Ein kostspieliger Fehler und die Belohnung für den Whistleblower

Zwei US-amerikanische IT-Firmen wurden zu einer Strafe von insgesamt 11,3 Millionen Dollar verurteilt, weil sie dem Bundesstaat New York eine Webseite verkauft hatten, ohne die erforderlichen Sicherheitsüberprüfungen durchzuführen. Ein Teil dieser Summe geht als Belohnung an den Whistleblower, der den Vorfall gemeldet hat.

Das Versäumnis der IT-Sicherheit

Brian M. Boynton, ein hochrangiger Beamter der US-Staatsanwaltschaft, betont die Bedeutung der Einhaltung von Sicherheitsauflagen bei bundesfinanzierten Aufträgen. In diesem Fall haben die Unternehmen Guidehouse Inc. und Nan McKay and Associates diese Auflagen jedoch missachtet.

Der Auftrag zur Entwicklung einer Webseite, die während der COVID-19-Pandemie bedürftige Wohnungsmieter unterstützen sollte, wurde 2021 vergeben. Die Webseite sollte es den Antragstellern ermöglichen, ihre Anträge online zu stellen. Guidehouse Inc. erhielt den Auftrag und beauftragte Nan McKay and Associates mit der Umsetzung.

Datenleck und Konsequenzen

Nur Stunden nach der Freischaltung der Webseite am 1. Juni 2021 tauchten personenbezogene Daten der Antragsteller im Netz auf. Die Webseite wurde umgehend offline genommen. Beide Unternehmen räumten später ein, die obligatorischen Sicherheitsüberprüfungen vor dem Start der Webseite nicht durchgeführt zu haben. Guidehouse gestand zudem, Cloud-Dienste eines Drittanbieters ohne die vertraglich notwendige Zustimmung des Auftraggebers genutzt zu haben.

Als Konsequenz haben Guidehouse 7,6 Millionen Dollar und Nan McKay 3,7 Millionen Dollar Strafe gezahlt. Das laufende zivilrechtliche Verfahren am US-Bundesbezirksgericht für das Nördliche New York wurde im Gegenzug eingestellt.

Whistleblower erhält Belohnung

Ein ehemaliger Mitarbeiter von Guidehouse brachte den Vorfall ans Licht und erhält nun 1,95 Millionen Dollar als Belohnung. Dies ist im US-Bundesgesetz False Claims Act of 1863 verankert, das es Privatpersonen ermöglicht, im Namen des Staates Klagen gegen betrügerische Aktivitäten einzureichen. Im Erfolgsfall erhalten diese Whistleblower einen Anteil des Erlöses.

Im Finanzjahr 2023 gab es über 500 Urteile und Vergleiche nach dem False Claims Act, die dem US-Staat insgesamt mehr als 2,68 Milliarden Dollar eingebracht haben. Davon entfielen 1,8 Milliarden Dollar auf Betrug im Gesundheitswesen. Verfahren, die von Privatpersonen initiiert wurden, haben mehr als 2,3 Milliarden Dollar generiert, wovon sich die Whistleblower 349 Millionen Dollar Belohnung verdient haben.

Fazit: Ein teures Versäumnis und ein lohnender Hinweis

Der Fall zeigt, wie wichtig es ist, Sicherheitsauflagen bei IT-Projekten strikt einzuhalten. Er zeigt auch, dass Whistleblower, die mutig genug sind, Missstände aufzudecken, eine wichtige Rolle spielen und dafür gerecht entlohnt werden können. Die Strafen für Guidehouse und Nan McKay dienen als Erinnerung daran, dass Nachlässigkeit bei der IT-Sicherheit teuer werden kann.