Cyberbedrohungen
SolarWinds – das CISO-Haftungsdilemma
Die aktuelle Klage gegen den CISO von SolarWinds wegen Täuschung der Anleger über die Sicherheit wirft grundlegende Fragen auf. Ein Kommentar zur möglichen Haftung der Geschäftsleitung bei Security-Aussagen und die Rolle der internen IT-Security.
Die US-Börsenaufsicht SEC (Security and Exchange Commission) hat Klage gegen den CISO des Unternehmens SolarWinds erhoben und damit für ein mittelstarkes Erdbeben in IT-Security-Kreisen gesorgt. Die Sachlage scheint dabei relativ klar. Das Echo der Industrie ist dagegen bemerkenswert und rein theoretisch ist eine solche Klage auch in Deutschland möglich. Und damit hat dieser Fall auch hier seine Relevanz.
Was war geschehen?
Die Firma SolarWinds wurde zwischen 2018 und 2020 Opfer einer gezielten Attacke, die weit über die Landesgrenzen der USA für Schlagzeilen sorgte. Unter den Opfern damals auch diverse Regierungsbehörden. Der internen Sicherheitsabteilung der Firma war -- der SEC zufolge -- bereits zum Börsengang 2018 bekannt, dass es Security-Probleme gibt, die daran zweifeln ließen, ob ein Angriff überhaupt bemerkt werden würde. In einigen als Beweismittel dienenden Präsentationen und interner Kommunikation, die nachweislich auch dem CISO vorgelegt wurden, waren Statements enthalten, die die mangelhafte Sicherheit beschrieben – auch Details, die später im Angriff entscheidend waren. Der nun im Raum stehende Vorwurf lautet, dass diese Informationen beim Börsengang bewusst zurückgehalten bzw. sogar falsch dargestellt wurden. Dies wertet die SEC als Täuschung der Anleger. Durch den Angriff sank der Aktienpreis innerhalb zweier Tage um 25% - innerhalb eines Monats um 35%. Die SEC sieht dies als Betrug an den Aktionären.
Relevanz in Deutschland
Die Verantwortung in einem Unternehmen trägt die Geschäftsführung. Das betrifft auch Schäden, die durch einen Cyberangriff entstehen, sowie die Korrektheit von geschäftsbezogenen Informationen wie Bilanz und immer wichtiger auch Cybersicherheit. Über letztere wird zunehmend sowohl von Geschäftspartnern, Versicherern und in naher Zukunft mit NIS 2 auch vom Staat, Auskunft angefordert.
Diese Verantwortung kann nicht delegiert werden. Damit hat jede Geschäftsleitung die Pflicht, adäquate Informationen zur eigenen Lage einzuholen und darzustellen. Dafür greift sie in der Regel auf Fachkräfte zurück. Die Position des CISOs ist dabei eine Stabsstelle in größeren Unternehmen, die als Bindeglied zwischen Unternehmensleitung und IT-Security dienen soll. Sie kann, muss aber nicht, Teil der Geschäftsführung sein. Was hier verhandelt wird, ist tatsächlich die Frage, ob eine Geschäftsleitung für Falschaussagen zur eigenen Cybersicherheit verurteilt werden kann. Aber auch, welche Rolle dabei die interne IT-Security spielt.
Der Fall nüchtern betrachtet
Eigentlich stellt sich alles ziemlich einfach dar. Wenn die Klageschrift stimmt (und nur darüber sprechen wir), dann wurden Warnungen aus der IT-Sicherheit nicht ernst genommen. Statt Gegenmaßnahmen wurde in entsprechenden Darstellungen nach außen gelogen und die eigenen Probleme ignoriert. Den Aktionären ist dadurch ein erheblicher Schaden entstanden, für den das Unternehmen haften soll. Der CISO von SolarWinds war in diesem Zusammenhang sowohl für die interne Kommunikation als auch für die Außendarstellung verantwortlich und steht somit sogar als Beschuldigter persönlich auf der Anklagebank.
Unter der Haube
Spannend sind die Reaktionen auf diese Anklage. Sie zeigen das eigentliche Problem im Machtungleichgewicht sowie in der Grundaufgabe des CISO auf. Es geht darum, Cyberrisiken zu identifizieren und zu bewerten sowie entsprechende Aktivitäten daraus abzuleiten. Dieser Task an sich ist nicht einfach. Wie es auch die internen Diskussionen bei Solarwinds zeigen, kann man zu unterschiedlichen Einschätzungen kommen.
Noch viel schwieriger wird es, wenn es darum geht, diese Informationen auch an die Geschäftsführung weiterzuleiten bzw. intern zu eskalieren. Diese primäre Aufgabe der IT-Security mit der finalen Instanz des CISOs beinhaltet eine Vorfilterung und Relativierung von IT-Security-Risiken. Auf dem Papier sind Geschäftsleitungen dafür verantwortlich es der meldenden Stelle einfach zu machen, wichtige Informationen ohne Angst um die eigene Rolle vorzutragen. In der Realität sieht das leider oft anders aus. Security Verantwortliche sind in vielen Unternehmen als „Schwarzseher“ oder „Bremser“ verschrien. Eine Eigenart der IT-Security ist es, dass die Eintrittswahrscheinlichkeit eines Angriffs nur sehr vage eingeschätzt werden kann. Dies macht es gerade für Unternehmensleitungen schwer nachzuvollziehen, ob ein Gegenüber von ernsthaften Problemen oder pessimistischen Ansichten spricht. In Folge halten IT-Security-Verantwortliche oft Teile ihres Wissens zur Situation zurück aus Angst „zu negativ“ zu klingen oder nicht mehr ernst genommen zu werden, weil man sich ständig wiederholt. In einer Trend Micro-Umfrage aus dem Jahr 2021 beschrieben 80% der deutschen Security-Verantwortlichen (weltweit 82%) genau dieses Verhalten.
Vorbote für NIS 2
Aber auch eine andere Frage ist wichtig. Ein CISO wird für die Beurteilung von Cyberrisiken eingestellt. Gerade wenn über Einschätzungen gesprochen wird, muss klar sein, dass er/sie damit auch daneben liegen kann und dann unter Umständen eine falsche Entscheidung trifft. Wie weit nun ist ein Mensch für eine solche Fehleinschätzung haftbar zu machen? Eine interessante Diskussion, die in den USA nun ausgerechnet durch die Untersuchung der Börsenaufsicht in Gang gebracht wird. Und das macht den Fall auch in Deutschland interessant.
Wenn unter NIS 2 von einer Geschäftsführungshaftung gesprochen wird, dürfte es nicht sehr lange dauern, bis genau diese Frage auch hierzulande aufkommt. Der Vorteil von NIS 2 besteht darin, dass die Richtlinie einen Rahmen vorgibt, die es Unternehmen erleichtern soll, die Frage von „ausreichend oder nicht“ zu beantworten. Deshalb ist das Entscheidende, wie man mit Abweichungen von diesem Standard umgehen wird oder mit der Tatsache, wenn Unternehmen zwar behaupten, der Richtlinie zu folgen aber dies nicht der Realität entspricht. In den USA wird die SEC-Entscheidung Einfluss darauf nehmen, wie IT-Security Verantwortliche sich künftig innerhalb ihrer Unternehmen absichern werden. CISOs hierzulande kann nur empfohlen werden, diese Diskussion zu verfolgen. Sie dürfte ein Vorbote für Europas Antwort sein.
Möglichkeiten der Industrie
Das Problem, Risiken besser verständlich und einschätzbar zu machen, ist nicht erst seit der Diskussion um NIS 2 ein wichtiges Thema der IT-Security. Die Gretchenfrage ist dabei, ob Unternehmen „Sicherheit betreiben“ oder lediglich „compliant“ zu gesetzlichen oder Branchen Vorgaben sind.
Um dieser Herausforderung entgegenzutreten, wird zunehmend Wert darauf gelegt, Risiken möglichst übersichtlich und greifbar darzustellen. Beispielsweise haben übergreifende Detection & Response (XDR)-Lösungen per Definition Sensorik auf verschiedenen Ebenen im Unternehmen und können die gesammelten Informationen auch unter IT-Security-Risikoaspekten interpretieren. Dabei werden die Funde - wie z.B. fehlende Patches oder schwache Zugangskriterien - mit klassischen Angriffsmustern verglichen, so dass die Verantwortlichen einen genauen Überblick sowie eine Priorisierung dazu erhalten, welches die wichtigsten Risiken sind. Diese können je nach Lösung auch mit anderen Unternehmen verglichen werden, um die eigene Lage auch im Kontext besser zu verstehen. Bei Trend Micro läuft diese Technologie beispielsweise unter dem Begriff „Attack Surface Risk Management“.