Cyberattacken können jeden treffen

Datenschutz in der Recht- und Consulting-Branche

Wer als Berater für Unternehmen oder Privatpersonen tätig ist, verarbeitet täglich hochsensible Kunden- oder Mitarbeiterdaten. Die immer komplexer werdenden Abrechnungsprozesse in der Beraterbranche machen vollständig digitalisierte Systeme zum unverzichtbaren Bestandteil des Arbeitsalltags. Deswegen ist es umso wichtiger, dass die hauseigene IT zuverlässig funktioniert. Doch was, wenn Fehler auftreten? Trotz jüngster Vorkommnisse sind sich die meisten Anwender der zahlreichen Cyber-Gefahren nicht bewusst: Wer sich und sein Büro schützen will, muss gut informiert sein.

Kundendaten
Bankdaten
Buchhaltung
Partner- und Mitarbeiterdaten

Für diese Beratungsarten ist Cybersicherheit besonders wichtig:

Rechtsberatung, Unternehmensberatung, Steuerberatung, Coaching, Finanzberatung, Lebensberatung, Mediation, Eheberatung, Weiterbildungsberatung, Rentenberatung, Schuldnerberatung, Politikberatung, Systemische Beratung, Supervision

Viren, Malware und Co. – diese Gefahren können auch Sie treffen

Cybergefahren in der Recht- und Beratungsbranche

Cyberattacken gehören in Deutschland zum bitteren Unternehmensalltag. Hacker finden immer wieder neue Angriffspunkte – gerade, wenn es darum geht, sensible Daten zu stehlen. Vor allem in der Recht- und Beratungsbranche wird mit etlichen personenbezogenen Daten gearbeitet, die vertraulich behandelt und vor Cyberattacken geschützt werden müssen. Insofern ist in dieser Branche unerlässlich, sich mit den entsprechenden Gefahren auseinanderzusetzen.

Der Hackerangriff und das organisierte Verbrechen

Falls Sie glauben, dass Ihr Unternehmen zu „unbedeutend“ ist, um Opfer einer Cyberattacke zu werden, könnte Ihnen diese Ansicht teuer zu stehen kommen: Gerade Daten, die in der Recht- und Beratungsbranche prozessiert werden, stellen für Internetkriminelle ein wertvolles Diebesgut dar. Eine Attacke kann dabei äußerst verschiedene Beweggründe haben: Diese reichen von der Betriebsspionage über den Bankdatendiebstahl bis hin zur Erpressung.

Datenschutz- oder Sicherheitsverletzung

Ein Cyberverbrechen muss dabei nicht zwingend aus einer aktiven Tat hervorgehen. Werden entsprechende Gesetze nicht eingehalten oder Vorschriften nicht oder nur ungenügend umgesetzt, können die dadurch bedingten Lücken im IT-System strafrechtliche Konsequenzen für ein Unternehmen nach sich ziehen. Als gutes Beispiel dient hier die neue Datenschutzgrundverordnung: Viele Berater tun sich schwer, die neuen Vorschriften zum Umgang mit personenbezogenen Daten korrekt umzusetzen. Damit riskieren sie oftmals Schadensersatzansprüche, die aus einer Verletzung der Informationssicherheit hervorgehen.

Malware

Malware bezeichnet eine bösartige (englisch: malicious) Software, die Computern, Smartphones und Tablets schaden soll. Dazu kommen unter anderem Trojaner, Viren oder Spywares zum Einsatz. Meistens bleibt die „Infektion“ eines Gerätes von den Nutzern unbemerkt, was zur Folge haben kann, dass die Schäden sich auf weitere Computer im Firmennetzwerk ausweiten. Gerade in der Recht- und Beratungsbranche kann dies fatale Folgen nach sich ziehen: Malwares können sensible Kundendaten scannen, speichern und sogar unwiderruflich zerstören.

Fehler oder Täuschung von Mitarbeitern

Auch wenn es richtig ist, sich und sein Unternehmen vor externen Faktoren zu schützen, belegen zahlreiche Studien (Bitkom, BSI u. a.), dass die größten Sicherheitslücken innerhalb der Betriebe zu schließen sind. Ahnungslose Mitarbeiter, die Opfer von Phishing-Mails werden oder ein bewusster Akt der Täuschung (Datendiebstahl, Spionage): Cyberkriminellen wird der Zugang zur IT oft von innen ermöglicht.

Auf einen Blick

Hackerangriff/organisiertes Verbrechen

  • Erpressung
  • Cyber-Diebstahl

Datenschutz- oder Sicherheitsverletzung

  • Verletzung der Datenschutzgesetze (bspw. DSGVO)
  • Schadensersatzansprüche nach einer Verletzung der Informationssicherheit

Malware

  • Komplexe Schadprogramme (z.B. Petya, WannaCry)

Fehler oder Täuschung durch Mitarbeite

  • Verletzung der Netzwerksicherheit
  • Datenklau
  • Datenweitergabe
  • Sabotage

Unternehmen im Cyber-Check

5 Tipps für mehr IT-Sicherheit

Das tägliche Abrufen der E-Mails, der Besuch einer zwielichtigen Webseite oder der Download einer neuen Office-Software: Cybergefahren lauern überall. Hacker haben es in vielen Fällen einfacher als man zunächst annehmen würde – die Einfallstore für Cybergefahren stehen meist weit offen. Mit den folgenden Tipps können Sie selbst mit einem kleinen Budget für deutlich mehr IT-Sicherheit in Ihrem Betrieb sorgen:

1 Cybersicherheit ist Chefsache

IT-Sicherheit erfordert einen ganzheitlichen Ansatz und muss klaren Vorgaben unterliegen. Deswegen sollte die Chefetage stets die erste Anlaufstelle für einschlägige Fragen sein.

2 Updates und Patches aktuell halten

Sie sollten sich zunächst einen Überblick darüber verschaffen, welche Hard- und Software überhaupt in Ihrem Betrieb genutzt wird. Stellen Sie anschließend sicher, dass alle Updates und Patches der im Büro verwendeten Rechner aktuell sind. Nutzen Sie keinesfalls veraltete Betriebssysteme. Wenn Sie diese einfachen Maßnahmen umsetzen, sind die Erfolgschancen einer Cyberattacke bereits deutlich geringer.

3 Sichere Passwörter nutzen

Der Name Ihres Beratungsunternehmens, der erste Kunde oder schlicht „99991111“? Solche Passwörter müssen dringend vermieden werden, denn Hacker können diese meist ohne große Mühe entschlüsseln – u. a. mit einem sogenannten „Wörterbuchangriff“. Auch wenn es kein „perfektes“ Passwort gibt, können Sie es Hackern so schwer wie möglich machen, Ihr System zu infiltrieren: Verwenden Sie dazu mindestens acht zufällige Zeichen, die aus Groß- und Kleinschreibung, Ziffern und Sonderzeichen bestehen. Ändern Sie diese Passwörter regelmäßig und stellen Sie sicher, dass sie nicht mehrfach verwendet werden. Natürlich sollten Passwörter auch keinesfalls notiert werden.

4 Mitarbeiter regelmäßig schulen

Bei allen externen Gefahren sind es doch die Mitarbeiter, die als größte Gefahrenquelle für die IT-Sicherheit eines Büros gelten. Ob unvorsichtiges Surfen oder das Öffnen und Weiterleiten unbekannter E-Mail-Anhänge: Eine kleine Unachtsamkeit genügt bereits, um große Schäden zu verursachen. Deswegen sollten Ihre Mitarbeiter regelmäßig geschult und für Cybersicherheit sensibilisiert werden. Auch interne Kampagnen zu relevanten IT-Themen oder aktueller Malware sind Teil einer erfolgreichen Präventionsarbeit.

5 Datensicherung ist elementar

Backups müssen regelmäßig durchgeführt und an unterschiedlichen Orten aufbewahrt werden, um Ihr Unternehmen nicht nur vor Datenverlust sondern auch vor „Ransomware“ zu schützen. Dabei handelt es sich um eine Software, die von Cyberkriminellen verwendet wird, um ahnungslose Nutzer zu erpressen: Die Daten auf einem Computer werden verschlüsselt und erst gegen ein Lösegeld wieder zugänglich gemacht. Bei Nichtbezahlen droht der Datenverlust.

Jetzt ihre Website prüfen.

Eine Cyberversicherung kann oftmals nur abgeschlossen werden, wenn ein Unternehmen bestimmte Grundvoraussetzungen erfüllt. Dazu gehört unter anderem die ständige Aktualisierung von Sicherheitssoftware oder die Nutzung unterschiedlicher Passwörter, die regelmäßig geändert werden müssen. Um Ihr Beratungsunternehmen auf einen Vertragsabschluss vorzubereiten, können Sie hier eine Cyber-Checkliste downloaden und Stück für Stück abarbeiten.

Mit dieser Checkliste können Sie einen Quick-Check durchführen:

  • Virenscanner, Spamschutz, Firewall und Sicherheitssoftware installieren
  • Daten regelmäßig und getrennt sichern
  • Eine Schlüsselsoftware installieren: Damit sind alle Daten nur über einen Schlüssel oder ein spezielles Passwort zugänglich
  • Unterschiedliche Passwörter nutzen und diese in regelmäßigen Abständen aktualisieren. Diese sollten zudem sicher sein und Groß- und Kleinbuchstaben, Ziffern und Buchstaben enthalten sowie mindestens acht Buchstaben haben
  • Keine Mails von unbekannten Adressaten öffnen
  • Mitarbeiter, die im Homeoffice arbeiten oder ein dienstliches Smartphone nutzen, müssen ebenfalls immer wieder ein Backup ausführen
  • Möglichst regelmäßig den Cache leeren
  • Sensibilisierung der Mitarbeiter für das Thema Datenschutz und Cyber-Kriminalität
Cyber-Checkliste downloaden

Die Folgeschäden einer Cyberattacke

Cyberschäden in der Recht- und Consulting-Branche

Cyberattacken, die auf unzureichend geschützte IT-Systeme treffen, können schwere Folgen nach sich ziehen. Dabei kann es im schlimmsten Fall sogar zu kurz- und langfristigen Betriebsunterbrechungen kommen. Was selbst großen Konzernen Probleme bereitet, trifft mittelständische Beratungsunternehmen mit voller Wucht: Wichtige Dokumente gehen verloren oder brisante Unternehmensgeheimnisse von Kunden werden veröffentlicht. Dadurch wird das Vertrauen Ihrer Klienten dauerhaft beschädigt.

Folgeschäden
  • Datenwiederbeschaffung
  • Neueingabe von Daten
  • Neuinstallationen
  • Aufwendungen für Verschlüsselungen
  • Kosten aufgrund fehlerhaften Versands
  • Schäden durch elektronischen Zahlungsverkehr
  • Telefonmehrkosten
  • Ertragsausfall und Mehrkosten
  • Aufwendungen für eine Ursachenermittlung
  • Notwendige Krisenkommunikation
  • Auftretende Informationskosten
  • Ersatz der Hardware
  • Anwaltskosten
  • Ansprüche nach der Weitergabe von Schadsoftware an Dritte

3 Leistungen, für die Sie externe Hilfe holen müssen

Dienstleister für Cybersicherheit in der Recht- und Consulting-Branche

Die Folgen einer Cyberattacke können meist nicht ohne externe Hilfe bewältigt werden. Es gibt zahlreiche Dienstleister, die sich auf diesem Gebiet spezialisiert haben und ganzheitliche Lösungs- und Präventionsansätze anbieten. Die Experten können Sie und Ihr Unternehmen in den folgenden Punkten unterstützen:

Online-Training

  • Nachhaltiges Training
  • Aktuelle Trainingsvideos über Sicherheitsrisiken
  • Konkrete Handlungsempfehlungen
Zum Online-Training

Mitarbeiterschulung

  • Gefahrenüberlick
  • Präventionsschulungen
Mitarbeiter schulen

Penetrations-Test

  • Angriffssimulation
  • Proaktives Erkennen von Sicherheitslücken
  • Detailierter Sicherheitsreport
Zum Pen-Test anmelden

Cyberattacke: Das müssen Sie jetzt tun

Sofort-Maßnahmen nach einem Cyberangriff

Auch wenn Präventionsmaßnahmen ergriffen wurden und alle Updates auf dem neuesten Stand sind, kann es Cyberkriminellen leider immer noch gelingen, ein IT-System erfolgreich zu hacken und zu beschädigen. Deswegen sollte jedes Büro einen Notfallplan bereithalten, in dem die Zuständigkeiten sowie die Abläufe und die zu ergreifenden Maßnahmen klar definiert sind. Nur so kann schnell gehandelt und der Schaden auf ein Minimum begrenzt werden.

Die folgende Checkliste zeigt, was nach einer Cyber-Attacke konkret zu tun ist:

Was im Schadensfall konkret zu tun ist, zeigt diese Checkliste:

  • Interne Aufklärungsarbeit (Schwachstellen analysieren und Einfallstor schließen)
  • Kontinuierliche Überwachung der Systeme auf erneuten
  • Schaden (d.h. Datenabfluss/-verlust) ermitteln
  • Juristisch gebotene Schritte einleiten (zum Beispiel Meldepflichten gegenüber Aufsichtsbehörden)
  • Konkrete Argumentationslinien und Kommunikation nach innen/außen entwickeln
  • Konkrete Argumentationslinien und Kommunikation nach innen/außen entwickeln

Nach einer Cyber-Attacke ist umgehend zu prüfen, ob und inwieweit der Vorfall bestimmten Meldepflichten gegenüber Stakeholdern oder Aufsichtsbehörden im In- und Ausland unterliegt. So können Haftungsrisiken und damit einhergehende Bußgelder umgangen werden.

Davor schützt eine Standard-Cyberversicherung

Cyberversicherung für die Recht- und Beratungsbranche

Ein erfolgreicher Cyberangriff auf ein IT-System zieht oft Konsequenzen nach sich, die nicht nur sehr teuer sind, sondern auch enorm viel Zeit in Anspruch nehmen können. Um die rechtlichen und finanziellen Schäden abzumildern, empfiehlt sich der Abschluss einer Cyberversicherung. Die Policen können sich dabei sehr stark voneinander unterscheiden; deshalb sollte man sich genau informieren, welche Szenarien im Schadenfall vertraglich abgesichert sind und unter welchen Voraussetzungen der Versicherungsschutz besteht.

Zu den Versicherungsprodukten

Ist eine Cyberversicherung sinnvoll?

Braucht die Recht- und Consulting-Branche eine Cyberversicherung?

Die jüngsten großflächigen Cyberattacken durch die Malwares „Petya“ und „WannaCry“ haben nochmal verdeutlicht, wie akut und allgegenwärtig die Gefahren für Unternehmen sind. Dabei muss es sich nicht einmal um einen gut orchestrierten Angriff handeln, der von organisierten Gruppen durchgeführt wird – es genügt bereits die kleinste Unachtsamkeit eines Mitarbeiters, um immense Schäden anzurichten. Genau hier sichern Cyberversicherer ab: Finanzielle Schäden, die durch Cyberattacken entstanden sind, werden in der vertraglich vereinbarten Höhe gedeckelt; außerdem können die Dienstleister bei der Datenwiederherstellung behilflich sein. Die meisten Verträge beinhalten darüber hinaus eine telefonische Beratung, falls noch rechtliche oder anderweitige Fragen offen sein sollten.