Falsche Sicherheitsversprechen: US-Börsenaufsicht verklagt Solarwinds
Mindestens drei Jahre habe Solarwinds Investoren durch falsche Angaben zur IT-Sicherheit getäuscht, heißt es in der Klageschrift der US-Börsenaufsicht.
(Bild: BeeBright / Shutterstock.com)
Die US-Börsenaufsicht SEC (Security and Exchange Commission) verklagt den US-Softwareanbieter Solarwinds und dessen Chief Information Security Officer (CISO) wegen Betrug, da das Unternehmen vor dem Angriff mit der Malware "Sunburst" gewusst haben soll, dass die IT mangelhaft war. Das geht aus einer Mitteilung der SEC hervor. In dieser 68 Seiten umfassenden Klage (PDF) beschuldigt sie Solarwinds und CISO Timothy G. Brown, "Investoren betrogen zu haben". Bekannte Risiken seien zudem unterschätzt oder nicht offengelegt worden. Außerdem habe Solarwinds Anleger getäuscht, "indem nur allgemeine und hypothetische Risiken offengelegt wurden" und das auch nur, nachdem das Unternehmen mit den Mängeln konfrontiert wurde.
Fernzugriff wohl unsicher
Der Zeitpunkt des Betrugs belaufe sich demnach auf mindestens Oktober 2018 – den Börsengang von Solwarwinds – bis Dezember 2020, als das Unternehmen Ziel eines massiven, fast zwei Jahre andauernden Cyberangriffs durch Sunburst wurde. Die öffentlichen Äußerungen von Solwarwinds über seine Cybersicherheitspraktiken und -risiken hätten demnach im Widerspruch zu seinen internen Einschätzungen gestanden. Zudem habe ein Mitarbeiter von Brown frühzeitig gewarnt.
Demnach sei der VPN-Zugang von Solarwinds "nicht sehr sicher" gewesen und wurde bereits ausgenutzt. Zudem hätte die Kommunikation unter den Solwarwinds-Mitarbeitern 2019 und 2020 den Eindruck erweckt, dass das Unternehmen nicht fähig sei, "seine kritischen Vermögenswerte vor Cyberangriffen zu schützen". Als Beispiel nennt die SEC unter anderem eine Reaktion von Brown bei der Untersuchung eines Cyberangriffs auf einen Kunden. Er habe es als "sehr besorgniserregend" bezeichnet, dass der Angreifer möglicherweise die Orion-Software von Solarwinds für größere Angriffe verwendete. In einem internen Dokument vom September 2020 hieß es zudem, dass die Anzahl der Sicherheitsprobleme die Kapazitäten des Engineering-Teams überstiegen hatte.
In der Beschwerde der SEC wird behauptet, dass Brown sich der Cybersicherheitsrisiken und -schwachstellen von SolarWinds bewusst war, er es aber versäumt hat, die Probleme zu lösen oder sie manchmal innerhalb des Unternehmens weiter anzusprechen. Infolge dieser Versäumnisse konnte das Unternehmen angeblich auch keine angemessenen Zusicherungen geben, dass seine wertvollsten Vermögenswerte, einschließlich seines Flaggschiffprodukts Orion, angemessen geschützt waren. Daher kommt das SEC zum Schluss, dass Solwarwinds und Brown Warnsignale zu den Cyberrisiken des Unternehmens jahrelang ignorierte. Ebenso seien Vermögenswerte nicht geschützt worden. Mit der Klage will die US-Börsenaufsicht eine "dauerhafte einstweilige Verfügung" erzielen.
Solarwinds bezeichnete die "Anschuldigungen der SEC im Zusammenhang mit einem russischen Cyberangriff auf ein amerikanisches Unternehmen" als "unbegründet", wie das Tech-Magazin The Register berichtet. Solarwinds gibt sich "zutiefst besorgt", die Maßnahme würde die nationale Sicherheit gefährden. Die Klage des SEC sei ein weiteres Beispiel für die "Überdehnung" der US-Börsenaufsicht und sollte Unternehmen und Cybersicherheitsexperten alarmieren.
2019 waren bei dem Angriff auf Solarwinds Software für das IT- und Netzwerkmanagement mehrere Regierungsbehörden und große Unternehmen aus verschiedenen Sektoren betroffen. Cyberkriminelle schleusten unbemerkt Schadcode ein. Die Angreifer mussten keine Code-Signing-Zertifikate oder -Schlüssel stehlen, da sie bösartigen Code bereits während des Build-Prozesses einfügten, die das Unternehmen am Ende der Entwicklung selbst signierte.
Die Auswirkungen der SolarWinds-Attacke waren gravierend, da sie aufgrund der weitreichenden Verwendung der SolarWinds-Software in den betroffenen Systemen zu einem der größten Cyberangriffe in der Geschichte wurde. Die Nachwirkungen dieses Angriffs führten zu verstärkten Bemühungen um Cybersicherheit sowie zur Überprüfung und Stärkung der Sicherheitsmaßnahmen in Organisationen auf der ganzen Welt.
Mutmaßlich staatlichen Hackern war es gelungen, SolarWinds Orion-Plattform zu kompromittieren und einen Trojaner in offizielle Updates einzuschmuggeln. SolarWinds vertreibt Netzwerk- und Sicherheitsprodukte, die mehr als 300.000 Kunden weltweit einsetzen. Darunter befinden sich viele Fortune 500-Unternehmen, Regierungsbehörden wie das US-Militär, das Pentagon und das Außenministerium.
- Microsoft: SolarWinds-Angreifer hat mehr als 1000 Cyberkrieger
- US-Ermittler: Massiver Hackerangriff geht weit über SolarWinds hinaus
- "Sunspot" und "Raindrop": Weitere Malware der SolarWinds-Angriffskette entdeckt
- Attacken per SolarWinds: Alternative Angriffswege zu manipulierten Orion-Updates
- Solarwinds: Einbrecher verscherbeln Windows-Quellcode und FireEye-Angriffs-Tools
- Cyberattacken: Auch deutsche Behörden nutzten SolarWinds-Software – nur welche?
- #heiseshow: Cyberattacke über SolarWinds – wie angreifbar sind wir?
- Cyber-Attacke über SolarWinds: Auch US-Nachrichtendienste beschuldigen Russland
- Cyber-Attacke über SolarWinds: Angreifer hatten Zugriff auf Microsoft-Quellcode
- US-Justizminister widerspricht Trump: Moskau hinter großer Cyberattacke
- SolarWinds: Zweite, unabhängige Backdoor-Malware für Orion-Plattform entdeckt
- SolarWinds: FireEye, Microsoft & GoDaddy bauen "Killswitch" für Sunburst-Malware
- Cyberangriffe via SolarWinds-Software – neue Entwicklungen im Überblick
- FireEye etc.: Trojaner in SolarWinds-Updates ermöglicht Cyberangriffe
- Cyberangriffe gegen US-Ministerien – Moskau unter Verdacht
(mack)
