Software-Firma meldet sich selbst für illegale Exporte

Cyber Security News

Ein in Deutschland ansässiges Softwareunternehmen hat selbst angezeigt, dass es durch den Export amerikanischer Produkte und Dienstleistungen in den Iran gegen die Sanktionsgesetze der Vereinigten Staaten verstoßen hat.

Die SAP SE mit Hauptsitz in Walldorf hat zugegeben, über einen Zeitraum von sieben Jahren Tausende von Exportverstößen begangen zu haben.

Nachdem das Unternehmen seine Verstöße selbst gemeldet hatte, stimmte es der Zahlung von Strafen in Höhe von insgesamt mehr als 8 Mio. US-Dollar im Rahmen einer globalen Einigung mit den US-Ministerien für Justiz (DOJ), Handel und Finanzwesen zu.

SAP hat mit den drei Behörden eine Vereinbarung über die Nichtverfolgung von Straftaten getroffen, die das Unternehmen verpflichtet, unrechtmäßig erzielte Gewinne in Höhe von 5,14 Mio. US-Dollar zurückzuerstatten.

Von ca. Januar 2010 bis ca. September 2017 haben SAP und seine Partner in Übersee mehr als 20.000 Mal Software US-amerikanischen Ursprungs an Benutzer im Iran weitergegeben. Die von SAP ohne Lizenz exportierte Software umfasste Upgrades und Patches.

“Bestimmte SAP-Führungskräfte wussten, dass weder das Unternehmen noch sein in den USA ansässiger Content-Delivery-Provider Geolocation-Filter verwendeten, um iranische Downloads zu identifizieren und zu blockieren, und dennoch hat das Unternehmen das Problem jahrelang nicht behoben”, erklärte das DOJ.

Die meisten der iranischen Downloads gingen an 14 Unternehmen, von denen SAPs Partner in der Türkei, den Vereinigten Arabischen Emiraten, Deutschland und Malaysia wussten, dass sie unter iranischer Kontrolle standen. Die restlichen Downloads wurden an mehrere multinationale Unternehmen verkauft, die dann von ihren im Iran ansässigen Niederlassungen heruntergeladen wurden.

Im gleichen Zeitraum erlaubten die Unternehmen der Cloud Business Group (CBGs) von SAP etwa 2.360 iranischen Nutzern den Zugriff auf US-amerikanische Cloud-Dienste vom Iran aus.

Das DOJ lobte SAP für das freiwillige Eingeständnis der Verstöße, die Durchführung einer umfangreichen internen Untersuchung und die Kooperation mit der US-Regierung über einen Zeitraum von drei Jahren.

“Während dieser Zeit arbeitete SAP mit Staatsanwälten und Ermittlern zusammen, legte Tausende von übersetzten Dokumenten vor, beantwortete Anfragen und stellte im Ausland ansässige Mitarbeiter für Befragungen an einem gemeinsam vereinbarten Ort in Übersee zur Verfügung”, so das DOJ.

SAP gab außerdem mehr als 27 Millionen Dollar für die Verbesserung seines Export-Compliance- und Sanktionsprogramms aus. Zu den vom Unternehmen eingeführten Änderungen gehörten die Implementierung von GeoIP-Sperren, die Deaktivierung tausender im Iran ansässiger Benutzerkonten für Cloud-Dienste und die Suspendierung von SAP-Partnern, die an mit dem Iran verbundene Kunden verkauften.

Der stellvertretende Generalstaatsanwalt John Demers sagte: “SAP wird die Strafen für seine Verstöße gegen die Iran-Sanktionen erleiden, aber diese wären viel schlimmer gewesen, wenn sie nicht offengelegt, kooperiert und Abhilfe geschaffen hätten.”

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com