In einer von Marquis an Dark Reading übermittelten Pressemitteilung erhebt das Unternehmen schwere Vorwürfe: SonicWall habe seine Kompromittierung nicht zeitnah offengelegt und Marquis über mehrere Wochen versichert, der Firewall-Schutz sei nicht betroffen gewesen. Weil SonicWall den vollen Umfang und die Schwere der Sicherheitsverletzung nicht rechtzeitig mitgeteilt habe, sei Marquis daran gehindert worden, den entstandenen Schaden einzudämmen.
SonicWall weist die Darstellung zurück. Ein Sprecher erklärte gegenüber Dark Reading, man habe bislang keine technischen Belege für einen Zusammenhang zwischen den beiden Vorfällen gefunden. Der Kunde habe die Klage eingereicht, ohne vorab Unterlagen zur Untermauerung seiner Vorwürfe vorzulegen. Man prüfe die Behauptungen und sei bereit, sich gegen unbegründete Ansprüche entschieden zu verteidigen.
Der Fall berührt eine grundsätzliche Frage: Wer trägt die Verantwortung für ein Datenleck, das über einen Drittanbieter entsteht? Bradley-Partnerin Erin Jane Illman sieht eine Verschiebung. Historisch seien Klagen meist von Verbrauchern oder Aufsichtsbehörden gegen das betroffene Unternehmen gerichtet gewesen. Nun gingen zunehmend Unternehmen ihrerseits gegen ihre Sicherheitsanbieter, Managed-Service-Provider und Softwarelieferanten vor – mit Forderungen nach Ausgleich, Freistellung oder wegen Fahrlässigkeit. Anbieter seien damit nicht mehr nur technische Partner, sondern potenzielle Mitbeklagte.
Ein Novum ist das Vorgehen nicht. 2018 führte ein Angriff beim E-Mail-Sicherheitsanbieter Barracuda Networks zu einem Leck geschützter Gesundheitsdaten beim Kunden Zoll Services. Zoll verklagte Barracuda, unterlag jedoch vor dem zuständigen Bezirksgericht in Massachusetts; auch die Berufung wurde im November 2025 abgewiesen. 2014 verklagten mehrere Banken nach dem Kassensystem-Angriff auf Target nicht nur den Händler selbst, sondern auch den Dienstleister Trustwave – diese Verfahren wurden zurückgezogen oder versandeten.
Jackson Stephens von Galactic Advisors verweist auf den MoveIT-Angriff von 2023, der Dutzende noch laufender Klagen auslöste. Verfahren gegen Managed-Service-Provider und Sicherheitsanbieter würden häufiger. Im Fall Marquis gegen SonicWall rechnet er kaum mit einem Prozess: Wahrscheinlich verlange der Vertrag ein Schieds- oder Schlichtungsverfahren, das wie die meisten Klagen in einem nicht offengelegten Vergleich ende. Künftig könne SonicWall aber weiteren rechtlichen Auseinandersetzungen ausgesetzt sein – etwa Sammelklagen Betroffener oder behördlichen Maßnahmen.
Illman befürchtet, Marquis könnte zum Vorbild für andere Geschädigte werden. Unter dem Druck von Aktionärsklagen oder behördlicher Prüfung neigten Führungskräfte eher dazu, die Schuld weiterzureichen – mit dem Argument, das Werkzeug eines Anbieters habe versagt, ein Patch sei fehlerhaft gewesen oder ein Dienstleister habe Angriffsindikatoren übersehen.
Die Maßstäbe für Fahrlässigkeit blieben dabei in Bewegung. Kläger erprobten Ansätze wie Falschdarstellung, unterlassene Warnung, fahrlässiges Design oder überzogene Sicherheitsversprechen. Gerichte könnten künftig genauer prüfen, was „angemessene Cybersicherheit“ bei einem professionellen Sicherheitsanbieter bedeute – wer Sicherheit als Kernprodukt verkaufe, könnte einem höheren Sorgfaltsmaßstab unterliegen als eine gewöhnliche IT-Abteilung.
Joseph Lazzarotti von JacksonLewis verweist auf die andere Seite: Unternehmen wählten ihre Anbieter selbst und prüften deren Sicherheit oft nicht ausreichend. Auch Service-Level-Vereinbarungen deckten selten den Fall ab, dass der Anbieter selbst Ursache eines Angriffs sei. Wer bei der Auswahl ebenso nachlässig sei wie die Anbieter beim Schutz, setze sich dem Vorwurf aus, fahrlässig ausgewählt oder überwacht zu haben.
