Neue Gefahren für Anwälte
Cyberangriffe können Katastrophenfälle auslösen. Damit hat die Gemeinde Anhalt-Bitterfeld dieses Jahr Geschichte geschrieben. Anfang Juli 2021 hatten Kriminelle die Server des Landkreises mit Schadsoftware infiziert, viele Terabytes and Daten verschlüsselt und Dateien gestohlen. Knapp 1000 Verwaltungsmitarbeiter konnten nur noch mit Kugelschreiber, Telefon und Fax arbeiten. Elterngelder und Unterhaltszuschüsse wurden nicht mehr ausgezahlt und die Kfz-Zulassungsstelle stand über Wochen still. Der Angriff betrifft 92 Personen auch persönlich. Es wurden personenbezogene Daten, u.a. Handynummern, Privatadressen, Bankdaten sowie Firmennamen früherer Arbeitgeber im Darknet veröffentlicht.
Für die Freigabe der verschlüsselten Daten fordern die Täter ein Lösegeld in bislang unbekannter Höhe, das von der Kommune laut Medienberichten abgelehnt worden ist. Betroffen waren alle drei Standorte der Verwaltung in Köthen, Bitterfeld und Zerbst, der Landkreis rief daraufhin den Katastrophenfall aus.
Mit Unterstützung der Bundeswehr wurde eine IT-Notinfrastruktur aufgebaut. Es wird Monate brauchen, bis die IT wieder vollständig hergestellt sein wird. Die Veröffentlichung der personenbezogenen Daten im Darknet lässt sich nicht mehr rückgängig machen. Es ist davon auszugehen, dass der Datenklau zu Identitätsmissbrauch, Begehung von Straftaten oder weiteren Cyberangriffen auf die Opfer führen wird.
Anwälte im Fadenkreuz von Cyberkriminellen
In den vergangenen Jahren ist die Zahl der Angriffe von Cyberkriminellen stark angestiegen. Nach einer Studie des Branchenverbandes Bitkom waren in den letzten Jahren 75% der deutschen Unternehmen mit 100-500 Mitarbeitern betroffen. Der Trend „Big Game Hunting“, also die Jagd nach großen Unternehmen, ist nach Informationen des BKA Lagebilds 2021 ungebrochen. Im Visier der Täter sind aber auch Selbstständige, Familienunternehmen, mittelständische Unternehmen und deren Anwaltskanzleien.
Rechtsanwälte sind sehr häufig noch nicht ausreichend gegen Cyberangriffe geschützt. Damit machen es Rechtsanwälte den Kriminellen besonders leicht, an die Geheimnisse zu gelangen, die beim Mandanten selbst gut geschützt wären. Bei vielen Anwälten fehlt oft das nötige Problembewusstsein. Anwälte vertrauen meist darauf, dass ihr Systemhaus sichere Lösungen installiert hat. Hier wird leider übersehen, dass Systemhäuser zwar durchaus state-of-the-art IT-Sicherheit berücksichtigen. Dies beschränkt sich aber in der Regel Windows-Updates, Serverfernüberwachung und Handel mit Antivirussoftware Lizenzen. Das alles greift leider viel zu kurz, was existenzgefährdende Folgen für Berufsgeheimnisträger haben kann. IT-Sicherheit ist Chefsache, auch und gerade in der Anwaltskanzlei.
Ein explosiver Trend: Ransomeware
Im Jahr 2017 wurde die Anwaltskanzlei DLA Piper von einer Ransomeware-Attacke getroffen. Ein Frühwarnsystem habe die Schadsoftware im System erkannt und alle Systeme heruntergefahren. Eine sechstägige Zwangspause für 9.000 Mitarbeiter weltweit und ein gewaltiger Reputationsschaden, nachdem die Kanzlei erst wenige Wochen vorher ein Whitepaper über Cyberrisks veröffentlicht hatte, waren die unmittelbaren Folgen. Dazu kommen Umsatzverluste und Kosten für die Instandsetzung der IT.
Ransomeware steht für Schadcode, der Computer derart verschlüsseln kann, dass ohne Eingabe des Schlüssels darauf gespeicherte Daten unbrauchbar werden. Selbst wenn das von den Tätern geforderte Lösegeld bezahlt wird, bleibt unklar, ob die Entschlüsselungstools der Täter funktionieren. In vielen Fällen lässt sich die IT nicht mehr ohne weiteres wiederherstellen.
Besonders heikel: Derartige Angriffe können wirklich jeden treffen. Bereits nach einem unvorsichtigen Mausklick in einer E-Mail, die vermeintlich vom Mandanten stammt, kann das Unglück seinen Lauf nehmen. Word-, Excel- oder ZIP-Anhänge können über die sog. Makro-Funktion zur Falle werden. Wer eine derart manipulierte Datei öffnet, erhält innerhalb der Office-Programme einen Hinweis, entweder das bekannte, gelb hinterlegte „Bearbeitung aktivieren“ oder einen Hinweis auf einen Link, der angeklickt werden soll. Auch E-Mails oder sogar SMS können Links mit Schadecode enthalten. Klickt man auf den Link, wird unbemerkt eine Seite geladen, die Schadcode auf den Computer oder das Smartphone herunterlädt.
Täter nutzen aber auch häufig Schwachstellen in Betriebssystemen oder Software aus. Im März 2021 wurde eine Sicherheitslücke in der Software „Microsoft Exchange Server“ gefunden, die leicht für Cyberangriffe ausgenutzt werden konnte. Microsoft stellte Updates bereit, die allerdings nur zögerlich heruntergeladen wurden. Sogar Rechtsanwaltskammern sahen sich verpflichtet, auf den dringenden Handlungsbedarf hinzuweisen, weil das Risiko vom BSI als sehr hoch eingestuft worden ist.
Ist ein System erst einmal aufgrund eines Ransomeware-Angriffs verschlüsselt, steht die Kanzlei sicher wochenlang still. Ein derartiger Vorfall zieht viele Fragen nach sich: Was ist zu tun? Kann das Systemhaus helfen? Wie können Beweise durch IT-Forensiker gesichert werden? Übernimmt die Cyberversicherung die Kosten. Müssen Mandanten, die Aufsichtsbehörde und vielleicht sogar die Rechtsanwaltskammer informiert werden? Haben Mandanten Schadenersatzansprüche?
Hohe Kosten für das Krisenmanagement, Wiederherstellung von Daten und Verhandlungen mit Erpressern, Lösegelder, mittelfristige Reputationsschäden und ggf. noch Bußgelder[1] von Datenschutzaufsichtsbehörden wegen mangelhafter Datensicherheit gehören zu den Folgen eines Cybervorfalls in einer Anwaltskanzlei.
Identitätsdiebstahl und CEO-Betrug
Haben Sie gewusst, dass eine Identität leicht für Straftaten missbraucht werden kann, wenn man Vor- und Nachname und Geburtsdatum eine Person kennt?! Dank „Zahlung auf Rechnung“ ist Computerbetrug und Datenklau sehr leicht geworden. Nicht nur die Opfer haben hier das Nachsehen – wer als Gläubiger die falsche Person verklagt, unterliegt am Ende vor Gericht und hat nichts außer Kosten.
Gestohlene Identitäten eignen sich aber auch hervorragend für perfide Phishing- oder Social-Engineering-Attacken. Unter dem Namen von ehemaligen Angestellten können leicht E-Maills mit gefährlichen Links oder Virendateien im Anhang verschickt, Informationen ausgespäht oder sogar die Änderung von Kontodaten für Gehälter veranlasst werden.
Unter fremden Namen lässt sich viel Schaden anrichten. Man stelle sich vor, dass ein Mandant plötzlich per XING oder LinkedIn eine Datei oder Information anfordert, ohne dass verifiziert wird, ob diese Anfrage tatsächlich vom Mandanten selbst stammt. Denn Fake-Konten können innerhalb weniger Minuten registriert werden. Vielfach werden E-Mail-Postfächer oder Social-Media-Konten von Cyberkriminellen gestohlen, indem geleakte Passwörter genutzt werden. In Zweifelsfällen, insbesondere wenn ein Mandant eine ungewöhnliche Anfrage stellt, einen neuen Kommunikationskanal wählt oder eine Auskunft gemäß Art. 15 DSGVO über die ihn betreffenden Daten verlangt, muss ein Rechtsanwalt die Identität des Anfragenden prüfen. Dies lässt sich z.B. per Telefon oder über eine kurze Nachricht über einen dritten, bekannten und bewährten Kommunikationsweg klären.
In einem uns bekannten Fall führte eine Phishing E-Mail zu einem Millionen-Schaden, weil eine Buchhalterin Zahlungen an ein Täter-Konto veranlasste, im Glauben, der Geschäftsführer habe ihr geschrieben. Diese Taten, die CEO-Betrug oder -Scam genannt werden, sind nur durch ausreichend geschultes Personal und effektivem IT-Sicherheits- und Datenschutzmanagement vermeidbar.
Wie agieren die Täter im Darknet
Das Darknet ist geschlossenes, verschlüsseltes Netzwerk innerhalb des Internets, das nur mit dem sog. Tor-Browser genutzt werden kann. Internetseiten aus dem Tor-Netzwerk haben die Domain .onion und sich über normale WWW-Browser, z.B. Firefox oder Chrome, nicht aufrufbar. Es erscheint eine Fehlermeldung. Google und andere Suchmaschinen funktionieren im Tor-Netzwerk nicht. Zwar sind Internetseiten durchaus miteinander verlinkt. Viele Seiten sind aber überhaupt nicht frei oder öffentlich abrufbar, sondern nur über Foren, Kontakte oder andere Hintertüren auffindbar. In den „dunklen Ecken“ des Tor-Netzwerks finden sich Marktplätze für illegale Waren und Dienstleistungen aller Art.
Bereits Einsteigerkenntnisse und ein Bitcoin-Wallet reichen aus, um bezahlte Hacker für Cybercrime-as-a-Service zu buchen, z.B. ein Passwort knacken oder eine DDOS-Attacke auf ein Unternehmen starten. Gefälschte Personalausweise und Reisepässe können hier leicht bestellt und per Post zugesandt werden. In Foren oder Marktplätzen werden auch geleakte Datensätze von Opfern von Datenklau zum Kauf angeboten. Diese Daten können aus medial bekannten Ransomeware-Angriffen stammen oder aber aus Datenpannen wie im Impfzentrum Essen, wo personenbezogene Daten und Gesundheitsdaten von 13.000 Bürgern verloren gegangen sind.
Wenn personenbezogene Daten durch einen Cyberangriff, Datenklau oder eine Datenpanne ins Internet gelangen, werden zunächst in der Regel zum Kauf angeboten. Sobald die Daten von einigen Hackergruppen missbraucht wurden, sind sie nicht mehr viel wert.
Wie Sie sich schützen können, erfahren auf der Internetseite Datenklau-Hilfe.de.
Fazit
Als Rechtsanwälte ist es unsere Pflicht, fremde Geheimnisse zu schützen – auch und gerade vor Cyberkriminellen. Wir unterstützen Anwaltskanzleien dabei, Risiken zu bewerten und sich gegen Cybercrime technisch, organisatorisch und rechtlich abzusichern. Bei Fragen zu unseren Beratungsleistungen für Rechtsanwälte, Patentanwälte und Notare sprechen Sie uns gerne an. Auch für Kolleginnen und Kollegen gilt: eine telefonische Ersteinschätzung ist immer unverbindlich und kostenlos. 😉
Autor:
Dr. Marc Maisch, Rechtsanwalt und Fachanwalt für IT-Recht
