Solarwinds-Untersuchung macht Firmen nervös

13. September 2021, 10:21
  • security
  • international
  • regulierung
  • solarwinds
image

Die Börsenaufsicht will Informationen von den betroffenen Unternehmen. Diese befürchten, dass andere Vorfälle ans Licht kommen könnten.

Die amerikanische Börsenaufsicht SEC untersucht die Auswirkungen der grossen Cyber-Attacke via Solarwinds auf US-Unternehmen. Im Juni habe die SEC Briefe an eine Reihe von Unternehmen geschickt, in denen sie um freiwillige Informationen darüber bittet, ob sie Opfer des Hackerangriffs waren und es versäumt haben, dies offenzulegen, berichtete 'Reuters' kürzlich. Nun folgte offenbar eine zweite Runde solcher Schreiben an Firmen, die bislang nicht reagiert haben.
Hintergrund seien Befürchtungen, dass öffentlich gehandelte Aktienkonzerne oder Investoren einen möglichen Hack nicht offengelegt haben. Bei den Anfragen gehe es aber auch darum herauszufinden, ob bei betroffenen Unternehmen, die internen Kontrollen versagt haben. Weiter wolle die Behörde wissen, ob die börsenkotierten Firmen ihre Kundendaten ausreichend schützten.
Die SEC fordere Unternehmen auf, Aufzeichnungen über "jede andere" Datenverletzung oder Ransomware-Attacke seit Oktober 2019 vorzulegen, sofern sie das kompromittierte Update von Solarwinds heruntergeladen haben. Die US-Nachrichtenagentur beruft sich auf mehrere Personen, die mit der Untersuchung vertraut sind. 

Nicht gemeldete Vorfälle könnten ans Licht kommen

Ein SEC-Vertreter erklärte, dass die Anfragen darauf abzielen, Informationen zu finden, die für den Solarwinds-Vorfall relevant seien. Gemäss dem Bericht sollen die Unternehmen nicht bestraft werden, wenn sie freiwillig Daten über den Solarwinds-Hack weitergeben. Die SEC aber habe eine solche Amnestie nicht für andere Verstösse angeboten. Unternehmen befürchten laut den 'Reuters'-Quellen nun, dass die Börsenaufsicht Einblicke in unbekannte Vorfälle erhalten könnte, die die Unternehmen wahrscheinlich gar nie offenlegen wollten.
"Die Unternehmen sind besorgt, weil sie nicht wissen, wie die SEC diese Informationen verwenden wird", sagt ein Berater, der mit mehreren Unternehmen zusammenarbeitet, die eine Anfrage der Aufsichtsbehörde erhalten haben.
In den USA sind Aktienkonzerne verpflichtet, IT-Sicherheitsvorfälle wie Hacks oder Ähnliches zu veröffentlichen, da sie Auswirkungen auf die Aktienpreise haben könnte. Ein entsprechendes Dokument von der US-Börsenaufsicht gibt es laut 'Reuters' seit geraumer Zeit. Das Dokument sei 2018 aktualisiert worden, bleibe aber vage, wie Juristen zu 'Reuters' sagen. Ausserdem sei es relativ neu, dass die SEC solche Fälle tatsächlich untersucht und nachverfolgt.

Loading

Mehr zum Thema

image

Edöb besetzt weitere Stellen wegen der Revision des Datenschutzgesetzes

Derzeit sucht der Datenschutzbeauftragte einen Informatiker für die Leitung von Kontrollen. Im Rahmen des neuen DSG wurden 8 Vollzeitstellen gesprochen.

publiziert am 12.8.2022
image

Cyberattacken abwehren bis zum Burnout

Laut einer aktuellen Umfrage leidet fast die Hälfte aller Incident-Responder unter extremem Stress oder sogar Burnouts.

publiziert am 11.8.2022
image

Cisco bestätigt Cyberangriff

Der Angriff fand bereits im Mai statt, die Cyberkriminellen haben jetzt angeblich erbeutete Daten veröffentlicht. Cisco schildert den Ablauf detailliert.

publiziert am 11.8.2022
image

Branchen-Grössen schaffen gemeinsamen Standard für Security-Lösungen

AWS, Splunk und weitere grosse Anbieter von Security-Software kooperieren, um die Integration von Lösungen zu vereinfachen und Datensilos aufzubrechen.

publiziert am 11.8.2022