Werden Sie kostenfrei Mitglied bei CRN, um den Newsletter zu abonnieren und vollen Zugriff auf alle Inhalte zu bekommen, einschließlich dem gesamten Archiv.

SEC-Klage gegen SolarWinds könnte Meldepraxis bei Security-Vorfällen beeinträchtigen

Es war der bislang schwerste Software-Lieferkettenangriff. Die Klage der US-Börsenaufsicht gegen SolarWinds ist schwerwiegend und grundlegend falsch, so die Industrievereinigung Software Alliance. Sie fordert die Klage abzuweisen. Sonst drohe ein Präzedenzfall, der geeignet ist, die "Informationen zur Cybersicherheit weltweit zu untergraben."

clock • Lesezeit 3 Min.
SEC-Klage gegen SolarWinds könnte Meldepraxis bei Security-Vorfällen beeinträchtigen

Die US-Börsenaufsichtsbehörde SEC hatte SolarWinds und seinen CISO im vergangenen Oktober wegen Betrugs und Versagens der internen Kontrollen verklagt. Die Begründung: Der Anbieter von Beobachtungs- und IT-Managementplattformen habe schlechte Sicherheitspraktiken und erhöhte Cybersicherheitsrisiken verschwiegen, die 2019 zu dem massiven Cyberangriff auf SolarWinds geführt und die Plattformen von MSPs kompromittiert hatte. Der spektakuläre Software-Lieferkettenangriff wurde möglich, weil Hacker sich Zugang zum Netzwerkverwaltungs-Tool Orion verschafft hatten.  Dieser Angriff sei einer der gravierendsten Sicherheitsvorfalle aller Zeiten und habe dafür gesorgt, dass fast 18.000 Solarwinds-Kunden ein kompromittiertes Update erhielten, darunter auch die US-Regierung, so die Vorwürfe der SEC.

In einem Amicus Curiae-Schreiben, das die Software Alliance am letzten Freitag beim U.S. District Court Southern District of New York eingereicht hat, legte die Gruppe, die sich weltweit für Tech-Unternehmen einsetzt,  einige gute Gründe für eine Abweisung der Klage dar:

"Drei Jahre nach dem Vorfall beschuldigt die US-Börsenaufsicht SolarWinds  und seinen Chief Information Security Officer (CISO) ) des Wertpapierbetrugs. Dabei räumt die SEC ein, dass SolarWinds seine Anleger gewarnt hatte, dass das Unternehmen durch Cyber-Bedrohungen gefährdet ist, und zudem innerhalb  der vorgeschrieben zwei Tagesfrist  ein Formular 8-K eingereicht hatte, in dem das Unternehmen öffentlich bekannt gab, dass es Opfer eines möglicherweise massiven Cyber-Angriffs geworden ist. Dennoch wirft die SEC SolarWinds vor, die Anleger getäuscht zu haben, indem es keine Details über seine Cybersicherheitsschwachstellen oder darüber, wie viele Kunden genau durch den Sunburst-Angriff infiltriert wurden, veröffentlicht hat", heißt es in der Mitteilung von The Software Alliance.

"Dieser Fall ist beispiellos. Noch nie zuvor hat die SEC das Opfer eines Cyberangriffs durch Akteure eines anderen Nationalstaates verklagt und ein Unternehmen des Wertpapierbetrugs auf der Grundlage der Cybersicherheitsangaben des Unternehmens beschuldigt oder versucht, eine Einzelperson für diese Angaben persönlich haftbar zu machen. Dieser Fall ist nicht nur neu, sondern droht auch, die Cybersicherheit zu untergraben, da es für Unternehmen schwieriger wird, auf die immer raffinierteren und mit mehr Ressourcen ausgestattete Cyberbedrohungen zu reagieren", heißt es im Amicus-Schreiben.

"Wenn börsennotierte  Unternehmen nun befürchten müssen, dass die SEC ihre Kommunikation nach Beweisen durchforstet, die zeigen sollen, dass einige ihrer Mitarbeiter von nicht offengelegten Schwachstellen wussten, wie es die SEC in diesem Fall versucht hat, werden offene interne Beratungen, die Kommunikation mit Strafverfolgungs- und nationalen Sicherheitsbehörden, anderen Unternehmen und der Öffentlichkeit abgewürgt, obwohl diese Kommunikation für eine effektive Cyberabwehr unerlässlich sind", so die Software Alliance.

In ihrer Klage gegen SolarWinds behauptet die SEC, dass das Unternehmen "in seinem 8-K Formular vom 14. Dezember 2020 eine unvollständige Mitteilung über den Sunburst-Angriff gemacht habe, woraufhin der Aktienkurs des Unternehmens in den folgenden zwei Tagen um etwa 25 Prozent und bis zum Ende des Monats um etwa 35 Prozent gefallen ist."

Laut Vorwurf der Börsenaufsicht hätten SolarWinds und der CISO Timothy Brown wiederholt Warnungen zu den Cyberrisiken ignoriert, sowie beim Börsengangs des Unternehmens im Oktober 2018 nur allgemeine und hypothetische Angaben zu Cybersecurity-Risiken gemacht. Und das, obwohl CISO Timothy Brown in einer internen Präsentation gesagt hatte, dass sich das Unternehmen aufgrund des aktuellen Sicherheitszustands im Hinblick auf kritische Vermögenswerte in einem "verwundbaren Zustand" befände.

Letzte Woche bat SolarWinds das Gericht, den Fall vollständig abzuweisen, und bezeichnete die Anschuldigungen der SEC als Versuch, "das Opfer erneut zum Opfer zu machen".  Ein Sprecher der SEC lehnte es ab, "über die öffentlichen Unterlagen oder unsere jüngste Erklärung zu dieser Angelegenheit hinaus" Stellung zu nehmen.

Auf Anfrage von CRN erklärte Serrin Turner, Anwältin der Kanzlei Latham & Watkins, die SolarWinds vertritt: "Wir sind dankbar für die durchdachten Amicus-Schreiben, die eine Vielzahl von Interessengruppen eingereicht haben und die deutlich machen, dass die Positionen der SEC in diesem Fall nicht nur nicht durch das Gesetz gestützt werden, sondern auch ernsthafte Sicherheitsbedenken für Unternehmen, CISOs und die Öffentlichkeit im Allgemeinen aufwerfen. Wir sind nach wie vor davon überzeugt, dass die Angaben von SolarWinds zu jedem Zeitpunkt angemessen waren, und die gegenteiligen Behauptungen der SEC grundlegend falsch sind."

 

 

 

Könnte Sie auch interessieren
Neue Sicherheitslücke bei HPE

Security

Die erste Untersuchung einer erst kürzlich bekannt gewordenen Datenpanne bei HPE deutet darauf hin, dass der Vorfall wohl nur eine Testumgebung betraf.

clock 07. Februar 2024 • Lesezeit 2 Min.
Neuer Chef der Produktentwicklung soll Logpoint zum führenden Security-Hersteller in Europa machen

Hersteller

Mehr als 25 Jahre Erfahrung in Cybersicherheit bringt Sean Muirhead zu Logpoint mit. Er soll den dänischen Hersteller zu einem europäischen "Powerhouse" für IT-Sicherheit machen. In einem Punkt ist Logpoint bereits einmalig.

clock 06. Februar 2024 • Lesezeit 2 Min.
SMBs mit alten Routern werden Ziel staatlich finanzierter Hacker

Security

Nach der Enthüllung eines Angriffs aus China, bei dem Hunderte von Routern in kleinen US-Unternehmen und Homeoffices gekapert worden sind, sollte der Channel weltweit auf der Hut sein – vor allem kleinere Firmen, die für Anbieter kritischer Infrastrukturen arbeiten.

clock 05. Februar 2024 • Lesezeit 3 Min.
Meist gelesen

Registriere dich für unseren Newsletter

Die besten Nachrichten, Geschichten, Features und Fotos des Tages in einer perfekt gestalteten E-Mail.

Mehr von Security

Lockbit: Schädlichste Ransomware-Gruppe der Welt ausgehoben

Lockbit: Schädlichste Ransomware-Gruppe der Welt ausgehoben

Ermittlungsbehörden aus 14 Staaten unter Führung der britischen National Crime Agency haben die Erpressergruppe Lockbit ausgehoben. Server auf der ganzen Welt wurden abgeschaltet, mehr als 200 Kryptowährungskonten und weitere 14.000 betrügerische Konten sichergestellt.

Martin Fryba
clock 20. Februar 2024 • Lesezeit 2 Min.
Deutscher IT-Security-Markt steigt erstmals über 10 Mrd. Euro

Deutscher IT-Security-Markt steigt erstmals über 10 Mrd. Euro

IT-Security-Hersteller blicken zufrieden auf Deutschland: Der Markt hierzulande ist weltweit Wachstums-Champion. Ein Wehmutstropfen bleibt indes: Der Schaden durch Cybercrime ist 20-mal höher als die Vorsorgekosten.

Martin Fryba
clock 16. Februar 2024 • Lesezeit 1 Min.
Fünf Aussagen zur KI-Sicherheit von Microsoft und OpenAI

Fünf Aussagen zur KI-Sicherheit von Microsoft und OpenAI

Angreifer nutzen KI-Technologie wie LLM als ein weiteres Produktivwerkzeug für ihre Arbeit. Zu diesem Ergebnis kommt der neue KI-Sicherheitsbericht von Microsoft und OpenAI.

Mark Haranas
clock 15. Februar 2024 • Lesezeit 3 Min.

Höhepunkte

Lockbit: Schädlichste Ransomware-Gruppe der Welt ausgehoben

Lockbit: Schädlichste Ransomware-Gruppe der Welt ausgehoben

Ermittlungsbehörden aus 14 Staaten unter Führung der britischen National Crime Agency haben die Erpressergruppe Lockbit ausgehoben. Server auf der ganzen Welt wurden abgeschaltet, mehr als 200 Kryptowährungskonten und weitere 14.000 betrügerische Konten sichergestellt.

Martin Fryba
clock 20. Februar 2024 • Lesezeit 2 Min.
Warum sich MSPs auf dauerhaftes Wachstum einstellen können

Warum sich MSPs auf dauerhaftes Wachstum einstellen können

Um mehr darüber zu erfahren, was Managed Services-Anbieter aktuell beeinflusst und warum sie auch langfristig mit zweistelligem Wachstum können, sprach CRN mit John Pagliuca, Präsident und CEO von N-able.

clock 20. Februar 2024 • Lesezeit 5 Min.
Kursrutsch der Also-Aktie nach Umsatzeinbruch

Kursrutsch der Also-Aktie nach Umsatzeinbruch

Distributor Also verzeichnet für 2023 einen zweistelligen Umsatzrückgang und auch der Gewinn bröckelt. Vor allem das zweite Halbjahr zeigt, wie stark die Nachfrage im Produktgeschäft zurückging.

Martin Fryba
clock 20. Februar 2024 • Lesezeit 2 Min.