SEC: US-Firmen müssen auch potenzielle Sicherheitslücken offenlegen

Unter bestimmten Umständen müssen börsennotierte US-Firmen auch potenzielle Sicherheitslücken melden. Darauf weist die Börsenaufsicht SEC hin. Ihre Regeln schreiben eine Meldung vor, wenn „das Risiko möglicher Vorfälle“ signifikant für den Geschäftserfolg ist. Indem sie an diese Regel erinnert und Bereitschaft zeigt, sie strenger auszulegen, will die Behörde den Umgang von börsennotierten Unternehmen mit Cybersecurity transparenter machen.

In ihrer Mitteilung erklärt die SEC, was sie von den bei ihr registrierten Firmen erwartet. Erstens ist das eine Aufzählung von Aspekten des Geschäftsmodells, die große Risiken hinsichtlich der Cybersicherheit bergen. Zweitens fordert sie eine Beschreibung vergangener Sicherheitsvorkommnisse einschließlich angefallener Kosten und Konsequenzen. Drittens sollen Risiken aufgezählt werden, die lange Zeit unentdeckt bleiben könnten.

Die Ankündigung kommt nicht überraschend. Mehrere US-Senatoren der Demokraten hatten die SEC zuletzt aufgefordert (PDF), Schritte in diese Richtung zu unternehmen. Bisher haben börsennotierte Firmen nur tatsächliche Angriffe gemeldet.

„Seit Jahren bleiben für Investoren wichtige Risiken und Zwischenfälle unerwähnt, obwohl die gesetzliche Pflicht zu einer Meldung besteht“, kommentiert Senator John Rockefeller IV. „Cyberkriminelle haben geistiges Eigentum mit Milliardenwert gestohlen, und die Investoren bleiben im Dunkeln.“