Im Jahr 2023 erschütterte ein brisanter Whistleblower-Fall sowohl die IT-Branche als auch die Finanzwelt: Ein Manager bei Computacenter, einem renommierten britischen IT-Dienstleister, der für die Betreuung der Computersysteme der Deutschen Bank in deren New Yorker Niederlassung verantwortlich war, wurde nach seiner Meldung einer schwerwiegenden Sicherheitsverletzung entlassen. Die Vorwürfe umfassen, dass ein Computacenter-Mitarbeiter seine Freundin unbefugt in die Serverräume der Deutschen Bank ließ, die hochsensible Finanzdaten zahlreicher Kunden enthalten. Diese Enthüllungen werfen ein grelles Licht auf institutionelle Sicherheitsmängel sowie den Umgang mit Hinweisgebern in großen Unternehmen. James Papa, damals Service Delivery Manager bei Computacenter, meldete bereits im Frühjahr 2023 mehrmals, dass eine nicht autorisierte Person – die Freundin eines seiner untergeordneten Mitarbeiter – über mehrere Monate hinweg Zutritt zu den gesicherten Serverflächen erhielt. Trotz wiederholter Hinweise seinerseits scheint es so, als seien die Warnungen auf taube Ohren gestoßen.
Selbst nachdem er den betroffenen Kollegen angewiesen hatte, die unbefugten Zutritte zu unterbinden, wurden diese weiterhin von der Sicherheitsabteilung der Deutschen Bank über CCTV-Aufnahmen dokumentiert. Laut Papos Klage vor einem Gericht in New York wurden die Behörden, insbesondere die US-Börsenaufsicht SEC, entgegen gesetzlicher Pflichten nicht über die Sicherheitsverletzungen informiert. Die Server der Deutschen Bank verwahren enorme Mengen an vertraulichen Daten, darunter Millionen privater Bankaufzeichnungen und Transaktionsdaten von Hunderttausenden von Kunden. Die Verantwortlichkeit für den Schutz dieser Daten liegt nicht nur in der Hand der Bank, sondern erstreckt sich auch auf die involvierten IT-Dienstleister wie Computacenter. Die Tatsache, dass eine Person ohne jegliche Arbeitserlaubnis oder Zugangsdaten mehrfach in diese Räumlichkeiten gelangen konnte, deutet auf eklatante Lücken im Sicherheitskonzept hin.
Besonders brisant an dem Fall ist, dass James Papa nach seinen Bericht erst in ein aggressives Verhör mit Rechtsanwälten von Computacenter und Deutsche Bank sowie Sicherheitspersonal der Bank gezwungen wurde, dann suspendiert und schließlich entlassen wurde. Die Klage des ehemaligen Managers wirft vor, dass er wegen seiner Hinweise zum Sicherheitsleck zum Sündenbock gemacht wurde. Die involvierten Unternehmen hätten nicht nur die eigentliche Sicherheitsverletzung ignoriert, sondern auch den Whistleblower für seine Offenlegung bestraft. Die komplexe Dynamik zwischen IT-Auslagerung und Corporate Governance zeigt sich hier besonders deutlich: Während Computacenter als externer IT-Dienstleister operiert, trägt die Deutsche Bank als Dateninhaberin die Gesamtverantwortung für den Schutz ihrer Systeme. Die Anschuldigungen illustrieren eine problematische Koordination beider Parteien hinsichtlich der Einhaltung von Sicherheitsrichtlinien und Reaktion auf Vorfälle.
Weiterhin zeigt der Fall auf, wie wichtig ein ernstzunehmender Whistleblower-Schutz ist, damit Mitarbeiter potenzielle Risiken ohne Angst vor Vergeltungsmaßnahmen melden können. Der Bericht von Papa macht klar, dass Sicherheit bei Systemzugängen nicht nur technischer Natur sein darf, sondern auch auf menschlicher Ebene, insbesondere bei der Einhaltung von Zugangsprotokollen, kompromisslos kontrolliert werden muss. CCTV-Aufnahmen belegten, dass die betroffene Freundin, genannt Jenny, nicht nur in die Serverräume gelangte, sondern dort sogar die Server selbst berührte – ein Vorgang, der nach den Sicherheitsvorschriften streng untersagt ist und erheblichen Schaden anrichten könnte. Der Hintergrund, dass Jenny über signifikante Computerkenntnisse verfügt, erhöht die potentielle Gefahr, die von einer solchen unautorisierten Anwesenheit ausgeht, da Manipulationen der Systeme oder Datendiebstahl möglich wären. Die Klage verfolgt eine Forderung von über 20 Millionen US-Dollar aufgrund von erlittenem emotionalem, physischem und finanziellem Schaden durch die angeblich unrechtmäßige Kündigung und den daraus resultierenden Karriereschaden.
Der Fall wurde im Mai 2025 ausführlich in Fachmedien wie The Register diskutiert und wirft ein Schlaglicht auf generelle Sicherheitsrisiken bei ausgelagerten IT-Dienstleistungen in sensiblen Branchen. Aus Sicht von Experten könnte er als Weckruf dienen, um bestehende Überwachungs- und Meldeprozesse neu zu bewerten und die Kommunikation zwischen Kundenunternehmen und Dienstleistern zu verbessern. Die fehlende Meldung des Vorfalls an die SEC stellt zudem eine denkbare Verletzung von Compliance-Regelungen dar, was die Tragweite der Angelegenheit über reine Sicherheitsfragen hinaus verstärkt. Die Deutsche Bank und Computacenter haben sich bislang nicht öffentlich zu den Vorwürfen geäußert. Die Tatsache, dass ausgerechnet derjenige Mitarbeiter, der auf das Sicherheitsrisiko aufmerksam machte, entlassen wurde, lässt auf mangelnden Innenschutz für Hinweisgeber schließen und könnte potenziell abschreckend auf künftige Whistleblower wirken.
Dies ist besonders kritisch in Zeiten, in denen Cybersecurity und Datenschutz höchste Priorität innehaben. Der Fall unterstreicht die Dringlichkeit, robuste Sicherheitsvorgaben strikt umzusetzen und das Vertrauen in interne Meldesysteme zu stärken. Letztlich zeigt die Geschichte auch ein menschliches Drama, bei dem das Bestreben, Verantwortlichkeit herzustellen und die Integrität eines Systems zu schützen, durch institutionelle Beschwichtigungstaktiken und Angst vor Reputationsverlust behindert wurde. Für die IT-Branche allgemein bedeutet das, dass Sicherheit nicht nur durch Technik gewährleistet werden kann, sondern durch eine Unternehmenskultur, die Ehrlichkeit, Transparenz und Verantwortlichkeit fördert. Im hochsensiblen Umfeld der Finanzdatenverarbeitung sollten Unternehmen sicherstellen, dass alle Mitarbeiter und Partner strikt gebunden sind an Zugriffsregeln, während Whistleblower rechtlich und moralisch geschützt werden müssen.
