Das US-Justizministerium bekräftigt sein Engagement für die Durchsetzung der Cybersicherheit durch den False Claims Act

Früher konzentrierten sich die Ermittlungen und Durchsetzungsmaßnahmen im Rahmen des False Claims Act (FCA) weitgehend auf Verträge im Gesundheitswesen und im Verteidigungsbereich. Während diese beiden Bereiche weiterhin die FCA-Landschaft dominieren, hat sich die Cybersicherheit nicht nur für Whistleblower, sondern auch für die Staatsanwälte des US-Justizministeriums (DOJ) zu einem heißen Thema entwickelt. Mehrere aktuelle Entwicklungen verdeutlichen diesen Trend und deuten darauf hin, dass die Durchsetzung der Cybersicherheit durch den FCA weiter zunehmen wird.

Im Jahr 2021 startete das DOJ seine Initiative zur Bekämpfung von Cyberbetrug im zivilrechtlichen Bereich, mit der mithilfe des FCA Betrugsfälle im Zusammenhang mit Cybersicherheit verfolgt werden sollen, die von Auftragnehmern der Regierung und Empfängern von Fördermitteln begangen wurden. Seit dem Start der Initiative hat das DOJ mehrere Vergleiche im Rahmen des FCA bekannt gegeben.

Die folgenden aktuellen Entwicklungen unterstreichen das Interesse des DOJ an diesem Bereich:

• Anfang dieses Jahres schaltete sich das DOJ in eine FCA-Angelegenheit ein, die von zwei Whistleblowern initiiert worden war. Diese behaupteten, dass die Georgia Tech Research Corporation und das Georgia Institute of Technology (Georgia Tech) gegen verschiedene Cybersicherheitsanforderungen verstoßen hätten, die Teil von Verträgen des Verteidigungsministeriums sind.

• Im Mai 2024 gab das DOJ eine Einigung mit Insight Global LLC über 2,7 Millionen US-Dollar bekannt. Der Fall betraf Whistleblower-Vorwürfe, wonach das Unternehmen keine ausreichenden Cybersicherheitsmaßnahmen zum Schutz von Gesundheitsdaten umgesetzt habe, die im Rahmen der COVID-19-Kontaktverfolgung erhoben wurden. Diese Versäumnisse verstießen angeblich gegen den FCA und umfassten Vorwürfe, dass das Unternehmen nicht rechtzeitig auf intern geäußerte Bedenken hinsichtlich der Sicherheitsmängel reagiert habe. Bemerkenswert ist, dass es sich bei dem fraglichen Vertrag um einen staatlichen Vertrag handelte, der mit Bundesmitteln finanziert wurde.

• Im Juni 2024 gab das DOJ eine Einigung in Höhe von 11,3 Millionen US-Dollar mit zwei Beratungsunternehmen bekannt, die angeblich gegen den FCA verstoßen hatten, indem sie im Rahmen eines staatlich finanzierten Vertrags zur Erleichterung von Anträgen auf Mietbeihilfen des Bundes die Cybersicherheitsanforderungen nicht eingehalten hatten. Auch diese Angelegenheit begann mit einer Whistleblower-Beschwerde.

Angesichts der zunehmenden Bedeutung der Cybersicherheit als Schwerpunktbereich innerhalb der FCA sollten sich Unternehmen auf die folgenden Maßnahmen konzentrieren, um die Einhaltung der Cybersicherheitsvorschriften zu verbessern und das FCA-Risiko zu verringern:

1. Erfassen und überwachen Sie die Einhaltung aller von der Regierung vorgeschriebenen Cybersicherheitsstandards. Dazu gehört nicht nur die fortlaufende Kenntnis der Verträge der Organisation, sondern auch die kontinuierliche Überwachung und Bewertung des Cybersicherheitsprogramms der Organisation, um Schwachstellen zu identifizieren und zu beheben und die Einhaltung dieser vertraglichen Cybersicherheitsstandards zu bewerten.
2. Entwicklung und Aufrechterhaltung eines robusten und wirksamen Compliance-Programms. Im Rahmen eines solchen Programms werden die Mitarbeiter dazu ermutigt, Bedenken zu melden, die umgehend untersucht und gegebenenfalls weitergeleitet werden.
3. Wird eine Nichteinhaltung von Cybersicherheitsstandards festgestellt, sollten Unternehmen mögliche nächste Schritte abwägen. Dazu gehört auch die Frage, ob sie die Angelegenheit den Behörden offenlegen und mit den staatlichen Ermittlern zusammenarbeiten sollten. Organisationen sollten in dieser Hinsicht mit erfahrenen Anwälten zusammenarbeiten. Die proaktive Ausarbeitung einer Strategie für die Untersuchung von und die Reaktion auf potenzielle Verstöße kann den Prozess disziplinieren und die Vorgehensweise der Organisation rationalisieren.