Ein Insider wirft IBM schwere Vorwürfe vor
Ein ehemaliger Top-Manager der IT-Sicherheitsabteilung von IBM, William Barlow, hat in einer 2020 eingereichten Klage detailliert beschuldigt, dass das Technologieunternehmen in den Jahren 2013 bis 2016 wiederholt von ausländischen Akteuren infiltriert wurde – und die Vorfälle anschließend vertuscht hat. Barlow, der bis August 2019 als Vizepräsident für Threat Intelligence tätig war, behauptet, dass chinesische Hacker, insbesondere die als APT 10 bekannte Gruppe, die Kerninfrastruktur von IBM kompromittierten und dabei sensible Daten aussprachen, ohne dass Behörden oder Kunden informiert wurden.
Wie die Angriffe laut Beschwerde abliefen
Laut der Klage wurde das Netzwerk von IBM in über 56 000 einzelnen Fällen zwischen 2013 und 2016 angegriffen. Die Angreifer hätten sich über veraltete Komponenten der Kerninfrastruktur, die in Zusammenarbeit mit AT&T betrieben werden, Zugang verschafft und daraufhin fast 400 Konten sowie rund 200 Systeme in allen Geschäftsbereichen des Unternehmens kompromittiert. Unternehmensteile in achtzehn Ländern seien betroffen gewesen, wobei die internen Protokolle lückenhaft waren – IBM habe keine lückenlosen Zugriffslogs geführt, was weitere Ermittlungen erschwerte.
Die vermeintliche Vertuschung
Barlow gibt an, dass die US‑Regierung und das Bündnis der Fünf‑Augen (Australien, Kanada, Neuseeland, USA, Großbritannien) bereits im März 2017 auf die Sicherheitslücken aufmerksam wurden. Trotz einer internen Untersuchung, die vier kompromittierte Server identifizierte, habe IBM weder die betroffenen Behörden noch ihre wichtigsten Kunden – insbesondere die US‑Bundesbehörden – informiert. Stattdessen sei das Unternehmen „nach dem Wortlaut des Gesetzes“ gehandelt, so ein IBM‑Sprecher, der keine Details zu den Vorwürfen preisgab.
Weitere betroffene Tochterunternehmen
Die Klage nennt auch zwei IBM-Tochterfirmen, die nach der Übernahme von 2013 bzw. 2016 Ziel von Angriffen wurden: Trusteer, ein Sicherheits‑Startup, das 2018 gehackt wurde, und Truven, ein Anbieter von Gesundheitsdaten, der mehrfach nach der Akquisition infiltriert wurde. In beiden Fällen soll IBM die Vorfälle unzureichend untersucht und nicht publiziert haben.
Reaktion und rechtliche Schritte
Barlows Anwalt, Jason Brown, signalisierte, dass die Kanzlei bereit sei, den Fall energisch zu verfolgen, und kritisierte die Unvereinbarkeit, Cyber‑Sicherheitsdienste an die US‑Regierung zu verkaufen, während das Unternehmen selbst gravierende Sicherheitslücken habe. IBM bleibt bisher bei seiner Aussage, dass die Vorwürfe unbegründet seien und das Unternehmen den gesetzlichen Vorgaben entspreche.
Der Fall wirft ein Schlaglicht auf ein weit verbreitetes Problem: Selbst große Technologieanbieter können über Jahre hinweg gehackt werden, ohne dass die Öffentlichkeit oder Aufsichtsbehörden Einblick erhalten. In den letzten Jahren wurden zahlreiche Gesetze zur Meldung von Datenschutzverletzungen verabschiedet, doch ihre Durchsetzung bleibt eine Herausforderung.