"Das Ausmaß wesentlicher Verletzungen der IT-Sicherheit herunterzuspielen, ist eine schlechte Strategie. " Das schreibt Jorge G. Tenreiro von der US-Kapitalmarktbehörde SEC börsennotierten Firmen ins Stammbuch. Die Behörde hat gerade Unisys, Avaya, Check Point und Mimecast bestraft, weil sie die Auswirkungen von Angriffen über Solarwinds Orion kleingeredet haben. Tenreiro ist amtierender Leiter der Crypto Assets and Cyber Unit (CACU) der SEC (Securities Exchange Commission).
Anzeige
Mutmaßlich staatlichen Hackern Russlands ist es 2019 gelungen, SolarWinds' Orion-Plattform zu kompromittieren und einen Trojaner in offizielle Updates einzuschmuggeln. SolarWinds vertreibt Netzwerk- und Sicherheitsprodukte, die damals mehr als 300.000 Kunden weltweit eingesetzt haben. Darunter befinden sich viele Fortune 500-Unternehmen, Regierungsbehörden wie das US-Militär, das Pentagon und das Außenministerium. Durch das Einspielen der Updates wurden ihre Systeme ab März 2020 kompromittiert. Ende 2020 entdeckte Fireeye die Hintertüren. Im Februar 2021 sprach Microsoft-President Brad Smith vom "größten und raffiniertesten Angriff, den die Welt je gesehen hat".
Unisys muss mit vier Millionen US-Dollar die höchste Strafe zahlen, weil die Behörde dort eine weitere Verfehlung entdeckt hat: Die interne Aufsicht über die rechtlich vorgeschriebenen Mitteilungen an Aktionäre, Gläubiger und potenzielle Investoren war mangelhaft. Das trägt laut SEC mit Schuld daran, dass Unisys seine IT-Sicherheitsrisken als rein hypothetisch beschrieben hat, obwohl Solarwinds-Einbrecher sich nicht nur einmal, sondern bereits zweimal Zugriff auf Unisys-Systeme verschafft und Daten exfiltriert hatten.
Avaya zahlt eine Million Dollar. Das auf Dienstleistungen rund um Unified Communications spezialisierte Unternehmen hat zwar zugestanden, dass die Täter eine "beschränkte Zahl an E-Mails der Firma" abgerufen haben. Leider vergaß Avaya zu erwähnen, dass sich die Einbrecher auch an mindestens 145 Dateien im cloudbasierten Filesharing zu schaffen gemacht haben.
Jeweils knapp eine Million Dollar müssen Check Point Software Technologies sowie Mimecast überweisen. Check Point, ein israelisch-amerikanisches IT-Sicherheitsunternehmen, wusste von erfolgreichen Einbrüchen in seine Systeme. Dennoch beschrieb es Einbrüche und deren Risiken mit allgemeinen Worten, anstatt Tacheles zu reden. Mimecast legte zwar einen Angriff offen, ließ die Auswirkungen aber geringer aussehen als sie waren. Das Unternehmen sitzt auf Jersey und bietet E-Mail-Management für Cloud-Dienste von Google und Microsoft an. Laut Feststellungen der SEC hätte Mimecast offenlegen müssen, welche Sourcecodes die Täter kopiert haben, und in welchem Umfang sie sich verschlüsselte Zugangsdaten angeeignet haben.
Die Strafen beruhen auf Verletzung von US-Kapitalmarktrecht und hätten deutlich höher ausfallen können. Doch die vier IT-Unternehmen haben mit der SEC kooperiert, freiwillig mit Analysen oder Präsentationen die Untersuchung unterstützt und aus eigenem Antrieb Maßnahmen zur Verbesserung ihrer IT-Sicherheit gesetzt. Außerdem akzeptieren sie die Strafen und Unterlassungsverfügungen mit Auflagen.
Anzeige
Kommentare