Whistleblower wirft IBM und AT&T Vertuschung ausländischer Cyberangriffe vor

Die US-Konzerne IBM und AT&T sind immer wieder Cyberangriffen aus dem Ausland ausgesetzt. Da sie Geschäfte mit der US-Regierung betreiben, sind sie verpflichtet, Einbrüche und Datenabflüsse zu melden. Das ist laut einer Klage eines ehemaligen IBM-Sicherheitsexperten aber nicht oder nicht in vollem Umfang geschehen. Er wirft den Unternehmen vor, erfolgreiche Attacken ausländischer Cyberkrimineller vertuscht zu haben, um neue Regierungsaufträge zu bekommen und bestehende Vereinbarungen mit der US-Regierung fortsetzen zu können.

Die Klage gegen IBM und AT&T wurde bereits 2020 bei einem New Yorker Bundesgericht eingebracht und ist immer noch anhängig. Sie wurde aber erst jetzt öffentlich, nachdem die US-Regierung die Möglichkeit zur Beteiligung an dem Verfahren nicht genutzt hat. Kläger ist William Barlow, der bis 2019 bei IBM als Vizepräsident für Bedrohungsaufklärung gearbeitet hat. Die Gründe für sein Ausscheiden sind nicht bekannt.

Der Whistleblower erklärt in der Klage, dass unbekannte Cyberkriminelle aus dem Ausland die umfangreiche Cloud-Infrastruktur IBMs, deren Vernetzung von AT&T betrieben wird, wiederholt infiltriert haben. Dieses Cloud-System werde zu manchen Teilen auch von der US-Regierung genutzt, einschließlich des Militärs. Die Konzerne haben in einigen Fällen nicht ermitteln können, woher die Angreifer kamen und was sie gestohlen hätten. Das habe IBM heruntergespielt oder vertuscht, obwohl Regierungsaufträge erfordern, größere ungelöste Cybersicherheitsprobleme offenzulegen.

Auch Cyberangriffe aus China auf IBM

Einer der in der Klage aufgeführten Cyberangriffe auf IBM wurde von zwei staatlich unterstützten Cyberkriminellen aus China durchgeführt, die zur bekannten APT10-Gruppe gehören sollen (Advanced Persistent Threat 10). Diese hätten laut US-Justizministerium 2018 Daten von 100.000 Angehörigen der US-Marine gestohlen. Nachrichtendienste hätten IBM zudem informiert, dass APT10 IP-Adressen des IBM-Netzwerks nutzen würden.

Von 2013 bis 2016 habe IBM bei einer internen Untersuchung 50.000 „mögliche APT10-Treffer“ entdeckt. Im folgenden Jahr habe IBM laut Klage festgestellt, dass Angreifer Zugriff auf fast 400 kompromittierte Nutzerkonten und auf fast 200 Systeme und Server in 18 Ländern erlangen konnten. Da IBM allerdings keine Zugriffsprotokolle behalte, konnte der Konzern dies nach Angaben des Klägers nicht weiter untersuchen.

Führungskräfte ordneten angeblich Vertuschung an

„Die Datenlecks sind derart umfangreich und die Kernnetzwerke derart mangelhaft konzipiert, dass weder IBM noch AT&T genau wissen, welche Daten kompromittiert wurden, wer die Daten kompromittiert hat, wo die Daten kompromittiert wurden oder ob Daten exfiltriert, verändert und/oder in irgendeiner Hinsicht modifiziert wurden“, heißt es laut Bloomberg in der Klageschrift.

Zwar sei Barlow von Regierungsbehörden zu den angeblichen Cyberangriffen aus China befragt worden, aber er sei angewiesen worden, diesen auszuweichen. Auch hätten Führungskräfte Druck auf ihn ausgeübt, interne Berichte abzuschwächen und Details wegzulassen. Er wisse von einigen Fällen, in denen IBMs obere Führungsebene aktiv Schritte unternahm, um Cyberangriffe zu vertuschen und vor US-Behörden und Regierungskunden zu verbergen. Allerdings nennt Barlow in der Klage keine Namen.

IBM wiegelt ab, kein Kommentar der US-Regierung

Die Klage basiert auf dem „False Claims Act“, dem US-amerikanischen Gesetz gegen unberechtigte Ansprüche. Demnach können Personen und Organisationen haftbar gemacht werden, wenn diese sich durch Betrug und andere kriminelle Handlungen bereichern konnten. Das Justizministerium kann sich an der Klage beteiligen, um Schadenersatz zu erlangen. Das Gesetz ermutigt Informanten, solche Machenschaften durch gerichtliche Klagen aufzudecken, indem diese einen Anteil des Schadenersatzes an den Staat erhalten können.

„Diese Klage wurde vor sechs Jahren eingereicht, und das US-Justizministerium hat von einem Eingreifen abgesehen“, erklärt IBM-Sprecher Adam Pratt dazu. „IBM ist davon überzeugt, dass unser Vorgehen strikt im Einklang mit dem Gesetz stand.“ AT&T hat eine entsprechende Anfrage bislang nicht beantwortet, genauso wie das US-Verteidigungsministerium und das US-Justizministerium.

(fds)