Jüngster FCA-Vergleich zur Cybersicherheit zeigt, dass die Durchsetzung auch unter der Trump-Administration eine Priorität bleibt

A recent United States Department of Justice (DOJ) announcement reinforces that enforcement of cybersecurity requirements under the False Claims Act (FCA) remains an ongoing risk. According to the press release, defense contractor MORSECORP Inc. (MORSE) agreed to pay US$4.6 million to resolve a FCA matter arising from a qui tam relator’s suit alleging that MORSE failed to comply with certain U.S. Department of Defense (DOD) cybersecurity requirements. This is the most recent settlement involving DOJ cybersecurity enforcement, a topic that Foley reported on previously.

The MORSE Settlement

Qui tam relator Kevin Berich, MORSE’s Head of Security, filed an FCA complaint against MORSE and its CEO in January 2023. MORSE is a software development company that had contracts and subcontracts with the U.S. Army and Air Force. Federal regulations dictate that DOD contracts like those entered into by MORSE require implementation of cybersecurity controls outlined in the National Institute of Standards and Technology Special Publication 800-171 (NIST SP 800-171). But Mr. Berich alleged that he witnessed MORSE continually fail to implement NIST SP 800-171 controls, including by failing to use multi-factor authentication, using non-compliant email and video call-hosting services, and using employee personal devices to access MORSE systems and transmit controlled unclassified information (CUI).

Under the FCA, a qui tam complaint is filed under seal, shared with DOJ, and not shared with the defendant so that DOJ can investigate the matter. After investigating for over two years, in March 2025, DOJ announced a settlement with MORSE and Mr. Berich for US$4.6 million. According to the announcement, MORSE admitted that it:

Used a third-party vendor for email hosting without ensuring that vendor met the necessary security requirements.
Failed to implement all NIST SP 800-171 controls or maintain a system security plan for its covered information systems.
Submitted a self-assessed score of 104 to DOD for its NIST SP 800-171 implementation and continued to report that score even after an outside audit notified MORSE that it failed to implement 78 percent of the required security measures and had an actual score of -142.

Notably, the settlement does not indicate that there were any breaches or other compromises of CUI or other protected information; rather, the case appears to have been premised on the possibility that such breaches could occur as a result of MORSE’s sub-standard cybersecurity program.

The MORSE settlement demonstrates the risk of failing to prioritize cybersecurity controls, especially given that FCA qui tam suits can be filed by insiders such as the Head of Security that initiated the MORSE suit. The case also underscores DOJ’s ongoing focus on cybersecurity enforcement, which includes the 2021 Department of Justice Cyber-Fraud Initiative and appears to be continuing full-steam ahead in the current Trump administration.

Empfehlungen

In Anbetracht dieser Risiken sollten Auftragnehmer im Verteidigungsbereich und andere Empfänger von Bundesmitteln (einschließlich Hochschulen und Universitäten) die folgenden Schritte in Betracht ziehen, um die Einhaltung der Cybersicherheitsvorschriften zu verbessern und das FCA-Risiko zu verringern:

Catalogue and monitor compliance with all government-imposed cybersecurity standards. A first step is to ensure your organization has a comprehensive list of all cybersecurity requirements and covered systems in your organization. These requirements may come not only from prime government contracts but also subcontracts, grants, or other federal programs. This includes not only ongoing knowledge of the organization’s contracts, but also continuously monitoring and assessing the organization’s cybersecurity program to identify and patch vulnerabilities and to assess compliance with those contractual cybersecurity standards. This assessment should also consider third-party relationships, such as vendors or service providers.
Develop and maintain a robust and effective compliance program that addresses cybersecurity issues. In many companies, the compliance program and information security functions are not well integrated. An effective compliance program will address cybersecurity concerns and encourage employees to report such concerns. When concerns are identified, it is critical to escalate and investigate them promptly. As the MORSE settlement illustrates, it is critical to respond to employees’ concerns effectively.
Wird eine Nichteinhaltung von Cybersicherheitsstandards festgestellt, sollten Unternehmen mögliche nächste Schritte abwägen. Dazu gehört auch die Frage, ob sie die Angelegenheit den Behörden offenlegen und mit den staatlichen Ermittlern zusammenarbeiten sollten. Organisationen sollten in dieser Hinsicht mit erfahrenen Anwälten zusammenarbeiten. Die proaktive Ausarbeitung einer Strategie für die Untersuchung von und die Reaktion auf potenzielle Verstöße kann den Prozess disziplinieren und die Vorgehensweise der Organisation rationalisieren.

Haftungsausschluss

Dieser Blog wird von Foley & Lardner LLP ("Foley" oder "die Kanzlei") ausschließlich zu Informationszwecken zur Verfügung gestellt. Er soll weder die Rechtsposition der Kanzlei im Namen eines Mandanten wiedergeben, noch soll er eine spezifische Rechtsberatung vermitteln. Die in diesem Artikel geäußerten Meinungen spiegeln nicht notwendigerweise die Ansichten von Foley & Lardner LLP, ihrer Partner oder ihrer Mandanten wider. Handeln Sie daher nicht aufgrund dieser Informationen, ohne sich von einem zugelassenen Anwalt beraten zu lassen. Dieser Blog ist nicht dazu gedacht, ein Anwalts-Mandanten-Verhältnis zu begründen, und der Erhalt dieses Blogs stellt kein solches dar. Die Kommunikation mit Foley über diese Website per E-Mail, Blogpost oder auf andere Weise begründet kein Anwalts-Mandanten-Verhältnis in einer rechtlichen Angelegenheit. Daher wird jegliche Kommunikation oder jegliches Material, das Sie über diesen Blog an Foley übermitteln, sei es per E-Mail, Blogpost oder auf andere Weise, nicht als vertraulich oder urheberrechtlich geschützt behandelt. Die Informationen in diesem Blog werden ohne Gewähr veröffentlicht und es wird nicht garantiert, dass sie vollständig, richtig oder aktuell sind. Foley gibt keinerlei ausdrückliche oder stillschweigende Zusicherungen oder Gewährleistungen in Bezug auf den Betrieb oder den Inhalt der Website. Foley lehnt ausdrücklich alle anderen ausdrücklichen oder stillschweigenden Garantien, Gewährleistungen, Bedingungen und Zusicherungen jeglicher Art ab, unabhängig davon, ob sie sich aus einem Gesetz, einer Rechtsvorschrift, der kommerziellen Nutzung oder anderweitig ergeben, einschließlich der stillschweigenden Gewährleistungen der Marktgängigkeit, der Eignung für einen bestimmten Zweck, des Eigentumsrechts und der Nichtverletzung von Rechten Dritter. In keinem Fall sind Foley oder seine Partner, leitenden Angestellten, Mitarbeiter, Vertreter oder verbundenen Unternehmen direkt oder indirekt unter irgendeiner Rechtstheorie (Vertrag, unerlaubte Handlung, Fahrlässigkeit oder anderweitig) Ihnen oder anderen gegenüber haftbar für Ansprüche, Verluste oder Schäden, direkte, indirekte, besondere, zufällige, strafende oder Folgeschäden, die sich aus der Erstellung, der Nutzung oder dem Vertrauen auf diese Website (einschließlich Informationen und anderer Inhalte) oder Websites Dritter oder den Informationen, Ressourcen oder Materialien, auf die über solche Websites zugegriffen wird, ergeben oder dadurch verursacht werden. In einigen Rechtsordnungen kann der Inhalt dieses Blogs als Anwaltswerbung angesehen werden. Falls zutreffend, beachten Sie bitte, dass frühere Ergebnisse keine Garantie für ein ähnliches Ergebnis sind. Die Fotos dienen nur zur Veranschaulichung und können Modelle enthalten. Die Abbildungen implizieren nicht notwendigerweise einen aktuellen Mandanten-, Partner- oder Mitarbeiterstatus.

[email protected]

Tampa 813.225.4161

Ein Mann im dunklen Anzug und mit roter Krawatte lächelt in die Kamera in einer hellen, modernen Büroumgebung, die die Professionalität der besten Anwälte Chicagos widerspiegelt.

[email protected]

Milwaukee 414.297.4987

Ein Mann in blauem Anzug und Krawatte lächelt in einer hellen, modernen Anwaltskanzlei in die Kamera, die die professionelle Atmosphäre führender Kanzleien widerspiegelt.

[email protected]

Tampa 813.225.5424

Jüngster FCA-Vergleich zur Cybersicherheit zeigt, dass die Durchsetzung auch unter der Trump-Administration eine Priorität bleibt

The MORSE Settlement

Empfehlungen

Autor(en)

Joseph W. Swanson

Matthew D. Krueger

Jason Mehta

Verwandte Einblicke

OCC veröffentlicht weiteren kryptofreundlichen Auslegungsschreiben: Zulässigkeit risikoloser Transaktionen mit Krypto-Assets

Der Kampf um Talente in der Automobilindustrie: Das Rennen um qualifizierte Arbeitskräfte gewinnen

Made in China: Was die Automobilindustrie über das weltweite Aufkommen der chinesischen Fertigung vernetzter Fahrzeuge angesichts zunehmender US-Beschränkungen wissen sollte