Aus Bundesmitteln finanzierte Aufträge kommen oft mit Auflagen für IT-Sicherheit und Auftragnehmer müssen diese Verpflichtungen einhalten, erklärte Brian M. Boynton von der US-Staatsanwaltschaft. Seine Behörde hat jetzt 11,3 Millionen US-Dollar von zwei Unternehmen eingetrieben, die zugeben, die vorgeschriebenen Security Audits für eine im staatlichen Auftrag entwickelte Webseite nicht durchgeführt zu haben.
Auslöser der Affäre ist ein im Jahr 2021 vergebener Auftrag. Das US-Parlament gab Mittel frei, um während der Hochphase der COVID19-Pandemie bedürftige Wohnungsmieter finanziell zu unterstützen (emergency rental assistance program). Anträge auf diese Unterstützung mussten jeweils bei der Behörde des US-Bundesstaates gestellt werden. New York vergab den Auftrag zur Programmierung einer entsprechenden Webseite samt Datenbank für Antragsteller an das Unternehmen Guidehouse Inc. aus dem US-Bundesstaat Virginia. Dieses beauftragte wiederum den Subunternehmer Nan McKay and Associates mit der Umsetzung.
Nur wenige Stunden nachdem das System am 1. Juni 2021 online ging, tauchten personenbezogene Daten von Antragstellern im Netz auf. Die Behörde nahm die Webseite umgehend wieder offline. Jetzt haben beide Firmen zugegeben, die verpflichtenden Sicherheitsprüfungen vor der Freischaltung des Systems nicht durchgeführt zu haben. Zusätzlich gibt Guidehouse zu, Clouddienste eines dritten Anbieters genutzt zu haben, ohne die vertraglich notwendige Zustimmung des Auftraggebers eingeholt zu haben.
Guidehouse mußte 7,6 Millionen Dollar zahlen, Nan McKay weitere 3,7 Millionen Dollar. Im Gegenzug wird das laufende zivilrechtliche Verfahren am US-Bundesbezirksgericht für das Nördliche New York eingestellt (United States ex rel Elevation 33, LLC v Guidehouse Inc et al, Az. 1:22-cv-00206).
Belohnung für Whistleblower
Von dem Geld gehen jetzt 1,95 Millionen Dollar als Belohnung an einen ehemaligen Guidehouse-Mitarbeiter. Dieser hat die Angelegenheit in Eigenregie vor Gericht gebracht. Diese Möglichkeit ist im US-Bundesgesetz False Claims Act of 1863 so vorgesehen: Wer bemerkt, dass jemand die öffentliche Hand betrügt, kann selbst stellvertretend für den Staat vor Gericht ziehen. Im Erfolgsfall winkt dafür ein Anteil am Erlös. Daraus resultiert, dass die überwiegende Zahl von Klagen nach dem False Claims Act nicht von Behörden, sondern von Privatpersonen angestrengt wird.
Im Finanzjahr 2023 gab es mehr als 500 Urteile und Vergleiche nach dem False Claims Act, die dem US-Staat insgesamt mehr als 2,68 Milliarden Dollar eingebracht haben. 1,8 Milliarden Dollar alleine für Betrug im Gesundheitswesen. Mehr als 2,3 Milliarden Dollar sind auf Verfahren entfallen, die von Privatpersonen initiiert wurden. Diese haben dadurch eine Summe von 349 Millionen Dollar als Belohnung erhalten.