Am Boden, aber nicht ausgeschieden: Bundesgericht schränkt Durchsetzungsbefugnisse der SEC im Bereich Cybersicherheit ein

In einer scharfen Zurückweisung der versuchten Durchsetzung von Cybersicherheitsvorschriften gegen ein börsennotiertes Unternehmen hat ein Bundesrichter kürzlich die meisten Anklagen der US-Börsenaufsichtsbehörde SEC gegen die SolarWinds Corporation und den Chief Information Security Officer (CISO) des Unternehmens abgewiesen. Das Urteil ist ein bemerkenswerter Rückschlag für die SEC, aber börsennotierte Unternehmen und andere regulierte Organisationen sollten weiterhin mit einer genauen Prüfung durch die SEC in Bezug auf Cybersicherheit rechnen.

Der Fall SolarWinds

Im Jahr 2023 klagte die SEC SolarWinds und seinen CISO wegen Betrugs und Versäumnissen bei der internen Kontrolle im Zusammenhang mit angeblich bekannten Cybersicherheitslücken an. Nach Angaben der SEC haben die Beklagten die Cybersicherheitspraktiken des Unternehmens überbewertet und die Cybersicherheitsrisiken des Unternehmens unterschätzt. Die Angeklagten sollen von bestimmten Mängeln im Cybersicherheitsprogramm des Unternehmens gewusst haben, und diese Mängel wurden im Dezember 2020 aufgedeckt, als das Unternehmen bekannt gab, dass es Opfer eines massiven Cyberangriffs geworden war, der sich über fast zwei Jahre erstreckte. Nach Bekanntwerden des Angriffs brach die Aktie von SolarWinds drastisch ein.

Bundesgericht verwirft Klage der SEC

Im vergangenen Monat wies der für den Fall SolarWinds zuständige Bundesrichter die meisten Klagen der SEC gegen das Unternehmen und dessen CISO ab. Vor allem lehnte das Gericht die Bemühungen der SEC ab, die internen Rechnungslegungskontrollen des Securities Exchange Act von 1934 zur Unterstützung einer Durchsetzungsmaßnahme gegen die Cybersicherheitskontrollen eines börsennotierten Unternehmens heranzuziehen.

Die SEC hatte behauptet, dass SolarWinds aufgrund seines mangelhaften Cybersicherheitsprogramms es versäumt habe, „ein System interner Rechnungslegungskontrollen zu entwickeln und aufrechtzuerhalten”. Dies war der erste Fall, in dem die SEC eine Klage wegen mangelnder Buchhaltungskontrollen aufgrund von Cybersicherheitsmängeln des Beklagten erhoben hatte. Das Gericht stellte fest, dass sich der Begriff „System interner Buchhaltungskontrollen” auf die Finanzbuchhaltung eines Unternehmens bezieht und nicht dessen Cybersicherheitssysteme umfasst. Neben dieser Klage wies das Gericht auch mehrere andere Klagen ab, sodass nur noch wenige übrig blieben.

Wichtigste Erkenntnisse

Die SEC strebt zunehmend eine führende Rolle im Bereich Cybersicherheit an. Vor einigen Jahren veröffentlichte die Behörde Leitlinien zu den Offenlegungspflichten börsennotierter Unternehmen im Zusammenhang mit Cybersicherheitsvorfällen. Und erst im vergangenen Jahr erließ die SEC eine Vorschrift, die die zeitnahe Offenlegung wesentlicher Cybersicherheitsvorfälle und die jährliche Offenlegung des Risikomanagements, der Strategie und der Governance im Bereich Cybersicherheit vorschreibt.

Die SEC hat außerdem Vorschriften zu Cybersicherheitsrichtlinien und -verfahren für Broker-Dealer, Investmentgesellschaften, registrierte Anlageberater und andere betroffene Institutionen erlassen. Unser Team hat hier über diese Richtlinien und Verfahren berichtet.

Darüber hinaus hat die SEC vor der Entscheidung im Fall SolarWinds (und noch im Juni 2024) Durchsetzungsmaßnahmen gegen andere börsennotierte Unternehmen unter Anwendung derselben Theorie der internen Rechnungslegungskontrolle beigelegt, die der Richter im Fall SolarWinds abgelehnt hatte.

Vor diesem Hintergrund sollten Unternehmen die folgenden Schlussfolgerungen berücksichtigen:

1. Obwohl das SolarWinds-Urteil eine schmerzhafte Niederlage für die SEC darstellt, wird die Behörde ihre Klage gegen das Unternehmen und dessen CISO fortsetzen, wenn auch mit eingeschränkter Begründung.
2. Die SEC konzentriert sich weiterhin stark auf die Durchsetzung und Überwachung der Cybersicherheit bei börsennotierten Unternehmen, beispielsweise durch die Verabschiedung der Vorschrift, die die Offenlegung wesentlicher Cybersicherheitsvorfälle vorschreibt. Bemerkenswert ist, dass diese Vorschrift im Fall SolarWinds keine Rolle spielte, da das fragliche Verhalten vor dem Inkrafttreten der Vorschrift stattfand. Künftig sollten börsennotierte Unternehmen mit ihren Rechtsberatern zusammenarbeiten, um die Offenlegungsvorschrift der SEC für börsennotierte Unternehmen einzuhalten.
3. Broker-Dealer, Investmentgesellschaften, registrierte Anlageberater und andere betroffene Institutionen müssen mit weiteren Regulierungs- und Durchsetzungsmaßnahmen der SEC im Bereich Cybersicherheit rechnen. Die SEC hat deutlich gemacht, dass sie Cybersicherheit als ein wichtiges Thema für diese Unternehmen ansieht.
4. Daher sollten Unternehmen und Firmen, die der SEC-Regulierung unterliegen, weiterhin in Cybersicherheitsprogramme investieren, Cybersicherheitsrichtlinien und -verfahren (einschließlich Notfallplänen) entwickeln und potenzielle Cybersicherheitsvorfälle umgehend untersuchen und darauf reagieren. Die Zusammenarbeit mit vertrauenswürdigen Rechtsberatern bei diesen Schritten kann dazu beitragen, das Cybersicherheitsprogramm des Unternehmens zu stärken und Risiken zu mindern.