Die SEC verhängt gegen vier Unternehmen eine Geldstrafe von 7 Millionen US-Dollar wegen „irreführender Cyber-Offenlegungen“ im Zusammenhang mit dem SolarWinds-Hack

Die Securities and Exchange Commission (SEC) am Dienstag bekannt gegeben dass vier Unternehmen angeklagt und mit Strafen belegt wurden, weil sie im Zusammenhang mit der Datenpanne bei SolarWinds im Jahr 2019 irreführende Angaben gemacht hatten.

Bei den vier angeklagten Unternehmen handelt es sich um die Cybersicherheitsfirmen Check Point, die eine Zivilstrafe in Höhe von 995.000 US-Dollar zahlen werden, und Mimecast, die 990.000 US-Dollar zahlen wird; und die Technologieunternehmen Unisys, die 4 Millionen US-Dollar zahlen werden, und Avaya, die 1 Million US-Dollar zahlen werden.

Alle diese Unternehmen wurden Opfer des Hacks, der SolarWinds traf und mehrere andere Unternehmen und Regierungsbehörden betraf, die SolarWinds-Software verwendeten. Nach Angaben der SEC hat jedes Unternehmen unterschiedliche Verstöße begangen, die den Schaden der Verstöße „fahrlässig“ heruntergespielt und minimiert haben.

„Obwohl börsennotierte Unternehmen zum Ziel von Cyberangriffen werden können, ist es ihre Pflicht, ihre Aktionäre oder andere Mitglieder der investierenden Öffentlichkeit nicht noch weiter zu schikanieren, indem sie irreführende Offenlegungen über die Cybersicherheitsvorfälle machen, denen sie begegnet sind“, sagte Sanjay Wadhwa, amtierender Direktor der SEC Abteilung für Durchsetzung. „In den Anordnungen der SEC wird festgestellt, dass diese Unternehmen irreführende Angaben zu den betreffenden Vorfällen gemacht haben und die Anleger über das wahre Ausmaß der Vorfälle im Unklaren gelassen haben.“

Nach Angaben der SEC hat jedes Unternehmen unterschiedliche Verstöße begangen. Avaya sagte, Hacker hätten auf eine „begrenzte Anzahl“ von E-Mails von Unternehmen zugegriffen, sagte jedoch nicht, dass die Hacker auch auf „mindestens 145 Dateien in seiner Cloud-Filesharing-Umgebung“ zugegriffen hätten. Obwohl Check Point von dem Verstoß wusste, beschrieb er „Cybereinbrüche und -risiken“ in „allgemeinen Begriffen“. Mimecast „minimierte den Angriff, indem es versäumte, offenzulegen“, welchen Code und wie viele verschlüsselte Unternehmensanmeldeinformationen die Hacker gestohlen hatten. Und Unisys „beschrieb seine Risiken durch Cybersicherheitsereignisse als hypothetisch“, obwohl das Unternehmen von zwei Verstößen im Zusammenhang mit SolarWinds betroffen war.

Die SEC sagte, dass alle Unternehmen bei ihrer Untersuchung mitgearbeitet hätten und sich bereit erklärt hätten, die Strafen zu zahlen und „zukünftige Verstöße gegen die angeklagten Bestimmungen zu unterlassen“, ohne die Ergebnisse der SEC „zuzugeben oder zu leugnen“.

Avaya-Sprecherin Julianne Embry sagte gegenüber Tech, dass die SEC „die freiwillige Zusammenarbeit von Avaya anerkennt und dass wir bestimmte Schritte unternommen haben, um die Cybersicherheitskontrollen des Unternehmens zu verbessern“.

Check Point-Sprecher Gil Messing sagte gegenüber Tech: „Check Point hat den SolarWinds-Vorfall untersucht und keine Beweise dafür gefunden, dass auf Kundendaten, Code oder andere vertrauliche Informationen zugegriffen wurde.“ Dennoch entschied Check Point, dass die Zusammenarbeit und Beilegung des Streits mit der SEC in seinem besten Interesse liege.“

Mimecast-Sprecher Timothy Hamilton sagte gegenüber Tech, dass das Unternehmen als Reaktion auf den SolarWinds-Hack „umfangreiche Offenlegungen gemacht und proaktiv und transparent mit unseren Kunden und Partnern interagiert hat, auch mit denen, die nicht betroffen waren“.

„Wir waren davon überzeugt, dass wir unseren Offenlegungspflichten aufgrund der damaligen regulatorischen Anforderungen nachgekommen sind“, sagte Hamilton.

Als Tech ihn um einen Kommentar bat, lehnte Unisys-Sprecher Jamie Baid eine Stellungnahme ab und verwies auf die des Unternehmens 8-K-Einreichung am Dienstag veröffentlicht. In dem Dokument sagte Unisys, man habe mit der SEC eine Einigung erzielt, die die Untersuchung der Aufsichtsbehörde gegen das Unternehmen beilege.

In den letzten Jahren hat die SEC börsennotierten Unternehmen eine Reihe neuer Verpflichtungen auferlegt, wenn es um die Offenlegung von Datenschutzverletzungen und deren Auswirkungen auf das Unternehmen sowie seine Kunden und Nutzer geht.

tch-1-tech