SolarWinds und CISO wegen Betrugs und Kontrollversagen angeklagt
Die US-amerikanische Börsenaufsichtsbehörde SEC hat am 30. Oktober 2023 Anklage gegen die in Austin, Texas, ansässige Softwarefirma SolarWinds Corporation und ihren Chief Information Security Officer, Timothy G. Brown erhoben. Es geht dabei um Betrug und Kontrollversagen im Zusammenhang mit angeblich bekannten Cybersicherheitsrisiken und -schwachstellen.
(Quelle: https://www.sec.gov/news/press-release/2023-227)
SolarWinds soll in der Zeit von seinem Börsengang im Oktober 2018 bis zur Veröffentlichung des Sicherheitsvorfalles im Dezember 2020 die Investoren durch Übertreibung der Cybersicherheitspraktiken von SolarWinds und Unterschätzung oder Nichtoffenlegung bekannter Risiken betrogen haben.
In seinen Einreichungen bei der SEC während dieses Zeitraums soll SolarWinds die Investoren irreführend informiert haben, indem es nur generische und hypothetische Risiken offenlegte, zu einer Zeit, als das Unternehmen und Brown von spezifischen Mängeln in den Cybersicherheitspraktiken von SolarWinds sowie von den gleichzeitig zunehmenden Risiken wussten
Wie in der Klage behauptet wird, standen die öffentlichen Aussagen von SolarWinds über seine Cybersicherheitspraktiken und -risiken im Widerspruch zu seinen internen Bewertungen.
Die SEC-Klage behauptet weiterhin, dass Brown sich der Cybersicherheitsrisiken und -schwachstellen von SolarWinds bewusst war, aber die Probleme nicht behoben hat oder sie nicht ausreichend innerhalb des Unternehmens weitergeleitet hat.
Welche konkreten Vorwürfe stehen im Raum?
Eine interne Präsentation, die von den Ingenieuren des Unternehmens im Jahr 2018 entwickelt wurde, beweist beispielsweise, dass SolarWinds (und Brown) Kenntnis von Sicherheitsrisiken innerhalb seiner Kernprodukte hatten.
Die Fernzugriffseinrichtung von SolarWinds erwies sich als „nicht sehr sicher“ und jemand, der die Schwachstelle ausnutzt, „kann im Grunde alles tun, ohne dass (wir) es bemerken, bis es zu spät ist“, was für das Unternehmen zu „großen Reputations- und finanziellen Verlusten“ führen könnte.
Darüber hinaus wurde festgestellt, dass Brown selbst in den Jahren 2018 und 2019 interne Präsentationen gehalten hat, in denen er feststellte, dass der „aktuelle Stand der Sicherheit uns in einen sehr verwundbaren Zustand für unsere kritischen Vermögenswerte versetzt“ und dass „Zugang und Privilegien für kritische Systeme/Daten unangemessen sind.“
„Brown und andere SolarWinds-Mitarbeiter wussten, dass SolarWinds schwerwiegende Cybersicherheitsmängel hatte“, heißt es in der Klage. „Interne E-Mails, Nachrichten und Dokumente beschreiben zahlreiche bekannte wesentliche Cybersicherheitsrisiken, Kontrollprobleme und Schwachstellen. Diese internen Aussagen stehen im krassen Widerspruch zu den öffentlichen Angaben von SolarWinds zu seinen Cybersicherheitspraktiken, Risiken, Kontrollen und Schwachstellen.“
(Quelle: https://www.csoonline.com/article/657599/sec-sues-solarwinds-and-its-ciso-for-fraudulent-cybersecurity-disclosures.html)
Die Rolle des CISO in der Cybersicherheit
Die Rolle des Chief Information Security Officer (CISO) ist von entscheidender Bedeutung für die Cybersicherheit eines Unternehmens. Der CISO ist verantwortlich für die Entwicklung, Implementierung und Überwachung von Sicherheitsprotokollen im gesamten Unternehmen. In diesem Fall ist Timothy G. Brown, der CISO von SolarWinds, direkt in den Vorfall verwickelt.
Es ist wichtig zu beachten, dass der CISO zwar eine Führungsposition innehat, aber dennoch ein Angestellter des Unternehmens ist. Dies bedeutet, dass er Anweisungen von der Geschäftsleitung befolgen muss. Wenn Brown Anweisungen erhalten hat, bestimmte Informationen nicht offenzulegen oder bestimmte Maßnahmen nicht zu ergreifen, könnte dies seine Fähigkeit, angemessene Sicherheitsmaßnahmen zu implementieren, beeinträchtigt haben.
Allerdings ist es auch Teil der Verantwortung eines CISO, Bedenken hinsichtlich der Cybersicherheit an die Geschäftsleitung zu melden und auf die Notwendigkeit stärkerer Sicherheitsmaßnahmen hinzuweisen. Wenn Brown sich der Sicherheitslücken bewusst war und diese nicht ausreichend kommuniziert hat, könnte dies als Versäumnis seiner Pflichten als CISO angesehen werden. Gegen diesen Vorwurf sprechen jedoch die Beweise des SEC auf „interne Präsentationen“.
Letztendlich hängt die Verantwortung für die Cybersicherheit eines Unternehmens von einer Reihe von Faktoren ab, einschließlich der Unternehmenskultur, der Kommunikation innerhalb des Unternehmens und der Bereitschaft der Geschäftsleitung, in angemessene Sicherheitsmaßnahmen zu investieren.
Wahrscheinlich werden wir nicht sicher sagen können, ob Brown durch eine Weisung gezwungen wurde, den Vorfall herunterzuspielen. Da Solarwinds an der Börse notiert ist, hätten Meldungen zu eklatanten Sicherheitsproblemen den Wert des Unternehmens sehr schädigen können.
Ich kenne selbst genügend Beispiele wo die Geschäftsleitung einen CISO durch explizite Weisungen blockiert hat. Meist ging es darum, einen wirtschaftlichen Schaden zu vermeiden. Ein legitimes Ziel – aber eben auch ein Widerspruch zu der Rolle und der Aufgabe des CISO.
Vermutlich wird in der nächsten Zeit vermehrt über das Thema diskutiert werden.
Ich persönlich habe dazu eine klare Meinung:
Bei einem angestellten CISO, der durch die Weisung eines Vorgesetzten blockiert wird, sehe ich keine Haftung für die daraus entstehenden Folgen. Sich einer konkreten Weisung eines Vorgesetzten zu widersetzen hat schwerwiegende Folgen.
Wenn es stimmt, dass der CISO Brown in einer internen Präsentation auf die Sicherheitsprobleme aufmerksam gemacht hat, dann hat er seine Aufgabe erfüllt. Der CISO agiert als Berater, ist aber in fast allen Fällen nicht „entscheidungsbefugt“.
Haftbar gemacht werden dürfen nur die Personen, die auch tatsächlich die Entscheidungen treffen. Und das ist die von mir oft zitierte „oberste Leitung“.
Man könnte das Thema sogar noch weiter treiben.
Was, wenn der Geschäftsführer durch den „Besitzer“ des Unternehmens oder einen Aufsichtsrat angewiesen würde, einen Sicherheitsvorfall zu vertuschen?
Wäre er dann tatsächlich haftbar zu machen oder ist er nur ein Bauernopfer.
Auf jeden Fall werde ich die weitere Berichtserstattung dazu aufmerksam verfolgen.
SolarWinds and CISO charged with fraud and control failures
On October 30, 2023, the U.S. Securities and Exchange Commission (SEC) filed charges against SolarWinds Corporation, a software company based in Austin, Texas, and its Chief Information Security Officer, Timothy G. Brown. The charges relate to fraud and control failures in connection with allegedly known cybersecurity risks and vulnerabilities.
(Source: https://www.sec.gov/news/press-release/2023-227)
SolarWinds is alleged to have defrauded investors by exaggerating SolarWinds‘ cybersecurity practices and understating or failing to disclose known risks between its initial public offering in October 2018 and the disclosure of the security incident in December 2020.
In its filings with the SEC during this period, SolarWinds allegedly misled investors by disclosing only generic and hypothetical risks at a time when the company and Brown knew of specific deficiencies in SolarWinds‘ cybersecurity practices as well as the concurrently increasing risks
As alleged in the complaint, SolarWinds‘ public statements about its cybersecurity practices and risks were inconsistent with its internal assessments.
The SEC’s complaint further alleges that Brown was aware of SolarWinds‘ cybersecurity risks and vulnerabilities, but failed to remediate the issues or adequately communicate them within the company.
What are the specific allegations?
For example, an internal presentation developed by the company’s engineers in 2018 proves that SolarWinds (and Brown) were aware of security risks within its core products.
SolarWinds‘ remote access facility was found to be „not very secure“ and someone exploiting the vulnerability „can basically do anything without (us) realizing it until it’s too late,“ which could lead to „major reputational and financial losses“ for the company.
In addition, it was noted that Brown himself gave internal presentations in 2018 and 2019 in which he stated that the „current state of security puts us in a very vulnerable state for our critical assets“ and that „access and privileges to critical systems/data are inappropriate.“
„Brown and other SolarWinds employees knew that SolarWinds had serious cybersecurity deficiencies,“ the lawsuit states. „Internal emails, messages, and documents describe numerous known material cybersecurity risks, control issues, and vulnerabilities. These internal statements are in stark contrast to SolarWinds‘ public statements about its cybersecurity practices, risks, controls, and vulnerabilities.“
(Source: https://www.csoonline.com/article/657599/sec-sues-solarwinds-and-its-ciso-for-fraudulent-cybersecurity-disclosures.html)
The role of the CISO in cyber security
The role of the Chief Information Security Officer (CISO) is critical to an organization’s cybersecurity. The CISO is responsible for developing, implementing and monitoring security protocols across the organization. In this case, Timothy G. Brown, the CISO of SolarWinds, is directly involved in the incident.
It is important to note that while the CISO is in a leadership position, he is still an employee of the company. This means that he must follow instructions from senior management. If Brown received instructions not to disclose certain information or take certain actions, this may have affected his ability to implement appropriate security measures.
However, it is also part of a CISO’s responsibility to report cybersecurity concerns to senior management and highlight the need for stronger security measures. If Brown was aware of the security vulnerabilities and did not adequately communicate them, this could be considered a dereliction of his duties as CISO. However, the SEC’s evidence of „internal presentations“ argues against this accusation.
Ultimately, a company’s cybersecurity responsibilities depend on a number of factors, including its corporate culture, communication within the organization, and management’s willingness to invest in appropriate security measures.
We probably won’t be able to say for sure whether Brown was forced by a directive to downplay the incident. As Solarwinds is listed on the stock exchange, reports of blatant security problems could have been very damaging to the value of the company.
I know of enough examples where the management blocked a CISO through explicit instructions. In most cases, the aim was to avoid economic damage. A legitimate goal – but also a contradiction to the role and task of the CISO.
There will probably be more discussion on this topic in the near future.
Personally, I have a clear opinion on this:
In the case of an employed CISO who is blocked by the instructions of a superior, I see no liability for the resulting consequences. Defying a specific directive from a superior has serious consequences.
If it is true that the CISO drew Brown’s attention to the security problems in an internal presentation, then he has done his job. The CISO acts as an advisor, but is not „authorized to make decisions“ in almost all cases.
Only the people who actually make the decisions can be held liable. And that is the „top management“ that I often quote.
You could take the issue even further.
What if the managing director was instructed by the „owner“ of the company or a supervisory board to cover up a security incident?
Would he then actually be held liable or is he just a pawn?
In any case, I will be following further reports on this closely.