Rechtlicher Hinweis der SEC an SolarWinds-Führungskräfte: Rechenschaftspflicht bei der Cybersicherheit
Die US-Börsenaufsichtsbehörde SEC (Securities and Exchange Commission) hat die Führungskräfte von SolarWinds, einem führenden Anbieter von IT-Verwaltungssoftware, in einer die gesamte Cybersicherheitsbranche erschütternden Aktion zur Kasse gebeten. Die Bescheide stehen im Zusammenhang mit der Reaktion des Unternehmens auf den Cyberangriff auf seine Infrastruktur im Jahr 2020, der weitreichende Auswirkungen auf Tausende von Kunden, darunter Regierungsbehörden und Unternehmen weltweit, hatte.
Die Wells Notices, die bei derzeitigen und ehemaligen Mitarbeitern und Führungskräften von SolarWinds, einschließlich des CFO und CISO, eingegangen sind, weisen darauf hin, dass die SEC-Mitarbeiter eine vorläufige Entscheidung getroffen haben, die Einreichung einer zivilrechtlichen Durchsetzungsklage gegen die Empfänger zu empfehlen. Die Anschuldigungen beziehen sich auf Verstöße gegen bestimmte Bestimmungen der US-Bundeswertpapiergesetze, wie in der SEC-Einreichung von SolarWinds angegeben.
Auch wenn es sich nicht um eine formelle Anklage wegen eines Fehlverhaltens oder eine endgültige Feststellung eines Gesetzesverstoßes handelt, signalisiert eine Wells Notice doch mögliche rechtliche Schritte. Sollte sich die SEC in einem Verfahren durchsetzen, könnten die Konsequenzen von Unterlassungsverfügungen gegen künftige Verstöße und zivilrechtlichen Geldstrafen bis hin zum Ausschluss der betreffenden Personen von der Tätigkeit als leitender Angestellter oder Direktor eines öffentlichen Unternehmens reichen.
SolarWinds, bekannt für seine Netzwerk- und Anwendungsüberwachungsplattform Orion, wurde Opfer einer Cyberattacke, die vermutlich von einem mit Russland verbundenen Bedrohungsakteur inszeniert wurde. Bei dem Angriff wurden modifizierte Updates an die Nutzer der Software verteilt.
Dies ist übrigens nicht die erste Wells-Mitteilung in dieser Angelegenheit. Eine frühere Mitteilung war an SolarWinds selbst gerichtet worden, in der Verstöße gegen die US-Bundeswertpapiergesetze in Bezug auf Angaben zur Cybersicherheit, öffentliche Erklärungen und interne Kontrollen behauptet wurden. Das Verfahren zu dieser Mitteilung ist noch nicht abgeschlossen.
Der Schritt der SEC, einen CISO mit einer Wells Notice zu belegen, ist ungewöhnlich und könnte eine neue Ära potenzieller Haftungen für Cybersicherheitsexperten einläuten. Traditionell wurden solche Mitteilungen an CEOs oder CFOs in Fällen von Schneeballsystemen, Buchhaltungsbetrug oder Marktmanipulation ausgestellt. Ein CISO könnte jedoch potenziell gegen Gesetze verstoßen, wenn er wesentliche Informationen, wie etwa die Schwere eines Vorfalls, nicht oder nicht rechtzeitig bekannt gibt. Eine alleinige Schuldzuweisung an den CISO oder CFO ist jedoch nicht immer fair oder zutreffend, da am Cybersicherheitsmanagement oft verschiedene Interessengruppen und Abteilungen beteiligt sind.
Die Maßnahmen der SEC können durch eine Vielzahl von Faktoren beeinflusst worden sein, einschließlich spezifischer Umstände, rechtlicher Rahmenbedingungen oder nachgewiesener Fahrlässigkeit, wenn der CISO es versäumt hat, angemessene Sicherheitsmaßnahmen zu implementieren, SEC-Richtlinien, -Richtlinien und -Praktiken zu vernachlässigen oder bekannte Schwachstellen zu ignorieren.
SolarWinds hat seinerseits erklärt, dass es sich bei dem Angriff mit der Bezeichnung "Sunburst" um einen hochentwickelten und unvorhersehbaren Angriff handelte, der von einer globalen Supermacht mit neuartigen Techniken durchgeführt wurde. Das Unternehmen warnte auch, dass rechtliche Schritte gegen es und seine Mitarbeiter eine abschreckende Wirkung auf die Offenlegung von Sicherheitsverletzungen haben könnten.
Diese Situation erinnert an einen ähnlichen Fall in Finnland, wo der Ex-CEO einer psychotherapeutischen Klinik wegen mangelhafter Cybersicherheitspraktiken zu einer Haftstrafe auf Bewährung verurteilt wurde. Das Unternehmen hatte es versäumt, die Anforderungen der Datenschutz-Grundverordnung in Bezug auf die Pseudonymisierung und Verschlüsselung von Patientendaten einzuhalten, so dass sensible Informationen anfällig für Diebstahl und unbefugten Zugriff waren. Der Geschäftsführer und die IT-Manager wussten von den Sicherheitsproblemen und der Datenpanne, zogen es jedoch vor, Beweise für die Datenpannen und Erpressungsversuche zu verbergen, anstatt den Vorfall den Behörden zu melden.
In Anlehnung an andere große Ermittlungen der Vergangenheit, die nichts mit IT zu tun hatten, "es ist nicht das Verbrechen, es ist die Vertuschung".
Der Fall SolarWinds und das finnische Beispiel verdeutlichen die zunehmende Bedeutung der Cybersicherheit und die möglichen rechtlichen Folgen von Nachlässigkeit in diesem Bereich. Er erinnert alle Unternehmen und ihre Führungskräfte eindringlich daran, dass Cybersicherheit nicht nur eine technische Frage ist, sondern eine rechtliche und ethische Verantwortung
Es bleibt zwar abzuwarten, wie sich diese Situation entwickeln wird, aber es ist klar, dass die Cybersicherheit nicht mehr nur ein IT-Problem ist. Es handelt sich um ein kritisches Geschäftsrisiko, das die Aufmerksamkeit und Aufsicht der höchsten Führungsebene erfordert. Da sich die Rechtslage ständig weiterentwickelt, müssen Unternehmen und ihre Führungskräfte informiert bleiben und proaktiv an das Thema Cybersicherheit herangehen, um mögliche rechtliche Konsequenzen zu vermeiden. Sie signalisiert eine Verlagerung hin zu einer größeren Verantwortlichkeit für Cybersicherheitsexperten und verdeutlicht die potenziellen rechtlichen Folgen eines unzureichenden Schutzes vor und einer unzureichenden Reaktion auf Cyberangriffe.
Ein Sprichwort besagt: "Vorbeugen ist besser als heilen". Im Zusammenhang mit der Cybersicherheit bedeutet dies, in robuste Sicherheitsmaßnahmen zu investieren, eine Kultur des Sicherheitsbewusstseins zu fördern und Transparenz und Schnelligkeit bei der Reaktion auf Vorfälle zu gewährleisten. Diese Maßnahmen tragen nicht nur zum Schutz vor Cyber-Bedrohungen bei, sondern vermindern auch das Risiko rechtlicher Schritte im Falle einer Sicherheitsverletzung.
Letztendlich sollte das Ziel darin bestehen, ein sicheres digitales Umfeld zu schaffen, in dem Unternehmen florieren können und Kunden darauf vertrauen können, dass ihre Daten sicher sind. Der Fall SolarWinds erinnert daran, dass viel auf dem Spiel steht und dass angesichts der sich ständig weiterentwickelnden Cyber-Bedrohungen ständige Wachsamkeit geboten ist.