Im Visier von Cyberkriminalität: Risiken für Rechtsanwält:innen
Die Zahl der Angriffe von Cyberkriminellen auf Anwaltskanzleien steigt
Cyberangriffe können Katastrophenfälle auslösen. Damit hat die Gemeinde Anhalt-Bitterfeld im letzten Jahr Geschichte geschrieben. Anfang Juli 2021 hatten Kriminelle die Server des Landkreises mit Schadsoftware infiziert, viele Terabytes an Daten verschlüsselt und Dateien gestohlen. Knapp 1000 Verwaltungsmitarbeiter konnten nur noch mit Kugelschreiber, Telefon und Fax arbeiten. Elterngelder und Unterhaltszuschüsse wurden nicht mehr ausgezahlt und die Kfz-Zulassungsstelle stand über Wochen still. Der Angriff traf 92 Personen auch persönlich. Es wurden personenbezogene Daten, u.a. Handynummern, Privatadressen und Bankdaten sowie Firmennamen früherer Arbeitgeber im Darknet veröffentlicht.
Für die Freigabe der verschlüsselten Daten forderten die Täter ein Lösegeld in bislang unbekannter Höhe, das von der Kommune laut Medienberichten abgelehnt worden ist. Betroffen waren alle drei Standorte der Verwaltung in Köthen, Bitterfeld und Zerbst. Der Landkreis rief daraufhin den Katastrophenfall aus.
Mit Unterstützung der Bundeswehr wurde eine IT-Notinfrastruktur aufgebaut. Es wird Monate dauern, bis die IT wieder vollständig hergestellt sein wird. Die Veröffentlichung der personenbezogenen Daten im Darknet lässt sich nicht mehr rückgängig machen. Es ist davon auszugehen, dass der Datenklau zu Identitätsmissbrauch, der Begehung von Straftaten oder zu weiteren Cyberangriffen auf die Opfer führen wird.
Anwälte im Fadenkreuz
In den vergangenen Jahren ist die Zahl der Angriffe von Cyberkriminellen stark angestiegen. Nach einer Studie des Branchenverbandes Bitkom waren in den letzten Jahren 75% der deutschen Unternehmen mit 100-500 Mitarbeitern betroffen. Der Trend „Big Game Hunting“, also die Jagd nach großen Unternehmen, ist nach Informationen des Lagebilds 2021 des Bundeskriminalamts ungebrochen. Im Visier der Täter sind aber auch Selbstständige, Familienunternehmen, mittelständische Unternehmen und deren Anwaltskanzleien.
Rechtsanwälte sind sehr häufig noch nicht ausreichend gegen Cyberangriffe geschützt. Damit machen sie es den Kriminellen besonders leicht, an Geheimnisse zu gelangen. Bei vielen Anwälten fehlt oft das nötige Problembewusstsein. Anwälte vertrauen meist darauf, dass ihr Systemhaus sichere Lösungen installiert hat. Hier wird leider übersehen, dass Systemhäuser zwar IT-Sicherheit berücksichtigen. Diese beschränkt sich aber in der Regel auf Windows-Updates, Serverfernüberwachung und den Handel mit Antivirussoftware-Lizenzen. Das alles greift leider viel zu kurz, was existenzgefährdende Folgen für Berufsgeheimnisträger haben kann. IT-Sicherheit ist Chefsache, auch und gerade in der Anwaltskanzlei.
Ein explosiver Trend: Ransomware
Zu den größten und bekanntesten Angriffen auf Anwaltskanzleien zählt die Ransomware-Attacke auf die Anwaltskanzlei DLA Piper im Juni 2017. Ein Frühwarnsystem habe die Schadsoftware im System erkannt und alle Systeme heruntergefahren. Eine sechstägige Zwangspause für 9.000 Mitarbeiter weltweit und ein gewaltiger Reputationsschaden waren die unmittelbaren Folgen. Dazu kommen Umsatzverluste und Kosten für die Instandsetzung der IT. Erst wenige Wochen zuvor hatte die Kanzlei ein Whitepaper über Cyberrisiken veröffentlicht. Seither berichtet die Kanzlei darüber, was sie dabei gelernt hat.
Kürzlich wurde auch die Insolvenzrechtskanzlei Schultze & Braun in Achern von Hackern angegriffen. Die Kanzlei umfasst über 600 Mitarbeiter an insgesamt 40 Standorten. Bemerkt wurde der Hackrangriff am 16. Februar 2022. Bei dem Angriff handelte es sich um eine sog. Ransomware-Attacke, welche durch die in Russland ansässige Hackergruppe Conti vorgenommen wurde. Dabei hätten die Hacker es offenbar auf Kundendaten abgesehen. Nach eigenen Angaben verfügt die Kanzlei über „höchstmögliche IT-Sicherheitsstandards“. Wenige Wochen vor dem Angriff sei das IT-System einem Stresstest unterzogen worden, bei dem keine Sicherheitslücken festgestellt werden konnten.
Ransomware steht für Schadcode, der einen Computer derart verschlüsseln kann, dass ohne Eingabe des Schlüssels darauf gespeicherte Daten unbrauchbar werden. Selbst wenn das von den Tätern geforderte Lösegeld bezahlt wird, bleibt unklar, ob die Entschlüsselungstools der Täter funktionieren. In vielen Fällen lässt sich die IT nicht mehr ohne weiteres wiederherstellen.
Besonders heikel: Derartige Angriffe können wirklich jeden treffen. Bereits nach einem unvorsichtigen Mausklick in einer E-Mail, die vermeintlich vom Mandanten stammt, kann das Unglück seinen Lauf nehmen. Word-, Excel- oder ZIP-Anhänge können über die sog. Makro-Funktion zur Falle werden. Wer eine derart manipulierte Datei öffnet, erhält innerhalb der Office-Programme einen Hinweis, entweder den bekannten, gelb hinterlegten „Bearbeitung aktivieren“-Hinweis oder die Aufforderung zum Anklicken eines Links. Auch E-Mails oder sogar SMS können Links mit Schadcode enthalten. Klickt man auf den Link, wird unbemerkt eine Seite geladen, die Schadcode auf den Computer oder das Smartphone herunterlädt.
Täter nutzen aber auch häufig Schwachstellen in Betriebssystemen oder Software. Im März 2021 wurde eine Sicherheitslücke in der Software „Microsoft Exchange Server“ gefunden, die leicht für Cyberangriffe ausgenutzt werden konnte. Microsoft stellte Updates bereit, die allerdings nur zögerlich heruntergeladen wurden. Sogar Rechtsanwaltskammern sahen sich verpflichtet, auf den dringenden Handlungsbedarf hinzuweisen, weil das Risiko vom BSI als sehr hoch eingestuft worden ist.
Ist ein System erst einmal aufgrund eines Ransomware-Angriffs verschlüsselt, steht die Kanzlei sicher wochenlang still.
Digitale Anwaltskorrespondenz nach DSGVO und BORA
Identitätsdiebstahl und CEO-Betrug
Haben Sie gewusst, dass eine Identität leicht für Straftaten missbraucht werden kann, wenn man Vor- und Nachname und Geburtsdatum einer Person kennt?! Dank „Zahlung auf Rechnung“ ist Computerbetrug sehr leicht geworden. Nicht nur die Opfer haben hier das Nachsehen – wer als Gläubiger die falsche Person verklagt, unterliegt am Ende vor Gericht und hat nichts außer Kosten.
Gestohlene Identitäten eignen sich aber auch hervorragend für perfide Phishing- oder Social-Engineering-Attacken. Unter den Namen von ehemaligen Angestellten können leicht E-Mails mit gefährlichen Links oder Virendateien im Anhang verschickt, Informationen ausgespäht oder sogar die Änderung von Kontodaten für Gehälter veranlasst werden.
Unter fremden Namen lässt sich viel Schaden anrichten. Man stelle sich vor, dass ein Mandant plötzlich per XING oder LinkedIn eine Datei oder Information anfordert, ohne dass verifiziert wird, ob diese Anfrage tatsächlich vom Mandanten selbst stammt. Bei Social Media kann jeder Nutzer leicht unter fremden Namen ein Konto anlegen und unter einer fremden Identität auftreten. Ebenso einfach ist es, E-Mail-Postfächer oder bestehende Social-Media-Konten zu knacken, indem geleakte Passwörter genutzt werden. In Zweifelsfällen, insbesondere wenn ein Mandant eine ungewöhnliche Anfrage stellt, einen neuen Kommunikationskanal wählt oder eine Auskunft gemäß Art. 15 DSGVO über die ihn betreffenden Daten verlangt, muss ein Rechtsanwalt die Identität des Anfragenden prüfen. Dies lässt sich z.B. per Telefon oder durch eine kurze Nachricht über einen dritten, bekannten und bewährten Kommunikationsweg klären.
In einem uns bekannten Fall führte eine Phishing-E-Mail zu einem Millionen-Schaden, weil eine Buchhalterin Zahlungen an ein Täter-Konto veranlasste, in dem Glauben, der Geschäftsführer habe sie schriftlich darum gebeten. Diese Taten, die CEO-Betrug oder -Scam genannt werden, sind nur durch den Einsatz von ausreichend geschultem Personal und mithilfe von effektivem IT-Sicherheits- und Datenschutzmanagement vermeidbar.
Wie die Täter im Darknet agieren
Das Darknet ist ein geschlossenes, verschlüsseltes Netzwerk innerhalb des Internets, das nur mit dem sog. Tor-Browser genutzt werden kann. Internetseiten aus dem Tor-Netzwerk haben die Domainendung.onion und sind über gewöhnliche WWW-Browser, z.B. Firefox oder Chrome, nicht aufrufbar. Es erscheint stattdessen eine Fehlermeldung. Google und andere Suchmaschinen funktionieren im Tor-Netzwerk nicht. Zwar sind Internetseiten durchaus miteinander verlinkt. Viele Seiten sind aber überhaupt nicht frei oder öffentlich aufrufbar, sondern nur über Foren, Kontakte oder andere Hintertüren auffindbar. In den „dunklen Ecken“ des Tor-Netzwerks finden sich Marktplätze für illegale Waren und Dienstleistungen aller Art.
Bereits Einsteigerkenntnisse und ein Bitcoin-Wallet reichen aus, um bezahlte Hacker für Cybercrime-as-a-Service zu buchen. Zu diesen Services gehören z.B. das Knacken eines Passworts oder das Durchführen einer DDOS-Attacke auf ein Unternehmen. Gefälschte Personalausweise und Reisepässe können hier leicht bestellt werden, diese werden im Anschluss per Post zugesandt. In Foren oder Marktplätzen werden auch geleakte Datensätze von Opfern von Datenklau zum Kauf angeboten. Diese Daten können aus medial bekannten Ransomware-Angriffen stammen oder aber aus Datenpannen wie im Impfzentrum Essen, wo personenbezogene Daten und Gesundheitsdaten von 13.000 Bürgern verloren gegangen sind.
Wenn personenbezogene Daten durch einen Cyberangriff, Datenklau oder eine Datenpanne ins Internet gelangen, werden sie in der Regel zunächst zum Kauf angeboten. Sobald die Daten von einigen Hackergruppen missbraucht wurden, sind sie nicht mehr viel wert.
Praxisrelevanz
Derartige Vorfälle ziehen viele Fragen nach sich: Was ist zu tun? Kann das Systemhaus helfen? Wie können Beweise durch IT-Forensiker gesichert werden? Übernimmt die Cyberversicherung die Kosten? Müssen Mandanten, die Aufsichtsbehörde und vielleicht sogar die Rechtsanwaltskammer informiert werden? Haben Mandanten Schadenersatzansprüche? Hohe Kosten für das Krisenmanagement und die Wiederherstellung von Daten, Verhandlungen mit Erpressern, Lösegelder, mittelfristige Reputationsschäden und ggf. sogar Bußgelder von Datenschutzaufsichtsbehörden wegen mangelhafter Datensicherheit gehören zu den Folgen eines Cybervorfalls in einer Anwaltskanzlei.
Im zweiten Teil unserer Artikelserie erklärt Ihnen unser Experte wie Sie sich vor Schäden, die aus Cyber-Angriffen resultieren, schützen und auf welche Details sie vor, während und nach einem Schadensfall achten müssen. Sie erhalten Antworten auf die wichtigsten Fragen zu Cyber-Versicherungen.
Autor