IT-Sicherheitsdienstleister Unisys unter schwerem Beschuss

Der US-amerikanische IT-Dienstleister Unisys (United Information Systems) sieht sich schwerwiegenden Vorwürfen ausgesetzt. Einem Bericht der Washington Post zufolge ermittelt das FBI gegen den Konzern wegen krimineller Betrügereien im Zusammenhang mit Großaufträgen des Department of Homeland Security (DHS). Unisys hatte vom DHS im Jahr 2002 den Zuschlag für den Aufbau und den Betrieb neuer IT-Systeme der Transportation Security Administration (TSA) sowie des DHS-Hauptquartiers in Washington erhalten. Das Auftragsvolumen wurde damals mit rund einer Milliarde US-Dollar angegeben. Im Jahr 2005 folgte ein Anschlussvertrag mit einem Volumen von 750 Millionen US-Dollar.

Bestandteil der Verträge war unter anderem der Schutz der Netzwerke vor Hacker-Angriffen. Dazu sollte Unisys mehrere Intrusion Detection Systeme installieren und die Netzwerkaktivitäten überwachen. Doch die Systeme versagten offenbar oder wurden erst gar nicht installiert. Auch soll Unisys den zuständigen Behörden über Monate hinweg vorsätzlich verschwiegen haben, dass es Hackern wegen der Sicherheitslücken bereits gelungen war, massenhaft Daten von kompromittierten Computern abzuziehen. Diesen Verdacht äußert zumindest der Vorsitzende des Homeland-Security-Ausschusses im US-Repräsentantenhaus, Bennie Thompson.

"Wenn schon hunderte von Millionen Dollar für diese Systeme ausgegeben werden, dann sollte man wenigstens vom Auftragnehmer erwarten können, dass er Verantwortung übernimmt", erklärte Thompson. Sollte sich tatsächlich herausstellen, dass hier betrügerisches Verhalten vorliege, müssten die zuständigen Personen strafrechtlich belangt werden. Nach eigenen Untersuchungen des Ausschusses hatten Hacker zwischen Juni und Oktober 2006 Zugriff auf rund 150 DHS-Computer und übermittelten Daten an eine chinesische Webseite, auf der Hacker-Tools angeboten wurden. Die meist in der Nacht oder am frühen Morgen initiierten Datenübertragungen sollen teilweise stundenlang angedauert haben.

Die Angreifer hätten nach dem Eindringen in das Netzwerk zunächst Administrator-Konten gehackt und darüber dann Schadsoftware auf zahlreichen Rechnern im DHS-System installiert. Obwohl einem Unisys-Mitarbeiter bereits im Juni 2006 Informationen über eine mögliche Infiltration vorgelegen hätten, sei der Sachverhalt von ihm sowie von Mitarbeitern des DHS ignoriert worden. Erst Ende September hätten zwei DHS-Systemadministratoren dann gemerkt, dass ihre PCs gehackt worden waren. Um eigene Fehler zu vertuschen, habe Unisys jedoch versichert, die Netze seien nicht infiltriert worden, schreibt die Washington Post.

Unisys ließ unterdessen erklären, man habe von keiner Strafverfolgungsbehörde bislang Informationen darüber erhalten, dass Untersuchungen gegen das Unternehmen oder Mitarbeiter des Unternehmens eingeleitet wurden. Der Vorwurf, Unisys habe statt der vorgesehenen sieben Intrusion Detection Systeme bis Juni 2006 lediglich drei installiert, sei falsch. Vielmehr seien zu diesem Zeitpunkt bereits fünf der Systeme installiert gewesen, ein weiteres sei im September installiert worden. Im Übrigen habe das DHS beim Abschluss des Folgeauftrags aus Geldmangel auf Monitoring-Dienstleistungen verzichtet. Unisys habe das Monitoring aber dennoch weiter gewährleistet. (pmz)