Der Jurist Dr. Marc Maisch ist Sozius der Kanzlei Maisch Mangold Schwartz Rechtsanwälte in München. Als Rechtsanwalt und Fachanwalt für IT-Recht ist er auf IT-Vertragsrecht, Datenschutz und Cybercrime spezialisiert. Als Gründer der Plattform Datenklau-Hilfe.de unterstützt er Unternehmen und Verbraucher im Kampf gegen Internetkriminalität, gemeinsam mit seinem Team aus Ermittlern, IT-Forensikern und IT-Security-Experten. Viele seiner Mandanten werden aufgrund Fake-Profilen und Online-Kontakten zu Opfern von Erpressungsversuchen. Das kann auch Anwälten passieren, erklärt Maisch im Interview.
Immer stärker richten sich Cyberangriffe auch gegen Kanzleien. Die Attacken gegen DLA Piper im Jahr 2017 oder die Kanzlei Schultze & Braun vor wenigen Monaten spiegeln nur wenige Beispiele wider.
Hier entsteht auch ein enormer Schaden, da von heute auf morgen die gesamte elektronische Infrastruktur einer Anwaltskanzlei stillsteht. In einem Fall hier bei uns wurden ein mittelständisches Unternehmen angegriffen und alle Daten verschlüsselt. Am Ende entstand grob geschätzt ein Schaden von sechs Mio. EUR.
Sind kleinere Unternehmen und Dienstleister noch eher schlecht auf digitale Kriminalität vorbereitet?
Meiner Meinung nach ist das so und Anwälte stellen hier keine Ausnahme dar. Man assoziiert Cyberangriffe und die Gefahren von Datendiebstahl eher mit Großkanzleien und weltweit aufgestellten Unternehmen. Die schützen sich aber auch auf einem völlig anderen Niveau, schirmen ihre Netzwerke und Internetverbindungen ab, nutzen Anbieter wie Cloudflare, haben eigene IT-Abteilungen im Haus oder Verträge mit Dienstleistern, die rund um die Uhr erreichbar sind. Die schauen sich bei Bedarf jede Mail an, die einem Mitarbeiter zweifelhaft erscheint. Kleinere Kanzleien können sich das nicht leisten, glauben aber auch häufig, dass sie für Hacker nicht attraktiv seien. Was ebenso unterschätzt wird: Wer höhere Sicherheitsstandards durchsetzen möchte, muss dies ja nicht nur intern umsetzen und Kanzleimitarbeiter schulen.
Sondern?
Ich konnte das selbst beobachten, als wir in unserer Kanzlei die Kommunikation mit Mandanten sicherer machen wollten. Wie stiegen auf verschlüsselte E-Mails um. Viele Mandanten kamen damit aber anfänglich nicht zurecht. Wir bekamen viele Anrufe von denjenigen, die nicht wussten, wie sie die Mails entschlüsseln bzw. öffnen, obwohl wir hierüber zuvor genau informiert hatten.
Welche Angriffe sind aktuell am häufigsten?
Die meisten Attacken kommen immer noch über E-Mails bzw. Ransomware. Dies ist Schadcode, der Laufwerke oder Dateien auf den Rechnern des Betroffenen so verschlüsselt, dass man sie nicht mehr aufrufen kann. Um das Ganze wiederaufzuheben, meldet sich der Angreifer und bietet die Entschlüsselung gegen ein Lösegeld an. In vielen Fällen entwenden die Täter darüber hinaus sensitive Datensätze und drohen, diese zu veröffentlichen. Bei derartigen Ransomware-Angriffen verlangen die Täter in der Regel 30% des Vorjahresumsatzes als Lösegeld.
Sind kleinere Kanzleien dann nicht weniger attraktiv, wenn Angreifer auf besonders hohe Summen aus sind?
Tatsächlich sind kleinere Büros in diesem Punkt nicht so interessant, aber Anwälte haben mehr zu verlieren, da sie mit ihrem Vertrauen Geld verdienen. Ein Reputationsschaden kann hier ebenso verhängnisvoll sein wie ein schmerzhaftes Lösegeld.
Wie meinen Sie das?
Ich habe regelmäßig Mandanten, die nicht Opfer von Ransomware wurden, sondern von Fake-Profilen oder Kontakten, die sie über Datingportale kennengelernt haben. Ich hatte einen Fall, in dem ein verheirateter Mandant über ein solches Portal eine Frau kennenlernte und intime Bilder austauschte. Als mein Mandant keinen Kontakt mehr wünschte, hat sie die Arbeitsstätte seiner Ehefrau herausgefunden und die gesamten Chatverläufe und Bilder von ihm dorthin geschickt. Das landete alles dort im allgemeinen Posteingang und wurde im Sekretariat geöffnet.
Dies war nun kein Fall einer Erpressung, aber auch mit solchen Fällen habe ich zu tun. Viele meiner Mandanten sind Unternehmensinhaber oder leitende Angestellte. Häufig wurde dann Kontakt über Portale angebahnt und meine Mandanten dazu veranlasst – meist durch Täuschung -, intime oder vertrauliche firmenbezogene Informationen weiterzugeben. Grundsätzlich kann das auch Anwälten passieren. Wenn man das weiterdenkt: Wie verhält sich ein Anwalt, dem man droht, sensible Daten von ihm publik zu machen? Wenn er dann von Cyberkriminellen erpresst wird und diese Informationen über einen Mandanten herausverlangen… wird er dann standhalten?
Solche Erpressungsversuche sind nicht selten?
Im Gegenteil: Diese Formen von Erpressungen kommen sehr häufig vor. Nicht nur wie beschrieben bei Datingportalen, sondern auch über Karrierenetzwerke. Es ist nicht schwer, sich dort ein Profil zu erstellen, das mit falschen Lebensläufen, Zeugnissen, Karrierewegen und vielen Kontakten gespickt ist. Hier geht es dann Richtung Wirtschaftsspionage. Die Person sucht dann beispielsweise gezielt Kontakt zu einem Unternehmen und versucht – im Rahmen von Bewerbergesprächen oder Besuchen – an Informationen über das Unternehmen zu kommen, um sie z.B. an deren Konkurrenz weiterzuleiten.
Woran denkt man am wenigsten, wenn es um Datenschutz im Büro geht?
Viele Anwaltskanzleien haben die Vorschriften der DSGVO noch nicht richtig umgesetzt. Wenn es um Datenschutz in Bezug auf die Kanzleiräume geht, halte ich den Einsatz von Reinigungspersonal für ein großes Risiko. Diese Personen arbeiten meist dann, wenn niemand oder nur wenige Mitarbeiter anwesend sind. Da das Reinigungspersonal häufig wechselt, kann es einem Dritten leicht gelingen, auf diese Weise Zutritt in die Büroräume zu erlangen und beispielsweise vertrauliche Unterlagen einzusehen oder einen Keylogger per USB-Stick an einen Computer zu klemmen. Das klingt fast wie der Plot aus James-Bond-Filmen, ist aber tatsächlich sehr simpel und viel effektiver als Hacking im klassischen Sinne.
Scheuen Anwälte und Mitarbeiter auch die Mühen, weil mehr Datenschutz den Beschäftigten auch mehr Zeit abverlangt?
Das ist natürlich ein Nachteil, in unserer Kanzlei hatten wir wegen der DSGVO eine neue Mülltrennung eingeführt. Jedes Blatt Papier, auf dem auch nur ein Name oder eine E-Mail-Adresse draufstanden, kam in einen gesonderten Behälter, der zu schreddern war, das andere „unbelastete“ Papier in den anderen. Oder die Zwei-Faktor-Authentifizierung, die Anwendern Codes aufs Handy schickt, um sich einzuloggen oder im Internet zu bezahlen. Insgesamt hält das ständige Eintippen im Arbeitsalltag natürlich auf, aber dafür schläft man auch ruhiger.
Was empfehlen Sie Anwälten, die ihre Kanzlei bezüglich Datenschutz neu aufstellen wollen?
Ich empfehle grundsätzlich erst einmal ein Bewusstsein für das Thema selbst. Man muss nicht gleich 100% Sicherheit anstreben, sondern kann sich zunächst anschauen, wo in der eigenen Kanzlei die kritischsten Einfallstore liegen: Wo würde der größte Schaden entstehen? Das kann man auch durch einen externen Berater machen. Wichtige Punkte sind die E-Mail-Korrespondenz und der Umgang mit Datenschutz im Büro, das Mandanten im Büro nicht leicht Akten oder Informationen einsehen können, dass Betriebssysteme und Schutzsoftware aktuell sind und man sich Gedanken macht, ob man nicht Cloud-Anwendungen nutzt, die für das Kanzleiteam leicht zu bedienen sind. In den virtuellen Räumen können Kanzlei und Mandant sicher kommunizieren bzw. Daten austauschen. So etwas hebt das Ganze schon auf ein völlig anderes Sicherheitslevel.