Angriff auf SolarWinds verbreitet weiterhin Angst

Eine von der US-Börsenaufsichtsbehörde (SEC) durchgeführte Untersuchung des Angriffs auf SolarWinds verbreitet Angst unter den Führungskräften im Land. Sechs Personen, die mit der Untersuchung vertraut sind, sprachen mit der Nachrichtenagentur Reuters. Nach ihren Angaben besteht die Befürchtung, die durch die Untersuchung gesammelten Informationen könnten den Weg ebnen, Unternehmen wegen weiterer Fälle von nicht gemeldeten Cyberangriffen zur Verantwortung zu ziehen.

Der Angriff auf die SolarWinds Orion-Plattform wurde in den letzten Tagen des Jahres 2020 bekannt. Er wurde von einigen Experten als einer der komplexesten und am längsten andauernden Cyber-Angriffe in der Geschichte beschrieben. Die Angreifer schafften es, in den Prozess der Orion-Update-Erstellung einzudringen, ohne Spuren zu hinterlassen. So kompromittierten sie Unternehmen der Privatwirtschaft, darunter auch aus dem Technologiesektor, vor allem aber wichtige US-Regierungsstellen.

Die SEC fordert Unternehmen auf, Aufzeichnungen über „jede andere“ Datenverletzung oder Ransomware-Attacke seit Oktober 2019 vorzulegen, wenn sie ein kompromittiertes SolarWinds-Software-Update heruntergeladen haben. Das legen die Details der Korrespondenzen offen, die mit Reuters geteilt wurden.

Das Problem besteht jetzt darin, dass diese Informationen Cyber-Vorfälle aufdecken könnten, die der SEC nicht gemeldet wurden. „So etwas habe ich noch nie gesehen. Was die Unternehmen beunruhigt, ist, dass sie nicht wissen, wie die SEC diese Informationen verwenden wird“, sagte ein Berater, der mit Dutzenden von börsennotierten Unternehmen zusammenarbeitet. Die Firmen haben vor kurzem die Anfrage der SEC erhalten, und sprachen mit Reuters unter der Bedingung, anonym bleiben zu dürfen.

Die SEC teilte den Unternehmen mit, dass sie nicht bestraft würden, wenn sie freiwillig Daten über den SolarWinds-Fall weitergäben. Die Aufsichtsbehörde bot aber keine Amnestie für andere Angriffe an. Die Briefe der SEC wurden an Hunderte von Unternehmen verschickt, darunter viele aus dem Technologie-, Finanz- und Energiesektor. Alle gelten als potenziell von dem fraglichen Angriff betroffen.

Jina Choi, Partnerin bei Morrison & Foerster und ehemalige SEC-Direktorin hat sich mit Cybersicherheitsfällen befasst. Ihr zufolge ist die derzeitige Untersuchung „beispiellos“ in Bezug auf die Unklarheit über den Zweck einer derart umfassenden Untersuchung.

In einem Bloomberg-Bericht sagten Personen mit direkter Kenntnis der Angelegenheit, die nicht genannt werden möchten, dass die SEC versucht festzustellen, ob börsennotierte Unternehmen, die Opfer des Angriffs waren, die Anleger angemessen informiert haben. Zudem werde untersucht, ob es verdächtige Geschäfte im Zusammenhang mit dem Fall gab und ob sensible Daten kompromittiert wurden. Ein Sprecher der SEC lehnte es ab, sich zu den Ermittlungen zu äußern.

Laut Bloomberg hat SolarWinds den Anlegern mitgeteilt, dass es zahlreiche Untersuchungen im Zusammenhang mit dem Hack gibt, darunter solche der SEC, des Justizministeriums und der Staatsanwaltschaft.

Die US-Wertpapiergesetze schreiben vor, dass börsennotierte Unternehmen Informationen offenlegen müssen, die für die Entscheidungsfindung von Anlegern relevant sind – einschließlich Berichten über Cyberangriffe. Die SEC ist für die Untersuchung und Bestrafung von Unternehmen zuständig, die in derartige Verdachtsfälle verwickelt sind.

Obligatorische Berichterstattung

Der US-Kongress will Unternehmen, die kritische Infrastrukturen betreiben, dazu verpflichten, Cyberangriffe an Bundesbehörden zu melden. Dieser Schritt erfolgt nach Jahren eines unregelmäßigen – und freiwilligen – Meldesystems und Fällen wie SolarWinds und Colonial Pipeline.

Einige Gesetzgeber wollen, dass unter anderem Banken, Öl- und Gasunternehmen, Technologiefirmen und Energieversorger verpflichtet werden, die oberste Cybersicherheitsbehörde des Landes zu benachrichtigen, sollten sie Opfer eines Cyberangriffs werden. Die Gesetzentwürfe sehen außerdem vor, dass die US-Regierung Informationen über Angriffe auf Bundesnetze, die auch den Privatsektor betreffen, weitergibt.

„Das Modell der freiwilligen Berichterstattung hat eindeutig seine Grenzen erreicht“, sagt Ron Bushar. Er ist Vizepräsident von FireEye Mandiant, einem Forschungsunternehmen im Bereich der Cybersicherheit. Seiner Meinung nach sollte das verpflichtende System festlegen, wie und was nach einem Cyberangriff zu melden ist. Zusätzlich sollte meldepflichtig sein, an wen, damit die US-Behörden über einheitliche Informationen verfügen und eine effiziente Reaktion planen können.

Bushar war einer von fünf Vertretern verschiedener Branchen, die sich Anfang September für den Gesetzentwurf aussprachen.