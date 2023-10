Der Netzwerkmanagement-Spezialist Solarwinds und sein CISO werden von der US-Finanzaufsicht SEC wegen Betrugs angeklagt. Die Behörde behauptet, der Softwarehersteller habe gewusst, dass seine Sicherheit vor dem Supply-Chain-Angriff Sunburst mangelhaft war. Im Dezember 2020 war bekannt geworden, dass mutmasslich russische Hacker tief ins System von Solarwinds eingedrungen waren . Nach und nach zeigte sich die ganze Dimension des Angriffs: Bis zu 18'000 Kunden erhielten demnach verseuchte Updates , darunter Microsoft und US-Behörden, über 100 wurden erfolgreich angegriffen.

In einer Mitteilung behauptete die SEC nun, dass das Unternehmen und CISO Timothy G. Brown "Investoren betrogen haben, indem sie die Cybersicherheits-Praktiken von Solarwinds übertrieben darstellten und bekannte Risiken herunterspielten oder nicht offenlegten". In der Zivilklage heisst es, Solarwinds habe zumindest seit dem Börsengang im Oktober 2018 bis zur Offenlegung des Sunburst-Cyberangriffs im Dezember 2020 Anleger in die Irre geführt.

Solarwinds: "Anschuldigungen unbegründet"

In der SEC-Mitteilung wird eine Unternehmenspräsentation von 2018 zitiert, die auch mit Brown geteilt worden sein soll. In dieser wird die Remoteverbindung von Solarwinds als "nicht sehr sicher" beschrieben. Im Grund könne ein Angreifer, wenn er denn Zugang erhalte, "alles tun kann, ohne dass wir es bemerken, bis es zu spät ist", heisst es dort. Auch CISO Brown soll Präsentationen gehalten haben, in denen er die Verwundbarkeit nannte und Zugang und Privilegien für kritische Systeme als unangemessen bezeichnete.

"Anstatt die Schwachstellen zu beheben, haben Solarwinds und Brown eine Kampagne gestartet, um ein falsches Bild von der Kontrollumgebung des Unternehmens zu zeichnen und damit den Anlegern genaue wesentliche Informationen vorzuenthalten", heisst es von der SEC. Ihre Klage zielt auf zwei Punkte: Fehlinformationen für Investoren und die Notwendigkeit für börsennotierte Unternehmen, ihre Sicherheitsvorkehrungen in Ordnung zu bringen.

Gegenüber 'The Register' äusserte sich Solarwinds deutlich: "Wir sind enttäuscht über die unbegründeten Anschuldigungen der SEC im Zusammenhang mit einem russischen Cyberangriff auf ein amerikanisches Unternehmen und sind zutiefst besorgt, dass dieses Vorgehen unsere nationale Sicherheit gefährdet." Man freue sich, die Wahrheit vor Gericht zu klären..