Zwei Gerichtsurteile haben bleibende Auswirkungen auf die Cybersecurity

Ein US-Bezirksrichter hat die meisten Anklagen der US-amerikanischen Börsenaufsichtsbehörde (SEC) gegen SolarWinds und CISO Tim Brown im Zuge des inzwischen berüchtigten Cyberangriffs abgewiesen, der dazu führte, dass Malware in eine IT-Service-Management-Plattform (ITSM) von SolarWinds eingeschleust wurde, die von Unternehmen, Regierungsbehörden und IT-Dienstleistern häufig genutzt wird.

Im Oktober 2023 erhob die SEC Anklage gegen SolarWinds und Brown und warf ihnen vor, zwischen 2017 und 2021 Investoren über die Stärke der Cybersecurity-Maßnahmen von SolarWinds getäuscht und Risiken heruntergespielt oder verschwiegen zu haben. US-Bezirksrichter Paul Engelmayer in Manhattan erklärte jedoch in einer 107-seitigen Entscheidung, dass die Anklagepunkte bezüglich der Offenlegungen nach dem Angriff keine plausiblen, klagbaren Mängel in der Berichterstattung des Unternehmens über den Cybersecurity-Angriff darstellen. Sie beruhen unzulässigerweise auf im Nachhinein gewonnenen Erkenntnissen und Spekulationen.“

Das bedeutet nicht, dass die Angeklagten bereits frei und unbelastet sind. Engelmayer schrieb, dass die SEC mit den Anklagen im Zusammenhang mit der Security-Aussage von SolarWinds aus dem Jahr 2017 fortfahren könne, in der die Behauptungen über starke Cybersecurity-Richtlinien und -Praktiken von der SEC als 'wesentlich irreführend und falsch' angesehen werden. Nach den Schriftsätzen zu urteilen, hat das Unternehmen nicht einmal die grundlegenden Anforderungen an die Cyber-Gesundheit eines Unternehmens erfüllt“, schrieb der Richter. Die SEC hat sich noch nicht zu dem Urteil geäußert, hat aber nun zwei Wochen Zeit, auf sich mit den verbleibenden Anklagepunkten zu beschäftigen, die SolarWinds weiterhin bestreiten will.

Gleichzeitig könnten andere Gerichtsverfahren die Fähigkeit der SEC beeinträchtigen, Vorschriften zu „interpretieren“, die nicht ausdrücklich vom Kongress verabschiedet wurden. Der Oberste Gerichtshof hat die Befugnis aller Bundesbehörden zur Auslegung der von ihnen verwalteten Gesetze eingeschränkt und entschieden, dass sich die unteren Gerichte auf ihre eigene Auslegung der Gesetze stützen sollten.

Konkret hob das Gericht ein richtungsweisendes Urteil aus dem Jahr 1984 im Fall Chevron gegen den Natural Resources Defense Council auf. Dieses Urteil schuf einen Präzedenzfall, die sogenannte Chevron-Doktrin. Diese besagt, dass ein Gericht die Auslegung eines Gesetzes durch eine Behörde bestätigen muss, wenn sich der Kongress nicht direkt mit der Frage befasst hat, um die es in dem Streit geht, sofern diese vernünftig ist. Doch in einer 35-seitigen Entscheidung stellte das Gericht nun fest, dass diese Doktrin „grundlegend falsch“ sei. Diese Entscheidung wird voraussichtlich weitreichende Auswirkungen haben, die sich nicht nur auf die Aktivitäten der SEC, sondern auf nahezu alle jemals erlassenen Compliance-Vorschriften auswirken.

Es könnte einige Jahre dauern, bis alle diese Gerichtsverfahren abgeschlossen sind, aber mangels eines spezifischen Mandats des Kongresses muss jedes Gericht möglicherweise die Anwendung eines jeden Gesetzes auslegen, mit all den sich unweigerlich daraus ergebenden Berufungsverfahren.

Offensichtlich würden die meisten Cybersecurity-Fachleute es vorziehen, sich nicht vor Gericht verteidigen zu müssen. Keines dieser Urteile beseitigt diese Aussicht. Sie verändern jedoch die Art der potenziellen Gefahr. Sollte das Urteil im Fall SolarWinds Bestand haben, müssen die Beweise für das Fehlverhalten höchstwahrscheinlich noch viel mehr Einzelheiten umfassen. Das Chevron-Urteil bedeutet indes, dass ein Gericht und nicht eine Bundesbehörde entscheidet, ob eine Anschuldigung tatsächlich gerechtfertigt ist.

In jedem Fall müssen Cybersecurity-Experten sicherstellen, dass sie sich ihrer gesetzlichen Rechte und Pflichten bewusst sind, bevor sie ein Dokument unterschreiben, das Aussagen über den aktuellen Stand der Cybersecurity in ihrem Unternehmen enthält.