Auf den Punkt: Ein IBM-Whistleblower bezeugt jahrelange Vertuschung von Cyberangriffen auf US-Bundesinfrastruktur durch IBM und AT&T zur Sicherung von Regierungsaufträgen, einschließlich APT-10-Attacken mit kompromittierten Systemen in 20 Ländern.
William Barlow, bis 2019 Sicherheitsexperte bei IBM, wirft seinem früheren Arbeitgeber und AT&T vor, jahrelang erfolgreiche Cyberangriffe auf Bundesinfrastruktur vertuscht und die US-Regierung über die Sicherheitslage getäuscht zu haben, um milliardenschwere Aufträge zu behalten. Die unter dem False Claims Act eingereichte Klage war seit 2020 unter Verschluss und wurde erst nach Ablehnung durch das Justizministerium veröffentlicht.
Die betroffene Infrastruktur ist nicht Standard-Unternehmens-IT: IBM betreibt eine Cloud-Infrastruktur, auf die Teile der US-Bundesverwaltung zugreifen, darunter das Militär. AT&T ist für zentrale Netzwerkelemente dieses Systems verantwortlich. Laut Klageschrift wurden diese Systeme über Jahre hinweg angegriffen, ohne dass die Unternehmen in vielen Fällen die Angreifer identifizierten oder das Ausmaß der Datenlecks ermittelten. Barlow führt dies auf fehlende Zugriffsprotokolle bei IBM zurück.
Ein Teil der beschriebenen Angriffe soll auf die chinesische Gruppe APT 10 zurückgehen. Das US-Justizministerium hatte 2018 mutmaßliche Mitglieder angeklagt, nachdem etwa 100.000 Daten von US-Marine-Angehörigen entwendet worden waren – Barlow zufolge über IBMs Infrastruktur. Interne Untersuchungen identifizierten zwischen 2013 und 2016 Tausende Hinweise auf APT-10-Aktivitäten, später Hunderte kompromittierte Konten und Systeme in fast 20 Ländern. Nachrichtendienstmitarbeiter befragten Barlow dazu, er erhielt jedoch Anweisung, keine näheren Auskünfte zu erteilen.
Für einen CISO besonders relevant: Die Klage dokumentiert nicht nur technische Versäumnisse, sondern auch organisatorischen Druck, Sicherheitsberichte abzuschwächen. Führungskräfte sollen Barlow gedrängt haben, relevante Details in Reports zu entfernen und Behörden sowie Regierungskunden bewusst im Unklaren zu lassen. Dies berührt direkt die Compliance-Verpflichtungen unter NIS2, wo kritische Infrastruktur-Betreiber ihre Sicherheitsvorfälle transparent dokumentieren und melden müssen.
IBM erklärte, die Klage sei sechs Jahre alt und das Justizministerium habe sich gegen eine Übernahme entschieden; man sei überzeugt, gesetzeskonform gehandelt zu haben. AT&T, das Justizministerium und das Verteidigungsministerium äußerten sich nicht.
Quelle: www.it-daily.net · Erschienen 5. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.