Praxistipps für Anwaltskanzleien zum Schutz vor Cyberangriffen
Recht & Verwaltung03 Mai, 2022

10 wichtige Praxistipps, um Ihre Anwaltskanzlei vor Cyberangriffen zu schützen

von Dr. Marc Maisch, Rechtsanwalt und Fachanwalt für IT-Recht

1. Erstellen Sie sichere Passwörter

Verwenden Sie für verschiedene Websites sowie Konten nie dasselbe Passwort und ändern Sie Ihre Passwörter regelmäßig.

Passwörter sollten komplex sein, also aus einer Kombination von mindestens 10 Buchstaben, Ziffern und Sonderzeichen bestehen.

Erstellen Sie eine Passwortrichtline, die die Anforderungen an Passwörter regelt. 

2. Verwenden Sie Zwei-Faktor-Authentifizierung

Schützen Sie Ihre Logins zusätzlich mit Zwei-Faktor-Authentifizierung.

Zwei-Faktor-Authentifizierung schützt am besten vor Datenklau und Identitätsdiebstahl. Denn selbst wenn ein Täter an Ihr Passwort gelangt ist, muss er einen zweiten Faktor, z.B. eine SMS-Tan, haben, um auf Ihr Konto zugreifen zu können. Zwei-Faktor-Authentifizierung ist ohnehin Pflicht im Online-Banking. Aber auch E-Mail-Postfächer, Microsoft- und Apple-Konten, Clouds, Google-Konten, Facebook-, Instagram-, YouTube-, Amazon- und Onlineshopping-Konten sollten unbedingt mit einer Zwei-Faktor-Authentifizierung vor dem Zugriff von Dritten geschützt werden. 

Ohne Zwei-Faktor-Authentifizierung können Betrüger leicht das Passwort oder die Registrierungsemail-Adresse ändern und dann das Konto für Identitätsmissbrauch verwenden.

3. Nutzen Sie Passwortmanager

Eine Passwortmanager-Software hilft Ihnen dabei, Passwörter in der Kanzlei sicher zu verwalten. 

Das ist besonders wichtig, wenn verschiedene Personen auf dieselben Websites zugreifen müssen und Passwörter regelmäßig aktualisiert werden müssen. Man kann sich den Passwortmanager wie einen Datentresor vorstellen, der zusätzlich die Qualität der Passwortsicherheit überprüft. 

Aber alles hat seine Grenzen: 
Bankzugangsdaten, Kreditkartendaten, Zugangsdaten zu Microsoft 365 Konten oder die Apple ID für die iCloud sollte man immer sicher und außerhalb eines Passwortmanagers verwahren.

4. Installieren Sie immer alle Updates

Betriebssysteme und Apps sind verwundbarer als man meint. Meistens nutzen Cyberkriminelle Sicherheitslücken aus, um sich Zugriff auf Ihre IT zu verschaffen, bevor die Lücke allgemein bekannt wird oder kurz nachdem die Presse erstmals berichtet hat. Dann ist Gefahr im Verzug: Sie müssen sofort handeln und prüfen, ob das Update bereits für Ihr Gerät verfügbar ist. Updates sind nicht nur für Computer, Server, Drucker und Netzwerkgeräte wichtig. Immer häufiger greifen Täter vor allem Android Handys an, z.B. über SMS-Nachrichten, die Links zu einer Schadcode-Seite enthalten (Vorsicht bei Paket-SMS). Für Handys mit Android OS sollten Sie daher eine Antivirus-Software verwenden. 

Aber auch Kanzleisoftware kann Sicherheitslücken haben. Sorgen Sie dafür, dass immer alle Geräte im Netzwerk auf demselben Stand sind und Updates immer sofort installiert werden. 

Da auch Berufsträger und deren Mitarbeiter zum Angriffsziel von Gegnern oder sogar Kriminellen werden können, empfiehlt es sich, auch im privaten Bereich vorsichtig zu sein. Auch auf privaten IT-Geräten sollten daher alle nötigen Maßnahmen getroffen sein, besonders dann, wenn diese auch für das Home Office verwendet werden und damit Einfallstor für Schadsoftware sein könnten.


5. Schützen Sie sich in Social Media

Ihre private, vertrauliche und ggf. berufliche Kommunikation sollte auch in den sozialen Netzwerken (z.B. XING und LinkedIn) immer gut geschützt sein. Denn Cyberkriminelle können hier sehr viel über Ihr Privat- und Berufsleben erfahren. 

Rechtsanwälte unterliegen zudem der Verschwiegenheitspflicht, sodass Sie Mandatsgeheimnisse besonders schützen müssen (§ 203 StGB). 

Täter gelangen oft mit wenigen Schritten über Dataleaks an Zugangsdaten, weil viele Menschen Passwörter mehrmals verwenden. Testen Sie bei HaveIbeenPwned, ob Sie von Datenklau betroffen sind. 

Verwenden Sie Zwei-Faktor-Authentifizierung für z.B. Facebook und Instagram, um vor Identitätsdiebstahl sicher zu sein.

6. Schützen Sie Ihr Privatleben

Schützen Sie Ihr Privatleben, indem sie private Bilder, Postings und Freundeslisten nicht öffentlich machen. 

Verwenden Sie für Profile immer ein Pseudonym anstatt Ihrem Klarnamen, soweit das mit den Plattformrichtlinien vereinbar ist.

Nehmen Sie keine Fremden als Freunde an und vergewissern Sie sich, dass Ihre Freunde tatsächlich Menschen sind, die Sie kennen und keine Fake-Konten. 

Machen Sie sich klar, dass kostenlose Messenger wie WhatsApp und soziale Netzwerke wie Facebook und Instagram immer alles mitlesen und diese Informationen zur Schaltung von auf Sie zugeschnittener Werbung verwenden. 

Ändern Sie alle Passwörter, auch das vom WLAN-Router, wenn Sie sich von Ihrem Partner trennen, um sich vor Stalking zu schützen.

Geburtsdaten, Namen und Fotos von minderjährigen Kindern haben im Internet nichts verloren – schützen Sie Ihre Familie vor den Zugriffen von Pädophilen und Cyberkriminellen.
Checkliste

Digitale Anwaltskorrespondenz nach DSGVO und BORA

So vermeiden Sie datenschutz- und berufsrechtliche Konsequenzen.

7. Verbessern Sie Ihren Schutz im WLAN

Nutzen Sie virtuelle private Netzwerke (VPN), z.B. über eine Handy-App, wenn Sie in fremden Netzwerken surfen wollen.

Fremde Netzwerke sind z.B. WLAN-Netze in der Deutschen Bank, WifionICE, in Hotels, Starbucks-Cafés oder an Flughäfen. Sobald Sie sich einwählen, kann die gesamte Kommunikation, die nicht z.B. transportverschlüsselt übermittelt wird, von anderen Personen im selben Netzwerk mitgelesen werden. So können die Täter an Passwörter gelangen und die Kontrolle übernehmen.

Für Anwaltskanzleien empfiehlt es sich, beim WLAN-Router einzustellen, welche Geräte mit welchem MAC-Adressen sich einwählen dürfen, um per Whitelisting für Sicherheit zu sorgen.

In jedem Fall sollte ein Gästezugang vorhanden sein, der spätestens mit Ende des Kalendertags abläuft.

8. Prüfen Sie die IT-Sicherheit in Ihrer Anwaltskanzlei 

Führen Sie eine Schutzbedarfsanalyse durch:
Welche Daten und Assets rund um Ihre Mandanten sind besonders gefährdet? Wie sieht die Gefährdungslage aus, welche Angriffe sind wahrscheinlich, was wären mögliche Folgen eines Angriffs?

Prüfen Sie auch, welchen Compliance-Anforderungen Ihre Kanzlei unterliegt und welche Pflichten eingehalten werden müssen.

Für Rechtsanwälte gilt z.B., dass Handakten gem. § 50 Abs. 1 S. 2 BRAO für die Dauer von 6 Jahren aufbewahrt werden müssen. Sollten nun z.B. nur elektronisch geführte Akten durch einen Ransomware-Angriff vollständig verschlüsselt werden, wäre das ein Verstoß gegen das Berufsrecht und gegen die Datenschutzgrundverordnung.

Gemäß § 2 Abs. 1 BORA müssen zudem risikoadäquate technische und organisatorische Maßnahmen zum Schutz der Mandatsgeheimnisse getroffen werden. Das Tatbestandsmerkmal „risikoadäquat“ setzt eine Risikobewertung voraus, aus der konkrete Empfehlungen abgeleitet wurden.

9. Lassen Sie einen Penetration-Test durchführen

Lassen Sie Penetration Tests und Phishing Wellen durchführen, um Ihren Status quo der IT-Sicherheit zu ermitteln und zu bewerten.

Beim Pentest (Penetration Testing) geht es um die manuelle Überprüfung von IT-Systemen auf Sicherheitslücken oder Schwachstellen durch einen „bezahlten Hacker“.
Im Unterschied zu IT-Sicherheitsaudits werden Sicherheitslücken (bspw. Pufferüberläufe oder sog. Format String Vulnerabilities) so weit wie möglich ausgenutzt. Ein Cybersecurity-Spezialist sieht sich dazu im Netzwerk einer Anwaltskanzlei um oder versucht unter einer Legende in den Serverraum zu gelangen. Auf dieser Weise kann ein realistisches Bild der IT-Sicherheit einer Kanzlei gezeichnet werden. 

Bei größeren Kanzleien macht es Sinn, neben der technisch-organisatorischen IT-Sicherheit die physische IT-Sicherheit von Gebäuden zu testen, kopierte RFID-Chips oder Zutrittskarten für Türen oder Sicherheitsschleusen oder das Abfangen von Reinigungspersonal, um sich testweise Zutritt zur Kanzlei zu verschaffen. Hier spielt Social Engineering eine besonders große Rolle. 

Um nicht nur die technische Sicherheit, sondern auch die Mitarbeiter-Awareness zu überprüfen, macht es Sinn, ggf. zeitlich versetzte Phishing-Wellen durchzuführen. Hierbei erhält eine bestimmte Empfängergruppen vordefinierte Phishing-Emails in unterschiedlich guter Qualität, um zu evaluieren, ob weiterer Schulungsbedarf besteht. Die Auswertung der Phishing-Wellen erfolgt meist in Form von Statistiken.

10. Führen Sie Cybercrime-Schulungen für Mitarbeiter durch

Neben geeigneten technischen und organisatorischen Schutzmaßnahmen müssen vor allem die Rechtsfachwirte, Rechtsanwaltsfachangestellten und weiteren Kanzleimitarbeiter bis zu den Auszubildenden und studentischen Hilfskräften regelmäßig geschult werden. 

Mitarbeiter sollten in diesen Themen geschult werden: 
  • Grundlagen zum Schutz der Kanzleisicherheit 
  • IT-Sicherheit 
  • Datenschutz
  • Schutz von Mandatsgeheimnissen
  • Abwehr von Cybercrime
  • Datenklau
  • Identitätsmissbrauch sowie 
  • im Erkennen von Social Engineering Manipulation.
Schulungen sollten praxisnah, workshopartig und kurzweilig gehalten werden, um die Mitarbeiter zu motivieren.

Fazit

Als Rechtsanwälte haben wir die Pflicht, fremde Geheimnisse zu schützen – auch und gerade vor Cyberkriminellen. Es ist nur eine Frage der Zeit, wann mal jemand auf eine E-Mail mit Schadcode klickt und einen massiven IT-Sicherheitsvorfall mit existenzgefährdenden Folgen für die Kanzlei auslöst. Solange es noch nicht zu spät ist, gilt: 

Nehmen Sie die Gefahren ernst!


Passend zum Thema empfehlen wir Ihnen:



Bildnachweis: Tierney/stock.adobe.com  
Back To Top