SEC-Klage gegen SolarWinds könnte Meldepraxis bei Security-Vorfällen beeinträchtigen
Es war der bislang schwerste Software-Lieferkettenangriff. Die Klage der US-Börsenaufsicht gegen SolarWinds ist schwerwiegend und grundlegend falsch, so die Industrievereinigung Software Alliance. Sie fordert die Klage abzuweisen. Sonst drohe ein Präzedenzfall, der geeignet ist, die "Informationen zur Cybersicherheit weltweit zu untergraben."
Die US-Börsenaufsichtsbehörde SEC hatte SolarWinds und seinen CISO im vergangenen Oktober wegen Betrugs und Versagens der internen Kontrollen verklagt. Die Begründung: Der Anbieter von Beobachtungs- und IT-Managementplattformen habe schlechte Sicherheitspraktiken und erhöhte Cybersicherheitsrisiken verschwiegen, die 2019 zu dem massiven Cyberangriff auf SolarWinds geführt und die Plattformen von MSPs kompromittiert hatte. Der spektakuläre Software-Lieferkettenangriff wurde möglich, weil Hacker sich Zugang zum Netzwerkverwaltungs-Tool Orion verschafft hatten. Dieser Angriff sei einer der gravierendsten Sicherheitsvorfalle aller Zeiten und habe dafür gesorgt, dass fast 18.000 Solarwinds-Kunden ein kompromittiertes Update erhielten, darunter auch die US-Regierung, so die Vorwürfe der SEC.
In einem Amicus Curiae-Schreiben, das die Software Alliance am letzten Freitag beim U.S. District Court Southern District of New York eingereicht hat, legte die Gruppe, die sich weltweit für Tech-Unternehmen einsetzt, einige gute Gründe für eine Abweisung der Klage dar:
"Drei Jahre nach dem Vorfall beschuldigt die US-Börsenaufsicht SolarWinds und seinen Chief Information Security Officer (CISO) ) des Wertpapierbetrugs. Dabei räumt die SEC ein, dass SolarWinds seine Anleger gewarnt hatte, dass das Unternehmen durch Cyber-Bedrohungen gefährdet ist, und zudem innerhalb der vorgeschrieben zwei Tagesfrist ein Formular 8-K eingereicht hatte, in dem das Unternehmen öffentlich bekannt gab, dass es Opfer eines möglicherweise massiven Cyber-Angriffs geworden ist. Dennoch wirft die SEC SolarWinds vor, die Anleger getäuscht zu haben, indem es keine Details über seine Cybersicherheitsschwachstellen oder darüber, wie viele Kunden genau durch den Sunburst-Angriff infiltriert wurden, veröffentlicht hat", heißt es in der Mitteilung von The Software Alliance.
"Dieser Fall ist beispiellos. Noch nie zuvor hat die SEC das Opfer eines Cyberangriffs durch Akteure eines anderen Nationalstaates verklagt und ein Unternehmen des Wertpapierbetrugs auf der Grundlage der Cybersicherheitsangaben des Unternehmens beschuldigt oder versucht, eine Einzelperson für diese Angaben persönlich haftbar zu machen. Dieser Fall ist nicht nur neu, sondern droht auch, die Cybersicherheit zu untergraben, da es für Unternehmen schwieriger wird, auf die immer raffinierteren und mit mehr Ressourcen ausgestattete Cyberbedrohungen zu reagieren", heißt es im Amicus-Schreiben.
"Wenn börsennotierte Unternehmen nun befürchten müssen, dass die SEC ihre Kommunikation nach Beweisen durchforstet, die zeigen sollen, dass einige ihrer Mitarbeiter von nicht offengelegten Schwachstellen wussten, wie es die SEC in diesem Fall versucht hat, werden offene interne Beratungen, die Kommunikation mit Strafverfolgungs- und nationalen Sicherheitsbehörden, anderen Unternehmen und der Öffentlichkeit abgewürgt, obwohl diese Kommunikation für eine effektive Cyberabwehr unerlässlich sind", so die Software Alliance.
In ihrer Klage gegen SolarWinds behauptet die SEC, dass das Unternehmen "in seinem 8-K Formular vom 14. Dezember 2020 eine unvollständige Mitteilung über den Sunburst-Angriff gemacht habe, woraufhin der Aktienkurs des Unternehmens in den folgenden zwei Tagen um etwa 25 Prozent und bis zum Ende des Monats um etwa 35 Prozent gefallen ist."
Laut Vorwurf der Börsenaufsicht hätten SolarWinds und der CISO Timothy Brown wiederholt Warnungen zu den Cyberrisiken ignoriert, sowie beim Börsengangs des Unternehmens im Oktober 2018 nur allgemeine und hypothetische Angaben zu Cybersecurity-Risiken gemacht. Und das, obwohl CISO Timothy Brown in einer internen Präsentation gesagt hatte, dass sich das Unternehmen aufgrund des aktuellen Sicherheitszustands im Hinblick auf kritische Vermögenswerte in einem "verwundbaren Zustand" befände.
Letzte Woche bat SolarWinds das Gericht, den Fall vollständig abzuweisen, und bezeichnete die Anschuldigungen der SEC als Versuch, "das Opfer erneut zum Opfer zu machen". Ein Sprecher der SEC lehnte es ab, "über die öffentlichen Unterlagen oder unsere jüngste Erklärung zu dieser Angelegenheit hinaus" Stellung zu nehmen.
Auf Anfrage von CRN erklärte Serrin Turner, Anwältin der Kanzlei Latham & Watkins, die SolarWinds vertritt: "Wir sind dankbar für die durchdachten Amicus-Schreiben, die eine Vielzahl von Interessengruppen eingereicht haben und die deutlich machen, dass die Positionen der SEC in diesem Fall nicht nur nicht durch das Gesetz gestützt werden, sondern auch ernsthafte Sicherheitsbedenken für Unternehmen, CISOs und die Öffentlichkeit im Allgemeinen aufwerfen. Wir sind nach wie vor davon überzeugt, dass die Angaben von SolarWinds zu jedem Zeitpunkt angemessen waren, und die gegenteiligen Behauptungen der SEC grundlegend falsch sind."