Ein Unternehmen, das Cybersicherheit an die US-Regierung verkauft und gleichzeitig eigene Einbrüche verbirgt. Das ist, kurz gesagt, der Vorwurf, den ein ehemaliger hoher IBM-Funktionär auf den Tisch legt - und zwar nicht in einem Forum, sondern als formelle Whistleblower-Anzeige.

William Barlow, bis 2019 Vizepräsident für Bedrohungserkennung bei IBM, behauptet, das Unternehmen habe mehrere Einbrüche chinesischer Hacker verschleiert und sie nicht den Behörden gemeldet. Der schwerste Fall betrifft IBMs eigenes Netzwerk: Zwischen 2013 und 2016 sei eine mit der chinesischen Regierung verbundene Gruppe, bekannt als APT 10, angeblich über 56.000 Mal in die Systeme eingedrungen. Die interne Untersuchung fand laut Anzeige fast 400 kompromittierte Konten und rund 200 Systeme in 18 Ländern.

Barlow zählt zwei weitere Fälle auf - das Cybersicherheits-Start-up Trusteer und das Gesundheitsunternehmen Truven, beide von IBM gekauft, beide angeblich mit oberflächlicher Untersuchung und ohne echte Meldung kompromittiert. Besonders peinlich: Geheimdienste aus den fünf „Five Eyes“-Ländern (USA, Großbritannien, Kanada, Australien und Neuseeland) warnten IBM bereits im März 2017 vor dem Eindringen.

IBM kontert kurz und kalt: „Diese Anzeige wurde vor sechs Jahren eingereicht, und das US-Justizministerium lehnte es ab, sich einzuschalten. IBM ist überzeugt, dass unser Handeln im Einklang mit dem Gesetz stand.“ Übersetzt: Ihr habt damals nichts bewiesen, ihr werdet auch jetzt nichts beweisen.

Barlows Anwalt legt den Finger dorthin, wo es am meisten wehtut: „Du kannst der Bundesregierung keine Cybersicherheit verkaufen, während du angeblich dieselben Sicherheitsprobleme in deinem eigenen Unternehmen hast.“ Ob das Gericht zustimmt, ist eine Frage. Die andere, schwierigere, ist, wie viele andere große Namen dasselbe tun - über ihre eigenen Löcher schweigen, während sie sich dafür bezahlen lassen, die anderer zu stopfen.