Stung by Cybersecurity Noncompliance: DOJ Unveils its False Claims Act Complaint Against Georgia Tech

Wie in unserem Kundenhinweis vom August 2024 berichtet, schaltete sich das US-Justizministerium (DOJ) Anfang dieses Jahres in eine Angelegenheit im Zusammenhang mit dem False Claims Act (FCA) ein, die von zwei Whistleblowern angestrengt worden war. Diese behaupteten, dass die Georgia Tech Research Corporation und das Georgia Institute of Technology (Georgia Tech) gegen verschiedene Cybersicherheitsanforderungen verstoßen hätten, die Teil von Verträgen des Verteidigungsministeriums (DoD) sind. Die Intervention des DOJ war ein weiterer Beleg für das große Interesse der Staatsanwaltschaft an der Verfolgung von Betrugsfällen im Bereich der Cybersicherheit.

Die Reklamation

Am 22. August 2024 reichte das DOJ seine 99-seitige Klage im Fall Georgia Tech ein, die die Ergebnisse einer gründlichen Untersuchung vor der Klage widerspiegelt. In dieser Klage zitiert das DOJ ausführlich aus internen E-Mails, internen Instant Messages, anderen Mitteilungen und Zeugenaussagen, um zu behaupten, dass die Beklagten gegen die für die Institutionen als Auftragnehmer der Regierung geltenden Cybersicherheitsvorschriften und -bestimmungen des Bundes verstoßen haben. Darüber hinaus stützt diese Dokumentation die Behauptungen des DOJ, dass die Beklagten wussten oder leichtfertig nicht wussten, dass sie diese Vorschriften und Bestimmungen nicht eingehalten haben.

Beispielsweise behauptet das DOJ, dass ein ehemaliger Mitarbeiter ausgesagt habe, dass über einen längeren Zeitraum hinweg die geltenden Cybersicherheitsanforderungen „nicht durchgesetzt“ worden seien. In einem anderen Beispiel zitierte das DOJ umfangreiche Instant Messages, in denen Mitarbeiter die Nichteinhaltung der Cybersicherheitsanforderungen einräumten. An anderer Stelle behauptet das DOJ, dass die Beklagten eine „Kultur der Nichteinhaltung von Cybersicherheitsvorschriften” geschaffen hätten, wodurch Ansprüche aus mehreren Jahren ungültig geworden seien. Das DOJ fordert Schadenersatz in Höhe von etwa 30 Millionen US-Dollar, basierend auf den der Regierung in Rechnung gestellten Beträgen, wobei diese Zahl noch vor Anwendung der dreifachen Schadenersatzklausel des FCA und der Gebühren pro Anspruch berechnet wurde.

Mitbringsel

Die Klage des DOJ lässt folgende wichtige Schlussfolgerungen zu:

Die detaillierten Vorwürfe, die sich über fast 100 Seiten erstrecken, spiegeln die Ergebnisse einer offenbar gründlichen Untersuchung wider. Dies zeigt, mit welcher Sorgfalt das DOJ diese Angelegenheiten im Rahmen seiner 2021 ins Leben gerufenen Civil Cyber-Fraud Initiative verfolgt.

Die Überprüfung verschiedener Datenbestände – wie E-Mails, Instant Messages, PowerPoint-Präsentationen und andere Materialien – durch die Regierung zeigt, wie weit die Regierung gehen wird, um ihre Vorwürfe zu untersuchen und zu verfolgen. Dementsprechend sollten Unternehmen darauf achten, dass sie über angemessene Richtlinien für die Kommunikation und die Aufbewahrung von Dokumenten verfügen.

Obwohl das DOJ nicht behauptet, dass sensible Informationen tatsächlich kompromittiert wurden, behauptet es, dass das DoD „für Militärtechnologie bezahlt hat, die in einer Umgebung gespeichert war, die nicht vor unbefugter Offenlegung geschützt war“. Das DOJ behauptet weiter: „Was das Verteidigungsministerium für seine Gelder erhielt, war von vermindertem oder gar keinem Wert und entsprach nicht dem vereinbarten Gegenwert.“ Mit anderen Worten: Das DOJ wird diese Maßnahmen auch dann weiterverfolgen, wenn keine Datenverletzung oder sonstige Gefährdung der Daten vorliegt.

Die Whistleblower, die den Fall (vor dem Eingreifen des DOJ) vorgebracht haben, sind aktuelle und ehemalige Mitarbeiter der Georgia Tech. Insofern verdeutlicht dieser Fall, wie wichtig es ist, eine Kultur der Compliance mit einem robusten und wirksamen Compliance-Programm zu gewährleisten.

Dieser Fall ist nur das jüngste Beispiel dafür, dass das DOJ mutmaßliche Verstöße gegen Cybersicherheitsvorschriften gemäß dem FCA verfolgt. Das DOJ hat deutlich gemacht, dass es die Durchsetzung der Vorschriften in diesem Bereich ernst nimmt, und diese Intervention sowie die detaillierte Beschwerde zeigen das Engagement der Behörde in dieser Hinsicht.

Haftungsausschluss

Dieser Blog wird von Foley & Lardner LLP ("Foley" oder "die Kanzlei") ausschließlich zu Informationszwecken zur Verfügung gestellt. Er soll weder die Rechtsposition der Kanzlei im Namen eines Mandanten wiedergeben, noch soll er eine spezifische Rechtsberatung vermitteln. Die in diesem Artikel geäußerten Meinungen spiegeln nicht notwendigerweise die Ansichten von Foley & Lardner LLP, ihrer Partner oder ihrer Mandanten wider. Handeln Sie daher nicht aufgrund dieser Informationen, ohne sich von einem zugelassenen Anwalt beraten zu lassen. Dieser Blog ist nicht dazu gedacht, ein Anwalts-Mandanten-Verhältnis zu begründen, und der Erhalt dieses Blogs stellt kein solches dar. Die Kommunikation mit Foley über diese Website per E-Mail, Blogpost oder auf andere Weise begründet kein Anwalts-Mandanten-Verhältnis in einer rechtlichen Angelegenheit. Daher wird jegliche Kommunikation oder jegliches Material, das Sie über diesen Blog an Foley übermitteln, sei es per E-Mail, Blogpost oder auf andere Weise, nicht als vertraulich oder urheberrechtlich geschützt behandelt. Die Informationen in diesem Blog werden ohne Gewähr veröffentlicht und es wird nicht garantiert, dass sie vollständig, richtig oder aktuell sind. Foley gibt keinerlei ausdrückliche oder stillschweigende Zusicherungen oder Gewährleistungen in Bezug auf den Betrieb oder den Inhalt der Website. Foley lehnt ausdrücklich alle anderen ausdrücklichen oder stillschweigenden Garantien, Gewährleistungen, Bedingungen und Zusicherungen jeglicher Art ab, unabhängig davon, ob sie sich aus einem Gesetz, einer Rechtsvorschrift, der kommerziellen Nutzung oder anderweitig ergeben, einschließlich der stillschweigenden Gewährleistungen der Marktgängigkeit, der Eignung für einen bestimmten Zweck, des Eigentumsrechts und der Nichtverletzung von Rechten Dritter. In keinem Fall sind Foley oder seine Partner, leitenden Angestellten, Mitarbeiter, Vertreter oder verbundenen Unternehmen direkt oder indirekt unter irgendeiner Rechtstheorie (Vertrag, unerlaubte Handlung, Fahrlässigkeit oder anderweitig) Ihnen oder anderen gegenüber haftbar für Ansprüche, Verluste oder Schäden, direkte, indirekte, besondere, zufällige, strafende oder Folgeschäden, die sich aus der Erstellung, der Nutzung oder dem Vertrauen auf diese Website (einschließlich Informationen und anderer Inhalte) oder Websites Dritter oder den Informationen, Ressourcen oder Materialien, auf die über solche Websites zugegriffen wird, ergeben oder dadurch verursacht werden. In einigen Rechtsordnungen kann der Inhalt dieses Blogs als Anwaltswerbung angesehen werden. Falls zutreffend, beachten Sie bitte, dass frühere Ergebnisse keine Garantie für ein ähnliches Ergebnis sind. Die Fotos dienen nur zur Veranschaulichung und können Modelle enthalten. Die Abbildungen implizieren nicht notwendigerweise einen aktuellen Mandanten-, Partner- oder Mitarbeiterstatus.

[email protected]

Tampa 813.225.4161

Ein Mann in blauem Anzug und Krawatte lächelt in einer hellen, modernen Anwaltskanzlei in die Kamera, die die professionelle Atmosphäre führender Kanzleien widerspiegelt.

[email protected]

Tampa 813.225.5424

Verstoß gegen Cybersicherheitsvorschriften: US-Justizministerium reicht Klage gegen Georgia Tech nach dem False Claims Act ein

Die Reklamation

Mitbringsel

Autor(en)

Joseph W. Swanson

Jason Mehta

Verwandte Einblicke

Navigating Workplace AI When Federal, State Policies Clash

Halbleiter-Podcast – Rechenzentren: Die Rolle von KI und Halbleitern bei der Transformation einer Branche

Zehn häufig gestellte Fragen zum Thema „Kryptowährungen“ für Unternehmensvorstände