Thought Leadership
Ein Whistleblower wirft zwei der größten amerikanischen Technologiekonzerne vor, schwere Cyberangriffe auf gemeinsam betriebene Bundesinfrastruktur jahrelang vertuscht zu haben.
William Barlow war bis 2019 einer der ranghöchsten Sicherheitsexperten bei IBM. Heute steht sein ehemaliger Arbeitgeber wegen seiner Aussagen im Mittelpunkt eines aufsehenerregenden Rechtsstreits. Barlow behauptet, IBM und AT&T hätten wiederholt Einbrüche in ihre Systeme verschwiegen und gegenüber der US-Regierung falsche Angaben zur Sicherheitslage gemacht, um milliardenschwere Bundesaufträge zu sichern.
Die Klage stützt sich auf den amerikanischen False Claims Act, der es Privatpersonen ermöglicht, im Namen des Staates gegen Betrug vorzugehen. Eingereicht wurde sie bereits 2020, blieb aber bis vor wenigen Tagen unter Verschluss. Nachdem das Justizministerium entschieden hat, den Fall nicht selbst zu übernehmen, ordnete ein New Yorker Bundesgericht die Veröffentlichung der Klageschrift an.
Angriffe auf Infrastruktur mit staatlicher Nutzung
Die betroffenen Systeme sind keine gewöhnliche Unternehmens-IT. IBM betreibt eine weitreichende Cloud-Infrastruktur, auf die viele Teile der US-Bundesverwaltung zugreifen, darunter das Militär. AT&T ist für den Betrieb eines zentralen Teils dieses Netzwerks zuständig. Genau diese Infrastruktur soll über Jahre hinweg Ziel erfolgreicher Angriffe gewesen sein.
Besonders beunruhigend ist laut Klageschrift der Umstand, dass die Unternehmen in vielen Fällen weder die Identität der Angreifer noch den Umfang der abgegriffenen Daten ermitteln konnten. Als Grund wird angegeben, dass IBM keine ausreichenden Zugriffsprotokolle geführt habe.
Verbindungen zu staatlich gesteuerter Cyberspionage
Ein Teil der beschriebenen Angriffe soll auf die chinesische Hackergruppe APT 10 zurückgehen. Die US-Justiz hatte 2018 mutmaßliche Mitglieder dieser Gruppe angeklagt, nachdem Daten von rund 100.000 Angehörigen der US-Marine entwendet worden waren. Barlow zufolge verlief dieser Angriff über IBMs Infrastruktur.
Interne Untersuchungen sollen Tausende Hinweise auf APT-10-Aktivitäten zwischen 2013 und 2016 ergeben haben. Spätere Analysen hätten Hunderte kompromittierte Konten und Systeme in fast 20 Ländern identifiziert. Nachrichtendienstmitarbeiter sollen Barlow dazu befragt haben, er sei jedoch laut eigener Aussage angewiesen worden, keine näheren Auskünfte zu erteilen.
Druck auf interne Berichterstattung
Barlow schildert nicht nur technische Versäumnisse, sondern auch aktive Versuche innerhalb des Unternehmens, die Vorfälle kleinzureden. Führungskräfte sollen ihn gedrängt haben, Sicherheitsberichte abzuschwächen und relevante Details wegzulassen. In einigen Fällen sollen Manager konkrete Schritte unternommen haben, um Behörden und Regierungskunden im Unklaren zu lassen.
Sein Anwalt bringt die Kernkritik auf den Punkt: Wer dem Bund Cybersicherheit verkaufe, könne nicht gleichzeitig die eigenen Sicherheitsprobleme vertuschen.
IBM verwies darauf, dass die Klage schon sechs Jahre alt sei und das Justizministerium sich entschieden habe, nicht einzugreifen. Man sei überzeugt, gesetzeskonform gehandelt zu haben. AT&T äußerte sich bislang nicht. Auch das Justiz- und das Verteidigungsministerium ließen entsprechende Anfragen unbeantwortet.
