Vorwurf lascher IT-Security bei Raketenfirma - Whistleblower erklagt Millionen
Aerojet Rocketdyne habe sich durch Schönung der eigenen IT-Sicherheit Regierungsaufträge erschlichen, sagt ein Ex-Manager. Er hat im Namen der USA prozessiert.
Symbolbild
(Bild: NASA)
Aerojet Rocketdyne zahlt neun Millionen US-Dollar an die US-Regierung, um Betrugsvorwürfe aus der Welt zu schaffen. Brian Markus, bei Aerojet 2014/2015 Leiter der IT-Sicherheit und Compliance, hatte als Whistleblower Alarm geschlagen: Die Firma habe den Zustand ihrer eigenen IT-Sicherheit betrügerisch geschönt, um Regierungsaufträge zu erhalten. Tatsächlich sei es mit der IT-Sicherheit nicht weiter her, womit Aerojet für die Regierungsaufträge disqualifiziert gewesen sei.
Doch US-Behörden eröffneten kein Verfahren gegen Aerojet Rocketdyne (ehemals GenCorp). Stattdessen ging der Whistleblower selbst zu Gericht. Jahrelang wurde prozessiert, bis im April ein Verfahren vor Geschworenen eröffnet wurde. Erst dann einigten sich Markus und Aerojet auf einen Vergleich. Rocketdyne zahlt den USA neun Millionen Dollar, gesteht aber ausdrücklich keine Schuld ein.
Außerdem zahlt Rocketdyne eine geheime Summe für einen Teil der Anwalts- und Verfahrenskosten Markus'. Die USA wiederum zahlen Markus 29 Prozent der erstrittenen neun Millionen Dollar, mithin 2,61 Millionen Dollar. Das ist in dem Land gesetzlich so vorgesehen.
Vorwurf mangelnder IT-Sicherheit
Aerojet Rocketdyne ist in Kalifornien beheimatet und stellt Triebwerke für Raumfahrtraketen und ballistische Raketen her. Zu den Kunden zählen neben der US-Weltraumagentur NASA beispielsweise Luftwaffe, Armee und Raketenabwehramt der Vereinigten Staaten. Sowohl die NASA als auch die Streitkräfte verlangen von potenziellen Auftragnehmern wie Aerojet Rocketdyne, gewisse IT-Sicherheitsstandards zu erfüllen. Damit soll das Risiko, dass sensible Daten in falsche Hände gelangen, reduziert werden.
Bei Aerojet Rocketdyne hat das laut Markus nicht gefruchtet. Beauftragten Pentestern sei es in nur vier Stunden gelungen, alle Nutzerkonten und Passwörter der Firma zu ergattern, auf unter das Anwaltsgeheimnis fallende Dokumente zuzugreifen, und aus der Ferne bei allen Überwachungskameras und -mikrofonen in den Einrichtungen Aerojet Rocketdynes mitzuschauen und mitzulauschen.
Gleichzeitig habe die Firma ihren späteren Auftraggebern versichert, alle IT-Sicherheitsvorschriften zu erfüllen. Laut Aerojet Rocketdyne ist das nicht unbedingt ein Widerspruch zum miserablen Ergebnis des Penetrationstests. Und selbst wenn Vorschriften verletzt worden seien, wäre den USA kein Schaden entstanden, da alle Aufträge erfüllt worden seien. Grundsätzlich stellt die Firma die Vorwürfe Markus' in Abrede.
Klage mit spätem Erfolg
2015 erhob Markus Klage nach dem False Claims Act. Dieses US-Bundesgesetz erlaubt US-Bürgern ausdrücklich, Schadenersatz von Tätern einzuklagen, die sich durch kriminelle Machenschaften zu Lasten des US-Bundeshaushalts bereichern. Etwaige Zahlungen fließen dann zwar in den Bundeshaushalt, doch dem erfolgreichen Kläger stehen von Gesetz wegen 15 bis 30 Prozent als Belohnung zu, die allerdings voll als Einkommen versteuert werden müssen.
Der ehemalige IT-Security-Manager verwies vor Gericht auf 18 Regierungsaufträge, die Aerojet Rocketdyne nie hätte bekommen dürfen. Aerojet versuchte, das Verfahren einstellen zu lassen. Das gelang aber nur teilweise: Aus formalen Gründen wurden elf der 18 Regierungsaufträge aus dem Verfahren ausgeschieden, beispielsweise weil die Verträge erst nach Klageerhebung unterschrieben wurden.
Markus ließ aber nicht locker, sodass es nach sieben Jahren Verfahrensdauer schließlich doch zu einem Gerichtssaalverfahren mit Geschworenen gekommen ist. Erst am zweiten Tag der Verhandlungen vor den Geschworenen konnten sich die Parteien auf den Vergleich verständigen. Das Verfahren wird eingestellt, Markus erhält 2,61 Millionen Dollar Belohnung brutto. Das sind 29 Prozent der erstrittenen Zahlungen, also fast das gesetzlich zulässige Maximum.
Aufträge kamen weiter
Zwischenzeitlich konnte die Firma weitere Aufträge an Land ziehen. Beispielsweise hat 2020 die NASA für 1,8 Milliarden Dollar Raketentriebwerke für Mondlandungen bei Aerojet Rocketdyne bestellt. Noch im selben Jahr gab der Rüstungskonzern Lockheed Martin bekannt, Aerojet Rocketdyne zum Preis von 4,4 Milliarden Dollar zu übernehmen. Allerdings hat die US-Wettbewerbsbehörde FTC (Federal Trade Commission) diesen Kauf unterbunden, weil er den Wettbewerb auf dem Rüstungsmarkt zu sehr eingeschränkt hätte.
Das Verfahren heißt United States ex relator Brian Markus v. Aerojet Rocketdyne Holdings Inc., et al.. Es war am US-Bundesbezirksgericht für das östliche Kalifornien unter dem Az. 2:15-cv-02245 anhängig.
- Dritte und letzgültige Version der Klage Brian Markus' gegen Aerojet Rocketdyne
- Vergleich zwischen Markus und Aerojet Rocketdyne vom 30. Juni 2022
(ds)