Betrug in Sicherheitsberichten: SEC verklagt SolarWinds

Für SolarWinds ist es ein beschwerlicher Start in die Woche: Aufsichtsbehörden der Securities and Exchange Commission (SEC) werfen dem Unternehmen und seinem CISO Tim Brown vor, Investoren über die Cybersicherheitsrisiken und -praktiken des Unternehmens irrezuführen. Die schweren Anschuldigungen beruhen darauf, dass lediglich allgemeine und hypothetische Risiken offengelegt wurden – obwohl das Unternehmen anscheinend bereits über konkrete Sicherheitsprobleme informiert war. Zusätzlich zu finanziellen Sanktionen fordert die SEC, dass Brown aufgrund seiner vermeintlichen Beteiligung bei der Falschdarstellung von Cybersicherheitspraktiken die Ausübung einer Führungsposition untersagt wird.

Fast drei Jahre nach dem Angriff auf das Überwachungssystem von SolarWinds, der später russischen Hackern zugeschrieben werden konnte, erhebt die SEC nun Anklage. Laut Jonathan Armstrong, Anwalt bei Cordery Compliance, zieht die Anklage auch weitreichende Folgen auf die gesamte Branche nach sich. Er rät den Verantwortlichen für Sicherheit äußerst umsichtig zu agieren: „Dieser Fall ist eine deutliche Erinnerung daran, dass die Verantwortung für den Datenschutz und die Gewährleistung von Transparenz niemals vernachlässigt werden darf“, äußerte er in einem Interview mit der Information Security Media Group.

Vor dieser Maßnahme hatte die SEC noch nie ein börsennotiertes Unternehmen wegen Betrugs im Zusammenhang mit einem Cyberangriff oder seiner Cybersicherheitsoffenlegung angeklagt. Die große Sorge besteht nun darin, ob die SEC und andere Behörden beginnen werden, CISOs für Verstöße zur Verantwortung zu ziehen. Die Folge wären fatal: Unternehmen wären dazu gezwungen, äußerst vorsichtig bei der Offenlegung ihrer Cybersicherheitsprogramme vorzugehen.

Viele Sicherheitsexperten gehen davon aus, dass Vorstände demzufolge damit beginnen werden, kritische Fragen zu stellen, wie zum Beispiel: „Wie gewährleisten wir, dass die Informationen, die wir über unser Cybersicherheitsprogramm offenlegen, korrekt und umfassend sind?“ oder „Sind uns Informationen bekannt, die im Widerspruch zu den von uns offengelegten Informationen stehen?“

Man darf nicht vergessen, dass der Angriff auf das Produkt von SolarWinds im Jahr 2020 in einem der schlimmsten Cyberspionagevorfälle in der Geschichte der USA gipfelte: Mehrere Regierungs- und Geheimdienste des Landes waren davon betroffen. Die SEC behauptet, dass SolarWinds es jahrelang versäumt hat, angemessene interne Kontrollen durchzuführen und Schwachstellen unterschätzt hat. Gemäß der Klageschrift hat der Softwarehersteller, der 2018 an die Börse ging, sowohl in seinem Prospekt als auch in den fortlaufenden Einreichungen lediglich „allgemeine“ Angaben zu Cybersicherheitsrisiken gemacht.

In der Klage der SEC werden mehrere interne E-Mails und Nachrichten zitiert. Mutmaßlich wird in diesem Schriftverkehr offen über angebliche Falschdarstellungen des Unternehmens in Bezug auf wesentliche Risiken in den Cybersicherheitssystemen und Produkten gesprochen, die zahlreiche Schwachstellen aufweisen.

Auch Sudhakar Ramakrishna, der Präsident und CEO von SolarWinds, äußerte seine Besorgnis über die von der SEC erhobenen Anschuldigungen: „Es ist alarmierend, dass die SEC eine unserer Meinung nach fehlgeleitete und unangemessene Klage gegen uns eingereicht hat. Diese repräsentiert eine rückwärtsgewandte Reihe von Ansichten und Handlungen, die nicht mit dem Fortschritt vereinbar sind, den die Branche erreichen muss und den die Regierung aktiv unterstützt.“

„Wir haben bewusst die Entscheidung getroffen, unsere Erkenntnisse offen und regelmäßig zu teilen, um auch anderen dabei zu helfen, sicherer zu werden. Wir haben eng mit Regierungsbehörden zusammengearbeitet und andere Unternehmen ermutigt, offener mit dem Thema Sicherheit umzugehen. Nun gefährden die Anschuldigungen der SEC jedoch den offenen Informationsaustausch, der nach Meinung von Cybersicherheitsexperten für die kollektive Sicherheit unerlässlich ist.“

Es ist allerdings nicht das erste Mal, dass SolarWinds aufgrund des im Dezember 2020 entdeckten Hacks vor Gericht steht. Bereits im Jahr 2021 verklagten zwei Pensionsfonds, die in die Aktien des Unternehmens investiert hatten, das Management aus denselben Gründen, die von der SEC angeführt werden. Die Fonds behaupten, dass SolarWinds schon vor dem Angriff über die Cyberrisiken informiert war, jedoch keine angemessenen Maßnahmen ergriff – was zu Schwachstellen in Tausenden von Kundensystemen führte. In diesem Prozess wurden mehrere derzeitige und ehemalige Vorstandsmitglieder sowie das Unternehmen selbst als Angeklagte genannt.