Cyberattacken können jeden treffen

Datenschutz im Anwaltswesen

Ob Straf-, Zivil- oder Steuerrecht – wer einem Anwaltsberuf nachgeht, weiß um die Vertraulichkeit der Daten, mit denen man tagtäglich zu tun hat. Da das heutige Anwaltswesen ohne voll digitalisierte Kommunikations- und Organisationsstrukturen undenkbar wäre, muss die eigene IT zuverlässig funktionieren. Viele Anwender wissen jedoch oft nicht, welche Cyber-Risiken sie dabei einkalkulieren müssen. Wer sich und seine Daten schützen will, muss gut informiert sein.

Klientendaten
Bankdaten und Buchhaltung
Gerichtsdokumente
Mitarbeiterdaten

Für diese Rechtsgebiete und Kanzleien ist die Cybersicherheit besonders wichtig:

Strafrecht, Zivilrecht, Agrarrecht, Immobilienrecht, Markenrecht, Medizinrecht, Versicherungsrecht, Steuerrecht, Zwangsvollstrecker, Scheidungsanwälte, Baurecht, Patentrecht, Sozialrecht, Wirtschaftsrecht und weitere

Viren, Malware und Co. – mit diesen Gefahren müssen Sie rechnen

Cybergefahren für Anwälte

Cyberattacken sind in Deutschland auf der Tagesordnung. Diese richten sich längst nicht nur gegen große Konzerne – auch selbstständige Juristen und Kanzleien sind betroffen. Gerade wenn es darum geht, sensible Daten zu stehlen, sind Anwälte ein beliebtes Ziel für Cyberangriffe. Diese können desaströse Folgen haben: In kaum einer anderen Branche sind die Daten so vertraulich und das Verhältnis zum Kunden so stark von deren sicherer Verwahrung abhängig. Es ist daher sehr wichtig, über die zahlreichen Gefahrenquellen informiert zu sein.

Der Hackerangriff und das organisierte Verbrechen

Cyberkriminalität richtet sich lediglich gegen „große Unternehmen“? Dieser Ansicht liegt eine gefährliche Fehleinschätzung der Lage zugrunde. Gerade Anwälte arbeiten tagtäglich mit Daten, die für Cyberkriminelle äußerst wertvoll und darüber hinaus ein gutes Druckmittel sein können: Hacker sind unberechenbar und können von der Erpressung bis hin zum Datendiebstahl unterschiedlichste Beweggründe haben, eine Cyberattacke durchzuführen.

Datenschutz- oder Sicherheitsverletzung

Ein Cyberverbrechen muss nicht unbedingt aus einer aktiven Handlung oder einem Angriff hervorgehen. Es gibt Gesetze und Vorschriften zur IT-Sicherheit, deren Missachtung oder mangelhafte Umsetzung strafrechtliche Konsequenzen nach sich ziehen kann. Als aktuelles Beispiel dient hier die neue Datenschutzgrundverordnung: Viele Anwälte scheitern daran, den gesetzlich vorgeschriebenen Umgang mit personenbezogenen Daten einzuhalten. So riskiert man im ärgsten Fall Schadensersatzansprüche, z. B. wenn eine Verletzung der Informationssicherheit vorliegt.

Malware

Malware bezeichnet eine Schadsoftware (englisch: malicious), die von Hackern eingesetzt wird, um Schäden an Rechnern, Smartphones und Tablets zu verursachen. Als häufige Erscheinungsformen seien unter anderem Viren, Würmer, Trojaner oder Spyware genannt. Problematisch wird es vor allem, wenn die Nutzer die „Infektion“ nicht bemerken – was meistens leider zutrifft. In diesem Fall können die Schäden oft nicht mehr eingegrenzt werden, was gerade für Anwälte fatale Folgen nach sich ziehen kann: Malwares können sensible Klientendaten oder Gerichtsdokumente ausspähen, veröffentlichen und zerstören.

Fehler oder Täuschung von Mitarbeitern

Es ist gut und richtig, sich gegen externe Cybergefahren abzusichern. Zahlreiche Studien (z. B. Bitkom oder BSI) belegen allerdings, dass das eigene Büro oder Kanzlei die größte Sicherheitslücke darstellt. Ob unbeabsichtigt (z. B. Phishing) oder mit Vorsatz (Datendiebstahl, Spionage) – es sind oft die eigenen Mitarbeiter und Kollegen, die Cyberkriminellen den Zugang zum IT-System verschaffen.

Auf einen Blick

Hackerangriff/organisiertes Verbrechen

  • Erpressung
  • Cyber-Diebstahl

Datenschutz- oder Sicherheitsverletzung

  • Verletzung der Datenschutzgesetze (bspw. DSGVO)
  • Schadensersatzansprüche nach einer Verletzung der Informationssicherheit

Malware

  • Komplexe Schadprogramme (z.B. Petya, WannaCry)

Fehler oder Täuschung durch Mitarbeiter

  • Verletzung der Netzwerksicherheit
  • Datenklau
  • Datenweitergabe
  • Sabotage

Anwälte und Kanzleien im Cyber-Check

5 Tipps für mehr Cybersicherheit

Cybergefahren sind omnipräsent: Das tägliche Abrufen von E-Mails, der Download einer neuen Software oder unvorsichtiges Surfen – es ist erschreckend, wie leicht sich Hacker Zugriff auf IT-Systeme verschaffen können. Die folgenden Tipps lassen sich meistens direkt umsetzen und tragen zu einer höheren IT-Sicherheit in Büros und Kanzleien bei.

1 Cybersicherheit ist Chefsache

Die digitale Informationssicherheit ist ein Bereich, der ganzheitliche und zentral gesteuerte Konzepte und Lösungen erfordert. Deswegen sollte die Kanzlei- oder Büroleitung immer die erste Anlaufstelle für Fragen oder Probleme sein, die die interne IT betreffen.

2 Updates und Patches aktuell halten

Welche Hard- und Software wird in Ihrem Büro oder Kanzlei überhaupt genutzt? Nachdem Sie sich einen Überblick darüber verschafft haben, sollten Sie sicherstellen, dass alle Updates und Patches auf allen Rechnern aktuell sind. Halten Sie diese stets auf dem letzten Stand und verwenden Sie keinesfalls veraltete Betriebssysteme. Diese Maßnahmen tragen bereits erheblich zur Sicherheit Ihrer Daten bei.

3 Verwenden Sie sichere Passwörter

Der Kanzleiname, das Rechtsgebiet oder „11119999“: Hacker können diese Passwörter ohne große Mühe entschlüsseln. Dafür kommen hocheffiziente Methoden wie der sogenannte Wörterbuchangriff zum Einsatz. Es gibt zwar kein Passwort, dass zu 100 Prozent unknackbar ist, allerdings kann man es den Angreifern so schwer wie möglich machen. Dafür sollte ein Passwort aus mindestens acht zufälligen Zeichen bestehen, also aus Groß- und Kleinschreibung, Ziffern und Sonderzeichen. Passwörter sollten außerdem niemals notiert werden. Sie sorgen für zusätzliche Sicherheit, indem Sie die Passwörter regelmäßig ändern und nicht mehrfach verwenden.

4 Mitarbeiter regelmäßig schulen

Mitarbeiter stellen die größte Gefahrenquelle für die IT-Sicherheit von Büros oder Kanzleien dar. Das Öffnen eines infizierten Mailanhangs kann bereits ausreichen, um den Stein ins Rollen zu bringen und große Schäden zu verursachen. Deswegen sollten Ihre Mitarbeiter regelmäßig geschult und durch interne Awareness-Kampagnen auf aktuelle IT-Sicherheitsthemen aufmerksam gemacht werden. Eine gute Präventionsarbeit ist maßgeblich für die Cybersicherheit von Büros und Kanzleien.

5 Datensicherung ist elementar

Daten sollten regelmäßig gesichert und die Backups an unterschiedlichen Orten aufbewahrt werden. So vermeidet man nicht nur den Datenverlust: Backups bieten auch Schutz vor „Ransomware“, die von Cyberkriminellen zu Erpressungszwecken verwendet wird. Dabei wird der Inhalt eines Computers verschlüsselt und die Nutzer erhalten eine Lösegeldforderung. Weigert man sich zu bezahlen, drohen die Hacker mit der Zerstörung der Daten.

Jetzt ihre Website prüfen.

Damit eine Cyberversicherung abgeschlossen werden kann, müssen in der Regel bestimmte Grundvoraussetzungen erfüllt sein: So dürfen Mitarbeiter, die im Homeoffice arbeiten, nicht von der Backup-Pflicht ausgenommen werden und die Caches der Kanzleirechner müssen regelmäßig geleert werden. Was zu tun ist, um Ihr Büro optimal auf einen Vertragsabschluss vorzubereiten, können Sie der hier bereitgestellten Cyber-Checkliste entnehmen.

Mit dieser Checkliste können Sie einen Quick-Check durchführen:

  • Virenscanner, Spamschutz, Firewall und Sicherheitssoftware installieren
  • Daten regelmäßig und getrennt sichern
  • Eine Schlüsselsoftware installieren: Damit sind alle Daten nur über einen Schlüssel oder ein spezielles Passwort zugänglich
  • Unterschiedliche Passwörter nutzen und diese in regelmäßigen Abständen aktualisieren. Diese sollten zudem sicher sein und Groß- und Kleinbuchstaben, Ziffern und Buchstaben enthalten sowie mindestens acht Buchstaben haben
  • Keine Mails von unbekannten Adressaten öffnen
  • Mitarbeiter, die im Homeoffice arbeiten oder ein dienstliches Smartphone nutzen, müssen ebenfalls immer wieder ein Backup ausführen
  • Möglichst regelmäßig den Cache leeren
  • Sensibilisierung der Mitarbeiter für das Thema Datenschutz und Cyber-Kriminalität
Cyber-Checkliste downloaden

Cyberschäden im Anwaltswesen

Die Folgeschäden einer Cyberattacke

Cyberangriffe auf unzureichend geschützte IT-Systeme können schwerwiegende Folgen nach sich ziehen und extreme Kosten verursachen. Unter Umständen kann dies sogar zu kurz- und langfristigen Betriebsunterbrechungen führen. Eine erfolgreiche Cyberattacke kann Anwälten ernsthafte Probleme bereiten, zum Beispiel wenn vertrauliche Klientendaten veröffentlicht oder Gerichtsdokumente zerstört werden. Auch das Vertrauen der Kunden wird zwangsläufig darunter leiden.

Folgeschäden
  • Datenwiederbeschaffung
  • Neueingabe von Daten
  • Neuinstallationen
  • Aufwendungen für Verschlüsselungen
  • Kosten aufgrund fehlerhaftem Versands
  • Schäden durch elektronischen Zahlungsverkehr
  • Telefonmehrkosten
  • Ertragsausfall und Mehrkosten
  • Aufwendungen für eine Ursachenermittlung
  • Notwendige Krisenkommunikation
  • Auftretende Informationskosten
  • Ersatz der Hardware
  • Anwaltskosten
  • Ansprüche nach der Weitergabe von Schadsoftware an Dritte

3 Leistungen, für die Sie externe Hilfe holen müssen

Dienstleister für Cybersicherheit bei Anwälten

Die Folgen von Cyberattacken sind äußerst problematisch und können in den meisten Fällen nicht ohne externe Hilfe bewältigt werden. Spezialisierte Dienstleister bieten hier ganzheitliche Lösungen an und unterstützen Ihr Büro oder Kanzlei in den folgenden Punkten:

Online-Training

  • Nachhaltiges Training
  • Aktuelle Trainingsvideos über Sicherheitsrisiken
  • Konkrete Handlungsempfehlungen
Zum Online-Training

Mitarbeiterschulung

  • Gefahrenüberlick
  • Präventionsschulungen
Mitarbeiter schulen

Penetrations-Test

  • Angriffssimulation
  • Proaktives Erkennen von Sicherheitslücken
  • Detailierter Sicherheitsreport
Zum Pen-Test anmelden

Sie sind Opfer einer Cyberattacke geworden? Das müssen Sie jetzt tun

Sofort-Maßnahmen nach einem Cyberangriff

Obwohl die entsprechenden Sicherheitsmaßnahmen ergriffen wurden, kann es immer noch dazu kommen, dass Hacker in IT-Systeme eindringen und dort Schäden verursachen. Deswegen sollte in allen Anwaltskanzleien ein Notfallplan vorliegen, in dem alle Abläufe und Zuständigkeiten klar festgelegt sind. Nur so kann man im Ernstfall schnell handeln und den Schaden begrenzen.

Was im Schadensfall konkret zu tun ist, zeigt diese Checkliste:

  • Interne Aufklärungsarbeit (Schwachstellen analysieren und Einfallstor schließen)
  • Kontinuierliche Überwachung der Systeme auf erneuten Angriffen
  • Schaden (d.h. Datenabfluss/-verlust) ermitteln
  • Juristisch gebotene Schritte einleiten (zum Beispiel Meldepflichten gegenüber Aufsichtsbehörden)
  • Konkrete Argumentationslinien und Kommunikation nach innen/außen entwickeln

Nach einem Cyberangriff ist unbedingt zu prüfen, ob der Vorfall Meldepflichten gegenüber Aufsichtsbehörden und Partnern im In- und Ausland auslöst. So können entsprechende Haftungsrisiken und Bußgelder vermieden werden.

Jetzt Schaden melden

Cyberversicherung für Anwälte

Davor schützt eine Standard-Cyberversicherung

Nach einem erfolgreichen Cyberangriff haben es die Betroffenen oft mit hohen Kosten und einer zeitintensiven Schadensbegrenzung zu tun. Um die finanziellen und rechtlichen Konsequenzen abzumildern, ist es ratsam, eine Cyberversicherung abzuschließen. Da sich die einzelnen Policen teilweise sehr stark voneinander unterscheiden, muss sorgfältig geprüft werden, welche konkreten Schadensfälle im Anwaltswesen tatsächlich abgesichert werden. Außerdem sollte man sich genau informieren unter welchen Voraussetzungen der Versicherungsschutz überhaupt greift.

Zu den Versicherungsprodukten

Ist eine Cyberversicherung sinnvoll?

Brauchen Anwälte eine Cyberversicherung?

Die Cyberangriffe durch „Petya“ und „WannaCry“ haben gezeigt, dass Cybergefahren omnipräsent sind und jede Branche treffen können – auch das Anwaltswesen. Hinter einer solchen Attacke muss jedoch keine organisierte Kriminalität stehen: Eine kleine Unachtsamkeit reicht bereits aus, um existenzbedrohliche Schäden zu verursachen. Cyberversicherer haben es sich hier zur Aufgabe gemacht, den finanziellen Verlust zu deckeln und u. a. bei der Datenwiederherstellung behilflich zu sein. Einige Policen beinhalten außerdem die Möglichkeit der telefonischen Beratung, z. B. wenn rechtliche oder anderweitige Fragen zu klären bleiben.