Anwaltskanzleien haben mit höchst privaten und persönlichen Informationen ihrer Klienten zu tun. Informationen, von denen Kunden erwarten (dürfen), dass sie dementsprechend geschützt werden. Leider ist das in einem besorgniserregenden Maß nicht der Fall. Es fehlt an Budget, ausreichenden Sicherheitsvorkehrungen und Schulungen. Nicht selten riskieren Kanzleien dadurch eine ganze Menge, denn die Informationen ihrer Klienten sind in diesem Augenblick nicht sicher.
Die Daten der Klienten sind wichtig für beide: Kunden und Kanzlei. Erst die Geheimhaltung und Integrität dieser Daten stellt sicher, dass Klienten einer Kanzlei weiterhin vertrauen. Gehen Daten verloren oder werden gestohlen, ist das nicht gerade eine vertrauensbildende Maßnahme, die Kunden bindet. Eher im Gegenteil. Kanzleien muss daran gelegen sein, Cybersicherheit genauso wichtig zu nehmen, wie die zur Verfügung gestellten Kernkompetenzen.
Kenne Deinen Feind – Gängige Bedrohungsszenarien im Rechtswesen
Cyberangriffe sind vielfältig und es gibt eine ganze Reihe möglicher Bedrohungsszenarien:
- Ransomware – Angreifer übernehmen die Kontrolle über Systeme und Dateien, bis Sie ein Lösegeld zahlen, um die Kontrolle über die Daten (hoffentlich) wieder zu erlangen.
- DDoS-Angriff – Ihre Systeme werden durch Überlastung stillgelegt.
- Datendiebstahl – Angreifer haben Zugang zu Kundendaten und verkaufen diese anschließend online.
- Man-in-the-Middle–Angriff – Ein Hacker verändert die Kommunikation zwischen zwei Parteien, ohne dass die Beteiligten davon Kenntnis haben.
- Phishing – Ein Angreifer gibt sich als jemand vertrauenswürdigen aus, um sensible Daten, wie beispielsweise Benutzernamen oder Bankdaten, zu erbeuten.
- Passwortangriff – Das Passwort wurde kompromittiert und ein Angreifer kann auf Ihre Konten zugreifen.
- Viren, Würmer und Bots – Hierbei handelt es sich um kleine Codeausschnitte, die in Ihre Systeme eingebettet und dort für bösartige Zwecke verwendet werden, wie etwa um ein System zu beschädigen, Daten zu stehlen oder Malware zu verbreiten.
Was dabei wirklich beunruhigend ist, ist nicht nur die Vielfalt der Cyberangriffe als solche, sondern die Tatsache, dass die meisten Cyberangriffe stattfinden, ohne dass Sie es selbst mitbekommen. Es geht also nicht nur um Prävention, sondern auch darum, einen Angriff zu erkennen, wenn er stattfindet. Es gibt einige Taktiken, die eine Anwaltskanzlei heutzutage in ihre Cybersicherheitsstrategie einbetten sollte.
Mitarbeiter schulen
Wir beginnen mit einem der wichtigsten Schritte zur Cybersicherheit in JEDEM Unternehmen: Der Mitarbeiterschulung. Es mag unlogisch erscheinen, sich dem Thema Cybersicherheit nicht von der IT-Abteilung aus gesehen zu nähern, aber das schwächste Glied in der Kette sind in der Tat die eigenen Mitarbeiterinnen und Mitarbeiter. Die International Legal Technology Association (ILTA) führte eine Studie durch, die ergab, dass 60,9 % der Angestellten von Anwaltskanzleien glauben, dass in menschlichem Versagen die größte Gefahr für die Cybersicherheit ihrer Kanzlei liegt.
Wir empfehlen, Mitarbeiter im Hinblick auf die folgenden Risiken zu schulen:
- Umgang mit Phishing-Mails
- Umgang mit Kundendaten
- Senden von sensiblen Daten per E-Mail
- Umgang mit Passwörtern
Dazu gehört auch, dass Sie eine Mitarbeiterrichtlinie rund um Cybersicherheit definiert haben und dafür sorgen, dass wirklich jeder an der betreffenden Schulung teilnimmt.
Zwei-Faktor-Authentifizierung aktivieren
Passwörter sind berüchtigt für ihre Unzuverlässigkeit. Sie können mittels Brute-Force-Angriffen geknackt werden, aber auch die Trägheit von Angestellten gefährdet ihre Sicherheit (dazu gehören das Wiederverwenden von Passwörtern, das Verwenden von leicht zu erratenden Passwörtern, das Aufschreiben, Verlieren und Vergessen von Passwörtern und vieles mehr). Stellen Sie sich vor, ein Hacker stiehlt oder knackt das Passwort eines Mitarbeiters und hackt sich dann in das Backend Ihrer Systeme. Er verfügt jetzt über eine umfassende Kontrolle und kann auf alles zugreifen, auf das der betreffende Mitarbeiter zugreifen kann. Um das zu verhindern, eignen sich stärkere Authentifizierungsmethoden, wie etwa einen zweiten Faktor hinzuzufügen.
Es gibt eine Reihe von Möglichkeiten, wie man das im Einzelnen bewerkstelligen kann. Aber alle Möglichkeiten fallen unter den Begriff der »Zwei-Faktor-Authentifizierung«. Sie fügt nach der Eingabe Ihres Passwortes einen weiteren Schritt ein. Dieser weitere Schritt kann sein:
- Hinzufügen Ihres Fingerabdrucks.
- Einführen einer Smartcard oder eines Tokens in Ihren Computer, die eine Identitätsanmeldeinformation enthalten.
- Einen Code oder eine Push-Benachrichtigung zu erhalten, die an Ihr Handy gesendet werden. Beide werden gemeinhin als Einmalpasswort (OTP) bezeichnet.
- Verifizierung Ihrer Identität mit einem digitalen Zertifikat, auch bekannt als ‘Client-Authentifizierung’.
Über die Art der Authentifizierung, die am besten zu einem Unternehmen passt, sollte man von Fall-zu-Fall entscheiden.
Sicherstellen, dass Ihre Software auf dem neuesten Stand ist
Jedes IT-System in Ihrem Unternehmen, unabhängig davon ob Sie verschiedene Internet-Browser, Desktop-Anwendungen oder Betriebssysteme verwenden, hat potenzielle Sicherheitslücken. Täglich werden neue gefunden und die einzige Möglichkeit, nicht in den Strudel gezogen zu werden, ist es, Ihre Software auf dem neuesten Stand zu halten.
Dies hilft Ihrer IT-Abteilung alle Computer von einem zentralen System aus zu kontrollieren (möglicherweise in der Cloud), sodass Updates gleichzeitig an alle Computer geschickt werden, statt dass sich IT-Teams jeden Computer einzeln vornehmen müssen.
Leider müssen bei dieser Art von Updates die Unternehmen selbst die Updates freigeben und ihre Sicherheitslücken patchen. Daher ist die beste Strategie, dass die jeweilige IT-Abteilung über mögliche Sicherheitslücken auf dem Laufenden ist.
Ihre Server-Sicherheitsoptionen kennen
Stellen Sie sich vor, dass alle Ihre virtuellen Unternehmensdaten irgendwo in einem Schloss eingesperrt sind und von einem Drachen bewacht werde – das wäre ein Bild für den Einsatz von einem Server. Ihre Server managen viele Anwendungen und Programme, die eine Kanzlei jeden Tag verwendet. Ohne diese Dienste würde eine Kanzlei online nicht funktionieren.
Davon abgesehen hat diese Maschine, von der Sie wahrscheinlich mehr als eine in Ihrer IT-Abteilung haben, ein sehr eigenes technisches Bedürfnis nach Sicherheit. Verschiedene Arten von Servern haben verschiedene Sets von Konfigurationen und Regeln, die sie befolgen müssen, um sicher zu sein. Dies sind die Grundlagen:
- Verschlüsselung – Ihr Server sollte ebenfalls über ein digitales Zertifikat verfügen. Sie wollen sicherstellen, dass der Server sich selbst als vertrauenswürdiges Gerät identifizieren kann, sodass die Daten auf Serverebene verschlüsselt und entschlüsselt werden, wenn Sie oder Programme/Dienste sich mit diesem Server verbinden.
- VPNs und private Netzwerke – Private Netzwerke sind eine Möglichkeit, Verbindungen zwischen entfernten Rechnern oder Servern abzusichern. Die Ersteinrichtung eines VPN ist ein wenig arbeitsaufwendig, aber es lohnt sich wegen des höheren Sicherheitslevels.
- Dienstüberprüfung – Regelmäßige Prüfungen sollten Bestandteil jedes Servermanagements sein. Das Verfahren beinhaltet die Überprüfung, welche Dienste in Ihrer Infrastruktur ausgeführt werden. Damit können Sie Ihre Firewall genauer neu konfigurieren. Denn Sie kennen den Dienst, der ausgeführt wird, wissen welchen Port er für die Kommunikation verwendet und welche Protokolle sie akzeptieren. Je mehr Dienste beim Hochfahren ausgeführt werden desto größer ist die Angriffsfläche.
- Angriffserkennung/Firewalls – Durch Dateiüberwachung und Angriffserkennung (eine Software, die überwacht, was in Ihre lokalen Netzwerke herein und heraus geht) können Sie plötzliche Änderungen im System überprüfen, die verdächtig erscheinen und gleichzeitig Updates an der Firewall vornehmen, die kontrolliert, welche Dienste zugelassen sind.
- Isolierte Ausführungsumgebung – Um einen Server sicher zu halten, ist es hilfreich, Ausführungsumgebungen zu isolieren. Diese Trennung erzwingt einen klaren Kommunikationsweg, den Sie auf mehreren Einzelkomponenten überwachen können. Damit sorgen Sie dafür, dass der Zugang für einen Eindringling oder Angreifer eingeschränkt ist.
SSL/TLS für öffentliche Websites verwenden
Wenn Sie Datenübermittlungen auf Ihrer Webseite erfassen (etwa ein Portal, in das sich Klienten einloggen, ein Kontaktformular, alle Arten von Zahlungserfassungen), müssen Sie diese Kommunikation mit einem SSL-/TLS-Zertifikat verschlüsseln. Die Verwendung von SSL/TLS schützt Informationen vor Lauschangriffen und bei ihrer Übertragung vom Browser Ihres Klienten auf Ihren Server.
SSL/TLS bietet neben der Verschlüsselung aber auch weitere Vorteile, sodass, selbst wenn Sie keine Daten auf Ihrer Website erfassen die Methode hilfreich ist:
- Überzeugen Sie Besucher Ihrer Website, dass der Server/die Site mit der sie verbunden sind, tatsächlich Ihre Website und nicht die eines Betrügers ist – das wird am häufigsten mit Phishing-Versuchen assoziiert (etwa betrügerische Banking-Websites bitten um Kontodaten), gilt aber für alle Inhaltsanbieter und Websites im allgemeinen (etwa Nachrichten-Sites, Wikipedia). Ohne ein SSL-/TLS-Zertifikat, das Ihre Website identifiziert, gibt es keine Möglichkeit Ihre Website zu legitimieren.
- Stellen Sie sicher, dass die Daten, die abgerufen oder abgesendet wurden, genau die sind, die tatsächlich angekommen sind. Unverschlüsselter Datenverkehr kann abgefangen werden, um normale Abrufe (etwa Software-Downloads, Videoaufrufe) durch Schaddateien zu ersetzen.
S/MIME zur E-Mail-Sicherheit
Verschlüsselung ist nicht nur für Server wichtig. Sie können auch Ihre E-Mail-Kommunikation verschlüsseln. Den Unterschied zwischen beiden haben wir in einem früheren Blog ‚E-Mails versus Mail-Server verschlüsseln – Worin besteht der Unterschied?‘ thematisiert. E-Mails mit S/MIME zu verschlüsseln gewährleistet, dass nur bestimmungsgemäße Empfänger Zugang zu den Inhalten haben. Das bedeutet, selbst wenn Hacker die E-Mail bei der Übertragung abgefangen haben sollte, oder sich Zugang zum Mail-Server verschafft hat, kann er den Inhalt der E-Mail immer noch nicht lesen.
Mit S/MIME können Sie E-Mails zusätzlich digital signieren. Das kann hilfreich sein, der wachsenden Gefahr von Phishing-Angriffen und der Kompromittierung von Geschäfts-E-Mails entgegenzuwirken. Denn die Nachrichtenherkunft wird verifiziert und es fällt leichter, gefälschte E-Mails als solche zu erkennen.
Incident Response Plan
Zu guter Letzt, der alles entscheidende Incident Response-Plan, wie Sie am besten auf Sicherheitsvorfälle reagieren. Fakt ist, egal was Sie unternehmen, um die Risiken einer Cyberattacke zu senken, es besteht immer noch eine Chance, dass Hacker dennoch ein Schlupfloch finden.
Ein Incident-Response-Plan ist ein Leitfaden für die Mitarbeiter des Unternehmens (vor allem die IT-Abteilung), wie auf einen Angriff zu reagieren ist. Das erspart viel Zeit, Geld und Ressourcen, denn jeder weiß, was er zu tun hat, um die Auswirkungen des Angriffs zu minimieren.
Unser Chief Technology Officer, Simon Wood, hat vor kurzem einen Blogbeitrag zum Thema »Wie Sie auf Sicherheitsvorfälle reagieren sollten – 5 Schritte« verfasst. Stellen Sie sicher, dass diese Schritte auf jeden Fall berücksichtigt werden. Und, dass jemand in Ihrer Firma dafür die Verantwortung übernimmt.
Cybersicherheit, keine einfache Sache
Wenn Sie es hierher geschafft haben, ist Ihnen schon klar, dass Cybersicherheit zu gewährleisten keine leichte Aufgabe ist. Aber sie muss eine der vorrangigen Prioritäten sein für Unternehmen, die sensible Kunden- oder Klientendaten speichern.
Ein Weg, diese komplexe Aufgabe für Ihre IT-Abteilung leichter zu machen, sind PKI-basierte Lösungen. Sie decken viele der oben diskutierten Bereiche ab – E-Mails, interne Server, öffentliche Websites, mobile Geräte und so weiter. Management-Tools und Automatisierungstechnologien vereinfachen die Bereitstellung und Verwaltung, sodass die Lösungen effizienter funktionieren und die IT-Abteilung sich wieder anderen Aufgaben zuwenden kann.
Um mehr über Managed PKI zu erfahren, besuchen Sie unsere Website oder kontaktieren Sie uns, um eine Demo zu vereinbaren.
Datenschutzverletzung: Kein Vertrauen in eigene Fähigkeit zum Schützen von Daten
Führungskräfte sehen ihr Unternehmen als künftiges Opfer einer Sicherheitsverletzung
Biometrische Authentifizierung – Balance zwischen Komfort, Sicherheit und Datenschutz
Die europäische Datenschutz-Grundverordnung: Auswirkungen für Unternehmen
Datenschutz-Grundverordnung: Die vier häufigsten Missverständnisse unter Cloudnutzern