Während die Mehrheit im SolarWind hack hauptsächlich sich auf den geopolitischen Aspekt und den angeblichen russischen Angriff auf viele US-amerikanische Organisationen und andere wichtige Provider der kritischen Infrastruktur konzentriert, sieht Matt Stoller, ein Finanzexperte, die Ursache von dem Hack hauptsächlich in dem Geschäftsmodel von Private Equity (PE) Unternehmen.
PE kaufen in letzter Zeit sehr viele IT- und Cybersecurity-Unternehmen auf. Dabei wird nur auf eines geschaut - Profit. Alles wird der Profitmaximierung unterordnet. Alle Kosten werden dabei drastisch reduziert. Gute Experten werden entlassen und die Produktion in Billigländer verlagert. Alle Cybersecurity-Maßnahmen werden aufs Minimum zurückgeschraubt und das Risiko auf Kunden abgewälzt.
„But they also degrade product quality by firing or disrespecting good workers, under-investing in good security practices, or sending work abroad and paying badly, meaning their products are more prone to espionage. In other words, the same sloppy and corrupt practices that allowed this massive cybersecurity hack made Bravo a billionaire. .... The problem is how these financiers - usually large ones who do cookie cutter deals - offload risk onto employees, lenders, investors, and the public itself.“
Matt Stoller meint also, dass der SolarWind Hack kein Zufall war. Man müsste nicht der am meisten talentierte Hacker der Welt sein, um in die schlecht abgesicherte Systeme einzubrechen. Es gab sogar schon in Vergangenheit etliche Hinweise auf Sicherheitsmängel aber diese wurden von Geschäftsführung ignoriert.
Laut Matt Stoller macht die Geschäftspraxis der PE-Unternehmen es unmöglich, den ausreichenden Schutz der kritischen Infrastruktur im Sinne der nationalen Interessen zu garantieren. Solange sehr viele Unternehmen, die kritische Infrastruktur für IT und Cybersecurity liefern, sich in der Hand von PE befinden, müssen wir mit solchen Situationen wie bei SolarWind rechnen, sagt Matt Stoller.
„The most interesting part of the cybersecurity problem is that it isn’t purely about government capacity at all; private sector corporations maintain critical infrastructure that is in the ‚battle space.‘ ... National security in a world where private software companies handle national defense simply cannot long co-exist with our monopoly and financier-dominated corporate apparatus.“
Die Lage der Cybersecurity ist leider nicht nur bei den Unternehmen schlecht, die sich im Besitz von PE befinden. Die Praxis der Kostenreduktion, auch auf Kosten der Sicherheit, ist leider bei sehr vielen Unternehmen weit verbreitet. Die Hacks sind eine logische Konsequenz davon.
Ein anderer Aspekt, das selten bei diesem Hack zur Sprache kam, ist die totale Unwirksamkeit den üblichen Sicherheitsauflagen in der Lieferantenverträgen - sogenanntes Third Party Management. Ein Teil der Kunden von SolarWind hat vermutlich „vergessen“, solche Sicherheitsauflagen in die Verträge aufzunehmen. Der Rest begnügte sich mit der vertraglichen Sicherheit ohne es zu überprüfen, wie die Sicherheitslage bei SolarWind tatsächlich ist.
