Stell dir vor, du musst sofort öffentlich über jeden Cyberangriff auf dein Unternehmen sprechen. Genau das verlangt die SEC von Finanzinstituten. Doch Bankenverbände sehen darin eine riesige Gefahr und fordern dringend die Abschaffung dieser Regel.
Große amerikanische Bankenverbände, angeführt von der American Bankers Association, fordern die SEC auf, eine entscheidende Regelung zu streichen. Es geht um die Offenlegungspflicht für Cybersecurity-Vorfälle, die ihrer Meinung nach mehr schadet als nützt. In einem Schreiben an die Behörde argumentieren die Verbände, dass die erzwungene Publizität von Cyberangriffen direkt mit dem Schutz kritischer Infrastruktur und der Warnung potenzieller Opfer kollidiert. Die involvierten Organisationen sehen die 2023 eingeführte Regelung als grundlegend fehlerhaft an und verweisen auf praktische Probleme bei der Umsetzung.
Die SEC-Regel verlangt von börsennotierten Unternehmen, wesentliche Cybersecurity-Vorfälle innerhalb von nur vier Geschäftstagen offen zu legen. Das kurze Zeitfenster soll Anlegern schnell Informationen liefern, doch die Finanzinstitute sehen darin eine erhebliche Gefahr.
„Der komplexe und enge Mechanismus für die Offenlegungsverzögerung behindert die Reaktion auf Vorfälle und die Ermittlungen der Strafverfolgungsbehörden und führt zu Marktverwirrung.“
Ein zentrales Argument der Bankenverbände ist die Gefahr der Erpressung. Sie befürchten, dass Ransomware-Kriminelle die Offenlegungspflicht nutzen, um ihre Opfer unter zusätzlichen Druck zu setzen. Die öffentliche Bekanntmachung von Angriffen könnte negative Folgen für Versicherungsfragen und Haftungsrisiken haben. Die Verbände fordern daher konkret die Streichung von „Item 1.05“ aus den SEC-Regeln für Form 8-K und 6-K, die für die Berichterstattung von materiellen Cybersecurity-Vorfällen relevant sind.
„Die Interessen der Investoren würden auch ohne Item 1.05 geschützt bleiben… und sie wären durch das bestehende Offenlegungsrahmenwerk besser bedient.“
Die Petition enthält Beispiele für praktische Probleme. Der Fall von Coinbase wird oft genannt: Nach der Offenlegung eines Hacks, bei dem Supportpersonal kompromittiert wurde und Nutzerdaten leakte, sah sich das Unternehmen mit zahlreichen Klagen konfrontiert. Coinbase lehnte eine 20-Millionen-Dollar-Lösegeldforderung ab, doch der Vorfall könnte Schäden von bis zu 400 Millionen US-Dollar verursachen. Eine spätere Offenlegung hätte dem Unternehmen möglicherweise mehr Spielraum gegeben.
Die Kritik kommt nicht nur von den Banken. Auch die U.S. Chamber of Commerce teilt die Sorgen. Sie argumentieren, dass die SEC-Regeln den Cyber Incident Reporting for Critical Infrastructure Act untergraben, der eine vertrauliche Meldung erlaubt, um künftige Angriffe auf kritische Infrastruktur zu verhindern. Diese Konflikte zwischen verschiedenen Gesetzen und Regulierungen verschärfen die Situation zusätzlich.
Die Kontroverse um die Regelung spiegelte sich bereits bei ihrer Einführung wider. Die SEC-Kommissare Peirce und Uyeda stimmten im Jahr 2023 dagegen. Sie argumentierten, die Regel ignoriere die Grenzen der SEC-Befugnisse und sei nicht im besten Interesse der Investoren. Peirce betonte, dass bestehende Offenlegungspflichten ausreichen. Uyeda kritisierte die Regel als willkürlich, da sie ein Risiko über andere stelle ohne klare Begründung, was den Zielen der Wertpapiergesetze widerspreche.
Das Verlangen der Banken, die Offenlegungsregel zu kippen, zeigt die tiefen Bedenken der Finanzindustrie. Die Argumente sind vielfältig: Erpressungsgefahr, Behinderung von Ermittlungen, Marktverwirrung und Konflikte mit anderen Gesetzen. Wie die SEC reagieren wird, bleibt abzuwarten. Die Diskussion um Transparenz versus Sicherheit in der Cybersecurity-Berichterstattung wird aber wohl noch lange andauern.
