Chief Information Security Officers: Vorwürfe gegen SolarWinds-CISO ein Weckruf

Christian Have kommentiert Bedeutung der Betrugsvorwürfe gegen CISO

[datensicherheit.de, 13.11.2023] Vor knapp zwei Jahre wurde SolarWinds Opfer eines Cyber-Angriffs – „insbesondere einer Attacke auf die Lieferkette, bei dem Endkunden das Ziel waren“, ruft Christian Have, CTO bei Logpoint, in seiner aktuellen Stellungnahme in Erinnerung und berichtet: „Nun sieht sich der ,Chief Information Security Officer’ (CISO) von SolarWinds mit Betrugsvorwürfen der U.S. Securities and Exchange Commission (SEC) konfrontiert, weil er irreführende Informationen über die Cyber-Sicherheitssituation von SolarWinds an den Markt weitergegeben hat.“ Dieser CISO hatte demnach eine robuste Cyber-Sicherheitseinrichtung dargestellt, aber als der Cyber-Angriff stattfand, sei der Aktienkurs stärker abgestürzt als vernünftigerweise zu erwarten war.

Foto: Logpoint

Christian Have: Anklage gegen SolarWinds-CISO zeigt Wirksamkeit rechtlicher Maßnahmen auf…

Anschuldigungen gegen SolarWinds sollten auch CISOs in Europa zu denken geben

Have betont: „Die Anschuldigungen gegen den CISO von SolarWinds sollten den CISOs in Europa zu denken geben. Die Behörden nehmen sie jetzt aktiv unter die Lupe. Wenn ein europäisches Unternehmen von einem Cyber-Angriff betroffen ist, der zu einem Rückgang des Aktienkurses führt, obwohl zuvor berichtet wurde, dass man sich intensiv um die Cyber-Sicherheit bemüht, warum sollte das gleiche Szenario nicht auch hier gelten?“

Die Cyber-Sicherheitsbranche setze sich seit Langem für eine herausgehobene Position innerhalb von Unternehmen ein, welche in der Tat unerlässlich sei. Dieser Fall stelle jedoch den ersten seiner Art dar, „in dem ein CISO in die oberen Ebenen des Unternehmens integriert wurde, wenn auch mit einer Abkopplung vom technischen Aspekt“. Er unterstreiche die kritische Bedeutung der technischen Realität und die gewaltige Herausforderung, die Kluft zwischen „oben“ und „unten“ zu überbrücken. Die Vorwürfe deuteten eindeutig darauf hin, dass die Mitarbeiter der Sicherheitsabteilung von SolarWinds sich der Probleme bewusst gewesen seien, was eine erhebliche Diskrepanz aufzeige.

Rolle eines CISO darf nicht zum Papiertiger degradiert werden

Diese Vorwürfe dürften Führungskräften und Vorstandsmitgliedern schlaflose Nächte bereiten, „da die SolarWinds-Führung davon ausging, dass sie ein Unternehmen mit robuster Cyber-Sicherheit betreibt“. Dies sei ein überzeugendes Beispiel dafür, warum sich die Rolle eines CISO nicht in einen „Papiertiger“ verwandeln dürfe, „der sich ausschließlich auf Notfallpläne, Managementberichte, Compliance und zielgerichtete Maßnahmen verlässt“. Es bestehe die Gefahr, dem Top-Management ungerechtfertigtes Vertrauen einzuflößen, während der Fokus von den technischen Grundlagen abgelenkt werde.

Have unterstreicht abschließend: „Es ist zwingend erforderlich, auf Sicherheitsteams zu hören, die die technische Landschaft genau kennen, und ihre Bedenken ernst zu nehmen.“ Diese Anklage gegen den CISO von SolarWinds zeige, dass rechtliche Maßnahmen in solchen Fällen wirksam seien. Sie werfen laut Have „ein Schlaglicht auf die Probleme und Herausforderungen, mit denen Sicherheitschefs, Führungskräfte, Vorstände und Sicherheitsteams konfrontiert sind“. Dieser Fall sollte in der gesamten Branche Besorgnis und Stirnrunzeln auslösen.

Weitere Informationen zum Thema:

datensicherheit.de, 22.01.2021]
Lessons learned – Lehren aus dem Solarwinds-Hack / Ein Kommentar von Christoph Volkmer, VP DACH bei Tanium

datensicherheit.de, 21.12.2020
Sicherheitsverletzung bei SolarWinds zeigt Notwendigkeit eines sicheren Passworts auf / Ian Pitt empfiehlt Unternehmen jeder Größe Einführung einer unternehmensweiten Passwort-Managementlösung