Meldepflicht

US-Börsenaufsicht verklagt CISO

, Trend Micro

US-Börsenaufsicht verklagt CISO

Von Richard Werner, Business Consultant bei Trend Micro

Die US-Börsenaufsicht SEC (Security and Exchange Comission) hat Klage gegen den CISO des Unternehmens SolarWinds erhoben und damit für ein mittelstarkes Erdbeben in IT-Security-Kreisen gesorgt. Die Sachlage scheint dabei relativ klar. Das Echo der Industrie ist dagegen bemerkenswert und rein theoretisch ist eine solche Klage auch in Deutschland möglich. Und damit hat dieser Fall auch hier seine Relevanz.

Relevanz in Deutschland

Die Verantwortung in einem Unternehmen trägt die Geschäftsführung. Das betrifft auch Schäden, die durch einen Cyberangriff entstehen, sowie die Korrektheit von geschäftsbezogenen Informationen wie Bilanz und immer wichtiger auch Cybersicherheit. Über letztere wird zunehmend sowohl von Geschäftspartnern, Versicherern und in naher Zukunft mit NIS2 auch vom Staat, Auskunft angefordert.

Richard Werner, Business Consultant bei Trend Micro, Quelle: Trend Micro

Diese Verantwortung kann nicht delegiert werden. Damit hat jede Geschäftsleitung die Pflicht, adäquate Informationen zur eigenen Lage einzuholen und darzustellen. Dafür greift sie in der Regel auf Fachkräfte zurück. Die Position des CISOs ist dabei eine Stabsstelle in größeren Unternehmen, die als Bindeglied zwischen Unternehmensleitung und IT-Security dienen soll. Sie kann, muss aber nicht, Teil der Geschäftsführung sein. Was hier verhandelt wird, ist tatsächlich die Frage, ob eine Geschäftsleitung für Falschaussagen zur eigenen Cybersicherheit verurteilt werden kann. Aber auch, welche Rolle dabei die interne IT-Security spielt.

Auf dem Papier sind Geschäftsleitungen dafür verantwortlich es der meldenden Stelle einfach zu machen, wichtige Informationen ohne Angst um die eigene Rolle vorzutragen. In der Realität sieht das leider oft anders aus. Security-Verantwortliche sind in vielen Unternehmen als „Schwarzseher“ oder „Bremser“ verschrien. Eine Eigenart der IT-Security ist es, dass die Eintrittswahrscheinlichkeit eines Angriffs nur sehr vage eingeschätzt werden kann. Dies macht es gerade für Unternehmensleitungen schwer nachzuvollziehen, ob ein Gegenüber von ernsthaften Problemen oder pessimistischen Ansichten spricht. In Folge halten IT-Security-Verantwortliche oft Teile ihres Wissens zur Situation zurück aus Angst „zu negativ“ zu klingen oder nicht mehr ernst genommen zu werden, weil man sich ständig wiederholt.

Richard Werner, Business Consultant bei Trend Micro

Der Fall nüchtern betrachtet

Eigentlich stellt sich alles ziemlich einfach dar. Wenn die Klageschrift stimmt (und nur darüber sprechen wir), dann wurden Warnungen aus der IT-Sicherheit nicht ernst genommen. Statt Gegenmaßnahmen wurde in entsprechenden Darstellungen nach außen gelogen und die eigenen Probleme ignoriert. Den Aktionären ist dadurch ein erheblicher Schaden entstanden, für den das Unternehmen haften soll. Der CISO von SolarWinds war in diesem Zusammenhang sowohl für die interne Kommunikation als auch für die Außendarstellung verantwortlich und steht somit sogar als Beschuldigter persönlich auf der Anklagebank.

Unter der Haube

Spannend sind die Reaktionen auf diese Anklage. Sie zeigen das eigentliche Problem im Machtungleichgewicht sowie in der Grundaufgabe des CISO auf. Es geht darum, Cyberrisiken zu identifizieren und zu bewerten sowie entsprechende Aktivitäten daraus abzuleiten. Dieser Task an sich ist nicht einfach. Wie es auch die internen Diskussionen bei Solarwinds zeigen, kann man zu unterschiedlichen Einschätzungen kommen.

Noch viel schwieriger wird es, wenn es darum geht, diese Informationen auch an die Geschäftsführung weiterzuleiten bzw. intern zu eskalieren. Diese primäre Aufgabe der IT-Security mit der finalen Instanz des CISOs beinhaltet eine Vorfilterung und Relativierung von IT-Security-Risiken. Auf dem Papier sind Geschäftsleitungen dafür verantwortlich es der meldenden Stelle einfach zu machen, wichtige Informationen ohne Angst um die eigene Rolle vorzutragen. In der Realität sieht das leider oft anders aus. Security-Verantwortliche sind in vielen Unternehmen als „Schwarzseher“ oder „Bremser“ verschrien. Eine Eigenart der IT-Security ist es, dass die Eintrittswahrscheinlichkeit eines Angriffs nur sehr vage eingeschätzt werden kann. Dies macht es gerade für Unternehmensleitungen schwer nachzuvollziehen, ob ein Gegenüber von ernsthaften Problemen oder pessimistischen Ansichten spricht. In Folge halten IT-Security-Verantwortliche oft Teile ihres Wissens zur Situation zurück, aus Angst „zu negativ“ zu klingen oder nicht mehr ernst genommen zu werden, weil man sich ständig wiederholt. In einer Trend Micro-Umfrage aus dem Jahr 2021 beschrieben 80 Prozent der deutschen Security-Verantwortlichen (weltweit 82 Prozent) genau dieses Verhalten.