Die Securities and Exchange Commission (SEC) hat Klage gegen den texanischen Softwareanbieter Solarwinds und dessen Chief Information Security Officer (CISO) Timothy Brown eingereicht. Die Börsenaufsicht wirft dem Unternehmen Betrug und Täuschung vor. Solarwinds und sein CISO hätten Sicherheitsrisiken heruntergespielt, obwohl massive Mängel im eigenen Softwaresystem intern bereits bekannt gewesen seien und das Management von konkreten Risiken gewusst habe. Damit seien Aktionäre in die Irre geführt und geschädigt worden.

Vor drei Jahren hatte Solarwinds weltweit für einen Security-Skandal gesorgt. Hacker kaperten ein Update der Netzwerkmanagement-Software "Orion" des Herstellers und konnten so Tausende von Unternehmen und Behörden weltweit mit Malware infiltrieren, mit deren Hilfe Hintertüren in den befallenen Systemen angelegt werden konnten. Ende 2020 wurde der Vorfall bekannt. Doch offenbar waren die Cyberkriminellen bereits im Jahr davor in die Systeme von Solarwinds eingedrungen und hatte dort ihren Schadcode platziert.

Tausende Unternehmen und Behörden weltweit waren von dem Vorfall betroffen. Die genaue Zahl ist unbekannt. Experten schätzen, dass es bis zu 20.000 Malware-Opfer gegeben haben könnte - darunter auch FireEye, ein Anbieter von Security-Software, der den Angriff letzten Endes auch öffentlich machte. Auch zahlreiche US-Behörden gehören zu den kompromittierten Solarwinds-Kunden, darunter die Ministerien für Auswärtige Angelegenheiten, Verteidigung sowie Finanzen und Handel.

Ermittlungen wegen Sicherheitsleck

Angesichts der Tragweite des Sicherheitslecks waren Ermittlungen eingeleitet worden. Zunächst hieß es, Solarwinds habe schnell reagiert, um die Krise zu bewältigen und seine internen Sicherheitsabläufe zu überprüfen. Außerdem hätten die Verantwortlichen ihr Wissen über den Vorfall und die Schritte zur Verbesserung der eigenen Sicherheitslage offen kommuniziert.

SolarWinds-CISO im Interview: Angriff auf Software-Lieferkette

Doch die jüngsten Ermittlungsergebnisse zeigen die Ereignisse in einem anderen Licht. Die US-amerikanische Börsenaufsicht, die an den Untersuchungen beteiligt war, wirft Solarwinds massive Verfehlungen vor. Das Unternehmen habe vom Zeitpunkt des Börsengangs im Oktober 2018 bis zum Bekanntwerden der Attacke im Dezember 2020 die Öffentlichkeit und seine Aktionäre über das Ausmaß der Security-Panne im Unklaren gelassen. CISO Brown habe die eigenen Sicherheitsanstrengungen falsch dargestellt und versucht, die Risiken unter den Tisch zu kehren.

Vorwurf: Solarwinds hat früh von der Problemen gewusst

Die öffentlichen Erklärungen Solarwinds zu seinen Cybersicherheitspraktiken und -risiken standen laut SEC im Widerspruch zu den internen Bewertungen. In einer internen Präsentation aus dem Jahr 2018, die auch Brown vorgelegen haben soll, habe es geheißen, dass die Fernzugriffseinrichtung von Solarwinds "nicht sehr sicher" sei und dass jemand, der die Schwachstelle ausnutze, "im Grunde alles tun kann, ohne dass wir es bemerken, bis es zu spät ist". Brown habe also seit 2018 gewusst, dass Solarwinds ein Sicherheitsproblem habe und dieses für den Anbieter von existenzieller Bedeutung gewesen sei.

SolarWinds-CISO: "Mehr Offenheit ist gut für die Branche"

Solarwinds und Brown hätten jahrelang Warnsignale bezüglich der Cyberrisiken beiseitegeschoben, obwohl diese im gesamten Unternehmen bekannt gewesen seien, sagte Gurbir S. Grewal, Direktor in der Untersuchungsabteilung der SEC. Die Börsenaufsicht zitiert einen von Browns Untergebenen mit den Worten: "Wir sind weit davon entfernt, ein sicherheitsbewusstes Unternehmen zu sein." Doch anstatt diese Schwachstellen zu beheben, hätten Solarwinds und Brown eine Kampagne gestartet, um ein falsches Bild von den Cyber-Kontrollen im Unternehmen zu zeichnen und damit den Anlegern wesentliche Informationen vorenthalten.

Solarwinds droht Strafe - dem CISO Berufsverbot

Deshalb hat die SEC nun vor einem Bezirksgericht in New York Klage eingereicht. Solarwinds droht eine hohe Strafzahlung, Brown soll nach Ansicht der Klägerseite nie wieder Führungsaufgaben in börsennotierten Unternehmen ausüben dürfen. Die Klage sorgt in der Branche für Aufsehen. Sollten Solarwinds und Brown verurteilt werden, würde der Druck auf andere Unternehmen steigen, ihre Investoren genauer über Cybersicherheits-Risiken zu informieren.

Solarwinds meldete unterdessen Zweifel an der Rechtmäßigkeit des Verfahrens an. Ein Anwalt des Unternehmens warf der SEC vor, die Behörde überschreite ihre Befugnisse. Die SEC wolle sich zur Cybersicherheits-Polizei für an der Börse notierte Unternehmen aufspielen, zitiert das Wall Street Journal den Solarwinds-Repräsentanten.