(Bloomberg) – Im vergangenen Herbst gab George Kurtz, der Vorstandsvorsitzende von CrowdStrike Holdings, Inc., den Anlegern ein vierteljährliches Finanzupdate, das die Aktien in die Höhe schnellen ließ. Zu den Details, die Kurtz hervorhob, gehörte ein wichtiger Deal zum Verkauf von Cybersicherheitstools für die US-Regierung. „Zu den Gewinnen beim Schutz vor Identitätsbedrohungen im Quartal gehörte ein achtstelliger Gesamtwert der Deals bei der Bundesregierung“, sagte Kurtz bei der anschließenden Telefonkonferenz zu den Ergebnissen Die Märkte schlossen am 28. November 2023. Kurtz bezog sich auf einen 32-Millionen-Dollar-Auftrag von Carahsoft Technology Corp., der als Vermittler zwischen Technologieunternehmen und Regierungsbehörden fungiert und am letzten Tag des dritten Geschäftsquartals von CrowdStrike einging. Den Dokumenten beider Unternehmen zufolge handelte es sich dabei um Software zum Schutz vor Identitätsbedrohungen, die für den US Internal Revenue Service bestimmt war.
Das IRS hat die Software jedoch nie gekauft, wie aus Aufzeichnungen hervorgeht, die Bloomberg News und Personen mit Kenntnis der Situation überprüft haben.
Nach Angaben des Cybersicherheitsunternehmens hat Carahsoft die 32 Millionen US-Dollar an CrowdStrike dennoch pünktlich gezahlt. Auf Nachfrage von Bloomberg News erklärten beide Unternehmen, dass zwischen ihnen eine „nicht stornierbare Bestellung“ bestehe. Sie lehnten es ab, zu sagen, warum dieser Deal ohne einen Kauf vom IRS abgeschlossen wurde. Die Aktien von CrowdStrike fielen um bis zu 2,7 %, nachdem Bloomberg News über den Deal berichtete.
Einige Rechts- und Buchhaltungsexperten, die die Vereinbarung im Auftrag von Bloomberg überprüften, sagten, sie wirft Warnsignale auf, die einer genauen Prüfung durch die Aufsichtsbehörden bedürfen. Der Deal löste auch bei CrowdStrike Bedenken aus – laut Personen, die mit der Angelegenheit und dem Unternehmen selbst vertraut sind – und viele Einzelheiten der Transaktion bleiben unklar.
Abhängig davon, wie CrowdStrike den Deal in den Finanzberichten bilanzierte – das Unternehmen erläuterte diese Einzelheiten nicht –, war er groß genug, um den Unterschied ausmachen zu können, ob das Unternehmen die Wall-Street-Prognosen für diesen Zeitraum übertraf oder verfehlte. Am Tag nachdem CrowdStrike die Ergebnisse für das Rekordquartal bekannt gab, stiegen seine Aktien um 10 %.
Jeremy Fielding, ein Sprecher von CrowdStrike, wies die Bedenken der Mitarbeiter als unbegründet und den Zeitpunkt der Anordnung als unbedeutend zurück. Das in Austin, Texas, ansässige Cybersicherheitsunternehmen schließt Geschäfte „im Laufe des Quartals ab, beginnend am ersten Tag und oft bis zum letzten Tag“, sagte er.
„Der Carahsoft-Deal wurde einer separaten und umfassenden Prüfung unterzogen“, sagte er und fügte hinzu, dass er „ein einwandfreies Gesundheitszeugnis erhalten habe.“ Fielding bezeichnete die Kommentare der Experten als „falsche Spekulationen über eine Transaktion, von der CrowdStrike bestätigte, dass sie einen Rechnungslegungsstandard für Einnahmen aus Verträgen vollständig erfüllt“. CrowdStrike habe den Deal „abgeschlossen und anerkannt“, nachdem Carahsoft den Auftrag erteilt hatte, und die Buchung der Einnahmen stehe im Einklang mit den üblichen Rechnungslegungsgrundsätzen, so Thomas Clare und Elizabeth Locke, Anwälte, die das Cybersicherheitsunternehmen vertreten.
Eine Vertreterin von Carahsoft, Mary Lange, sagte in einer E-Mail: „Carahsoft ist ein privates Unternehmen und wir geben keine Finanzinformationen oder Kundendaten weiter. Dennoch haben wir bei CrowdStrike eine gültige, nicht stornierbare Bestellung aufgegeben und stehen zu dieser Transaktion.“ Das Unternehmen lehnte es ab, weitere Fragen zu beantworten.
Der IRS beantwortete keine detaillierten Fragen. Die Steuerbehörde gab in einer Erklärung an, dass sie keine direkten Verträge mit CrowdStrike unterhält und ihre Software und Dienstleistungen im Einklang mit den Beschaffungsvorschriften des Bundes über Drittanbieter erwirbt.
In der Staatsausgabendatenbank USASPENDING.gov werden weder ein IRS-Vertrag noch Zahlungen im Zusammenhang mit dem Deal angezeigt. Die Datenbank schließt einige Informationen aus – beispielsweise Material, das die nationale Sicherheit gefährden könnte. Laut einer mit der Angelegenheit vertrauten Person belaufen sich die Einkäufe der CrowdStrike-Produkte durch die Steuerbehörde jedoch auf weniger als 10 Millionen US-Dollar. Diese Geschichte basiert auf Aufzeichnungen der Transaktion und Interviews mit fünf mit der Angelegenheit vertrauten Personen, die darum gebeten haben, ihre Namen nicht zu nennen veröffentlicht werden, weil sie nicht befugt sind, darüber zu diskutieren.
„Das sorgt für Aufsehen“, sagte Lawrence Cunningham, Direktor des John L. Weinberg Center for Corporate Governance der University of Delaware.
„Auf den ersten Blick scheint es sich um ein unkompensiertes Risiko zu handeln, und vernünftige Unternehmen akzeptieren normalerweise kein unkompensiertes Risiko“, sagte Cunningham und bezog sich dabei auf die Zahlungen von Carahsoft an CrowdStrike.
Carahsoft lehnte es ab, Fragen dazu zu beantworten, ob das Unternehmen bei dem Deal einen Verlust hinnehmen musste oder ob es einen Weg gefunden hatte, das Geld zurückzubekommen.
In den letzten Monaten haben verschiedene Probleme bei CrowdStrike und Carahsoft negative Aufmerksamkeit und staatliche Kontrolle erregt.
CrowdStrike verkauft Sicherheitssoftware mit einem Jahresumsatz von mehr als 3 Milliarden US-Dollar an Tausende von Unternehmen und Regierungsbehörden weltweit. Doch im Juli lahmlegte ein fehlerhaftes Update des Unternehmens Millionen von Windows-Computern auf der ganzen Welt und beeinträchtigte den Flugverkehr, die medizinische Versorgung, Banken und andere Unternehmen. Führungskräfte haben sich wiederholt entschuldigt, auch vor Kongressabgeordneten; Der Aktienkurs des Unternehmens stürzte nach dem Ausfall ab und hat sich noch nicht vollständig erholt.
Carahsoft ist ein wichtiger Akteur unter den Wiederverkäufern und Distributoren, der Technologieunternehmen dabei hilft, die Komplexität des Verkaufs an Regierungsbehörden zu bewältigen. Im September durchsuchten Agenten des FBI und des US-Verteidigungsministeriums den Hauptsitz des Unternehmens in Reston, Virginia. Lange, der Carahsoft-Sprecher, sagte zuvor, das Unternehmen kooperiere mit der FBI-Untersuchung und es handele sich dabei um „eine Untersuchung gegen ein Unternehmen, mit dem Carahsoft in der Vergangenheit Geschäfte gemacht hat“. Das Justizministerium führt außerdem eine zivilrechtliche Untersuchung gegen Carahsoft und den Softwareriesen SAP SE wegen möglicher Preisabsprachen bei Regierungsaufträgen durch. Das deutsche Unternehmen kooperiere mit der zivilen Untersuchung, sagte ein Sprecher. SAP-Finanzvorstand Dominik Asam sagte gegenüber Bloomberg News, dass SAP „von Carahsoft eine schriftliche Zusicherung erhalten“ habe, dass die FBI-Durchsuchung „völlig unabhängig“ von SAP und einer US-Tochtergesellschaft sei.
Es gibt keinen bekannten Zusammenhang zwischen CrowdStrike und den zivilrechtlichen Ermittlungen oder der Durchsuchung von Carahsofts Büro. Fielding, der CrowdStrike-Vertreter, sagte, dass keine der Ermittlungen mit dem Cybersicherheitsunternehmen in Verbindung steht. Ein möglicher Deal für den IRS geht auf Anfang 2023 zurück, als CrowdStrike-Vertriebsmitarbeiter mit Beamten der Agentur über den Kauf eines Identitätsüberprüfungstools zu sprechen begannen, um Betrug in einem neuen Programm zu verhindern Laut drei mit der Angelegenheit vertrauten Personen können Menschen ihre Steuern direkt bei der Regierung einreichen.
Die Arbeit an einem möglichen Deal wurde in den folgenden Monaten fortgesetzt, doch Mitte Oktober sei zumindest einigen CrowdStrike-Mitarbeitern klar geworden, dass der IRS die Software nicht bestellen würde, bevor das Quartal des Unternehmens am Ende des Monats geschlossen sei, sagten die Personen .
Dennoch bestellte Carahsoft an Halloween einen Abonnementzugang zum CrowdStrike-Dienst „Government National Identity Threat Protection“ im Wert von 32,25 Millionen US-Dollar für bis zu 40 Millionen Benutzer, wie aus Aufzeichnungen und zwei der Personen hervorgeht. Der Auftrag teilte den Kauf in vier Zahlungen in Höhe von 8 Millionen US-Dollar auf, wobei die letzte Zahlung Ende Oktober dieses Jahres fällig ist. In der Anordnung heißt es, dass Carahsoft die CrowdStrike-Software in Rechnung gestellt und an die IRS-Zentrale in Washington versandt werden soll.
An diesem Tag schickte CrowdStrike eine automatisierte E-Mail an Dutzende von Mitarbeitern mit dem Inhalt: „Die Gelegenheit wurde für den Internal Revenue Service (IRS) geschlossen und gewonnen.“
Der Abschluss des Geschäfts und Kurtz, der sich in der Gewinnmitteilung darauf bezog, alarmierte einige Mitarbeiter, die intern Bedenken äußerten, dass CrowdStrike eine Transaktion „im Voraus buchte“, die ihrer Meinung nach unvollständig war, weil unklar war, ob der IRS den großen Kauf jemals tätigen würde. laut drei der Leute. In einigen Fällen haben US-Regulierungsbehörden Unternehmen wegen angeblicher Vorreservierung, auch Channel Stuffing genannt, verklagt und mit Geldstrafen belegt, mit der Behauptung, sie hätten Anleger durch die falsche Erfassung von Einnahmen in die Irre geführt und so ihre Finanzzahlen aufgebläht.
Fielding sagte, es sei „nachweislich falsch“, dass es eine Vorreservierung gegeben habe.
In diesem Quartal reichten 32 Millionen US-Dollar aus, um den Unterschied auszumachen, ob CrowdStrike die Erwartungen der Analysten bei zwei wichtigen Finanzkennzahlen – jährlich wiederkehrender Umsatz und neuer jährlich wiederkehrender Nettoumsatz – übertraf oder hinter ihnen zurückblieb. CrowdStrike hob beide Kennzahlen in der Gewinnmitteilung für das Quartal hervor, das Unternehmen lehnte es jedoch ab, Fragen dazu zu beantworten, ob der Deal unter ihnen erfasst wurde.
Jährliche wiederkehrende Einnahmen werden von Softwareunternehmen häufig verwendet, um Einnahmen aus Abonnements zu verfolgen. CrowdStrike hat dies gegenüber Investoren immer wieder betont und in einem Zulassungsantrag aus dem Jahr 2019 geschrieben, dass es „eine Schlüsselkennzahl zur Messung unseres Geschäfts“ ist.
Theresa Gabaldon, Professorin an der George Washington University Law School, sagte, dass CrowdStrike nicht nur die Zahlung erhalten, sondern auch das Produkt geliefert haben müsse, damit CrowdStrike den Deal ordnungsgemäß als Umsatz verbuchen könne. Weder CrowdStrike noch Carahsoft beantworteten Fragen dazu, was aus der Abonnementsoftware geworden ist.
„Ich bezeichne es als das Hissen von Warnsignalen“, sagte Gabaldon, der Wertpapierregulierung, Recht und Buchhaltung lehrt, über den Deal.
Was auch immer geschah, Carahsoft gehörte zu den Unternehmen, die CrowdStrike auf einem „Partnersymposium“ im Juni würdigte. Dort mischten sich Kurtz und andere CrowdStrike-Mitarbeiter unter die Gäste eines Luxusresorts an der Küste Südkaliforniens. Ein Video zeigt Teilnehmer, wie sie Getränke und Live-Streichmusik auf einer Klippe mit Blick auf den Pazifischen Ozean genießen und von einem Starkoch Unterricht in der Sushi-Zubereitung erhalten.
Bei der Veranstaltung wurde Carahsoft von CrowdStrike zum „Distributor des Jahres“ gekürt.
– Mit Unterstützung von Charles Gorrivan.
(Aktualisierungen mit CrowdStrike-Anteilseinbußen im sechsten Absatz.)
Am meisten gelesen von Bloomberg Businessweek
©2024 Bloomberg LP
