Inhaltsverzeichnis

  • Trends 2021: Cyberangriffe werden immer gefährlicher
  • Cyberrisiken für Rechtsanwälte
  • Was ist eine Ransomeware Attacke?
  • Identitätsdiebstahl und CEO-Betrug
  • Exkurs: Was ist das Darknet?
  • So schützen Sie sich vor Cybercrime
  • Fazit

Trends 2021: Cyberangriffe werden immer gefährlicher

Nicht nur höhere Gewalt sondern auch Cyberangriffe können Katastrophenfälle auslösen. Damit hat die Gemeinde Anhalt-Bitterfeld dieses Jahr Geschichte geschrieben. Anfang Juli 2021 hatten Kriminelle die Server des Landkreises mit Schadsoftware infiziert, viele Terabytes and Daten verschlüsselt und Dateien gestohlen. Knapp 1000 Verwaltungsmitarbeiter konnten nur noch mit Kugelschreiber, Telefon und Fax arbeiten.  Elterngelder und Unterhaltszuschüsse wurden nicht mehr ausgezahlt und die Kfz-Zulassungsstelle stand über Wochen still. Der Angriff betrifft 92 Personen auch persönlich. Es wurden personenbezogene Daten, u.a. Handynummern, Privatadressen, Bankdaten sowie Firmennamen früherer Arbeitgeber im Darknet veröffentlicht.

Für die Freigabe der verschlüsselten Daten fordern die Täter ein Lösegeld in bislang unbekannter Höhe, das von der Kommune laut Medienberichten abgelehnt worden ist. Betroffen waren alle drei Standorte der Verwaltung in Köthen, Bitterfeld und Zerbst, der Landkreis rief daraufhin den Katastrophenfall aus.

Mit Unterstützung des BSI und Bundeswehr wurde eine IT-Notinfrastruktur aufgebaut. Es wird Monate brauchen, bis die IT wieder vollständig hergestellt sein wird. Die Veröffentlichung der personenbezogenen Daten im Darknet lässt sich nicht mehr rückgängig machen. Es ist davon auszugehen, dass der Datenklau zu Identitätsmissbrauch, Begehung von Straftaten oder weiteren Cyberangriffen auf die Opfer führen wird.

Cyberrisiken für Rechtsanwälte

Im Jahr 2017 wurde die Anwaltskanzlei DLA Piper von einer Ransomeware-Attacke getroffen. Ein Frühwarnsystem habe die Schadsoftware im System erkannt und alle Systeme heruntergefahren. Eine sechstägige Zwangspause für 9.000 Mitarbeiter weltweit und ein gewaltiger Reputationsschaden, nachdem die Kanzlei erst wenige Wochen vorher ein Whitepaper über Cyberrisks veröffentlicht hatte, waren die unmittelbaren Folgen. Dazu kommen Umsatzverluste und Kosten für die Instandsetzung der IT.

In den vergangenen Jahren ist die Zahl der Angriffe von Cyberkriminellen stark angestiegen. Nach einer Studie des Branchenverbandes Bitkom waren in den letzten Jahren 75% der deutschen Unternehmen mit 100-500 Mitarbeitern betroffen. Der Trend „Big Game Hunting“, also die Jagd nach großen Unternehmen, ist nach Informationen des BKA Lagebilds 2021 ungebrochen. Im Visier der Täter sind aber auch Selbstständige, Familienunternehmen, mittelständische Unternehmen und deren Anwaltskanzleien.

Rechtsanwälte sind sehr häufig noch nicht ausreichend gegen Cyberangriffe geschützt. Damit machen es Rechtsanwälte den Kriminellen besonders leicht, an die Geheimnisse zu gelangen, die beim Mandanten selbst gut geschützt wären. Bei vielen Anwälten fehlt oft das nötige Problembewusstsein. Anwälte vertrauen meist darauf, dass ihr Systemhaus sichere Lösungen installiert hat. Hier wird leider übersehen, dass Systemhäuser zwar durchaus state-of-the-art IT-Sicherheit liefern. Dies beschränkt sich aber in der Regel auf Windows-Updates, Serverfernüberwachung und Handel mit Antivirussoftware Lizenzen. Das alles greift leider viel zu kurz, was existenzgefährdende Folgen für Berufsgeheimnisträger haben kann. IT-Sicherheit ist Chefsache, auch und gerade in der Anwaltskanzlei.

Was ist eine Ransomeware Attacke?

Ransomeware steht für Schadcode, der Computer derart verschlüsseln kann, dass ohne Eingabe des Schlüssels darauf gespeicherte Daten unbrauchbar werden. Selbst wenn das von den Tätern geforderte Lösegeld bezahlt wird, bleibt unklar, ob die Entschlüsselungstools der Täter funktionieren. In vielen Fällen lässt sich die IT nicht mehr ohne weiteres wiederherstellen.

Besonders heikel: Derartige Angriffe können wirklich jeden (Mitarbeiter) treffen. Bereits nach einem unvorsichtigen Mausklick in einer E-Mail, die vermeintlich vom Mandanten stammt, kann das Unglück seinen Lauf nehmen. Word-, Excel- oder ZIP-Anhänge können über die sog. Makro-Funktion zur Falle werden [Jetzt Makros deaktivieren!]. Wer eine derart manipulierte Datei öffnet, erhält innerhalb der Office-Programme einen Hinweis, entweder das bekannte, gelb hinterlegte „Bearbeitung aktivieren“ oder einen Hinweis auf einen Link, der angeklickt werden soll. Auch E-Mails oder sogar SMS können Links mit Schadcode enthalten. Klickt man auf den Link, wird unbemerkt eine Seite geladen, die Schadcode auf den Computer oder das Smartphone herunterlädt.

Täter nutzen aber auch häufig Schwachstellen in Betriebssystemen oder Software aus. Im März 2021 wurde eine Sicherheitslücke in der Software „Microsoft Exchange Server“ gefunden, die leicht für Cyberangriffe ausgenutzt werden konnte. Sogar die Rechtsanwaltskammern warten vor dieser Sicherheitslücke. Microsoft stellte Updates bereit, die allerdings nur zögerlich heruntergeladen wurden. Sogar Rechtsanwaltskammern sahen sich verpflichtet, auf den dringenden Handlungsbedarf hinzuweisen, weil das Risiko vom BSI als sehr hoch eingestuft worden ist.

Ist ein System erst einmal aufgrund eines Ransomeware-Angriffs verschlüsselt, steht die Kanzlei sicher wochenlang still. Ein derartiger Vorfall zieht viele Fragen nach sich: Was ist zu tun? Kann das Systemhaus helfen? Wie können Beweise durch IT-Forensiker gesichert werden? Übernimmt die Cyberversicherung die Kosten? Müssen Mandanten, die Aufsichtsbehörde und vielleicht sogar die Rechtsanwaltskammer informiert werden? Haben Mandanten Schadenersatzansprüche? Hat der Berufsträger eine Pflicht verletzt?

Hohe Kosten für das Krisenmanagement, Wiederherstellung von Daten und Verhandlungen mit Erpressern, Lösegelder, mittelfristige Reputationsschäden und ggf. noch Bußgelder von Datenschutzaufsichtsbehörden wegen mangelhafter Datensicherheit gehören zu den Folgen eines Cybervorfalls in einer Anwaltskanzlei.

Identitätsdiebstahl und CEO-Betrug

Datenklau ist ganz leicht: Haben Sie gewusst, dass eine Identität leicht für Straftaten und Identitätsdiebstahl missbraucht werden kann, wenn man Vor- und Nachname und Geburtsdatum einer Person kennt?! Dank „Zahlung auf Rechnung“ ist Computerbetrug sehr leicht geworden. Eine Schlüsselrolle kommt dabei PayPal und Zahlungsdienstleistern wie Ratepay, Billpay oder Klarna zu. Nicht nur die Opfer haben hier das Nachsehen – wer als Gläubiger die falsche Person verklagt, unterliegt am Ende vor Gericht und hat nichts außer Kosten.

Gestohlene Identitäten eignen sich aber auch hervorragend für perfide Phishing- oder Social-Engineering-Attacken. Unter dem Namen von ehemaligen Angestellten können leicht E-Maills mit gefährlichen Links oder Virendateien im Anhang verschickt, Informationen ausgespäht oder sogar die Änderung von Kontodaten für Gehälter veranlasst werden.

Unter fremden Namen lässt sich viel Schaden anrichten. Man stelle sich vor, dass ein Mandant plötzlich per XING oder LinkedIn eine Datei oder Information anfordert, ohne dass verifiziert wird, ob diese Anfrage tatsächlich vom Mandanten selbst stammt. Denn Fake-Konten können innerhalb weniger Minuten registriert werden. Vielfach werden E-Mail-Postfächer oder Social-Media-Konten von Cyberkriminellen gestohlen, indem geleakte Passwörter aus dem Darknet genutzt werden. In Zweifelsfällen, insbesondere wenn ein Mandant eine ungewöhnliche Anfrage stellt, einen neuen Kommunikationskanal wählt oder eine Auskunft gemäß Art. 15 DSGVO über die ihn betreffenden Daten verlangt, muss ein Rechtsanwalt die Identität des Anfragenden prüfen. Dies lässt sich z.B. per Telefon oder über eine kurze Nachricht über einen dritten, bekannten und bewährten Kommunikationsweg klären.

In einem uns bekannten Fall führte eine Phishing E-Mail zu einem Millionen-Schaden, weil eine Buchhalterin Zahlungen an ein Täter-Konto veranlasste, im Glauben, der Geschäftsführer habe ihr geschrieben. Diese Taten, die CEO-Betrug oder -Scam genannt werden, sind nur durch ausreichend geschultes Personal und effektivem IT-Sicherheits- und Datenschutzmanagement vermeidbar.

Exkurs: Was ist das Darknet?

Das Darknet ist geschlossenes, verschlüsseltes Netzwerk innerhalb des Internets, das nur mit dem sog. Tor-Browser genutzt werden kann. Internetseiten aus dem Tor-Netzwerk haben die Domain .onion und sich über normale WWW-Browser, z.B. Firefox oder Chrome, nicht aufrufbar. Es erscheint eine Fehlermeldung. Google und andere Suchmaschinen funktionieren im Tor-Netzwerk nicht. Zwar sind Internetseiten durchaus miteinander verlinkt. Viele Seiten sind aber überhaupt nicht frei oder öffentlich abrufbar, sondern nur über Foren, Kontakte oder andere Hintertüren auffindbar. In den „dunklen Ecken“ des Tor-Netzwerks finden sich Marktplätze für illegale Waren und Dienstleistungen aller Art.

Bereits Einsteigerkenntnisse und ein Bitcoin-Wallet reichen aus, um bezahlte Hacker für Cybercrime-as-a-Service zu buchen, z.B. ein Passwort knacken oder eine DDOS-Attacke auf ein Unternehmen starten. Gefälschte Personalausweise und Reisepässe können hier leicht bestellt und per Post zugesandt werden. In Foren oder Marktplätzen werden auch geleakte Datensätze von Opfern von Datenklau zum Kauf angeboten. Diese Daten können aus medial bekannten Ransomeware-Angriffen stammen oder aber aus Datenpannen wie im Impfzentrum Essen, wo personenbezogene Daten und Gesundheitsdaten von 13.000 Bürgern verloren gegangen sind.

Wenn personenbezogene Daten durch einen Cyberangriff, Datenklau oder eine Datenpanne ins Internet gelangen, werden zunächst in der Regel zum Kauf angeboten. Sobald die Daten von einigen Hackergruppen missbraucht wurden, sind sie nicht mehr viel wert.

So schützen Sie sich vor Cybercrime

Sichere Passwörter

Nehmen Sie für verschiedene Websites und Konten nie dasselbe Passwort. Ändern Sie Ihre Passwörter regelmäßig. Passwörter sollten komplex sein, also aus einer Kombination von mindestens 10 Buchstaben, Ziffern und Sonderzeichen bestehen. Ein Passwortgenerator kann helfen. Erstellen Sie eine Passwortrichtline, die die Anforderungen an Passwörter regelt.

Verwenden Sie Zwei-Faktor-Authentifizierung

Schützen Ihre Logins zusätzlich mit Zwei-Faktor-Authentifizierung. Zwei-Faktor-Authentifizierung schützt am besten vor Datenklau und Identitätsdiebstahl. Denn selbst wenn ein Täter an Ihr Passwort gelangt ist, muss er einen zweiten Faktor, z.B. eine SMS-Tan, haben, um auf Ihr Konto zugreifen zu können. Zwei-Faktor-Authentifizierung ist ohnehin Pflicht im Online-Banking. Aber auch E-Mail-Postfächer, Microsoft und Apple Konten, Clouds, Google-Konten, Facebook, Instagram, TikTok, YouTube, Amazon und Onlineshopping Konten sollten unbedingt mit einer Zwei-Faktor-Authentifizierung vor dem Zugriff von Dritten geschützt werden. Ohne Zwei-Faktor-Authentifizierung kann ein Krimineller leicht das Passwort oder die Registrierungsemail-Adresse ändern und dann das Konto für Identitätsmissbrauch verwenden.

Nutzen Sie Passwortmanager

Eine Passwortmanager Software hilft Ihnen dabei, Passwörter in der Kanzlei sicher zu verwalten. Das ist besonders wichtig, wenn verschiedene Personen auf dieselben Websites zugreifen müssen und Passwörter regelmäßig aktualisiert werden müssen. Man kann sich Passwortmanager wie einen Datentresor vorstellen, der zusätzlich die Qualität der Passwortsicherheit überprüft. Aber alles hat seine Grenzen: Bankzugangsdaten, Kreditkartendaten oder Zugangsdaten zu Microsoft 365 Konten oder die Apple ID für die iCloud sollte immer sicher und außerhalb eines Passwortmanagers verwahren.

Installieren Sie immer alle Updates

Betriebssysteme und Apps sind verwundbarer als man meint. Meistens nutzen Cyberkrimielle Sicherheitslücken aus, um sich Zugriff auf Ihre IT zu verschaffen, bevor die Lücke allgemein bekannt werden oder kurz nachdem die Presse erstmals berichtet hat. Dann ist Gefahr im Verzug: Sie müssen sofort handeln und prüfen, ob das Update bereits für Ihr Gerät verfügbar ist.

Updates sind nicht nur für Computer, Server, Drucker und Netzwerkgeräte wichtig. Immer häufiger greifen Täter vor allem Android Handys an, z.B. über SMS Nachrichten, die Links zu einer Schadcode-Seite enthalten (Vorsicht bei Paket-SMS). Für Handys mit Android OS sollten Sie daher eine Antivirus Software verwenden. Aber auch RA-Micro oder andere Kanzleisoftware kann Sicherheitslücken haben. Sorgen Sie dafür, dass immer alle Geräte im Netzwerk auf demselben Stand sind und Updates immer sofort installiert werden.

Schützen Sie sich in Social Media

Ihre private, vertrauliche und ggf. berufliche Kommunikation sollte auch in sozialen Netzwerken und in XING und LinkedIn immer gut geschützt sein. Denn Cyberkriminelle können hier sehr viel über ihr Privat- und Berufsleben erfahren. Rechtsanwälte unterliegen zudem der Verschwiegenheitspflicht, sodass sie Mandatsgeheimnisse besonders schützen müssen (§ 203 StGB).

Tätern gelingt es oft mit wenigen Schritten über Dataleaks an Zugangsdaten zu gelangen, weil viele Menschen Passwörter mehrmals verwenden. Testen Sie bei HaveIbeenPwnd, ob Sie von Datenklau betroffen sind. Verwenden Sie Zwei-Faktor-Authentifizierung für Facebook, Instagram, Snapchat und Tiktok, um vor Identitätsdiebstahl sicher zu sein.

Schützen Sie Ihr Privatleben

Schützen Sie Ihr Privatleben, indem sie private Bilder, Postings und Freundeslisten nicht öffentlich machen. Verwenden Sie für Profile immer ein Pseudonym statt Ihrem Klarnamen, soweit das mit den Plattformrichtlinien möglich ist. Nehmen Sie keine Fremden als Freunde an. Vergewissern Sie sich, dass ihre Freunde tatsächlich Menschen sind, die Sie kennen und keine Fake-Konten. Machen Sie sich klar, dass kostenlose Messenger wie WhatsApp und soziale Netzwerke wie Facebook und Instagram immer alles mitlesen und zur Schaltung von auf Sie zugeschnittene Werbung verwenden. Ändern Sie alle Passwörter, auch vom Router, wenn Sie sich von Ihrem Partner trennen, um sich vor Stalking zu schützen. Geburtsdaten, Namen und Fotos von minderjährigen Kindern haben im Internet nichts verloren – schützen Sie Ihre Familie vor den Zugriffen von Pädophilen und Cyberkriminellen.

Verbessern Sie Ihren Schutz im WLAN

Nutzen Sie virtuelle private Netzwerke (VPN), z.B. über eine Handy-App, wenn Sie in fremden Netzwerken surfen wollen. Fremde Netzwerke sind z.B. WLAN-Netze in der Deutschen Bank WifionICE, in Hotels, Starbucks-Cafés oder an Flughäfen. Sobald Sie sich einwählen, kann die gesamte Kommunikation, die nicht z.B. transportverschlüsselt übermittelt wird, von anderen Personen im selben Netzwerk mitgelesen werden. So können die Täter an Passwörter gelangen und die Kontrolle übernehmen.

Wie können sich Anwälte schützen?

Führen Sie eine Schutzbedarfsanalyse durch: Welche Daten und Assets rund um ihre Mandanten sind besonders gefährdet. Wie sieht die Gefährdungslage aus, welche Angriffe sind wahrscheinlich, was wären mögliche Folgen eines Angriffs. Lassen Sie Penetration Tests und Phishing Wellen durchführen, um ihren Status quo der IT-Sicherheit zu ermitteln und zu bewerten.

Prüfen Sie auch, welchen Compliance-Anforderungen ihre Kanzlei unterliegt und welche Pflichten eingehalten werden müssen. Für Rechtsanwälte gilt z.B., dass Handakten gem. § 50 Abs. 1 S. 2 BRAO für die Dauer von 6 Jahren aufbewahrt werden müssen. Sollten nun z.B. nur elektronisch geführte Akten durch einen Ransomeware-Angriff vollständig verschlüsselt werden, wäre das ein Verstoß gegen die das Berufsrecht und gegen die Datenschutzgrundverordnung. Gemäß § 2 Abs. 1 BORA müssen zudem risikoadäquate technische und organisatorische Maßnahmen zum Schutz der Mandatsgeheimnisse getroffen werden. Das Tatbestandsmerkmal „risikoadäquat“ setzt eine Risikobewertung voraus, aus der konkrete Empfehlungen abgeleitet wurden.

Cybercrime Schulungen für Rechtsanwälte und Mitarbeiter werden regelmäßig vom Münchner Anwaltverein e.V. angeboten.

Was gibt es für Cybercrime Schulungen für Mitarbeiter?

Neben geeigneten technischen und organisatorischen Schutzmaßnahmen müssen vor allem die Rechtsfachwirte, Rechtsanwaltsfachangestellte und weiteren Kanzleimitarbeiter bis zu den Auszubildenden und studentischen Hilfskräften regelmäßig geschult werden. Mitarbeiter sollten in diesen Themen geschult werden: Grundlagen zum Schutz der Kanzleisicherheit, IT-Sicherheit, Datenschutz, Schutz von Mandatsgeheimnissen, Abwehr von Cybercrime, Datenklau und Identitätsmissbrauch sowie im Erkennen von Social Engineering Manipulation. Schulungen sollten praxisnah, workshopartig und kurzweilig gehalten werden, um die Mitarbeiter zu motivieren.

Fazit

Als Rechtsanwälte ist es unsere Pflicht, fremde Geheimnisse zu schützen – auch und gerade vor Cyberkriminellen. Wir unterstützen Anwaltskanzleien dabei, Risiken zu bewerten und sich gegen Cybercrime technisch, organisatorisch und rechtlich abzusichern. Bei Fragen zu unseren Beratungsleistungen für Rechtsanwälte, Patentanwälte und Notare sprechen Sie uns gerne an. Auch für Kolleginnen und Kollegen gilt: eine telefonische Ersteinschätzung ist immer unverbindlich und kostenlos. Nehmen Sie jetzt Kontakt auf. 🙂

Das könnte Sie auch interessieren
Warum erhalte ich Anrufe von „Microsoft-Support-Mitarbeitern“? Bereits in den vergangenen Jahren gab es immer wieder Meldungen und Beschwerden über an [...]
Weiterlesen
Für das Sat1 Frühstücksfernsehen durfte ich am 6. Oktober 2021 erklären, was die Umstellung auf die neue elektronische Patientenakte (ePA) für Ärzte u [...]
Weiterlesen
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz) befasst sich seit längerer Zeit mit der Frage des [...]
Weiterlesen
Inhaltsverzeichnis Sind Identitätsdiebstahl und Datenklau strafbar? Immer wieder höre ich den Satz „Identitätsdiebstahl ist doch in Deutschland kein S [...]
Weiterlesen