Bei Solarwinds Orion geschummelt: Börsenaufsicht bestraft IT-Firmen
Die Spionageoperation bei Solarwinds schadete vielen Firmen. Die Offenlegung gegenüber den Eigentümern nahmen nicht alle genau. Das kostet.
"Das Ausmaß wesentlicher Verletzungen der IT-Sicherheit herunterzuspielen, ist eine schlechte Strategie." Das schreibt Jorge G. Tenreiro von der US-Kapitalmarktbehörde SEC börsennotierten Firmen ins Stammbuch. Die Behörde hat gerade Unisys, Avaya, Check Point und Mimecast bestraft, weil sie die Auswirkungen von Angriffen über Solarwinds Orion kleingeredet haben. Tenreiro ist amtierender Leiter der Crypto Assets and Cyber Unit (CACU) der SEC (Securities Exchange Commission).
Mutmaßlich staatlichen Hackern Russlands ist es 2019 gelungen, SolarWinds' Orion-Plattform zu kompromittieren und einen Trojaner in offizielle Updates einzuschmuggeln. SolarWinds vertreibt Netzwerk- und Sicherheitsprodukte, die damals mehr als 300.000 Kunden weltweit eingesetzt haben. Darunter befinden sich viele Fortune 500-Unternehmen, Regierungsbehörden wie das US-Militär, das Pentagon und das Außenministerium. Durch das Einspielen der Updates wurden ihre Systeme ab März 2020 kompromittiert. Ende 2020 entdeckte Fireeye die Hintertüren. Im Februar 2021 sprach Microsoft-President Brad Smith vom "größten und raffiniertesten Angriff, den die Welt je gesehen hat".
Unisys muss mit vier Millionen US-Dollar die höchste Strafe zahlen, weil die Behörde dort eine weitere Verfehlung entdeckt hat: Die interne Aufsicht über die rechtlich vorgeschriebenen Mitteilungen an Aktionäre, Gläubiger und potenzielle Investoren war mangelhaft. Das trägt laut SEC mit Schuld daran, dass Unisys seine IT-Sicherheitsrisken als rein hypothetisch beschrieben hat, obwohl Solarwinds-Einbrecher sich nicht nur einmal, sondern bereits zweimal Zugriff auf Unisys-Systeme verschafft und Daten exfiltriert hatten.
Avaya zahlt eine Million Dollar. Das auf Dienstleistungen rund um Unified Communications spezialisierte Unternehmen hat zwar zugestanden, dass die Täter eine "beschränkte Zahl an E-Mails der Firma" abgerufen haben. Leider vergaß Avaya zu erwähnen, dass sich die Einbrecher auch an mindestens 145 Dateien im cloudbasierten Filesharing zu schaffen gemacht haben.
"Halbwahrheiten verboten"
Jeweils knapp eine Million Dollar müssen Check Point Software Technologies sowie Mimecast überweisen. Check Point, ein israelisch-amerikanisches IT-Sicherheitsunternehmen, wusste von erfolgreichen Einbrüchen in seine Systeme. Dennoch beschrieb es Einbrüche und deren Risiken mit allgemeinen Worten, anstatt Tacheles zu reden. Mimecast legte zwar einen Angriff offen, ließ die Auswirkungen aber geringer aussehen als sie waren. Das Unternehmen sitzt auf Jersey und bietet E-Mail-Management für Cloud-Dienste von Google und Microsoft an. Laut Feststellungen der SEC hätte Mimecast offenlegen müssen, welche Sourcecodes die Täter kopiert haben, und in welchem Umfang sie sich verschlüsselte Zugangsdaten angeeignet haben.
Die Strafen beruhen auf Verletzung von US-Kapitalmarktrecht und hätten deutlich höher ausfallen können. Doch die vier IT-Unternehmen haben mit der SEC kooperiert, freiwillig mit Analysen oder Präsentationen die Untersuchung unterstützt und aus eigenem Antrieb Maßnahmen zur Verbesserung ihrer IT-Sicherheit gesetzt. Außerdem akzeptieren sie die Strafen und Unterlassungsverfügungen mit Auflagen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Nicht die Einbrüche sind Grund der Strafe, sondern deren unzureichende Offenlegung. Wenn "börsennotierte Firmen Ziel von IT-Angriffen werden, dürfen sie ihre Aktionäre und andere Mitglieder der investierenden Öffentlichkeit nicht zu weiteren Opfern machen, indem sie irreführende Angaben über die widerfahrenen IT-Sicherheitsvorfälle machen", betont Sanjay Wadhwa, amtierender Leiter der Vollstreckungsabteilung der SEC. "US-Wertpapierrecht verbietet Halbwahrheiten", fügt Tenreiro hinzu, "Und es gibt keine Ausnahme für Angaben bei Offenlegungen von Risikofaktoren."
Die Aktenzahlen der SEC-Verfahren lauten 3-22272 (Unisys), 3-22269 (Avaya), 3-22270 (Check Point) und 3-22271 (Mimecast).
- SEC-Bescheid über Unisys
- SEC-Bescheid über Avaya
- SEC-Bescheid über Check Point Software Technologies
- SEC-Bescheid über Mimecast
(ds)