SolarWinds wurde vor knapp zwei Jahren Opfer eines Cyberangriffs, insbesondere einer Attacke auf die Lieferkette, bei dem Endkunden das Ziel waren. Nun sieht sich der Chief Information Security Officer (CISO) von SolarWinds mit Betrugsvorwürfen der U.S. Securities and Exchange Commission (SEC) konfrontiert, weil er irreführende Informationen über die Cybersicherheitssituation von SolarWinds an den Markt weitergegeben hat.
Ein Kommentar von Christian Have, CTO bei Logpoint.
Die Anschuldigungen gegen den CISO von SolarWinds sollten den CISOs in Europa zu denken geben. Die Behörden nehmen sie jetzt aktiv unter die Lupe. Wenn ein europäisches Unternehmen von einem Cyberangriff betroffen ist, der zu einem Rückgang des Aktienkurses führt, obwohl zuvor berichtet wurde, dass man sich intensiv um die Cybersicherheit bemüht, warum sollte das gleiche Szenario nicht auch hier gelten?
Die Cybersicherheitsbranche setzt sich seit langem für eine herausgehobene Position innerhalb von Unternehmen ein, die in der Tat unerlässlich ist. Dieser Fall stellt jedoch den ersten Fall dar, in dem ein CISO in die oberen Ebenen des Unternehmens integriert wurde, wenn auch mit einer Abkopplung vom technischen Aspekt.
Er unterstreicht die kritische Bedeutung der technischen Realität und die gewaltige Herausforderung, die Kluft zwischen oben und unten zu überbrücken. Die Vorwürfe deuten eindeutig darauf hin, dass die Mitarbeiter der Sicherheitsabteilung von SolarWinds sich der Probleme bewusst waren, was eine erhebliche Diskrepanz aufzeigt.
Diese Vorwürfe dürften Führungskräften und Vorstandsmitgliedern schlaflose Nächte bereiten, da die SolarWinds-Führung davon ausging, dass sie ein Unternehmen mit robuster Cybersicherheit betreibt. Dies ist ein überzeugendes Beispiel dafür, warum sich die Rolle eines CISO nicht in einen Papiertiger verwandeln darf, der sich ausschließlich auf Notfallpläne, Managementberichte, Compliance und zielgerichtete Maßnahmen verlässt. Es besteht die Gefahr, dem Top-Management ungerechtfertigtes Vertrauen einzuflößen, während der Fokus von den technischen Grundlagen abgelenkt wird.
Es ist zwingend erforderlich, auf Sicherheitsteams zu hören, die die technische Landschaft genau kennen, und ihre Bedenken ernst zu nehmen. Die Anklage gegen den CISO von SolarWinds zeigt, dass rechtliche Maßnahmen in solchen Fällen wirksam sind. Sie werfen ein Schlaglicht auf die Probleme und Herausforderungen, mit denen Sicherheitschefs, Führungskräfte, Vorstände und Sicherheitsteams konfrontiert sind. Dieser Fall sollte in der gesamten Branche Besorgnis und Stirnrunzeln auslösen.