Cyber Kriminalität
Wenn der Hacker in den Akten stöbert: Cyber Security für die Rechtspraxis
Cyberkriminalität hat international dramatisch zugenommen. Schon seit längerem sehen Behörden eine Verlagerung von Kriminalität ins Internet. Ziel der Attacken sind vor allem Wirtschaftsunternehmen und damit auch Rechtsabteilungen und Kanzleien. Da die Angriffe nicht nur von außen, sondern im Gegenteil meist von innen kommen, sollten sich Entscheider mit diesen Risiken aktiv befassen, sagt Thomas Brox (Geschäftsführer der networker, solutions GmbH) im Interview.
Herr Brox, hinter vielen Cyber-Attacken steckt Wirtschaftsspionage und ist in erster Linie die Forschung und Entwicklung von Unternehmen betroffen. Sind Hacker-Angriffe für Kanzleien oder Rechtsabteilungen überhaupt relevant?
Brox: Naja, wenn ich mir als Hacker überlege, wie ich am besten in ein Unternehmen hineinkomme, nutze ich doch dafür am besten die schwächsten Stellen. Und das können beispielsweise Kanzleien sein, die über Netzwerke mit ihren Mandanten im Rahmen von Transaktionen verbunden sind. Und wenn diese Kanzlei dann Schwachstellen in ihrer IT hat, kommt der Hacker durch die Hintertür zu ihrem Mandanten.
Welche Schwachstellen können das sein?
Brox: Router sind beliebte Scheunentore. Über das Portal Shodan ist es z.B. möglich, unter anderem Router oder sonstige Geräte ausfindig zu machen, die über kein Passwort verfügen. Man kann also darüber gezielt nach Geräten in der Nähe suchen, die trotz Software-Updates kein Passwort haben. Und darüber kann der Hacker dann virtuell die Kanzlei eindringen.
Fällt das denn nicht auf?
Brox: Genau das ist in der Praxis ein Problem. Oft werden Angriffe gar nicht oder viel zu spät erkannt. Denn dafür braucht es sog. Intrusion Detection Systems, die anhand von Heuristiken erkennen, ob sich jemand auf dem System tummelt und verdächtige Bewegungen meldet. Forensiker überprüfen dann, ob es tatsächlich einen Angriff gegeben hat und was zu tun ist. Leider sind die Hacker inzwischen aber auch schlauer geworden und bewegen sich recht vorsichtig in den Systemen. Insbesondere, wenn sogenannte Legacy Systeme vorhanden sind, hat der Hacker leichtes Spiel.
Thomas Brox
Was kann passieren, wenn der Hacker über den Router in die Kanzlei oder Rechtsabteilung gelangt ist?
Brox: Er kann sich ungestört in der Datenbank, in den Akten der Kanzlei und auch auf dem E-Mail-Server umschauen und Mandanten-Daten abziehen. Er kann den digitalen Geschäftsbetrieb lahmlegen, Zugänge sperren und Daten löschen. Nach der Extraktion der Daten, werden diese im Anschluss verschlüsselt. Um die Daten wieder zu entschlüsseln, muss man Lösegeld zahlen, damit die Daten nicht im Internet landen, muss man auch Lösegeld zahlen. Man nennt dies doppelte Erpressung. Zum Beweis werden einige vertrauliche Informationen ins Internet gestellt. Hacker-Angriffe können also nicht nur Geld, sondern auch die Reputation kosten.
Aber gegen Angriffe kann man sich doch durch Firewalls und durch externe Dienstleister schützen…
Brox: Wenn man Intrusion Detection Systeme bzw. Data Loss Prevention Systeme einsetzt, ist das sicherlich ein guter Schutz. Aber dafür muss man erstmal wissen, dass es so etwas gibt und ob der eigene Dienstleister dies einsetzt. Hinzu kommt, dass mehr als 60 Prozent der Angriffe gar nicht von außen, sondern von innen kommen. Und dann nützt die beste Firewall nichts.
Was bedeutet von innen?
Brox: Ein Angriff von Innen kann wissentlich aber auch nicht wissentlich passieren. Das ist genau der Punkt. Nicht wissentlich sind Angriffe in denen der Mitarbeiter als Tor zum Unternehmen genutzt wird, z.B. durch Anklicken eines verseuchten Anhangs einer E-Mail, oder auch durch das Provozieren der Eingabe von seinen Zugangsdaten (bsp. M365) auf einer Phishingseite. Der wissentliche Abfluss wird durch Mitarbeiter begangen, die dem Unternehmen Schaden zufügen wollen oder Werksspionage betreiben.
Und was ist für solche Fälle zu raten?
Brox: Generell sollten auch Kanzleien und Rechtsabteilungen klare Regeln und Prozessabläufe für Cyber-Sicherheit einführen. Ebenfalls gehören dazu Schulung der Mitarbeiter, Begrenzungen der Berechtigungen, sichere Passwörter per Policy, Multifaktor Authentifizierung, insbesondere für Administratorenkonten, regelmäßiges Einspielen von Sicherheitsupdates.
Können Sie Beispiele für solche Regeln nennen?
Brox: Festplatten sollten generell verschlüsselt werden, denn gezielte Diebstähle von Laptops in öffentlichen Verkehrsmitteln sind nicht unüblich. Und wenn die Festplatte nicht verschlüsselt ist, hat ein Hacker trotz Passwort in zwei Minuten die Daten von der Festplatte. Ebenfalls sind in öffentlichen Bereichen Privacy Filter (Blickschutzfolien) zu verwenden, ansonsten droht Datenabfluß durch sogenannte Shouldersurfer. Zugleich muss ich als Kanzleimanager oder Chefjurist auch durch eine sog. incident response dafür sorgen, dass die Systeme wieder entschlüsselt werden können und einen Notfall-Plan haben, was im Fall eines Angriffs zu tun ist. Durch eine Governance Risk Compliance, bzw Incident Response Readiness Beratung lässt sich das abdecken.
Denn im Fall eines Datenlecks ist das Management in der Pflicht…
Brox: Genau. Nach der Datenschutzgrundverordnung müssen Verletzung des Schutzes personenbezogener Daten unverzüglich und spätestens binnen 72 Stunden, nachdem die Verletzung bekannt wurde, den Behörden gemeldet werden. Dazu muss aber erst einmal die Verletzung erkannt werden. Und wenn dazu keine Vorkehrungen getroffen worden sind, ist man von grober Fahrlässigkeit nicht weit entfernt.
Was können Kanzleien und Rechtsabteilungen tun?
Brox: Das Billigste ist, Backups zu machen, die vor dem Zugriff des Hackers geschützt sind und zu testen, ob ein Restore auch funktioniert. Zudem sollte ein Notfallplan festgelegt werden, wie mit dem Backup umzugehen ist. Auf der personellen Seite sind Awareness Trainings und ein klares Regelwerk unerlässlich. Viele Mitarbeiter wissen zum Beispiel nicht, wie sie mit verdächtigen E-Mails umgehen sollen und ca. 80% der erfolgreichen Angriffe erfolgen über E-Mails. Letztlich sind Vorsorge und eine proaktive Aufklärung schon ein guter erster Schritt zu mehr Cyber-Sicherheit.
