Vor etwas mehr als einer Woche hat die US-Börsenaufsicht SEC eine Zivilklage gegen Solarwinds und dessen Securitychef Timothy Brown eingereicht. Der Anbieter einer Management-Software für ICT-Infrastrukturen war Ende 2020 gehackt worden. Die Angreifer konnten Hintertüren in die Produkte des Unternehmens einschleusen und dadurch in die Systeme von Solarwinds-Kunden eindringen. Betroffen waren viele Behörden und Grossunternehmen in den USA. Aber auch in Europa und der Schweiz gab es "Kollateralschäden". Der Fall erregte unter dem Namen "Sunburst" riesiges Aufsehen in der ganzen Welt.

In der Klageschrift des SEC, wird Solarwinds und seinem CISO vorgeworfen, Investoren betrogen zu haben, "indem sie die Cybersicherheits-Praktiken von Solarwinds übertrieben darstellten und bekannte Risiken herunterspielten oder nicht offenlegten". Weiter heisst es, Solarwinds habe zumindest seit dem Börsengang im Oktober 2018 bis zur Offenlegung des Sunburst-Cyberangriffs im Dezember 2020 Anleger in die Irre geführt. Belegt wird dies von der SEC unter anderem durch interne Mails, die Solarwinds offenlegen musste.

In einem ersten Statement zuhanden des Gerichts argumentiert Solarwinds, knapp und salopp zusammengefasst, dass dies kompletter Unsinn sei. Die Klage sei sowohl in Sachen Faktenlage als auch bei der Gesetzesauslegung fundamental falsch. Um die Behauptung, das Management habe von Schwächen in der Security-Architektur gewusst, zu belegen, zitiere die SEC selektiv ausgewählte und aus dem Zusammenhang gerissene Konversationen im Management. Die Börsenaufsicht verdrehe damit die Fakten. Ihre Hauptabsicht mit dieser Klage sei es, sich selbst als Regulator im Security-Bereich zu profilieren.

Solarwinds stellt sich zudem auf den Standpunkt, dass die eigene Security zum Zeitpunkt des Angriffs gut aufgestellt war. Anders als behauptet, habe es keine Schwachstelle in seinem VPN gegeben, die den Angreifern das Eindringen erlaubte. Auch die Zugangskontrollen seien adäquat gewesen.