Ein weiterer FCA-Vergleich im Bereich Cybersicherheit verstärkt den Durchsetzungstrend

Eine jüngste Ankündigung des US-Justizministeriums (DOJ) unterstreicht die Tatsache, dass die Regierung den Schwerpunkt auf die Durchsetzung der Cybersicherheit im Rahmen des False Claims Act (FCA) legt und nicht nachlässt. Der Pressemitteilung zufolge haben sich vier Unternehmen - RTX Corporation (RTX), Raytheon Company (Raytheon), Nightwing Group LLC und Nightwing Intelligence Solutions LLC (zusammen Nightwing) - auf die Zahlung von 8,4 Millionen US-Dollar geeinigt, um eine FCA-Angelegenheit beizulegen, die sich aus der Klage eines Qui-Tam-Anklägers ergibt, der behauptet, dass Raytheon und seine frühere Tochtergesellschaft die Cybersicherheitsanforderungen in Bundesverträgen nicht eingehalten haben.

Der Raytheon-Vergleich

Der ehemalige technische Direktor von Raytheon, Branson Kenneth Fowler Sr., reichte die Qui-tam-Klage im August 2021 ein. Bundesverteidigungsunternehmen und Unterauftragnehmer wie Raytheon sind verpflichtet, bestimmte, in der Sonderveröffentlichung 800-171 des National Institute of Standards and Technology(NIST SP 800-171) beschriebene Cybersicherheitskontrollen durchzuführen. Laut dieser Klage soll Raytheon diese Anforderungen im Zusammenhang mit seiner Arbeit an Bundesverträgen jedoch nicht erfüllt haben. Die Vorwürfe konzentrierten sich auf das interne Netzwerksystem von Raytheon, das als "DarkWeb" bezeichnet wird. Raytheon soll (a) DarkWeb zum Speichern, Übertragen und Entwickeln geschützter Informationen im Zusammenhang mit seiner Arbeit an bestimmten Verteidigungsverträgen verwendet haben, obwohl dieses System die Cybersicherheitsanforderungen von NIST SP 800-171 nicht erfüllte, und (b) es versäumt haben, den erforderlichen Systemsicherheitsplan für dieses interne System zu entwickeln.

Im Mai 2020 teilte Raytheon bestimmten staatlichen Auftragnehmern mit, dass sein Informationssystem seiner Ansicht nach nicht den Cybersicherheitsvorschriften des Bundes entspreche, woraufhin das Unternehmen ein Ersatzsystem einführte und DarkWeb nicht mehr verwendete. Dem Vergleich zufolge hat Raytheon es jedoch versäumt, die vorgeschriebenen Sicherheitsanforderungen an DarkWeb zu erfüllen, so dass alle Ansprüche auf Bundesaufträge, die mit DarkWeb ausgeführt wurden, falsch sind.

Die Beklagten bestreiten diese Vorwürfe , erklärten sich jedoch bereit, 8,4 Millionen US-Dollar zu zahlen, um die Vorwürfe auszuräumen. Als Qui-tam-Antragsteller wird Herr Fowler im Zusammenhang mit dem Vergleich über 1,5 Millionen US-Dollar erhalten.

Schließlich ereignete sich das Verhalten, das Anlass für die Klage war, zwischen 2015 und 2021 - Jahre bevor Nightwing das Cybersicherheitsgeschäft von RTX im Jahr 2024 erwarb. Dies verdeutlicht das erhebliche Risiko einer Nachfolgehaftung und unterstreicht, wie wichtig es ist, im Rahmen der Due-Diligence-Prüfung die Einhaltung der Cybersicherheitsvorschriften eines Zielunternehmens zu bewerten.

Empfehlungen

In Anbetracht dieser Risiken sollten Auftragnehmer im Verteidigungsbereich und andere Empfänger von Bundesmitteln (einschließlich Hochschulen und Universitäten) die folgenden Schritte in Betracht ziehen, um die Einhaltung der Cybersicherheitsvorschriften zu verbessern und das FCA-Risiko zu verringern:

1. Katalogisieren und überwachen Sie die Einhaltung aller staatlich vorgeschriebenen Cybersicherheitsstandards. Stellen Sie sicher, dass Ihre Organisation über eine umfassende Liste aller Cybersicherheitsanforderungen und betroffenen Systeme in Ihrer Organisation verfügt. Diese Anforderungen können sich nicht nur aus den Hauptverträgen der Regierung ergeben, sondern auch aus Unterverträgen, Zuschüssen oder anderen Bundesprogrammen. Dazu gehört nicht nur die ständige Kenntnis der Verträge der Organisation, sondern auch die kontinuierliche Überwachung und Bewertung des Cybersicherheitsprogramms der Organisation, um Schwachstellen zu erkennen und zu beheben sowie die Einhaltung der vertraglichen Cybersicherheitsstandards zu bewerten. Bei dieser Bewertung sollten auch die Beziehungen zu Dritten berücksichtigt werden.
2. Entwicklung und Pflege eines soliden und effektiven Compliance-Programms, das auch Fragen der Cybersicherheit berücksichtigt. In vielen Unternehmen sind die Funktionen Compliance-Programm und Informationssicherheit nicht gut integriert. Ein wirksames Compliance-Programm befasst sich mit Cybersicherheitsbedenken und ermutigt Mitarbeiter, solche Bedenken zu melden. Wenn Bedenken festgestellt werden, ist es wichtig, diese umgehend zu eskalieren und zu untersuchen.
3. Wird eine Nichteinhaltung von Cybersicherheitsstandards festgestellt, sollten Unternehmen mögliche nächste Schritte abwägen. Dazu gehört auch die Frage, ob sie die Angelegenheit den Behörden offenlegen und mit den staatlichen Ermittlern zusammenarbeiten sollten. Organisationen sollten in dieser Hinsicht mit erfahrenen Anwälten zusammenarbeiten. Die proaktive Ausarbeitung einer Strategie für die Untersuchung von und die Reaktion auf potenzielle Verstöße kann den Prozess disziplinieren und die Vorgehensweise der Organisation rationalisieren.
4. Umsetzung einer soliden Sorgfaltspflicht für die Einhaltung von Cybersicherheitsanforderungen bei Fusionen und Übernahmen. Wie dieser Vergleich zeigt, kann die Haftung für ein übernommenes Unternehmen in einigen Fällen dem übernehmenden Unternehmen auferlegt werden. Due-Diligence-Prozesse sollten darauf abzielen, Cybersicherheitsanforderungen in Verträgen zu identifizieren (unabhängig davon, ob es sich um Verträge mit der Regierung oder mit privaten Akteuren handelt) und eine Überprüfung der Einhaltung zu erhalten. Wenn eine solche Due-Diligence-Prüfung vor dem Abschluss eines Geschäfts nicht möglich ist, ist es wichtig, diese Bewertung bald nach dem Abschluss durchzuführen, damit Probleme umgehend erkannt und behoben werden können.

Wenn Sie Fragen zur Cybersicherheit und zum False Claims Act haben, wenden Sie sich an die Autoren oder an Ihren Anwalt bei Foley & Lardner.

Eine erweiterte Version dieses Artikels wurde am 26. August 2025 in Law360 veröffentlicht.