Klage gegen SolarWinds: Private-Equity-Eigentümer “opferten Cybersicherheit, um kurzfristige Gewinne zu steigern

Cyber Security News

Die Private-Equity-Firmen, die zum Zeitpunkt eines Kompromisses in der Lieferkette Eigentümer von SolarWinds waren, wurden als Beklagte in einer von Aktionären angestrengten Sammelklage hinzugefügt. (“SolarWinds-Briefe” von sfoskett unter https://www.flickr.com/photos/[email protected]/16100325080 ist lizenziert unter CC BY-NC-SA 2.0)

Eine Sammelklage von SolarWinds-Aktionären nach der letztjährigen Kompromittierung der Lieferkette der Orion-Management-Software des Unternehmens fügte zwei neue Beklagte hinzu: die Private-Equity-Firmen, die das Unternehmen besaßen und nur wenige Tage vor der Veröffentlichung des Hacks Aktien im Wert von Hunderten Millionen Dollar verkauften.

In einer neuen konsolidierten Klage, die bei einem texanischen Bezirksgericht eingereicht wurde, argumentieren die Anwälte der Sammelkläger, dass die Private-Equity-Firmen Thoma Bravo und Silver Lake Partners und ihre Geschäftsstrategien eine zentrale Rolle bei den Mängeln in der Cybersicherheit und den fehlenden Investitionen spielten, die zum Orion-Hack führten. Die Klage und ihre Behauptungen verdeutlichen die Rolle, die kurzfristige Top-Down-Geschäftsstrategien von Investoren, insbesondere im Private-Equity-Bereich, bei den Cybersecurity-Investitionen von Unternehmen spielen können.

Thoma Bravo und Silver Lake Partners besaßen zusammen etwa 80 % der SolarWinds-Aktien in demselben Zeitraum, in dem eine Gruppe von Hackern – von der angenommen wird, dass sie im Auftrag des russischen Auslandsgeheimdienstes (SVR) arbeitet – den Build-Server von Orion kompromittierte und ein bösartiges Software-Update an mehr als 18.000 SolarWinds-Kunden schickte. Darüber hinaus saßen der geschäftsführende Partner von Silver Lake, Kenneth Hao, der Geschäftsführer Mike Bingle und zwei seiner Direktoren im Vorstand von SolarWinds, ebenso wie der Senior Operating Partner von Thoma Bravo, James Lines, der geschäftsführende Partner Seth Boro und der Direktor Mike Hoffman.

Am 7. Dezember, weniger als eine Woche bevor der Vorfall der Öffentlichkeit bekannt wurde, verkaufte Thoma Bravo Aktien im Wert von 256 Millionen Dollar, während Silver Lake am gleichen Tag ebenfalls 203 Millionen Dollar abgab. Nach der Enthüllung fiel der Preis der SolarWinds-Aktie von 23,55 $ am 11. Dezember auf nur noch 14 $ am 18. Dezember. Am 1. Juni lag der Kurs bei 16,32 $ pro Aktie und ist seither nie höher als 18,54 $ gestiegen. Eine Reihe von anderen Führungskräften des Unternehmens, darunter der ehemalige CEO Kevin Thompson, verkauften im Monat vor dem Bekanntwerden des Hacks ebenfalls Millionen an persönlichen Firmenaktien.

“Alles in allem ist der Aktienkurs des Unternehmens innerhalb weniger Tage um 34% gefallen”, schreiben die Anwälte der Sammelkläger. “In der Zwischenzeit profitierten die Angeklagten großzügig. Seit Beginn des Sammelklagezeitraums erzielten die Beklagten mit dem Verkauf von SolarWinds-Aktien Erlöse in Höhe von $730 Mio., einschließlich des Verkaufs von eigenen Aktien im Wert von über $450 Mio. durch die Private-Equity-Firmen weniger als sieben Tage vor den ersten Offenlegungen, die den Anlegern erhebliche Verluste bescherten.”

SC Media hat sowohl Thoma Bravo als auch Silver Lake um einen Kommentar gebeten, aber bis Redaktionsschluss noch keine Antwort erhalten.

In der Klage wird auch behauptet, dass viele der von SolarWinds in öffentlichen Kommentaren und Einreichungen angepriesenen Cybersicherheitspraktiken entweder nicht existent waren oder als Schaufensterdekoration dienten, um den Aktienkurs in die Höhe zu treiben. Insbesondere weist die Klage auf eine Reihe von Cybersecurity-Behauptungen hin, die in der auf der Website des Unternehmens veröffentlichten Sicherheitserklärung dargelegt sind, dass das Unternehmen über ein engagiertes Sicherheitsteam, eine Informationssicherheitspolitik, sicherheitsorientierte Schulungen für Mitarbeiter, eine Passwortpolitik, segmentierte Netzwerke, Hintergrundüberprüfungen von Mitarbeitern und begrenzte Benutzerautorisierung verfügt.

Mehrere ehemalige Mitarbeiter, darunter der ehemalige globale Cybersicherheitsstratege des Unternehmens, Ian Thornton-Trump, sagten den Anwälten der Sammelklägergruppe, dass praktisch keine dieser Behauptungen wahr sei und dass SolarWinds “eine Reihe grundlegender Sicherheitspraktiken” nicht befolgt habe. Thornton-Trump sagte, er sei von seiner Position zurückgetreten, nachdem die Führungskräfte des Unternehmens die Warnungen und seine Sicherheitsempfehlungen nicht beachtet hätten.

Die Klage argumentiert auch, dass die Sicherheitslage von SolarWinds vor dem Hack durch Budgetentscheidungen und fehlende Investitionen in die Sicherheit erheblich geschwächt wurde, Entscheidungen, die direkt mit dem Geschäftsmodell von Thoma Bravo und Silver Lake verbunden sind. Beide Firmen, so wird in der Klage behauptet, sind bekannt für ihre “take-private, then public”-Strategien in Bezug auf Unternehmensakquisitionen, ein mehrstufiger Prozess, bei dem sie “ein unterbewertetes Unternehmen mit Ertragswachstumschancen” identifizieren und erwerben, die Schulden aus ihrem Kauf auf das erworbene Unternehmen abwälzen, die Kosten senken und die Erträge steigern, bevor sie wieder an die Börse gehen und die Gewinne einstreichen.

Dies ist die gleiche Strategie, die sie bei SolarWinds anwandten, argumentiert die Klage. Nach der Übernahme des Unternehmens fügten die Firmen SolarWinds Schulden in Höhe von 2 Milliarden Dollar hinzu, gingen in die Privatwirtschaft, “senkten aggressiv die Kosten außerhalb des Blickfelds der öffentlichen Aktionäre” und gingen dann 2018 wieder an die Börse.

“Ehemalige Mitarbeiter haben berichtet, wie der Beklagte Thompson und die Private-Equity-Firmen, die SolarWinds kontrollierten, die Cybersicherheit opferten, um kurzfristige Gewinne zu steigern”, schrieben die Anwälte der Klasse.

Mehrere Klagen von Aktionären wurden Anfang des Jahres gegen das Unternehmen eingereicht und wurden schließlich im März zu einer konsolidierten Sammelklage zusammengeführt.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com