Ein Bundesrichter hat am Donnerstag einen Teil einer wegweisenden Klage der Regierung gegen SolarWinds und dessen obersten Cybersicherheitsmanager wegen des Umgangs des Softwareunternehmens mit einer 2020 offenbarten Sicherheitsverletzung abgewiesen, die Kunden, einschließlich US-Regierungsbehörden, betraf.
Die US-Börsenaufsichtsbehörde SEC hatte im letzten Jahr das in Austin, Texas, ansässige Unternehmen SolarWinds und dessen Chief Information Security Officer, Tim Brown, verklagt. Dabei ging es um die Darstellung des Risikos eines Cyberangriffs vor der Sicherheitsverletzung und die Informationen, die Investoren nach dem Vorfall gegeben wurden. Es war das erste Mal, dass die Wertpapierregulierungsbehörde wegen zivilrechtlicher Betrugsvorwürfe – der schwerwiegendsten Anklage, die der Behörde zur Verfügung steht – gegen ein öffentliches Unternehmen, das Opfer eines Cyberangriffs wurde, vor Gericht zog.
Einige Unternehmensgruppen und ehemalige Staatsanwälte kritisierten die Durchsetzungsmaßnahmen der SEC gegen gehackte Unternehmen, da diese die Opfer der Angriffe verantwortlich machen würden, die manchmal von staatlich unterstützten Akteuren durchgeführt werden. Die SEC argumentiert, dass Aktionäre ein Recht darauf haben zu wissen, wie öffentliche Unternehmen auf das Risiko von Angriffen reagieren, die oft den Aktienkurs des Unternehmens belasten.
Die Behauptung der SEC, dass SolarWinds den Aktionären nicht das volle Ausmaß des Angriffs offenbart habe, basiere auf „Rückschau und Spekulation“, schrieb der US-Bezirksrichter Paul Engelmayer. Der Richter ließ jedoch die Klage der Behörde aufgrund anderer Aussagen von SolarWinds vor dem Angriff über seine Cybersicherheitsmaßnahmen und Risiken weiterlaufen.
Die USA machten später russische staatlich unterstützte Hacker für den Angriff verantwortlich. Moskau hat jegliche Beteiligung bestritten.
Ein Sprecher von SolarWinds sagte, das Unternehmen sei mit der Entscheidung des Richters zufrieden. „Wir freuen uns auf die nächste Phase, in der wir zum ersten Mal die Möglichkeit haben werden, unsere eigenen Beweise vorzulegen und zu zeigen, warum die verbleibende Behauptung faktisch ungenau ist“, sagte er.
Die SEC lehnte eine Stellungnahme ab.
Der Fall SolarWinds war insofern ungewöhnlich, als er sich gegen einen hochrangigen Cybersicherheitsmanager richtete.
Cybersicherheitsexperten, Handelsverbände und Führungskräfte äußerten Bedenken, dass die Klage gegen Brown zeige, dass die Regulierungsbehörden nun bereit seien, Cybersicherheitschefs zu verfolgen. Die Klage der SEC wurde kurz nach der Verurteilung von Joseph Sullivan, einem ehemaligen Chief Security Officer von Uber Technologies, wegen krimineller Behinderung im Zusammenhang mit seinen Handlungen während des Datenverstoßes des Unternehmens im Jahr 2016 eingereicht, was ähnliche Befürchtungen schürte.
David Shargel, Partner bei der Anwaltskanzlei Bracewell, sagte, die Abweisung eines Teils der Klagen der SEC sei für SolarWinds „in jeder Hinsicht ein Sieg“. Unternehmen gewinnen selten so früh im Prozess gegen Klagen der SEC.
„Es bleibt definitiv eine ernsthafte Anklage, und es dient als Erinnerung daran, dass Unternehmen sicherstellen müssen, dass ihre öffentlichen Aussagen korrekt und nicht irreführend sind“, sagte er.
Seit der Klage gegen SolarWinds sind neue Regeln der SEC in Kraft getreten, wann und wie Unternehmen Cyberangriffe offenlegen müssen. Börsennotierte Unternehmen müssen Cyberangriffe spätestens vier Geschäftstage, nachdem sie festgestellt haben, dass der Angriff wesentliche Auswirkungen auf ihr Geschäft haben wird, durch Einreichung eines 8-K-Formulars bei der Behörde melden. Unternehmen müssen auch Elemente ihres Cyber-Risikomanagementprozesses in ihren Jahresberichten darlegen.
Bemerkenswert ist, dass Engelmayer auch die Behauptung der SEC abwies, SolarWinds habe gegen Regeln verstoßen, die vorschreiben, wie Unternehmen sich gegen Buchhaltungsfehler schützen müssen. Der Richter erklärte, dass Cybersicherheitskontrollen nicht Teil dieses Prozesses seien. „Diese Auslegung ist nicht haltbar“, schrieb der Richter und sagte, die Kontrollen gelten eindeutig nur für die Finanzbuchhaltung.
„Ich denke, das könnte einigen Compliance-Abteilungen in Bezug auf die Parameter der Offenlegungspflichten etwas Sicherheit geben“, sagte Shargel.
SolarWinds hatte die Behörde in einer früheren Erwiderung auf die Klage beschuldigt, ihren regulatorischen Einflussbereich im Bereich Cyber erweitern zu wollen.
