Teilurteil im Fall SolarWinds: Bundesrichter weist einige Klagen ab
- Bundesrichter weist Teil der Klage gegen SolarWinds ab.
- Neue SEC-Regeln zur Offenlegung von Cyberangriffen in Kraft.
Ein Bundesrichter hat am Donnerstag einen Teil der Klage gegen SolarWinds und dessen Cybersicherheitsmanager abgewiesen. Die Klage betrifft den Umgang mit einer Sicherheitsverletzung im Jahr 2020, die auch US-Regierungsbehörden betraf.
Die US-Börsenaufsichtsbehörde SEC hatte SolarWinds und den Chief Information Security Officer, Tim Brown, wegen unzureichender Risikodarstellung vor und nach dem Angriff verklagt. Es war das erste Mal, dass die SEC wegen zivilrechtlicher Betrugsvorwürfe gegen ein gehacktes Unternehmen vorging.
Einige Unternehmensgruppen kritisierten die SEC-Maßnahmen, da sie die Opfer der Angriffe verantwortlich machen würden. Die SEC argumentiert, dass Aktionäre ein Recht auf Informationen über die Reaktion auf Cyberangriffe haben.
Der Richter wies die Behauptung der SEC zurück, dass SolarWinds den Aktionären nicht das volle Ausmaß des Angriffs offenbart habe. Die Klage wegen anderer Aussagen von SolarWinds über Cybersicherheitsmaßnahmen bleibt bestehen.
Die USA machten später russische Hacker für den Angriff verantwortlich. Moskau bestritt jegliche Beteiligung.
Ein Sprecher von SolarWinds zeigte sich zufrieden mit der Entscheidung des Richters und betonte, dass das Unternehmen in der nächsten Phase seine eigenen Beweise vorlegen werde.
Die SEC lehnte eine Stellungnahme ab. Der Fall ist ungewöhnlich, da er sich gegen einen hochrangigen Cybersicherheitsmanager richtet.
Cybersicherheitsexperten äußerten Bedenken, dass die Klage gegen Brown zeigt, dass Regulierungsbehörden nun bereit sind, Cybersicherheitschefs zu verfolgen.
David Shargel von der Anwaltskanzlei Bracewell bezeichnete die Abweisung eines Teils der Klagen als Sieg für SolarWinds. Unternehmen gewinnen selten so früh im Prozess gegen die SEC.
Seit der Klage gegen SolarWinds gelten neue SEC-Regeln zur Offenlegung von Cyberangriffen. Unternehmen müssen Angriffe spätestens vier Geschäftstage nach Feststellung der wesentlichen Auswirkungen melden und ihre Cyber-Risikomanagementprozesse in Jahresberichten darlegen.
Der Richter wies auch die Behauptung der SEC zurück, dass SolarWinds gegen Buchhaltungsregeln verstoßen habe. Cybersicherheitskontrollen seien nicht Teil dieses Prozesses.
SolarWinds hatte die SEC beschuldigt, ihren Einflussbereich im Bereich Cyber erweitern zu wollen.