Latest FCA Cybersecurity Settlement Shows Enforcement Remains a Priority Under Trump Administration

Eine kürzlich erfolgte Ankündigung des US-Justizministeriums (DOJ) bekräftigt , dass die Durchsetzung von Cybersicherheitsanforderungen gemäß dem False Claims Act (FCA) weiterhin ein Risiko darstellt. Laut der Pressemitteilung erklärte sich der Rüstungskonzern MORSECORP Inc. (MORSE) bereit, 4,6 Millionen US-Dollar zu zahlen, um eine FCA-Angelegenheit beizulegen, die sich aus einer Qui-Tam-Klage ergab, in der MORSE vorgeworfen wurde, bestimmte Cybersicherheitsanforderungen des US-Verteidigungsministeriums (DOD) nicht erfüllt zu haben. Dies ist die jüngste Einigung im Zusammenhang mit der Durchsetzung von Cybersicherheitsvorschriften durch das DOJ, ein Thema, über das Foley bereits zuvor berichtet hat.

Die MORSE-Siedlung

Der Qui-Tam-Anzeigende Kevin Berich, Sicherheitschef von MORSE, reichte im Januar 2023 eine FCA-Klage gegen MORSE und dessen CEO ein. MORSE ist ein Softwareentwicklungsunternehmen, das Verträge und Unterverträge mit der US-Armee und der US-Luftwaffe hatte. Bundesvorschriften schreiben vor, dass DOD-Verträge wie die von MORSE abgeschlossenen die Umsetzung von Cybersicherheitskontrollen erfordern, die in der Sonderveröffentlichung 800-171 des National Institute of Standards and Technology (NIST SP 800-171) beschrieben sind. Herr Berich behauptete jedoch, dass er Zeuge davon geworden sei, dass MORSE die in NIST SP 800-171 festgelegten Kontrollen kontinuierlich nicht umgesetzt habe, unter anderem durch die Nichtverwendung einer Multi-Faktor-Authentifizierung, die Nutzung nicht konformer E-Mail- und Videokonferenzdienste sowie die Verwendung privater Geräte von Mitarbeitern für den Zugriff auf MORSE-Systeme und die Übertragung von kontrollierten, nicht klassifizierten Informationen (CUI).

Gemäß dem FCA wird eine Qui-Tam-Klage unter Verschluss eingereicht, dem DOJ vorgelegt und dem Beklagten nicht zugänglich gemacht, damit das DOJ den Fall untersuchen kann. Nach einer mehr als zweijährigen Untersuchung gab das DOJ im März 2025 eine Einigung mit MORSE und Herrn Berich über 4,6 Millionen US-Dollar bekannt. Der Ankündigung zufolge gab MORSE zu, dass es:

Ein Drittanbieter wurde für das E-Mail-Hosting beauftragt, ohne sicherzustellen, dass dieser Anbieter die erforderlichen Sicherheitsanforderungen erfüllt.
Es ist nicht gelungen, alle NIST SP 800-171-Kontrollen zu implementieren oder einen Systemsicherheitsplan für die betroffenen Informationssysteme aufrechtzuerhalten.
Reichte beim Verteidigungsministerium eine selbst bewertete Punktzahl von 104 für die Umsetzung von NIST SP 800-171 ein und meldete diese Punktzahl auch weiterhin, obwohl eine externe Prüfung MORSE mitteilte, dass 78 Prozent der erforderlichen Sicherheitsmaßnahmen nicht umgesetzt worden waren und die tatsächliche Punktzahl bei -142 lag.

Insbesondere deutet die Einigung nicht darauf hin, dass es zu Verstößen oder anderen Kompromittierungen von CUI oder anderen geschützten Informationen gekommen ist; vielmehr scheint der Fall auf der Möglichkeit zu beruhen, dass solche Verstöße aufgrund aufgrund des unzureichenden Cybersicherheitsprogramms von MORSE auftreten könnten.

Der MORSE-Vergleich verdeutlicht das Risiko, wenn Cybersicherheitskontrollen nicht priorisiert werden, insbesondere angesichts der Tatsache, dass FCA-Qui-Tam-Klagen von Insidern wie dem Sicherheitschef, der die MORSE-Klage angestrengt hat, eingereicht werden können. Der Fall unterstreicht auch den anhaltenden Fokus des DOJ auf die Durchsetzung der Cybersicherheit, zu dem auch die Cyber-Fraud-Initiative des Justizministeriums von 2021 gehört und der auch unter der aktuellen Trump-Regierung mit voller Kraft fortgesetzt zu werden scheint.

Empfehlungen

In Anbetracht dieser Risiken sollten Auftragnehmer im Verteidigungsbereich und andere Empfänger von Bundesmitteln (einschließlich Hochschulen und Universitäten) die folgenden Schritte in Betracht ziehen, um die Einhaltung der Cybersicherheitsvorschriften zu verbessern und das FCA-Risiko zu verringern:

Erfassen und überwachen Sie die Einhaltung aller von der Regierung vorgeschriebenen Cybersicherheitsstandards. Ein erster Schritt besteht darin, sicherzustellen, dass Ihr Unternehmen über eine umfassende Liste aller Cybersicherheitsanforderungen und der betroffenen Systeme in Ihrem Unternehmen verfügt. Diese Anforderungen können nicht nur aus Hauptverträgen mit der Regierung stammen, sondern auch aus Unterverträgen, Zuschüssen oder anderen Bundesprogrammen. Dazu gehört nicht nur die fortlaufende Kenntnis der Verträge des Unternehmens, sondern auch die kontinuierliche Überwachung und Bewertung des Cybersicherheitsprogramms des Unternehmens, um Schwachstellen zu identifizieren und zu beheben und die Einhaltung dieser vertraglichen Cybersicherheitsstandards zu bewerten. Diese Bewertung sollte auch Beziehungen zu Dritten, wie z. B. Lieferanten oder Dienstleistern, berücksichtigen.
Entwickeln und pflegen Sie ein robustes und effektives Compliance-Programm, das sich mit Fragen der Cybersicherheit befasst. In vielen Unternehmen sind das Compliance-Programm und die Funktionen der Informationssicherheit nicht gut integriert. Ein effektives Compliance-Programm befasst sich mit Fragen der Cybersicherheit und ermutigt die Mitarbeiter, solche Bedenken zu melden. Wenn Bedenken festgestellt werden, ist es wichtig, diese unverzüglich zu eskalieren und zu untersuchen. Wie der MORSE-Vergleich zeigt, ist es von entscheidender Bedeutung, effektiv auf die Bedenken der Mitarbeiter zu reagieren.
Wird eine Nichteinhaltung von Cybersicherheitsstandards festgestellt, sollten Unternehmen mögliche nächste Schritte abwägen. Dazu gehört auch die Frage, ob sie die Angelegenheit den Behörden offenlegen und mit den staatlichen Ermittlern zusammenarbeiten sollten. Organisationen sollten in dieser Hinsicht mit erfahrenen Anwälten zusammenarbeiten. Die proaktive Ausarbeitung einer Strategie für die Untersuchung von und die Reaktion auf potenzielle Verstöße kann den Prozess disziplinieren und die Vorgehensweise der Organisation rationalisieren.

Haftungsausschluss

Dieser Blog wird von Foley & Lardner LLP ("Foley" oder "die Kanzlei") ausschließlich zu Informationszwecken zur Verfügung gestellt. Er soll weder die Rechtsposition der Kanzlei im Namen eines Mandanten wiedergeben, noch soll er eine spezifische Rechtsberatung vermitteln. Die in diesem Artikel geäußerten Meinungen spiegeln nicht notwendigerweise die Ansichten von Foley & Lardner LLP, ihrer Partner oder ihrer Mandanten wider. Handeln Sie daher nicht aufgrund dieser Informationen, ohne sich von einem zugelassenen Anwalt beraten zu lassen. Dieser Blog ist nicht dazu gedacht, ein Anwalts-Mandanten-Verhältnis zu begründen, und der Erhalt dieses Blogs stellt kein solches dar. Die Kommunikation mit Foley über diese Website per E-Mail, Blogpost oder auf andere Weise begründet kein Anwalts-Mandanten-Verhältnis in einer rechtlichen Angelegenheit. Daher wird jegliche Kommunikation oder jegliches Material, das Sie über diesen Blog an Foley übermitteln, sei es per E-Mail, Blogpost oder auf andere Weise, nicht als vertraulich oder urheberrechtlich geschützt behandelt. Die Informationen in diesem Blog werden ohne Gewähr veröffentlicht und es wird nicht garantiert, dass sie vollständig, richtig oder aktuell sind. Foley gibt keinerlei ausdrückliche oder stillschweigende Zusicherungen oder Gewährleistungen in Bezug auf den Betrieb oder den Inhalt der Website. Foley lehnt ausdrücklich alle anderen ausdrücklichen oder stillschweigenden Garantien, Gewährleistungen, Bedingungen und Zusicherungen jeglicher Art ab, unabhängig davon, ob sie sich aus einem Gesetz, einer Rechtsvorschrift, der kommerziellen Nutzung oder anderweitig ergeben, einschließlich der stillschweigenden Gewährleistungen der Marktgängigkeit, der Eignung für einen bestimmten Zweck, des Eigentumsrechts und der Nichtverletzung von Rechten Dritter. In keinem Fall sind Foley oder seine Partner, leitenden Angestellten, Mitarbeiter, Vertreter oder verbundenen Unternehmen direkt oder indirekt unter irgendeiner Rechtstheorie (Vertrag, unerlaubte Handlung, Fahrlässigkeit oder anderweitig) Ihnen oder anderen gegenüber haftbar für Ansprüche, Verluste oder Schäden, direkte, indirekte, besondere, zufällige, strafende oder Folgeschäden, die sich aus der Erstellung, der Nutzung oder dem Vertrauen auf diese Website (einschließlich Informationen und anderer Inhalte) oder Websites Dritter oder den Informationen, Ressourcen oder Materialien, auf die über solche Websites zugegriffen wird, ergeben oder dadurch verursacht werden. In einigen Rechtsordnungen kann der Inhalt dieses Blogs als Anwaltswerbung angesehen werden. Falls zutreffend, beachten Sie bitte, dass frühere Ergebnisse keine Garantie für ein ähnliches Ergebnis sind. Die Fotos dienen nur zur Veranschaulichung und können Modelle enthalten. Die Abbildungen implizieren nicht notwendigerweise einen aktuellen Mandanten-, Partner- oder Mitarbeiterstatus.

[email protected]

Tampa 813.225.4161

Ein Mann im dunklen Anzug und mit roter Krawatte lächelt in die Kamera in einer hellen, modernen Büroumgebung, die die Professionalität der besten Anwälte Chicagos widerspiegelt.

[email protected]

Milwaukee 414.297.4987

Ein Mann in blauem Anzug und Krawatte lächelt in einer hellen, modernen Anwaltskanzlei in die Kamera, die die professionelle Atmosphäre führender Kanzleien widerspiegelt.

[email protected]

Tampa 813.225.5424

Jüngster FCA-Vergleich zur Cybersicherheit zeigt, dass die Durchsetzung auch unter der Trump-Administration eine Priorität bleibt

Die MORSE-Siedlung

Empfehlungen

Autor(en)

Joseph W. Swanson

Matthew D. Krueger

Jason Mehta

Verwandte Einblicke

Navigating Workplace AI When Federal, State Policies Clash

Halbleiter-Podcast – Rechenzentren: Die Rolle von KI und Halbleitern bei der Transformation einer Branche

Zehn häufig gestellte Fragen zum Thema „Kryptowährungen“ für Unternehmensvorstände