Die amerikanische Börsenaufsicht SEC untersucht die Auswirkungen der grossen Cyber-Attacke via Solarwinds auf US-Unternehmen. Im Juni habe die SEC Briefe an eine Reihe von Unternehmen geschickt, in denen sie um freiwillige Informationen darüber bittet, ob sie Opfer des Hackerangriffs waren und es versäumt haben, dies offenzulegen, berichtete 'Reuters' kürzlich. Nun folgte offenbar eine zweite Runde solcher Schreiben an Firmen, die bislang nicht reagiert haben.

Hintergrund seien Befürchtungen, dass öffentlich gehandelte Aktienkonzerne oder Investoren einen möglichen Hack nicht offengelegt haben. Bei den Anfragen gehe es aber auch darum herauszufinden, ob bei betroffenen Unternehmen, die internen Kontrollen versagt haben. Weiter wolle die Behörde wissen, ob die börsenkotierten Firmen ihre Kundendaten ausreichend schützten.

Die SEC fordere Unternehmen auf, Aufzeichnungen über "jede andere" Datenverletzung oder Ransomware-Attacke seit Oktober 2019 vorzulegen, sofern sie das kompromittierte Update von Solarwinds heruntergeladen haben. Die US-Nachrichtenagentur beruft sich auf mehrere Personen, die mit der Untersuchung vertraut sind. 

Ein SEC-Vertreter erklärte, dass die Anfragen darauf abzielen, Informationen zu finden, die für den Solarwinds-Vorfall relevant seien. Gemäss dem Bericht sollen die Unternehmen nicht bestraft werden, wenn sie freiwillig Daten über den Solarwinds-Hack weitergeben. Die SEC aber habe eine solche Amnestie nicht für andere Verstösse angeboten. Unternehmen befürchten laut den 'Reuters'-Quellen nun, dass die Börsenaufsicht Einblicke in unbekannte Vorfälle erhalten könnte, die die Unternehmen wahrscheinlich gar nie offenlegen wollten.

"Die Unternehmen sind besorgt, weil sie nicht wissen, wie die SEC diese Informationen verwenden wird", sagt ein Berater, der mit mehreren Unternehmen zusammenarbeitet, die eine Anfrage der Aufsichtsbehörde erhalten haben.

In den USA sind Aktienkonzerne verpflichtet, IT-Sicherheitsvorfälle wie Hacks oder Ähnliches zu veröffentlichen, da sie Auswirkungen auf die Aktienpreise haben könnte. Ein entsprechendes Dokument von der US-Börsenaufsicht gibt es laut 'Reuters' seit geraumer Zeit. Das Dokument sei 2018 aktualisiert worden, bleibe aber vage, wie Juristen zu 'Reuters' sagen. Ausserdem sei es relativ neu, dass die SEC solche Fälle tatsächlich untersucht und nachverfolgt.