Im Mai 2025 wurde der milliardenschwere IT- und Cybersecurity-Auftrag der US-Behörde für Heimatschutz (Department of Homeland Security, DHS) überraschend zurückgezogen. Betroffen war der siebenjährige Agile Cybersecurity Technical Solutions (ACTS) Vertrag im Wert von 2,4 Milliarden US-Dollar, der ursprünglich an den IT-Dienstleister Leidos vergeben worden war. Das Projekt sollte vor allem die Cybersecurity- und Infrastruktur-Sicherheitsbehörde der USA (Cybersecurity and Infrastructure Security Agency, CISA) unterstützen. Ein Konkurrent namens Nightwing hat jedoch Beschwerde eingelegt und dabei mutmaßliche Unregelmäßigkeiten im Vergabeprozess angeprangert. Diese Kontroverse hat nun dazu geführt, dass der DHS die komplette Ausschreibung zurückgezogen hat – eine Entscheidung, die weitreichende Konsequenzen für die US-Cybersicherheitslandschaft mit sich bringt.
Die Hintergründe, Vorwürfe und die möglichen Folgen werden im Folgenden ausführlich dargestellt. Der ursprüngliche Vertragsprozess begann bereits Ende 2022, als der ACTS-Vertrag zur Unterstützung der CISA ausgeschrieben wurde. Leidos, ein bekannter Akteur im Bereich Technologie- und Sicherheitsdienstleistungen, erhielt im Februar 2024 den Zuschlag vom DHS. Es war ein prestigeträchtiger Auftrag, der für sieben Jahre ausgelegt war und eine Gesamtsumme von bis zu 2,4 Milliarden US-Dollar umfasste. Die Vereinbarung sollte bedeutende IT-Services und Cybersecurity-Lösungen für CISA bereitstellen, eine Agentur, die seit ihrer Gründung 2018 eine zentrale Rolle im Schutz kritischer US-Infrastrukturen gegen Cyberbedrohungen übernommen hatte.
Trotz der hohen Erwartungen stellte ein Mitbewerber, die auf Cyber-Intelligence spezialisierte Firma Nightwing, dessen Wurzeln bei Raytheon hat, den Vergabeprozess in Frage. Nightwing warf dem DHS vor, gegen die Prinzipien des fairen Wettbewerbs verstoßen zu haben und behauptete, ihre Ausschluss sei durch fehlerhafte Bewertungen und insgeheimen Informationsaustausch ungerechtfertigt gewesen. Insbesondere gab es Vorwürfe, dass Leidos über Insiderwissen verfügte, das durch einen ehemaligen DHS-IT-Spezialisten an das Unternehmen gelangt sein könnte. Diese Person hatte zuvor bei der US-Regierung gearbeitet und verfügte nach Angaben der Kläger über vertrauliche Informationen zu einem früheren Domino-Vertrag, der eine ähnliche Aufgabe wie der ACTS-Vertrag abdeckte. Domino wurde bis 2017 von Raytheon Technologies verwaltet, dem Mutterunternehmen, aus dem Nightwing hervorgegangen ist.
Die Befürchtung war, dass dieser ehemalige Mitarbeiter direkt von der Regierung zu Leidos gewechselt ist, um dem Unternehmen einen unlauteren Vorteil zu verschaffen. Laut Gerichtsdokumenten übergab dieser Insider möglicherweise technische und finanzielle Details, die Leidos dabei halfen, eine mehrwertige und kosteneffiziente Angebotsstrategie zu entwickeln und so das lukrative Arbeitsvolumen zu sichern. Nightwing beschrieb anhand diverser Kriterien, warum die Bewertung des DHS in Bezug auf technische Fähigkeiten, Kosten und bisherige Leistungen der Firmen unzureichend gewesen sei. Sie warfen zudem vor, dass Leidos eine unrealistische Preisgestaltung vorlegte, die jedoch vom DHS dennoch als „best value“ erkannt wurde. Im Februar 2024 wandte sich Nightwing formell mit ihren Beschwerden an das DHS, woraufhin das Ministerium Teile der beachteten Vorwürfe ablehnte und andere ignorierte.
Offiziell rechtfertigte das DHS die spätere Stornierung des Auftrags damit, dass sich interne Prioritäten und organisatorische Anforderungen grundlegend geändert hätten und die Entscheidung somit unabhängig vom Protest erfolgte. Dennoch wurde der Vertrag am 8. Mai 2025 vollständig aufgehoben, und das DHS gibt derzeit keine Pläne bekannt, die Ausschreibung erneut zu starten. Stattdessen wird eine Neubewertung zur Ermittlung alternativer Erfüllungsstrategien durchgeführt. Interessant ist, dass Nightwing selbst mit Herausforderungen zu kämpfen hat.
Die Firma befindet sich in einer Phase, in der sie bisher keine weiteren bedeutenden Regierungsaufträge erringen konnte, während Raytheons andere Unternehmensbereiche nach wie vor erfolgreich in verschiedenen Sektoren agieren. Darüber hinaus wurde Nightwing bzw. ehemals Raytheon Cyber Solutions in einen Rechtsstreit mit dem US-Justizministerium verwickelt, der sich um angebliche Mängel bei der Einhaltung von Cybersecurity-Regeln drehte. Im Mai 2025 wurde ein Vergleich in Höhe von 8,4 Millionen US-Dollar geschlossen. Der Vorwurf beinhaltete unter anderem das unzureichende Management sensibler nicht klassifizierter Daten und die Nichteinhaltung von Sicherheitsprotokollen, die in bundesweiten Verträgen bindend sind.
Dieses juristische Nachspiel dürfte Nightwings Position bei der öffentlichen Auftragsvergabe erschweren und einer potenziellen Argumentation schaden. Leidos seinerseits hat keine öffentlichen Erklärungen zu den Anschuldigungen abgegeben, während das DHS die Fragen nach dem Verbleib des ACTS-Projekts und zu internen Abläufen weiterhin sehr zurückhaltend beantwortet. Die CISA steht durch die Stornierung vor der Herausforderung, dass wichtige Cybersecurity-Maßnahmen und Modernisierungen unklar sind und möglicherweise verzögert werden. Sie spielt eine überlebenswichtige Rolle im Schutz der kritischen US-Infrastruktur vor immer raffinierteren Cyberangriffen. Angesichts der aktuellen geopolitischen Lage, in der Cyber-Angriffe durch staatliche und nichtstaatliche Akteure zunehmen, ist die robuste Ausstattung und rechtzeitige Implementierung von Sicherheitslösungen von zentraler Bedeutung.
Die Kontroverse um die Auftragsvergabe zeigt auch die Verwundbarkeit von öffentlichen Ausschreibungsverfahren und das Spannungsfeld zwischen fairer Vergabe, Wettbewerbsfähigkeit der Anbieter und dem Schutz sensibler staatlicher Daten. Transparenz und Rechenschaftspflicht sind entscheidend, um Vertrauen in die Integrität solcher Ministeriumsprozesse zu gewährleisten. Zudem stellt der Fall exemplarisch die Herausforderungen dar, mit denen die US-Regierung konfrontiert ist, wenn sie hochsensible Cybersecurity-Projekte an private Unternehmen vergibt. Ein effektives Gleichgewicht zwischen Sicherheitsinteressen und fairer Marktwettbewerb muss gefunden werden, um die bestmögliche Leistung zum Schutz nationaler Interessen zu garantieren. Die Zukunft des ACTS-Projekts ist derzeit ungewiss, und es bleibt abzuwarten, wie das DHS und die CISA ihre Cybersecurity-Anforderungen künftig erfüllen möchten.
Die Entscheidung, den Vertrag mit Leidos zurückzuziehen, ist ein bemerkenswerter Schritt, der verdeutlicht, wie juristische Auseinandersetzungen und interne Umstrukturierungen die komplexe Welt der Regierungsaufträge im Bereich IT-Sicherheit maßgeblich beeinflussen können. Für Unternehmen in diesem Marktsegment ist die Lehre eindeutig: Compliance, Transparenz und faire Wettbewerbsbedingungen sind unerlässlich, um langfristig als vertrauenswürdiger Partner der US-Bundesregierung zu bestehen. Gleichzeitig bringt der Fall neue Impulse für Diskussionen rund um die Vergabepraxis und den Schutz sensibler Informationen innerhalb von Behörden mit sich. Die gesamte Situation bleibt ein wichtiges Thema für Experten, Verantwortliche in Politik und Wirtschaft sowie für die Öffentlichkeit, da Cybersecurity heute eine Frage von nationaler Sicherheit und wirtschaftlicher Stabilität ist.
