SolarWinds: SEC zieht Anklage gegen CISO zurück

Die US-Börsenaufsicht beendet ihren spektakulären Rechtsstreit gegen SolarWinds und dessen Sicherheitschef – ein Paukenschlag für die gesamte Branche. Gleichzeitig krempelt die FCC ihre Cybersicherheitsstrategie um, während die EU ihre Macht im Schwachstellenmanagement ausbaut.

Ein Donnerstagabend im November, der die Cybersecurity-Welt aufatmen lässt: Die SEC und SolarWinds reichten gemeinsam den Antrag ein, alle verbliebenen Betrugsvorwürfe gegen das Unternehmen und CISO Timothy Brown endgültig fallenzulassen. Nach zwei Jahren juristischen Grabenkampfs endet damit eine Ära der Verunsicherung, die Sicherheitsverantwortliche weltweit in Alarmbereitschaft versetzt hatte.

Parallel dazu verkündete die FCC eine 180-Grad-Wende in ihrer Regulierungspolitik – und die EU-Cybersicherheitsagentur ENISA erklomm eine neue Machtstufe im globalen Schwachstellenmanagement. Was bedeutet diese Gemengelage für deutsche Unternehmen?

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind – und was Sie sofort tun können. Unser kostenloses E‑Book “Cyber Security Awareness Trends” fasst aktuelle Bedrohungen (Supply‑Chain‑Angriffe, Botnets, Mobile‑Spyware) und konkret umsetzbare Maßnahmen für KMU und IT‑Verantwortliche zusammen. Inklusive Checklisten für Incident Response, Priorisierung von Patches und Schulungsbausteinen für Mitarbeiter. Schützen Sie Ihre Infrastruktur bevor es zu spät ist. Jetzt kostenlosen Cyber-Security-Guide herunterladen

Die ursprünglich 2023 erhobene Anklage hatte SolarWinds vorgeworfen, Investoren über die tatsächliche Cybersicherheitslage getäuscht zu haben – und das vor dem verheerenden SUNBURST-Angriff, der Tausende Unternehmen kompromittierte. Doch bereits im Juli 2024 hatte Bundesrichter Paul Engelmayer den Großteil der Vorwürfe abgewiesen, darunter Anschuldigungen zu internen Kontrollsystemen und Kommunikation nach dem Vorfall.

„Wir haben mit Überzeugung gekämpft und argumentiert, dass unser Team angemessen gehandelt hat”, erklärte ein SolarWinds-Sprecher. Das Unternehmen wertet das Ergebnis als „willkommene Bestätigung” und hofft, den „Abschreckungseffekt” zu beenden, den die Klage auf CISOs weltweit ausübte.

Die Dimension wird klar: Die Klage wurde „mit Präjudiz” abgewiesen – juristisch bedeutet das, sie kann nicht erneut eingereicht werden. Für Compliance-Verantwortliche und Risikomanager setzt dies einen wegweisenden Präzedenzfall. Die SEC bleibt zwar wachsam bei der Offenlegungspflicht, doch die Hürde für Betrugsnachweise gegen einzelne Sicherheitsverantwortliche liegt offenbar höher als befürchtet.

Könnte dies das Ende überzogener persönlicher Haftungsrisiken für CISOs markieren? Viele Branchenexperten atmeten jedenfalls hörbar auf – schließlich drohte die Klage, qualifizierte Fachkräfte von Führungspositionen abzuschrecken.

FCC rudert zurück, verschärft anderswo

Nur einen Tag später, am heutigen Freitag, vollzog die US-Kommunikationsbehörde eine bemerkenswerte Kehrtwende. Die FCC widerruft eine frühere Grundsatzentscheidung zum Communications Assistance for Law Enforcement Act (CALEA) und zieht die dazugehörige Regelungsankündigung zurück. Begründung: „fehlerhafte rechtliche Argumentation” in den ursprünglichen Vorschlägen.

Die Behörde räumt ein, dass die Industrie zu Recht kritisiert hatte: Die ursprüngliche Auslegung hätte zu „schwachen Cybersicherheitsanforderungen” geführt, die mit modernen Anforderungen an Netzwerkresillienz unvereinbar sind. Statt starrer CALEA-Interpretationen setzt die FCC nun auf dynamischere Strategien zur Bedrohungsabwehr – besonders im Hinblick auf ausländische Gegner.

Lieferketten im Fokus: Gleichzeitig betont die FCC ihr Festhalten an den im Mai 2025 verabschiedeten „Bad Labs”-Regelungen. Diese verbieten Zertifizierungsstellen und Testlaboren mit Verbindungen zu „gegnerischen Staaten” die Teilnahme am US-Gerätezulassungsprogramm.

„Ausländische Akteure haben wiederholt Cyberangriffe auf amerikanische Kommunikationsnetzwerke gestartet”, heißt es in der heutigen FCC-Erklärung. Die Behörde will künftig die Integrität der Lieferkette und den Ausschluss nicht vertrauenswürdiger Anbieter priorisieren – statt pauschaler Vorschriften für heimische Telekommunikationsbetreiber.

EU übernimmt Schwachstellen-Kommando

Während die USA ihre Strategie justieren, baut Brüssel seine Cybersicherheits-Infrastruktur aus. Die EU-Agentur für Cybersicherheit ENISA erreichte heute einen bedeutenden Meilenstein: Sie wurde offiziell zur „Root” des Common Vulnerabilities and Exposures (CVE)-Programms ernannt.

Diese Designation ermächtigt ENISA, CVE-Identifikationsnummern zu vergeben und Schwachstellenoffenlegungen in der gesamten Europäischen Union zu verwalten – faktisch wird die Behörde zum zentralen Knotenpunkt des Schwachstellenmanagements im EU-Raum. Bislang agierte ENISA seit Januar 2024 als CVE Numbering Authority (CNA), doch der „Root”-Status erweitert die Zuständigkeit erheblich.

Konsequenzen für Unternehmen: Für deutsche Firmen mit EU-Aktivitäten vereinfacht diese Zentralisierung den Meldeprozess, den der Cyber Resilience Act vorschreibt. ENISAs neue Rolle unterstützt den Aufbau der EU-Schwachstellendatenbank und bietet eine einheitliche Plattform zur Nachverfolgung und Behebung von Sicherheitslücken.

Unternehmen sollten sich auf straffere – wenngleich strengere – Offenlegungsfristen einstellen. ENISA wird seine neuen Befugnisse zweifellos nutzen wollen.

„Tsundere”-Botnetz: Blockchain als Waffe

Derweil entwickelt sich die Bedrohungslandschaft weiter. Am Donnerstag detaillierten Forscher von Kasperskys Global Research and Analysis Team die Entdeckung von „Tsundere” – einem ausgeklügelten neuen Botnetz, das Windows-Systeme ins Visier nimmt.

Die technische Raffinesse ist beachtlich: Anders als traditionelle Botnetze mit statischen Command-and-Control-Servern nutzt Tsundere Ethereum-Blockchain-Smart-Contracts zur dynamischen Speicherung und Abfrage von C2-Adressen. Diese Dezentralisierung macht die Infrastruktur extrem widerstandsfähig gegen Abschaltversuche.

Die Schadsoftware verbreitet sich über gefälschte Installer populärer Wettkampfspiele wie Valorant und Counter-Strike 2 sowie über kompromittierte Remote-Monitoring-Tools. Einmal installiert, führt das Botnetz beliebigen JavaScript-Code aus – ein Einfallstor für weitreichende Netzwerkinfiltration.

Kaspersky schreibt die Kampagne einem russischsprachigen Bedrohungsakteur zu, der im Juli 2025 wieder auftauchte. Der Einsatz von „Typosquatting” in npm-Paketen verdeutlicht das anhaltende Risiko von Supply-Chain-Angriffen auf Open-Source-Software.

Mobile Spionage bleibt virulent: Sicherheitsteams sollten zudem die „Landfall”-Spyware im Blick behalten, die Palo Alto Networks’ Unit 42 Anfang November detaillierte. Obwohl die ursprüngliche Zero-Day-Schwachstelle in Samsungs Bildverarbeitungsbibliothek (CVE-2025-21042) bereits im April 2025 gepatcht wurde, bestätigen aktuelle Analysen: Die Spyware blieb bis Ende 2025 aktiv und zielte auf Geräte im Nahen Osten. Ein Beleg dafür, dass rigoroses Mobile Device Management und zeitnahe Patches unverzichtbar bleiben.

Ausblick: Die Compliance-Landkarte 2026

Haftungsrisiken neu kalibriert: Der SEC-Rückzug bei SolarWinds signalisiert eine Rückbesinnung auf Offenlegungsgenauigkeit statt Bestrafung von Führungskräften für unvermeidbare Cyberangriffe. Die Dokumentation interner Kontrollen bleibt jedoch unverhandelbar.

Lieferketten im Härtetest: Die FCC-„Bad Labs”-Durchsetzung und ENISAs CVE-Rolle zeigen: Regierungen greifen direkt in Software- und Hardware-Lieferketten ein. Vendor-Risk-Management-Programme müssen nun spezifische Regulierungslisten und Zertifizierungsbehörden berücksichtigen.

Wirksamkeit statt Bürokratie: Die FCC-Ablehnung der eigenen CALEA-Vorlage zugunsten stärkerer Sicherheitsergebnisse demonstriert eine regulatorische Präferenz für Effektivität gegenüber dem reinen Abhaken von Compliance-Boxen.

Unternehmen sollten ihre Incident-Response-Pläne im Licht der ENISA-Neuerungen überprüfen – und sicherstellen, dass ihre Managerhaftpflichtversicherungen die veränderten Rechtspräzedenzfälle aus dem SolarWinds-Fall widerspiegeln. Die kommenden Monate dürften zeigen, ob diese regulatorische Neuordnung tatsächlich mehr Sicherheit schafft oder nur neue Komplexität.

PS: Sie wollen, dass Ihr Unternehmen die neuen regulatorischen Anforderungen (ENISA‑CVE, Lieferketten‑Kontrollen, Managerhaftung) sicher erfüllt? Dieses Gratis‑E‑Book erklärt, welche technischen und organisatorischen Schritte Entscheider jetzt priorisieren müssen – von Vendor‑Risk‑Management bis zu Mobile Device Management. Praxisnahe Vorlagen und Maßnahmen helfen Compliance‑ und Sicherheitsverantwortlichen, Lücken schnell zu schließen. Kostenlosen Cyber-Security-Report anfordern