die Angst vor Jobverlust machen es schwer, Mut zu fassen. Wenn es sich um klar schwarz-weiße Straftaten handeln würde, wäre Ablehnung leicht, aber die Realität liegt oft in einer grauen Zone. Unwissenheit entbindet ebenfalls nicht von Verantwortung, daher trägt jeder Verantwortung für sein eigenes Handeln. Trotzdem hoffe ich, dass niemand in solche Situationen gerät.

    • Ich kann der Aussage „es gibt keine klar schwarz-weißen Fälle“ nur schwer zustimmen. Die drei Beispiele sind sehr klare Schwarz-Weiß-Fälle.
    • Wenn man für den Lebensunterhalt der Familie verantwortlich ist oder wegen Versicherung bzw. Visum vom Unternehmen abhängt, dürfte es schwer sein, illegale oder unethische Anforderungen unter instabilen Bedingungen abzulehnen. Deshalb nutzen Unternehmen so viele Mittel, um Beschäftigte zu kontrollieren und auszubeuten.

  • Ich arbeite seit 20 Jahren als Entwickler, meist in jährlichen Kurzzeitverträgen bei verschiedenen Firmen, und wurde noch nie zu einer illegalen Handlung aufgefordert. Solche Erfahrungen sind also sehr selten. Wenn jemand tatsächlich zu etwas Illegalem aufgefordert wird, sollte er das Unternehmen meiner Meinung nach sofort verlassen. Solche Firmen sind nicht normal und befinden sich in einem verzweifelten Zustand, der sich wahrscheinlich weiter verschlimmern wird. Das ist absolut nicht normal. Man sollte so schnell wie möglich raus.

    • Unethisches oder moralisch fragwürdiges Verhalten, stillose Entscheidungen, Unprofessionalität oder Workarounds gibt es in jedem Unternehmen zuhauf, und oft merkt man es erst später. Aber echte Illegalität fühlt sich in dem Moment anders an. Auch ohne juristisches Wissen spürt man, dass etwas nicht stimmt — durch die Atmosphäre, das Verhalten der Kollegen und das eigene Unbehagen.

  • Ich habe 2020 vier Monate bei NS8 gearbeitet, bevor das Unternehmen zusammenbrach und der CEO wegen eines Investmentbetrugs in Höhe von 123 Millionen Dollar verhaftet wurde. Ich habe kürzlich zwar im Rahmen einer Klage wegen der Entlassungen eine kleine Entschädigung bekommen, aber mitten in der Corona-Zeit den Job zu verlieren, war extrem belastend.

  • Ich bin fest überzeugt davon, „niemals etwas Schlechtes oder Illegales zu tun“. Zwei Dinge werden aber kaum angesprochen. Erstens können die persönlichen Kosten sehr hoch sein, auch wenn es gar nicht bis zum formellen Whistleblowing kommt. Selbst im besten Fall führt es am Ende zu Druck bei der Jobsuche, und nicht jeder hat Alternativen oder finanzielle Rücklagen. Dazu kommt erhebliche psychische Erschöpfung. Ich wäre einmal fast ausgebrannt, als ich versucht habe, so eine Situation zu korrigieren, und habe am Ende aus der Distanz zugesehen, wie das Projekt scheiterte. Ich habe auch erlebt, wie Bekannte schwer verletzt wurden, als sie interne Probleme offenlegten, obwohl sie kaum Fehler gemacht hatten. Auch Manager sind oft nicht direkt beteiligt, sondern systemisch eingebunden und haben gar nicht die Befugnis, das Problem selbst zu lösen. Zweitens kann man, sofern man nicht alles opfert und vollständig in den Kampf zieht, letztlich meist nur sich selbst schützen. Man schläft zwar besser, weil man seinen Prinzipien treu geblieben ist, aber es bleibt das Bedauern, dass man die Gerechtigkeit nicht selbst wiederherstellen konnte.

    • Da nicht jeder einfache Alternativen hat, würde ich empfehlen, für alle Fälle genug Notfallreserven anzulegen, damit man jederzeit kündigen kann. Der Rat ist, lieber Cash statt Aktien zu wählen und Verträge nicht zu goldenen Handschellen werden zu lassen. Das hilft nicht nur dabei, ethisch zu bleiben, sondern auch in jeder Verhandlung. Das Verhandlungskonzept BATNA (Best Alternative to a Negotiated Agreement) kann dabei hilfreich sein Link zum Material.