SEC will gegen SolarWinds-Führungskräfte klagen

Die US-Börsenaufsicht verschickt "Wells Bescheide", die sich auf mögliche Verstöße beim SolarWinds Orion-Cyberangriff 2020 beziehen

SEC will gegen SolarWinds-Führungskräfte klagen

SolarWinds teilte am vergangenen Freitag mit, dass mehrere "ehemalige" Führungskräfte, darunter der CISO und der Chief Financial Officer, eine sogenannte "Wells Notice" von der Börsenaufsicht SEC erhalten haben.

Die SEC hatte seit einiger Zeit wegen möglicher Gesetzesverstösse im Zusammenhang mit dem 2020 erfolgten Cyberangriff auf SolarWinds Orion (auch als Sunburst-Attacke bekannt) ermittelt. Gegen die bisher nicht namentlich genannten Manager wird die Börsenaufsicht möglicherweise zivilrechtliche Schritte einleiten.

Eine Wells Notice ist ein Bescheid, den die SEC an Unternehmen oder Einzelpersonen schickt, nachdem ihre Untersuchungen zu dem Schluss gekommen sind, dass gegen die Betreffenden Strafverfolgungsmaßnahmen eingeleitet werden können.

Der Erhalt einer Wells Notice bedeutet in der Regel, dass die SEC Beweise für mögliche Verstöße gegen die US-amerikanischen Wertpapiergesetze gefunden hat.

[Siehe auch: Here Are 24 Reported Victims Of The SolarWinds Hack (So Far) ]

In ihrem Bericht an die SEC vom letzten Freitag schrieb SolarWinds, dass sie selbst bereits zwei Klagen von Aktionären offengelegt hatten, die Pflichtverletzungen von Führungskräften und Ansprüche gegen das Unternehmen geltend machen. Im Zusammenhang mit dem Cyberangriff auf Orion hatte das Unternehmen bereits im Oktober 2022 eine Wells-Notice von der SEC erhalten.

Den aktuellen Bericht an die SEC hat das Unternehmen eingereicht, um seine Investoren darüber zu informieren, dass "bestimmte derzeitige und frühere Führungskräfte und Mitarbeiter des Unternehmens, einschließlich des Chief Financial Officer und des Chief Information Security Officer" im Zusammenhang mit der SEC-Untersuchung eine Wells Notice erhalten haben.

"In den einzelnen Mitteilungen an diese Personen heißt es, dass SEC-Mitarbeiter die vorläufige Empfehlung ausgesprochen haben, zivilrechtliche Klage auf Verstöße gegen Bestimmungen der US-Bundeswertpapiergesetzes zu erheben," schrieb SolarWinds.

Namentlich nannte SolarWinds nannte keine der betroffenen Führungskräfte.

Allerdings waren der derzeitige Chief Financial Officer J Barton Kalsu und der derzeitige Chief Information Security Officer Tim Brown auch schon zum Zeitpunkt der Sunburst-Attacke in diesen Funktionen tätig.

Kalsu ist seit April 2016 als CFO aktiv und Brown, der Anfang des Jahres von den Globee Cybersecurity Awards zum CISO des Jahres ernannt wurde, ist seit 2017 als CISO bei SolarWinds.

Bisher seien die Führungskräfte, auf die sich die SEC bezieht, nicht formell angeklagt, schrieb SolarWinds in seinem SEC-Filing am letzten Freitag.

"Eine Wells Notice ist weder eine formelle Anklage wegen Fehlverhaltens noch die endgültige Feststellung, dass der Empfänger gegen ein Gesetz verstoßen hat. Sollte die SEC Klage gegen eine dieser Personen erheben, könnte sie eine Verfügung erwirken, die es der Person untersagt, gegen die Bestimmungen der Wertpapiergesetz (was Gegenstand der Klage ist) zu verstoßen, und/oder ein Verbot für die Tätigkeit als leitender Angestellter oder Direktor eines börsennotierten Unternehmens aussprechen, zivilrechtliche Geldstrafen verhängen und weitere Rechtsmittel im Rahmen der SEC-Befugnisse einlegen", so das Unternehmen.

Zu einer CRN-Anfrage äusserten sich die SolarWinds-Führungskräfte bislang nicht.

In einer per E-Mail an CRN gesendeten Erklärung ohne individuellen Absender erklärte SolarWinds jedoch, dass das Unternehmen nach dem Sunburst-Angriff jederzeit korrekt gehandelt habe und mit der SEC zusammenarbeite.

"Sunburst war ein hochentwickelter und unvorhersehbarer Angriff, der nach Angaben der US-Regierung von einer globalen Supermacht durchgeführt wurde, die neuartige Techniken für eine neue Art von Bedrohung einsetzte, die Cybersecurity-Experten noch nie zuvor gesehen haben. SolarWinds hat zu jeder Zeit korrekt gehandelt, indem es die seit langem etablierten Best Practices für Cyber-Kontrollen und Offenlegung befolgt hat. Wir kooperieren in einem langwierigen Ermittlungsverfahren, das nun anscheinend zu einer Anklage der SEC gegen unser Unternehmen und unsere Führungskräfte führen wird. Jede Klage wird die gesamte Branche unsicherer machen, da sie für die Offenlegung von Cybervorfällen eine abschreckende Wirkung hat.

"Die einzige Möglichkeit, solch ausgeklügelte und weit verzweigte, nationalstaatliche Angriffe wie Sunburst zu verhindern, sind öffentlich-private Partnerschaften mit der Regierung", schrieb SolarWinds.

Der Angriff auf die Netzwerküberwachungsplattform Orion von SolarWinds im Dezember 2020 hatte weltweit für Erschütterung gesorgt. Die mutmaßlichen Hacker des russischen Auslandsgeheimdienstes hatten sich unter anderem Zugang zu US-Behörden, kritischen Infrastrukturen und Organisationen des Privatwirtschaft verschafft.

Zu den Opfern gehörten Regierungs-, Beratungs-, Technologie- und Telekommunikationsunternehmen in Nordamerika, Europa, Asien und dem Nahen Osten.

Der CEO von FireEye sagte damals, dass nur 50 der 18.000 Organisationen, die den bösartigen Schadcode in ihrem Netzwerk hatten, "wirklich betroffen" waren, während Microsoft-Präsident Brad Smith angab, dass nur etwas mehr als 40 der Kunden durch trojanisierte Orion-Updates der Angreifer kompromittiert wurden.