Was Unternehmen aus dem SolarWinds-Hack und den SEC-Gebühren lernen können

Es ist drei Jahre her, dass das amerikanische Softwareunternehmen SolarWinds Opfer eines der bedeutendsten Cyberangriffe der Geschichte wurde. Der Vorfall, der erstmals im Dezember 2020 bekannt wurde, führte dazu, dass russische Hacker über einen Zeitraum von zwei Jahren in die beliebte Netzwerk- und Anwendungsüberwachungssoftware Orion von SolarWinds eindrangen.

Sobald die Cyberkriminellen in die technische Infrastruktur von SolarWinds eingedrungen waren, erstellten sie Schadsoftware-Updates und schickten sie an Tausende von Unternehmen und Organisationen, die die Orion-Software zur Verwaltung ihrer IT-Umgebungen nutzten.

Unglaubliche 18,000 Orion-Benutzer installierten unwissentlich die mit Schadsoftware behafteten Updates, wodurch die Hacker auf ihre IT-Netzwerke, Computersysteme und Daten zugreifen und ihre Kunden und andere Interessengruppen ins Visier nehmen konnten.

Der Hack betraf mehrere US-Regierungsbehörden, darunter Homeland Security, State, Treasury and Commerce, sowie große Unternehmen wie Microsoft, Intel, Cisco, Deloitte und FireEye. wie von TechTarget berichtet. Der Verstoß war so schwerwiegend und weitreichend, dass Microsoft-Präsident Brad Smith beschrieben es als „den größten und raffiniertesten Angriff, den die Welt je gesehen hat“.

Im Jahr 2023 ist SolarWinds immer noch mit den Auswirkungen dieses rekordverdächtigen Cyberangriffs konfrontiert. Im Oktober kündigte die US-Börsenaufsicht SEC (Securities and Exchange Commission) an, rechtliche Schritte gegen SolarWinds einzuleiten, und warf dem Technologieunternehmen vor, Investoren über seine Cybersicherheitspraktiken und -risiken in die Irre zu führen.

Dieser Hack, gepaart mit den jüngsten Anklagen der SEC gegen SolarWinds, unterstreicht die Notwendigkeit für Unternehmen, die zunehmende Cyberkriminalität ernst zu nehmen, indem sie solide Praktiken zur Informationssicherheit verstehen und anwenden. Es bietet auch wertvolle Möglichkeiten zum betriebswirtschaftlichen Lernen, von denen wir viele in diesem Blogbeitrag untersuchen werden.

Die SEC-Gebühren verstehen

Einer der wichtigsten Aspekte dieser SEC-Anklagen ist, dass sie sich nicht nur gegen SolarWinds, sondern auch gegen den Chief Information Security Officer Timothy G. Brown richten.

Die SEC behauptet, dass SolarWinds zwischen seinem Börsengang im Oktober 2018 und der Ankündigung eines Cyberangriffs im Dezember 2020 „Investoren betrogen“ habe, indem es seine Cybersicherheitspraktiken übertrieben sowie ihm bekannte Cybersicherheitslücken heruntergespielt und nicht offengelegt habe.

In einer Pressemitteilung, behauptet die US-Regierungsbehörde, dass SolarWinds den Anlegern nur über „allgemeine und hypothetische Risiken“ informiert habe, obwohl SolarWinds und Brown sich „spezifischer Mängel in den Cybersicherheitspraktiken von SolarWinds“ und „zunehmend erhöhten Risiken“ bewusst waren. Die SEC wirft SolarWinds vor, irreführende öffentliche Aussagen zu seiner Cybersicherheitslage gemacht zu haben, die im Widerspruch zu internen Bewertungen stehen.

Beispielsweise erstellte und verteilte ein SolarWinds-Ingenieur eine interne Präsentation mit der Warnung, dass der Fernzugriff des Unternehmens nicht „sehr sicher“ sei und dass Hacker „im Grunde alles tun könnten, ohne dass wir es bemerken, bis es zu spät ist“. In der Präsentation, die Brown gesehen hatte, warnte man auch vor „erheblichen Reputations- und finanziellen Verlusten“, wenn ein Hacker diese Schwachstelle ausnutzen würde.

In anderen Klagen der SEC gegen SolarWinds schrieb Brown angeblich in einer Präsentation, dass „der aktuelle Sicherheitszustand uns in einem sehr anfälligen Zustand für unsere kritischen Vermögenswerte zurücklässt“. Außerdem soll er in einer anderen Präsentation kritische System- und Datenzugriffe und -privilegien als „unangemessen“ bezeichnet haben, unter anderem, als er angeblich intern Bedenken hinsichtlich der Cybersicherheit geäußert hatte.

Die SEC hat Brown vorgeworfen, es versäumt zu haben, „die Probleme zu lösen“ und „sie innerhalb des Unternehmens nicht ausreichend voranzutreiben“, was bedeutete, dass SolarWinds nicht in der Lage war, „angemessene Zusicherungen zu geben, dass seine wertvollsten Vermögenswerte, einschließlich seines Flaggschiffprodukts Orion, vorhanden waren“. ausreichend geschützt“. Sie drängt nun auf „dauerhaften Unterlassungsanspruch, Herabschöpfung mit vorläufigen Zinsen, zivilrechtliche Sanktionen und eine Anwalts- und Direktorenanwaltschaft gegen Brown“.

Business-Learnings

Viele Unternehmen können wichtige Erkenntnisse zur Verbesserung ihrer Cybersicherheitslage gewinnen, indem sie den berüchtigten SolarWinds-Hack und die jüngsten Anklagen der SEC bewerten.

Die vielleicht bedeutendste Erkenntnis ist, dass der SolarWinds-Verstoß zeigt, dass „selbst die fortschrittlichsten und etabliertesten Unternehmen nicht immun gegen Cyber-Bedrohungen sind“, so Sam Peters, CTO von ISMS.online.

Da Cyber-Bedrohungen im Zuge des SolarWinds-Angriffs immer komplexer und häufiger auftreten, müssen Unternehmen sicherstellen, dass sie über die Mittel verfügen, sie zu identifizieren, zu bewerten und zu verwalten. Dies sollte „kontinuierliche Wachsamkeit, regelmäßige Bewertungen und die Einführung einer proaktiven Cybersicherheitsmentalität“ beinhalten, sagt Peters.

Der beste Weg, neue und aufkommende Cyber-Sicherheitsbedrohungen zu bewältigen, besteht darin, die Best Practices der Branche, behördliche Anforderungen usw. zu befolgen anerkannte Frameworks wie ISO/IEC 27001 und der NIST Cybersecurity Framework als Teil einer „Kultur des Sicherheitsbewusstseins“.

Peters erklärt: „Sie sind geschäftliche Notwendigkeiten in der heutigen Digital-First-Landschaft. Als Technologieführer müssen wir Cybersicherheit nicht als eigenständige Funktion betrachten, sondern als integrierten, grundlegenden Aspekt unserer gesamten Geschäftsstrategie.“

Durch die Einhaltung von Rahmenwerken wie ISO/IEC 27001 müssen Unternehmen verschiedene technische Kontrollen einhalten, um ihre Netzwerke, Systeme und Daten zu sichern. Peters erklärt, dass sie definieren, überwachen und überprüfen müssen Benutzerzugriffsverwaltung, Kontrollen und Verantwortlichkeiten sowie die Verwendung starker Verschlüsselungs- und Schlüsselverwaltungsprotokolle. Diese Maßnahmen seien der Schlüssel zur „Gewährleistung der Datenvertraulichkeit auch bei Verstößen“.

Peters empfiehlt Unternehmen außerdem, regelmäßig Schwachstellenbewertungen durchzuführen, um Softwarefehler zu identifizieren und zu beheben, die Hackern andernfalls eine Hintertür in sensible Systeme bieten könnten. Umsetzung einer gut dokumentierten Management von Informationssicherheitsvorfällen Der Prozess würde es Unternehmen auch ermöglichen, Verstöße sofort zu erkennen, zu melden und zu verwalten.

Der SolarWinds-Vorfall unterstreicht nicht nur, wie wichtig es ist, die Best Practices und Frameworks der Branche zu befolgen, sondern zeigt auch, dass die Sorgfaltspflicht der Lieferanten für die Eindämmung von Cyberangriffen von entscheidender Bedeutung ist. Peters empfiehlt Unternehmen, „Software von Drittanbietern stets mit der gleichen Sorgfalt zu überprüfen wie interne Systeme“.

Luke Dash, CEO von ISMS.online, glaubt, dass die wichtigste Lektion, die Unternehmen aus dem SolarWinds-Verstoß lernen können, darin besteht, dass Cybersicherheit „eine kontinuierliche Reise und kein Ziel“ ist. Während Investitionen in Technologie zur Bekämpfung von Cyberkriminalität beitragen können, müssen Unternehmen laut Dash auch in ihre Mitarbeiter investieren, indem sie sie ständig über Cybersicherheitsbedrohungen und Best Practices schulen.

Er empfiehlt außerdem, einen Vorfallreaktionsplan zu erstellen, um sich auf zukünftige Bedrohungen vorzubereiten, und eine Arbeitskultur zu fördern, die auf offener Kommunikation basiert. Dadurch wird sichergestellt, dass „Mitarbeiter sich wohl fühlen, verdächtige Aktivitäten zu melden, ohne Angst vor Vergeltung haben zu müssen“. Dash fügt hinzu: „Bei der Cybersicherheit zählt jede Warnung. Es ist eine gemeinsame Anstrengung und proaktives Handeln ist der Schlüssel.“

Karl Lankford, EMEA-Direktor für Systemtechnik bei Illumio, sagt, der SolarWinds-Hack und die SEC-Anklagen zeigen, dass „die Rolle des CISO einen Platz im Führungsteam verdient“.

„Die breitere C-Suite muss ebenfalls für gute Cybersicherheitspraktiken zur Verantwortung gezogen werden, da es oft dieses Team ist, das die Empfehlungen eines CISO ablehnt“, fügt er hinzu. „Ich würde mir einen Wandel wünschen, bei dem dem CISO die entsprechenden Befugnisse und Budgets zugewiesen werden, um wirksame Sicherheitskontrollen umzusetzen, ohne in jeder Phase eine Genehmigung einholen zu müssen.“

Robin Campbell-Burt, CEO von Code Red, glaubt, dass der SolarWinds-Hack „Licht auf die Vielschichtigkeit der Öffentlichkeitsarbeit in Cybersicherheitskrisen wirft“ und betont, wie wichtig es ist, in solchen Situationen die richtige PR zu machen.

Er sagt gegenüber ISMS.online: „Ihre Reaktion auf den Verstoß unterstreicht die Notwendigkeit einer zeitnahen Kommunikation in unserer sich schnell entwickelnden digitalen Welt.“ Den jüngsten Anklagen der SEC zufolge entsprach diese Reaktion jedoch möglicherweise nicht der Realität der Cybersicherheitslage des Unternehmens, und diese Art von Unehrlichkeit kann dem Ruf einer Marke äußerst schaden.“

Fazit

Der SolarWinds-Hack und die rechtlichen Schritte der SEC zeigen, dass eine unzureichende Offenlegung von Verstößen und die Vernachlässigung der Cybersicherheit für Unternehmen sehr kostspielig sein können. Da sich die Online-Bedrohungslandschaft schnell weiterentwickelt, müssen Unternehmen ihre Cybersicherheitslage ständig neu bewerten und verbessern, um sich selbst und ihre Kunden und Partner zu schützen.

Dabei kann die Bedeutung des Einsatzes bewährter Verfahren wie Multi-Faktor-Authentifizierung, regelmäßiger Backups, der Förderung einer Sicherheitskultur, die alle Mitarbeiter einbezieht, der Einhaltung von Branchenrahmenwerken sowie der Zusammenarbeit und dem Austausch von Bedrohungsinformationen mit Branchenkollegen nicht unterschätzt werden.