Millionenstrafe für US-Dienstleister wegen mangelhafter IT-Sicherheit

Über 11 Millionen Dollar zahlen 2 IT-Firmen, weil sie New York eine nicht auf Sicherheit geprüfte Webseite verkauft haben. Ein Teil geht an den Whistleblower.​

In Pocket speichern vorlesen Druckansicht 9 Kommentare lesen
Verärgert User mit Brille sitzt vor einem Laptop und hebt verzweifelt die Arme

(Bild: CIRA/.CA)

Lesezeit: 3 Min.

"Aus Bundesmitteln finanzierte Aufträge kommen oft mit Auflagen für IT-Sicherheit, und Auftragnehmer müssen diese Verpflichtungen einhalten", erinnert Brian M. Boynton, ein hochrangiger Beamter der US-Staatsanwaltschaft. Seine Behörde hat gerade 11,3 Millionen US-Dollar von zwei Unternehmen eingetrieben, die zugeben, die vorgeschriebenen Security Audits für eine im staatlichen Auftrag entwickelte Webseite nicht durchgeführt zu haben.

Im Zentrum der Affäre steht ein 2021 vergebener Auftrag. Das US-Parlament gab Mittel frei, um während der Hochphase der COVID19-Pandemie bedürftige Wohnungsmieter finanziell zu unterstützen (emergency rental assistance program). Anträge auf diese Unterstützung mussten jeweils bei Behörden des US-Bundesstaates gestellt werden. New York vergab den Auftrag zur Programmierung einer entsprechenden Webseite samt Datenbank für Antragsteller an das Unternehmen Guidehouse Inc. aus dem US-Bundesstaat Virginia. Dieses beauftragte wiederum den Subunternehmer Nan McKay and Associates mit der Umsetzung.

Stunden, nachdem das System am 1. Juni 2021 online gegangen war, tauchten personenbezogene Daten von Antragstellern im Netz auf. Die Behörde nahm die Webseite gleich wieder offline. Nun haben beide Firmen zugegeben, die verpflichtenden Sicherheitsprüfungen vor Freischaltung des Systems nicht durchgeführt zu haben. Zusätzlich gibt Guidehouse zu, Cloud-Dienste eines dritten Anbieters genutzt zu haben, ohne die vertraglich notwendige Zustimmung des Auftraggebers eingeholt zu haben.

Beide Firmen haben ihre Fehler eingestanden. Guidehouse hat 7,6 Millionen Dollar gezahlt, Nan McKay weitere 3,7 Millionen Dollar. Im Gegenzug wird das laufende zivilrechtliche Verfahren am US-Bundesbezirksgericht für das Nördliche New York eingestellt (United States ex rel Elevation 33, LLC v Guidehouse Inc et al, Az. 1:22-cv-00206).

Von dem Geld gehen 1,95 Millionen Dollar als Belohnung an einen ehemaligen Guidehouse-Mitarbeiter. Dieser hat die Angelegenheit nämlich als einzelner Bürger vor Gericht gebracht. Das ist im US-Bundesgesetz False Claims Act of 1863 so vorgesehen: Wer bemerkt, dass jemand die öffentliche Hand betrügt, kann selbst stellvertretend für den Staat vor Gericht ziehen. Im Erfolgsfall winkt dafür ein Anteil am Erlös. Die weitaus überwiegende Zahl von Klagen nach dem False Claims Act wird nicht von Behörden, sondern von Privatleuten angestrengt.

Im Finanzjahr 2023 gab es mehr als 500 Urteile und Vergleiche nach dem False Claims Act, die dem US-Staat insgesamt mehr als 2,68 Milliarden Dollar eingespielt haben, davon 1,8 Milliarden alleine für Betrug im Gesundheitswesen. Mehr als 2,3 Milliarden Dollar sind auf Verfahren entfallen, die von Privaten initiiert wurden. Diese haben sich damit in Summe 349 Millionen Dollar Belohnung verdient.

(ds)