In einem kühnen Schritt haben die US-Regulierungsbehörden eine Klage gegen SolarWinds, ein bekanntes Technologieunternehmen aus Texas, und seinen obersten Sicherheitsmanager Tim Brown eingereicht. Die Klage ist eine Reaktion auf eine massive russische Cyberspionage-Kampagne aus dem Jahr 2020, die auf die Software von SolarWinds abzielte und zu einer erheblichen Sicherheitsverletzung führte.
Dem Unternehmen wird vorgeworfen, kritische Sicherheitsmängel vor dem berüchtigten Hack nicht offengelegt zu haben, der weitreichende Folgen hatte und sich auf US-Behörden und über 100 Privatunternehmen auswirkte.
Die vernichtenden Anschuldigungen
Die Securities and Exchange Commission (SEC) hat bei einem New Yorker Bundesgericht eine 68-seitige Klage eingereicht, in der detailliert dargelegt wird, wie SolarWinds und Brown angeblich Investoren und Kunden betrogen haben, indem sie die unzureichenden Cybersicherheitspraktiken des Unternehmens und die zunehmenden Risiken, denen es ausgesetzt war, verschwiegen haben.
Im Oktober 2018 wies eine interne Präsentation bei SolarWinds auf die verwundbare Sicherheitslage des Unternehmens hin, die zu erheblichen finanziellen und Reputationsverlusten führen könnte. In den folgenden zwei Jahren wurde in mehreren Mitteilungen innerhalb des Unternehmens die Fähigkeit von SolarWinds in Frage gestellt, seine kritischen Anlagen vor Cyberangriffen zu schützen.
Die bedeutenden Auswirkungen des Hacks
Im Dezember 2020 wurde aufgedeckt, dass der SolarWinds-Hack in US-Regierungsstellen wie Justiz und Heimatschutz eingedrungen war.
Diese fast zwei Jahre andauernde Spionagekampagne führte zur Kompromittierung tausender Kunden, wobei russische Cyber-Agenten im Verborgenen bestimmte Ziele infiltrierten, darunter US-Regierungsbehörden sowie namhafte Software- und Telekommunikationsunternehmen. Zu den Opfern des Hacks gehörten die New Yorker Bundesstaatsanwaltschaft, der damals amtierende Heimatschutzminister Chad Wolf und Mitarbeiter des Ministeriums für Cybersicherheit.
SolarWinds und Browns Verteidigung
SolarWinds hat die von der SEC erhobenen Vorwürfe entschieden bestritten und seine tiefe Besorgnis über mögliche nationale Sicherheitsrisiken im Zusammenhang mit dem Vorgehen der Behörde zum Ausdruck gebracht. Das Unternehmen bietet Hunderttausenden von Organisationen auf der ganzen Welt, darunter den meisten Fortune-500-Unternehmen und Regierungsbehörden in Nordamerika, Europa, Asien und dem Nahen Osten, Netzwerküberwachungs- und andere technische Dienstleistungen an.
Tim Brown, dessen derzeitiger Titel bei SolarWinds Chief Information Security Officer ist, soll seine Aufgaben mit Sorgfalt und Integrität erfüllt haben. Brown und SolarWinds sind bereit, die Ungenauigkeiten in der Beschwerde der SEC anzufechten.
Schluss mit dem juristischen Wirrwarr
Die Klage der SEC gegen SolarWinds und Tim Brown stellt eine wichtige Entwicklung in den laufenden Bemühungen dar, Unternehmen für Sicherheitslücken und Versäumnisse bei der Offenlegung von Sicherheitslücken zur Verantwortung zu ziehen.
Die Biden-Administration hat in diesem Bereich besonders proaktiv gehandelt. So hat die SEC im Juli neue Vorschriften erlassen, die von börsennotierten Unternehmen verlangen, dass sie alle Verstöße gegen die Cybersicherheit innerhalb von vier Tagen bekannt geben, vorbehaltlich bestimmter Ausnahmen für Belange der nationalen oder öffentlichen Sicherheit.
Es bleibt abzuwarten, wie sich dieser Fall auf die Cybersicherheitsbranche und die Praktiken anderer Unternehmen beim Schutz ihrer digitalen Vermögenswerte auswirken wird.