Spätfolgen des Hackerangriffs auf Softwarelieferkette von Solarwinds

Den Hackerangriff auf Solarwinds von 2020 hat die US-Börsenaufsicht SEC noch nicht zu den Akten gelegt. Nun hat die Behörde Millionenstrafen gegen Unisys, Avaya, Check Point und Mimecast verhängt. Die Behörde wirft den Firmen vor, "irreführende Angaben" gemacht zu haben.

Die vergleichsweisen geringen Geldbußen, die die SEC ausgesprochen hat, haben wohl eher präventiven Charakter, damit IT-Firmen bei künftigen Hackerangriffen detaillierter über Datenschutzverletzungen informieren

Die US-Börsenaufsichtsbehörde (SEC) hat am Dienstag Strafzahlungen gegen Unisys, Avaya, Check Point und Mimecast angekündigt. Grund sind die nach Ansicht der SEC "materiell irreführenden Angaben" nach der Serie von Sicherheitsverletzungen in den Jahren 2020 und Anfang 2021 im Zusammenhang mit der weithin wahrgenommenen Kompromittierung von des Netzwerktools Orion von Solarwinds. Bei den Angriffen, die erstmals Ende 2020 entdeckt wurden, infiltrierten Hacker, die mit der russischen Regierung in Verbindung stehen, die Software-Lieferkette von Solarwinds und infizierten die Orion-Netzwerküberwachungssoftware des Unternehmens mit bösartigem Schadcode. Die verseuchte Software wurde dann von Tausenden von Kunden heruntergeladen, darunter US-Regierungsbehörden und große Unternehmen, was zu zahlreichen weiteren Datenverletzungen führte.

In einer Pressemitteilung vom Dienstag teilte die SEC mit, dass vier Unternehmen im Zusammenhang mit ihren Enthüllungen über die Datenschutzverletzungen einem Vergleich zugestimmt haben, der die Zahlung einer zivilrechtlichen Strafe durch jedes der genannten Unternehmen vorsieht. Die Anbieter von Cybersicherheitslösungen Check Point und Mimecast haben sich bereit erklärt, jeweils knapp 1 Mio. Dollar zu zahlen, während der Anbieter von IT-Lösungen Unisys 4 Mio. Dollar und der Unified Communications-Anbieter Avaya 1 Mio. Dollar zahlen wird.

Die Unternehmen wurden von der SEC angeklagt, weil sie im Zuge der Kampagne gegen Solarwinds und seine Kunden "im Wesentlichen irreführende Angaben zu Cybersicherheitsrisiken und -einbrüchen" gemacht hatten, teilt die Behörde mit.

"Gemäß den Anordnungen der SEC erfuhren Unisys, Avaya und Check Point im Jahr 2020 und Mimecast im Jahr 2021, dass sich der Bedrohungsakteur, der wahrscheinlich hinter dem Solarwinds Orion-Hack steckte, unbefugt Zugang zu ihren Systemen verschafft hatte. Aber jeder von ihnen verharmloste den Cybersecurity-Vorfall in seinen öffentlichen Bekanntmachungen fahrlässig", so die SEC.

Stellungnahmen der Unternehmen

Check Point, so die Behörde, "wusste von dem Eindringen, beschrieb aber Cyber-Eindringlinge und die damit verbundenen Risiken in allgemeiner Form." In einer Erklärung, die Gil Messing, Chief of Staff bei Check Point, zugeschrieben wird, sagte der Sicherheitsanbieter, dass "die Ankündigung der SEC dieselbe Frage betrifft, die wir in einem 6-K vom Dezember 2023 erörtert haben, und zwar in Bezug auf unsere Vergleichsgespräche über den Cybervorfall bei Solarwinds Orion im Jahr 2020 und die Frage, ob dieser im 20-F-Jahresbericht von Check Point im Jahr 2021 hätte gemeldet werden müssen." Messing erklärte, dass Check Point den Solarwinds-Vorfall untersucht habe und "keine Beweise dafür gefunden hat, dass auf Kundendaten, Code oder andere sensible Informationen zugegriffen wurde".

Check Point entschied jedoch letztlich, dass es "in seinem besten Interesse" sei, "mit der SEC zu kooperieren und den Streit beizulegen, um sich weiterhin auf die Sicherheit der Kunden zu konzentrieren".

Mimecast, so die SEC, habe "den Angriff heruntergespielt, indem es die Art des Codes, den der Bedrohungsakteur exfiltriert hat, und die Menge der verschlüsselten Zugangsdaten, auf die der Bedrohungsakteur zugegriffen hat, nicht offengelegt hat".

In einer Erklärung erwiderte der Sicherheitsanbieter, dass "Mimecast bei der Reaktion auf den Vorfall im Jahr 2021 umfangreiche Informationen veröffentlicht und sich proaktiv und transparent mit unseren Kunden und Partnern auseinandergesetzt hat. Auch mit denen, die nicht betroffen waren. Wir waren der Meinung, dass wir unsere Offenlegungspflichten auf der Grundlage der damaligen regulatorischen Anforderungen erfüllt haben". Man habe "diese Angelegenheit gelöst, um sie hinter uns zu lassen und uns weiterhin stark auf die Betreuung unserer Kunden zu konzentrieren", so das Unternehmen.

Avaya wird von der SEC beschuldigt, "erklärt zu haben, dass der Bedrohungsakteur auf eine ‚begrenzte Anzahl von E-Mail-Nachrichten [des] Unternehmens‘ zugegriffen hatte, obwohl Avaya wusste, dass der Bedrohungsakteur auch auf mindestens 145 Dateien in seiner Cloud-Filesharing-Umgebung zugegriffen hatte."

In einer Erklärung, die CRN USA zur Verfügung gestellt wurde, sagte Avaya, dass "wir erfreut sind, mit der SEC diese Offenlegungsangelegenheit im Zusammenhang mit historischen Cybersicherheitsproblemen, die bis Ende 2020 zurückreichen, gelöst zu haben, und dass die Behörde die freiwillige Kooperation von Avaya und die Tatsache anerkannt hat, dass wir bestimmte Schritte unternommen haben, um die Cybersicherheitskontrollen des Unternehmens zu verbessern."

Unisys, so die SEC-Mitteilung, "beschrieb seine Risiken durch Cybersecurity-Ereignisse als hypothetisch, obwohl es wusste, dass es zwei mit Solarwinds zusammenhängende Einbrüche erlebt hatte, bei denen Gigabytes an Daten exfiltriert wurden."

Die Anordnung "stellt außerdem fest, dass diese im Wesentlichen irreführenden Angaben teilweise auf die mangelhaften Offenlegungskontrollen von Unisys zurückzuführen sind", so die SEC.

Ein Unisys-Vertreter verwies CRN auf den SEC-Bericht vom Dienstag, in dem Unisys erklärte, es sei zu dem Schluss gekommen, dass es im besten Interesse des Unternehmens und seiner Aktionäre sei, diese Angelegenheit konstruktiv mit der SEC zu klären.