Anklage gegen SolarWinds-CISO: Das sagen CISOs und Experten aus Deutschland

Foto: William Potter – shutterstock.com

Das Softwareunternehmen SolarWinds wurde im Jahr 2020 von einem massiven Cyberangriff getroffen, der unter dem Namen “Sunburst” bekannt wurde. Infolgedessen drangen die Hacker damals unter anderem in Systeme mehrerer US-Regierungsbehörden ein. Nun hat der Fall ein juristisches Nachspiel. Die Security and Exchange Commission (SEC) wirft der US-Firma vor, Investoren in die Irre geführt zu haben, indem sie “bekannte” Cyberrisiken verschwiegen habe. Die Klage richtet sich dabei auch gegen den CISO (Chief Information Security Officer) des Unternehmens, Timothy Brown.

Folgen der CISO-Anklage

Wirkt sich der SolarWinds-Fall auch auf andere Länder und generell auf die Rolle des CISOs aus? Der Cybersecurity-Experte Marlon Hübner sieht durch die US-Anklage keine erhöhte Haftung für CISOs in Deutschland. “Herr Brown wird nicht angeklagt, weil er der CISO eines gehackten Unternehmens ist, sondern weil er Investoren getäuscht haben soll. Deshalb lautet die Anklage auch auf Betrug”, betont Hübner. “Ein Chief Information Security Officer fungiert als Berater und solange er nicht grob fahrlässig handelt oder nachweislich in betrügerischer Absicht handelt, hat er nichts zu befürchten.”

Nach Meinung von Richard Werner, Business Consultant bei Trend Micro stellt sich die Sachlage in Bezug auf die SolarWinds-Anklage ziemlich einfach dar: “Wenn die Klageschrift stimmt, dann wurden Warnungen aus der IT-Sicherheit nicht ernst genommen. Statt Gegenmaßnahmen wurde in entsprechenden Darstellungen nach außen gelogen und die eigenen Probleme ignoriert.” Er fügt hinzu: “Den Aktionären ist dadurch ein erheblicher Schaden entstanden, für den das Unternehmen haften soll. Der CISO von SolarWinds war in diesem Zusammenhang sowohl für die interne Kommunikation als auch für die Außendarstellung verantwortlich und steht somit als Beschuldigter persönlich auf der Anklagebank.”

Iskro Mollov, Group CISO bei GEA ergänzt: “Sollten Risiken im Rahmen des Enterprise Risiko Managements nicht gemeldet oder absichtlich zu niedrig gemeldet werden, hat die SEC natürlich recht, dass die zuständigen Manager haftbar sind.” Seiner Meinung nach zählen hier auch keine Begründungen, wie zum Beispiel, dass viele CISOs nicht unter D&O-Versicherungen abgesichert sind oder nicht hoch genug in der Unternehmenshierarchie aufgehängt sind. “Hierzu müssen sich die Unternehmen darum kümmern, dass die CISO-Rolle aufgewertet wird, die Haftung ist auch jetzt aufgrund der Aufgaben gegeben.”

Ralf Kleinfeld, CISO bei Otto hält es zwar für richtig, dass Unternehmen für schwerwiegende Fehler mit Auswirkungen auf Dritte haftbar gemacht werden können. Allerdings müsse man hier differenzieren: “Meiner Einschätzung nach sollten Personen haftbar gemacht werden können, die im Außenverhältnis vertretungsberechtigt sind. Ob das auf den CISO von SolarWinds zutrifft, kann ich nicht einschätzen. CISOs, die hingegen im Angestelltenverhältnis agieren, handeln auf Weisung und sollten bei schwerwiegendem Fehlverhalten wie jeder andere Angestellte im Innenverhältnis verantwortlich zeichnen.”

Ron Kneffel, Vorstandsvorsitzender der CISO Alliance stimmt dem zu: “Da wir CISOs auf Weisung handeln und an die verantwortliche Stelle berichten, kann im Außenverhältnis hier nur die verantwortliche Stelle haften. Im Innenverhältnis sollte bei grober Fahrlässigkeit oder Vorsätzlichkeit allerdings der CISO für sein schuldhaftes Verhalten haftbar gemacht werden können.”

Das gelte auch für externe CISOs, die als Dienstleister unterstützen. “Diese handeln auch nur auf Weisung des Kunden (im Rahmen Ihres DL-Vertrages – Leistungsschein) – und können bei grober Fahrlässigkeit oder Vorsätzlichkeit – auch nur im Innenverhältnis (also gegenüber dem Kunden) in Haftung genommen werden”, stellt Kneffel fest. Unabhängig davon sollten Befugnisse, Leistungen und Haftungsfragen in einem Vertrag festgehalten und von beiden Seiten unterzeichnet werden.

Lesetipp: 11 Fakten über den Job eines CISO

Laut Werner von Trend Micro, ist es die Aufgabe eines CISOs Cyberrisiken zu identifizieren und zu bewerten sowie entsprechende Aktivitäten daraus abzuleiten. “Dieser Task an sich ist nicht einfach. Wie es auch die internen Diskussionen bei SolarWinds zeigen, kann man zu unterschiedlichen Einschätzungen kommen.”

Noch viel schwieriger sei es, wenn es darum gehe, diese Informationen auch an die Geschäftsführung weiterzuleiten beziehungsweise intern zu eskalieren, ergänzt Werner. “Auf dem Papier sind Geschäftsleitungen dafür verantwortlich, es der meldenden Stelle einfach zu machen, wichtige Informationen ohne Angst um die eigene Rolle vorzutragen. In der Realität sieht das leider oft anders aus”, räumt der Experte ein. Zudem würden IT-Security-Verantwortliche in vielen Unternehmen oft als “Schwarzseher” oder “Bremser” gesehen.

Der Trend-Micro-Experte führt aus: “Eine Eigenart der IT-Security ist es, dass die Eintrittswahrscheinlichkeit eines Angriffs nur sehr vage eingeschätzt werden kann. Dies macht es gerade für Unternehmensleitungen schwer nachzuvollziehen, ob ein Gegenüber von ernsthaften Problemen oder pessimistischen Ansichten spricht.” In der Folge würden IT-Sicherheitschefs oft Teile ihres Wissens zur Situation zurückhalten – “aus Angst ‘zu negativ’ zu klingen oder nicht mehr ernst genommen zu werden, weil man sich ständig wiederholt.”

Aus Sicht des GEA-CISOs Mollov sind interne Machtverhältnisse jedoch kein Argument: “In solchen Situationen haben wir sehr oft entweder unpassende Besetzungen für die Rolle oder organisatorische Probleme in den Unternehmen. Wenn der CISO beispielsweise an den CIO berichtet und somit nur eine Alibi-Funktion, beziehungsweise nur einen Sündenbock darstellt.” Auch hierzu müssten sich die Unternehmen darum kümmern, dass die CISO-Rolle organisatorisch richtig aufgehängt und besetzt ist.

Nach Auffassung von Holger Bojahr-May, CISO bei TWL kann die Haftungsfrage nicht pauschal für jedes Unternehmen und jeden CISO beantwortet werden. “Es kommt darauf an, auf welche Handlungs- und Entscheidungskompetenz und welche Verantwortung die Rolle des CISOs in dem jeweiligen Unternehmen zugeschnitten wurde. Wenn der SolarWinds CISO die Delegationsverantwortung hatte, um die Risiken zu mindern oder sogar zu verhindern, ist die Haftung an dieser Stelle ein Thema.” Andernfalls sieht der TWL-IT-Sicherheitsleiter das Haftungsthema im Hinblick auf Organisationsversagen bei der Geschäftsführung aufgehängt.