Richter im SolarWinds-Fall lehnt SEC-Aufsicht über Cybersicherheitskontrollen ab

„Die Begründung der SEC, das Gesetz so auszulegen, dass es alle Systeme umfasst, die öffentliche Unternehmen zum Schutz ihrer wertvollen Vermögenswerte nutzen, hätte katastrophale Folgen“, schrieb Engelmayer in seinem Artikel. Eine 107-seitige Entscheidung.

„Dies würde der Behörde die Befugnis geben, Hintergrundüberprüfungen zu regulieren, die bei der Einstellung von Nachtwächtern, dem Knacken von Schlössern für Lagerräume, Sicherheitsmaßnahmen in Wasserparks, deren Zuverlässigkeit von der Gutgläubigkeit der Kunden abhängt, sowie der Länge und Konfiguration der für den Zugriff erforderlichen Passwörter zu regulieren.“ private Computer.“ Das Unternehmen“, schrieb er.

Ein Bundesrichter in Manhattan wies auch die Behauptungen der SEC zurück, dass die Offenlegungen von SolarWinds, nachdem das Unternehmen erfahren hatte, dass seine Kunden betroffen waren, die Schwere des Hacks unzulässig verschleierten, da russischen Geheimdienstagenten vorgeworfen wird, mehr als ein Jahr lang die Software von SolarWinds ausgenutzt zu haben, um sich Zugriff darauf zu verschaffen mehrere Bundesbehörden und große Technologieunternehmen. US-Behörden bezeichneten den im Dezember 2020 aufgedeckten Einsatz als einen der gefährlichsten Einsätze der letzten Jahre, dessen Folgen für Regierung und Industrie noch immer spürbar seien.

In einer Zeit, in der zerstörerische Hacking-Kampagnen an der Tagesordnung sind, hat die Klage Wirtschaftsführer, einige Sicherheitsbeamte und sogar ehemalige Regierungsbeamte alarmiert, wie in Amicus-Curiae-Schriftsätzen zum Ausdruck kommt, in denen sie auf ihre Abweisung drängt. Sie behaupteten, dass die Einführung einer Haftung für falsche Angaben Hacker-Opfer davon abhalten würde, ihr Wissen mit Kunden, Investoren und Sicherheitsbehörden zu teilen.

Das in Austin ansässige Unternehmen Solarwinds sagte, es sei erfreut, dass der Richter „unserem Antrag auf Abweisung der Ansprüche der SEC im Wesentlichen stattgegeben habe“, und fügte in einer Erklärung hinzu, dass es „dankbar für die Unterstützung sei, die wir bisher in der gesamten Branche erhalten haben, von unseren Kunden, von Cybersicherheitsexperten: „Und unter den erfahrenen Regierungsbeamten, die unsere Bedenken bestätigt haben.“

Die Securities and Exchange Commission antwortete nicht auf eine Bitte um Stellungnahme.

Engelmeier wies den Fall nicht gänzlich ab, sodass die SEC versuchen konnte zu beweisen, dass SolarWinds und sein höchster Sicherheitsbeamter, Timothy Brown, Wertpapierbetrug begangen hatten, indem sie nicht in einer öffentlichen „Sicherheitserklärung“ vor dem Hack gewarnt hatten, von dem sie wusste, dass das Unternehmen sehr anfällig war Anschläge.

„Die SEC behauptet, dass Solarwinds und Brown in der Sicherheitserklärung anhaltende irreführende Informationen über die Angemessenheit ihrer Zugangskontrollen geliefert haben, von denen viele einer völligen Lüge gleichkommen“, schrieb Engelmayer in seinem Brief. „Für Kunden, für die Computersicherheit von größter Bedeutung ist.“ äußerst wichtig, diese Fehlinformation war zweifellos erheblich.

Der Richter lobte die SEC dafür, dass sie dieses Argument durch eine Untersuchung untermauert habe, die zu internen Briefen und Präsentationen geführt habe, in denen die Zugangskontrollen, Passwortrichtlinien und die eingeschränkten Möglichkeiten des Unternehmens zur Überwachung seiner Netzwerke kritisiert wurden.

Im Jahr 2019 teilte ein externer Sicherheitsforscher dem Unternehmen mit, dass ein Passwort für einen Server, der zum Senden von Software-Updates verwendet wird, offengelegt worden sei: Es sei „solarwinds 123“.

Ein Jahr zuvor warnte ein Ingenieur in einer internen Präsentation, dass ein Hacker das virtuelle private Netzwerk des Unternehmens von einem nicht autorisierten Gerät aus nutzen und Schadcode hochladen könnte. Der Richter schrieb, dass Brown diese Informationen nicht an leitende Angestellte weitergegeben habe und dass die Hacker später dieselbe Technik angewendet hätten.