Phishingmails, Ransomeware und Wirtschaftsspionage: Längst sind Anwält:innen ins Fadenkreuz von Cyberkriminellen gerückt und die Nachrichtenmeldungen über sogenannte „Cyberangriffe“ auf Kanzleien häufen sich. Den diesjährigen „Computer Security Day“ nahmen wir zum Anlass, um mit Dr. Marc Maisch zu sprechen, der sich als Rechtsanwalt und Fachanwalt für IT-Recht auf Datenschutz und die Abwehr und Prävention von Cybercrime spezialisiert hat. Außerdem referierte Dr. Maisch zu dem Thema Informationssicherheit auf dem diesjährigen Anwaltszukunftskongress.
Es scheint ein klarer Trend erkennbar: Cyberangriffe nehmen zu und werden immer gefährlicher. Was steckt hinter solchen Attacken?
Während „Hacking“ in den 90iger Jahren noch ein Spiel von „Skriptkiddies“ war, steckt heute hinter solchen Attacken organisierte Kriminalität. Das belegen auch die Fallzahlen: In den vergangenen Jahren ist die Zahl der Angriffe von Cyberkriminellen stark angestiegen. Nach einer Studie des Branchenverbandes Bitkom waren in den letzten Jahren 75 % der deutschen Unternehmen mit 100-500 Mitarbeiter:innen betroffen. Der Trend „Big Game Hunting“, also die Jagd nach großen Unternehmen, ist nach Informationen des Lagebilds 2021 des Bundeskriminalamts ungebrochen. Mittelständische Betriebe und gerade auch Rechtsanwaltskanzleien werden aber immer häufiger angriffen, wobei über diese Attacken meist nicht berichtet wird.
Auch Kanzleien werden vermehrt Ziel von Cyberangriffen. Mit welchen Risiken sehen sich Rechtsanwält:innen konfrontiert?
Rechtsanwält:innen sind leider sehr häufig noch nicht ausreichend gegen Cyberangriffe geschützt. Damit machen sie es den Kriminellen besonders leicht, an die Geheimnisse zu gelangen, die bei den Mandant:innen selbst gut geschützt wären. Bei vielen Anwält:innen fehlt außerdem oft das nötige Problembewusstsein. Sie vertrauen meist darauf, dass ihr Systemhaus sichere Lösungen installiert hat. Hier wird leider übersehen, dass Systemhäuser zwar durchaus state-of-the-art IT-Sicherheit liefern. Dies beschränkt sich aber in der Regel auf Windows-Updates, Serverfernüberwachung und Handel mit Antivirussoftware-Lizenzen. Das alles greift leider viel zu kurz, was existenzgefährdende Folgen für Berufsgeheimnisträger:innen haben kann.
Existenzgefährdend ist vor allem ein Angriff durch Verschlüsselungstrojaner – sogenannte Ransomware. Ransomware steht für Schadcode-Software, die Laufwerke oder Dateien derart verschlüsselt, dass ohne Eingabe des Schlüssels darin gespeicherte Daten unbrauchbare Buchstabenhaufen werden. Selbst wenn das von den Täter:innen geforderte Lösegeld bezahlt wird, ist es häufig ungewiss, ob die Entschlüsselungstools, die von den Täter:innen dann bereitgestellt werden, wirklich funktionieren. In vielen Fällen lassen sich die Daten nicht mehr ohne weiteres wiederherstellen.
IT-Systeme sind leider nicht standardmäßig gegen Ransomware-Angriffe gewappnet. Der Faktor Mensch spielt bei der Tatbegehung eine entscheidende Rolle. Bereits nach einem unvorsichtigen Mausklick in einer E-Mail, die vermeintlich von den Mandant:innen oder der Gegenseite stammt, kann das Unglück seinen Lauf nehmen. Word-, Excel- oder ZIP-Anhänge können über die sogenannte Makro-Funktion zur Falle werden. Wer hier in Dokumenten die „Bearbeitung aktiviert“, was in Office-Programmen immer ein nötiger Zwischenschritt ist, riskiert, dass im Hintergrund Schadcode heruntergeladen wird.
Natürlich können auch Dateien, die Mandant:innen zur Bearbeitung schicken, oder USB-Sticks diesen Schadcode enthalten, wenn es Täter:innen auf ein bestimmtes Unternehmen abgesehen haben.
Wie können sich Organisationen, vor allem kleine Kanzleien ohne große IT-Ressourcen, vor Cybercrime schützen?
Es ist wichtig, die Basics an IT-Sicherheit richtig umzusetzen. Dann ist schon viel gewonnen. Dazu zählen folgende Tipps: Niemals darf ein Passwort für mehr als eine Zugangssicherung verwendet werden. Passwörter sollten komplex sein, also aus einer Kombination von mindestens 20 Zeichen mit Buchstaben, Ziffern und Sonderzeichen bestehen. Ein Passwortgenerator kann bei der Erstellung derartiger Codes helfen.
Um sich vor Ransomware-Angriffen zu schützen, sollte man auf Mitarbeiter:innen-Awareness im Umgang mit E-Mails setzen, die Makro-Funktion in MS-Office-Programmen deaktivieren und sicherstellen, dass Nutzer:innen keine Admin-Rechte für einen PC haben. Backups in täglicher, wöchentlicher und monatlicher Sicherungsroutine sind überdies unverzichtbar!
Sensible Konten von Nutzer:innen, wie bspw. E-Mail-Postfächer, Cloud-Zugänge, Paypal oder Social-Media, sollten zusätzlich mit der Zwei-Faktor-Authentifizierung abgesichert werden. Dies schützt am besten vor Datenklau und Identitätsdiebstahl.
Alle Betriebssysteme und gängige Apps sind verwundbarer als man meint. Meistens nutzen Cyberkriminelle Sicherheitslücken aus, um sich Zugriff auf Ihre IT zu verschaffen, bevor die Lücke allgemein bekannt wird. Daher sollte man immer aktuelle Updates einspielen und prüfen, ob man von einer bekannten Sicherheitslücke (z.B. MS-Exchange-Server im Jahr 2021) betroffen sein könnte.
In öffentlichen WLAN-Netzwerken sollte man nur verschlüsselt kommunizieren. Virtuelle private Netzwerke (VPN), z.B. über eine Handy-App, sorgen schnell und leicht für Vertraulichkeit. Fremde Netzwerke sind z.B. WLAN-Netze in der Deutschen Bank, WifionICE, in Hotels, Starbucks-Cafés oder an Flughäfen.
Womit müssen Kanzleien in Zukunft rechnen?
Organisierte Kriminalität im Cybercrimebereich nimmt derzeit weiter zu. Die Methoden verändern sich zwar kaum, aber Cybercrime kommerzialisiert sich zunehmend. Da es immer leichter wird, für Laien, Cyberangriffe zu buchen, um einen kriminellen Erfolg zu erzielen, gehe ich davon aus, dass Ransomware- und Phishing-Angriffe in ungeahntem Ausmaß auf Kanzleien niederregnen werden, um zum Beispiel an streng geschützte Geschäfts- oder Betriebsgeheimnisse oder eventuell Beratungsstrategien heranzukommen oder um Berufsgeheimnisträger:innen zu erpressen. Die IT-Sicherheits-Uhr steht sicherlich bereits auf „5 vor 12“.