Bleiben Sie mit kostenlosen Updates auf dem Laufenden
Melden Sie sich einfach an Internet-Sicherheit myFT Digest – direkt in Ihren Posteingang geliefert.
SolarWinds, das IT-Unternehmen, das im Rahmen einer weitreichenden Spionagekampagne im Jahr 2020 von russischen Hackern gehackt wurde, wurde von der US-amerikanischen Börsenaufsichtsbehörde Securities and Exchange Commission verklagt.
Die SEC reichte am Montag eine Beschwerde ein, in der sie dem Unternehmen und dem Chief Information Security Officer Tim Brown vorwarf, Investoren irrezuführen, indem es „bekannte Risiken“ nicht offenlegte und seine Cybersicherheitsmaßnahmen nicht korrekt darstellte.
„Wir behaupten, dass SolarWinds und Brown jahrelang die wiederholten Warnsignale bezüglich der Cyber-Risiken von SolarWinds ignoriert haben, die im gesamten Unternehmen bekannt waren und einen von Browns Untergebenen zu der Schlussfolgerung veranlassten: ‚Wir sind weit davon entfernt, ein sicherheitsorientiertes Unternehmen zu sein. ‚“, sagte Gurbir Grewal, Direktor der Durchsetzungsabteilung der SEC, in einer Erklärung.
Das mutmaßliche Fehlverhalten ereignete sich zumindest vom Börsengang des Unternehmens im Oktober 2018 bis Dezember 2020, als einer der größten Cyberangriffe der jüngeren Geschichte ein bis dahin wenig bekanntes Lieferkettenunternehmen mit Sitz in Austin ins Rampenlicht rückte. Vom russischen Geheimdienst unterstützte Hacker nutzten ein Softwareprodukt von SolarWinds aus, um Unternehmen und Regierungsorganisationen auf der ganzen Welt auszuspionieren, darunter das US-Handels- und Finanzministerium.
Ein SolarWinds-Sprecher sagte, das Unternehmen sei „von den unbegründeten Anschuldigungen der SEC enttäuscht“. Anwälte, die Brown vertraten, sagten, er habe „seine Pflichten bei SolarWinds erfüllt“. . . mit Fleiß, Integrität und Auszeichnung“ und sagten, sie freuten sich darauf, „seinen Ruf zu verteidigen“.
Die Klage der SEC ist das erste Mal, dass sie versucht, einen Chief Information Security Officer persönlich für Versäumnisse im Bereich der Cybersicherheit haftbar zu machen. Gary Gensler, Vorsitzender der SEC, hat seinen Schwerpunkt auf Cyberrisiken gelegt und unter anderem Regeln zur Ausweitung der Offenlegungspflichten von Unternehmen vorgeschlagen.
Der Beschwerde zufolge schrieb Brown in einer internen Präsentation im Jahr 2018, dass der „aktuelle Sicherheitszustand von SolarWinds uns in einem sehr anfälligen Zustand für unsere kritischen Vermögenswerte befinde“. In den IPO-Registrierungsunterlagen des Deals seien jedoch nur „allgemeine und hypothetische Offenlegungen von Cybersicherheitsrisiken“ erwähnt worden, so die SEC.
Ein SolarWinds-Ingenieur sagte Brown im Jahr 2020, dass er durch die Aktivitäten bei einem ihrer Kunden „erschreckt“ worden sei, worauf der Manager antwortete, die Angelegenheit sei „sehr besorgniserregend“, heißt es in der Beschwerde. „Wie ihr wisst, sind unsere Backends nicht so belastbar und wir sollten sie auf jeden Fall verbessern“, fügte er der Beschwerde zufolge hinzu.
In der Beschwerde wurde auch eine interne Kommunikationswarnung aus dem Jahr 2020 zitiert: „[t]„Die Menge der im letzten Monat identifizierten Sicherheitsprobleme übersteigt die Kapazität der Ingenieurteams, sie zu lösen.“
Die SEC behauptete, dass diese Mängel bei einem ihrer Meinung nach „einem der schlimmsten Cybersicherheitsvorfälle in der Geschichte“ ausgenutzt wurden, der sich zwischen Januar 2019 und Dezember 2020 ereignete, heißt es in der Beschwerde.
Ein SolarWinds-Manager schrieb im November 2020 in einer Sofortnachricht: „[E]Immer wenn ich höre, dass unsere Cheffreaks über Sicherheit reden, muss ich mich übergeben.“