Cybergefahren für Rechtsanwälte: Atta­cken gegen Kanz­leien häufen sich

Glück im Unglück: In der Anwaltskanzlei DLA Piper stand im Jahr 2017 die IT weltweit sechs Tage still, als ein Frühwarnsystem darin Schadsoftware erkannt hatte. Die Zwangspause für etwa 9.000 Mitarbeiterinnen und Mitarbeiter hatte nicht nur Umsatzeinbußen, sondern auch einen nicht unerheblichen Reputationsschaden zur Folge.  

In den vergangenen Jahren ist die Zahl der Angriffe von Cyberkriminellen stark angestiegen. Nach einer Studie des Branchenverbandes Bitkom waren in den letzten Jahren 75 Prozent der deutschen Unternehmen mit 100-500 Mitarbeiter:innen betroffen. Der Trend "Big Game Hunting", also die Jagd nach großen Unternehmen, ist nach Informationen des BKA Lagebilds 2021 ungebrochen. Mittelständische Betriebe und gerade auch Rechtsanwaltskanzleien werden immer häufiger angegriffen, wobei über diese Attacken meist nicht berichtet wird.  

Rechtsanwältinnen und Rechtsanwälte sind sehr häufig noch nicht ausreichend gegen Cyberangriffe geschützt. Damit machen sie es den Kriminellen besonders leicht, an die Geheimnisse zu gelangen, die bei der Mandantschaft selbst gut geschützt wären. Vielen Kolleginnen und Kollegen fehlt dabei oft das nötige Problembewusstsein. Sie vertrauen meist darauf, dass ihr Systemhaus sichere Lösungen installiert hat. Doch hier wird leider übersehen, dass Systemhäuser zwar durchaus state-of-the-art IT-Sicherheit liefern. Dies beschränkt sich aber in der Regel auf Windows-Updates, Serverfernüberwachung und Handel mit Antivirussoftware Lizenzen. Das alles greift leider viel zu kurz, was existenzgefährdende Folgen für Berufsgeheimnisträger:innen haben kann.  

Existenzgefährdende Attacken durch Ransomeware 

Ransomeware steht für Schadcode, der Laufwerke oder Dateien derart verschlüsselt, dass ohne Eingabe des Schlüssels darin gespeicherte Daten unbrauchbare Buchstabenhäufen werden. Selbst wenn das von den Tätern geforderte Lösegeld bezahlt wird, ist es häufig ungewiss, ob die Entschlüsselungstools, die von den Tätern dann bereitgestellt werden, wirklich funktionieren. In vielen Fällen lassen sich die Daten nicht mehr ohne weiteres wiederherstellen.  

Doppelt bitter: In den USA wird man sogar bestraft, wenn das Lösegeld – ohne Genehmigung des Office of Foreign Assets Control – an Täter gezahlt wird, die in sanktionierten Staaten oder Gebieten wie dem Iran, der russisch besetzten Krim, Nordkorea oder Syrien sitzen. 

IT-Systeme sind leider nicht standardmäßig gegen Ransomeware Angriffe gewappnet. Der Faktor Mensch spielt bei der Tatbegehung eine entscheidende Rolle. Bereits nach einem unvorsichtigen Mausklick in einer E-Mail, die vermeintlich vom Mandanten oder der Gegenseite stammt, kann das Unglück seinen Lauf nehmen. Word-, Excel- oder ZIP-Anhänge können über die sog. Makro-Funktion zur Falle werden. Wer hier in Dokumenten die "Bearbeitung aktiviert", was in Office-Programmen immer ein nötiger Zwischenschritt ist, riskiert, dass im Hintergrund Schadcode heruntergeladen wird.  

Datendiebe nutzen aber auch häufig Schwachstellen in Betriebssystemen oder Software aus. Im März 2021 wurde eine Sicherheitslücke in der Software "Microsoft Exchange Server" gefunden, die leicht für Cyberangriffe ausgenutzt wird. Microsoft stellte Updates bereit, die allerdings nur zögerlich heruntergeladen wurden. Sogar Rechtsanwaltskammern sahen sich verpflichtet, auf den dringenden Handlungsbedarf hinzuweisen, weil das Risiko vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als sehr hoch eingestuft worden ist. 

Identitätsdiebstahl und Phishing 

Zu den Top 10 der Cybergefahren 2021/2022 gehört Identitätsdiebstahl im Sinne des Missbrauchs von Identitäten zur Begehung von Straftaten. Bereits die Kenntnis der richtigen Kombination von Vor- und Nachnamen und dem Geburtsdatum des Betroffenen genügen, um auf Kosten dessen Bonität im Internet einkaufen zu gehen – E-Mail- oder Lieferadressen werden vor Abschluss des Kaufvertrags in der Regel nicht überprüft.  

Der sogenannte Datenklau eignet sich aber auch hervorragend für perfide Phishing- oder Social-Engineering-Attacken. Unter dem Namen von ehemaligen Angestellten, Mandanten oder Gegnern können leicht E-Mails mit gefährlichen Links oder Schadcode im Anhang verschickt werden. Durch Angriffe auf Anwältinnen und Anwälte gelangen die Täter häufig viel leichter an Betriebs- und Geschäftsgeheimnisse von Unternehmen – dazu reicht oft der Zugriff auf Mandatsakten. 

Social Engineering per Telefon sind derzeit sehr beliebt. Täter geben sich als Microsoft-Mitarbeiter oder Bankpersonal aus, um die Betroffenen zu veranlassen, eine Fernwartungssoftware herunterzuladen, damit eine PC-Reparatur vorgetäuscht werden kann. In vielen Fällen werden Betroffene genötigt, unter Vorspiegelung falscher Tatsachen in Video-Ident-Verfahren zu authentifizieren. Was die Opfer nicht wissen: im Hintergrund legen die Täter damit Konten bei Bitpanda an, um unter dem Namen der Betroffenen Kryptowährungen zu kaufen, die aus allen Wolken fallen, wenn sie deswegen plötzlich Inkasso-Briefe erhalten.  

Wichtige Schutzmaßnahmen 

Niemals darf ein Passwort für mehr als eine Zugangssicherung verwendet werden. Passwörter sollten komplex sein, also aus einer Kombination von mindestens 20 Zeichen mit Buchstaben, Ziffern und Sonderzeichen bestehen. Ein Passwortgenerator kann bei der Erstellung derartige Codes helfen. Der Modus der Passwortvergabe wird üblicherweise in einer Passwortrichtlinie für das gesamte Unternehmen geregelt. Der Einsatz von Passwortmanager-Software ist unverzichtbar, um nachhaltigen Schutz effizient umzusetzen. 

Sensible Nutzerkonten, wie bspw. E-Mail-Postfächer, Cloud-Zugänge, Paypal oder Social-Media, sollten zusätzlich mit der Zwei-Faktor-Authentifizierung abgesichert werden. Zwei-Faktor-Authentifizierung schützt am besten vor Datenklau und Identitätsdiebstahl.  

Alle Betriebssysteme und gängige Apps sind verwundbarer als man meint. Meistens nutzen Cyberkrimielle Sicherheitslücken aus, um sich Zugriff auf Ihre IT zu verschaffen, bevor die Lücke allgemein bekannt wird. Trittbrettfahrer springen auf, sobald eine Sicherheitslücke in der Presse bekannt wird.  

In öffentlichen WLAN-Netzwerken sollte man nur verschlüsselt kommunizieren. Virtuelle private Netzwerke (VPN), z.B. über eine Handy-App, sorgen schnell und leicht für Vertraulichkeit. Fremde Netzwerke sind z.B. WLAN-Netze in der Deutschen Bank WifionICE, in Hotels, Starbucks-Cafés oder an Flughäfen.  

Wie kann sich die Anwaltschaft schützen? 

Cybercrime hat längst die Justiz ins Visier genommen – das Kammerbericht Berlin kann bekanntlich ein Lied davon singen. Anwaltskanzleien sollten daher keine Zeit verlieren und anhand einer Schutzbedarfsanalyse die richtigen Maßnahmen treffen: Welche Daten und Assets der Mandantschaft sind besonders gefährdet? Wie sieht die Gefährdungslage aus, welche Angriffe sind wahrscheinlich, was wären mögliche Folgen eines Angriffs?  

Penetration Tests, Phishing-E-Mail-Trainings und regelmäßige Schulungen zu aktuellen Cybercrime-Trends können helfen, das IT-Sicherheitsniveau auf ein solides Level anzuheben und die Mitarbeiter:innen-Awareness zu steigern.  

Autor Rechtsanwalt Dr. Marc Maisch ist Fachanwalt für IT-Recht und Gründer des Portals Datenklau-hilfe.de