Aktuelles, Branche - geschrieben von dp am Montag, November 13, 2023 15:04 - noch keine Kommentare
Chief Information Security Officers: Vorwürfe gegen SolarWinds-CISO ein Weckruf
Christian Have kommentiert Bedeutung der Betrugsvorwürfe gegen CISO
[datensicherheit.de, 13.11.2023] Vor knapp zwei Jahre wurde SolarWinds Opfer eines Cyber-Angriffs – „insbesondere einer Attacke auf die Lieferkette, bei dem Endkunden das Ziel waren“, ruft Christian Have, CTO bei Logpoint, in seiner aktuellen Stellungnahme in Erinnerung und berichtet: „Nun sieht sich der ,Chief Information Security Officer’ (CISO) von SolarWinds mit Betrugsvorwürfen der U.S. Securities and Exchange Commission (SEC) konfrontiert, weil er irreführende Informationen über die Cyber-Sicherheitssituation von SolarWinds an den Markt weitergegeben hat.“ Dieser CISO hatte demnach eine robuste Cyber-Sicherheitseinrichtung dargestellt, aber als der Cyber-Angriff stattfand, sei der Aktienkurs stärker abgestürzt als vernünftigerweise zu erwarten war.
![logpoint-christian-have](https://www.datensicherheit.de/wp-content/uploads/logpoint-christian-have-600-404.jpg)
Foto: Logpoint
Christian Have: Anklage gegen SolarWinds-CISO zeigt Wirksamkeit rechtlicher Maßnahmen auf…
Anschuldigungen gegen SolarWinds sollten auch CISOs in Europa zu denken geben
Have betont: „Die Anschuldigungen gegen den CISO von SolarWinds sollten den CISOs in Europa zu denken geben. Die Behörden nehmen sie jetzt aktiv unter die Lupe. Wenn ein europäisches Unternehmen von einem Cyber-Angriff betroffen ist, der zu einem Rückgang des Aktienkurses führt, obwohl zuvor berichtet wurde, dass man sich intensiv um die Cyber-Sicherheit bemüht, warum sollte das gleiche Szenario nicht auch hier gelten?“
Die Cyber-Sicherheitsbranche setze sich seit Langem für eine herausgehobene Position innerhalb von Unternehmen ein, welche in der Tat unerlässlich sei. Dieser Fall stelle jedoch den ersten seiner Art dar, „in dem ein CISO in die oberen Ebenen des Unternehmens integriert wurde, wenn auch mit einer Abkopplung vom technischen Aspekt“. Er unterstreiche die kritische Bedeutung der technischen Realität und die gewaltige Herausforderung, die Kluft zwischen „oben“ und „unten“ zu überbrücken. Die Vorwürfe deuteten eindeutig darauf hin, dass die Mitarbeiter der Sicherheitsabteilung von SolarWinds sich der Probleme bewusst gewesen seien, was eine erhebliche Diskrepanz aufzeige.
Rolle eines CISO darf nicht zum Papiertiger degradiert werden
Diese Vorwürfe dürften Führungskräften und Vorstandsmitgliedern schlaflose Nächte bereiten, „da die SolarWinds-Führung davon ausging, dass sie ein Unternehmen mit robuster Cyber-Sicherheit betreibt“. Dies sei ein überzeugendes Beispiel dafür, warum sich die Rolle eines CISO nicht in einen „Papiertiger“ verwandeln dürfe, „der sich ausschließlich auf Notfallpläne, Managementberichte, Compliance und zielgerichtete Maßnahmen verlässt“. Es bestehe die Gefahr, dem Top-Management ungerechtfertigtes Vertrauen einzuflößen, während der Fokus von den technischen Grundlagen abgelenkt werde.
Have unterstreicht abschließend: „Es ist zwingend erforderlich, auf Sicherheitsteams zu hören, die die technische Landschaft genau kennen, und ihre Bedenken ernst zu nehmen.“ Diese Anklage gegen den CISO von SolarWinds zeige, dass rechtliche Maßnahmen in solchen Fällen wirksam seien. Sie werfen laut Have „ein Schlaglicht auf die Probleme und Herausforderungen, mit denen Sicherheitschefs, Führungskräfte, Vorstände und Sicherheitsteams konfrontiert sind“. Dieser Fall sollte in der gesamten Branche Besorgnis und Stirnrunzeln auslösen.
Weitere Informationen zum Thema:
datensicherheit.de, 22.01.2021]
Lessons learned – Lehren aus dem Solarwinds-Hack / Ein Kommentar von Christoph Volkmer, VP DACH bei Tanium
datensicherheit.de, 21.12.2020
Sicherheitsverletzung bei SolarWinds zeigt Notwendigkeit eines sicheren Passworts auf / Ian Pitt empfiehlt Unternehmen jeder Größe Einführung einer unternehmensweiten Passwort-Managementlösung
Aktuelles, Experten, Veranstaltungen - Jul 27, 2024 0:58 - noch keine Kommentare
ULD-Sommerakademie 2024 in Kiel: Digitale Datenräume und Archive im Fokus
weitere Beiträge in Experten
- NIS-2-Umsetzungsfrist bis 18. Oktober 2024: eco warnt vor unzureichender Vorbereitung deutscher Unternehmen
- KI-Verordnung tritt am 1. August 2024 in Kraft
- Cyber-Resilienz – potenzielle Bedrohungen proaktiv erkennen und IT-Notfallplan vorbereiten
- CrowdStrike: Ein IT-Update und es wackelt die ganze Welt
- IT-Sicherheitsupdate sorgt für Chaos: eco kommentiert weltweite technische Probleme vom 19. Juli 2024
Aktuelles, Branche, Veranstaltungen - Jul 27, 2024 0:46 - noch keine Kommentare
Schutz persönlicher Daten: SOPHOS lädt zu Web-Seminar mit der Ethischen Hackerin Rachel Tobac ein
weitere Beiträge in Branche
- Job-Betrug in Sozialen Medien: Tipps zum Erkennen auf den ersten Blick
- Robuste Sicherheitspraktiken notwendig: CrowdStrike-Vorfall hat IT-Schwachstellen enthüllt
- Warnung von Kaspersky: Botnets bereits ab 99 US-Dollar im Darknet erhältlich
- Melissa Bischoping benennt Lehren aus dem CrowdStrike-Ausfall
- Crowdstrike-Vorfall als Weckruf für ganzheitliche digitale Sicherheit
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren