Blog

Die zehn größten Irrtümer zur IT-Sicherheit in Anwaltskanzleien

Wir zeigen Ihnen die größten Irrtümer, auf die wir regelmäßig im Gespräch mit Anwaltskanzleien treffen - Fachbeitrag von Dipl.-Kfm. Holger Esseling.

Seit über 30 Jahren sind wir als IT-Dienstleister ausschließlich in Anwaltskanzleien unterwegs. Auf Basis dieser Erfahrung möchten wir aus der Praxis heraus aufzeigen, wo die entscheidenden Engpässe liegen.Als Grundproblem lässt sich feststellen, dass es für viele Anwaltskanzleien nicht mehr wirtschaftlich wäre, alle Vorgaben und Empfehlungen zur IT-Sicherheit umzusetzen. Darüber hinaus ist das Ziel „100-prozentige IT-Sicherheit“ illusorisch. Es gilt also, stets eine Kosten-Nutzen-Abwägung zu treffen, möglichst berufsrechtskonform zu bleiben und die wesentlichen Gefahren beim Thema Kanzlei IT so weit wie möglich, zu verhindern.

Bei allen Schreckensszenarien, die von IT-Anbietern mitsamt Lösung verbreitet werden, verlieren dabei offensichtlich einige Entscheider in Anwaltskanzleien den Überblick und den Fokus auf das Wesentliche. Grund genug, einen ganz praktischen Blick auf die zehn größten Irrtümer zu werfen.

1. Es läuft doch alles

Der wohl gefährlichste aller Irrtümer lässt sich mit diesem Satz zusammenfassen: „Es läuft doch alles“. Die Anwendungen funktionieren reibungslos und in den letzten Jahren gab es keinen Systemausfall oder Datenverlust. Warum also sollte die Kanzlei nun aktiv werden? Die offensichtliche Funktionsfähigkeit wiegt den Entscheider in scheinbarer Sicherheit, über der das Damoklesschwert des nächsten Sicherheitsvorfalls schwebt. Auf die Einzelheiten gehen wir bei den folgenden Irrtümern weiter ein. An dieser Stelle soll aber der wichtige Hinweis im Fokus stehen: Eine regelmäßige Überprüfung der IT-Sicherheit durch externe Spezialisten ist unabdingbar, um Hoffnung und Intransparenz durch Gewissheit und Klarheit zu ersetzen.

2. Meine Datensicherung funktioniert

Die größte Abweichung zwischen Soll- und Ist-Zustand stellen wir immer wieder bei der Datensicherung fest. Mit ganz wenigen Ausnahmen betreibt jede Anwaltskanzlei eine Sicherung ihrer Daten. Häufig kommen Wechselfestplatten zum Einsatz, auf denen unverschlüsselt der gesamte Kanzleidatenbestand gesichert wird, was zu weiteren Problemen führen kann. Zudem kann auf Datenbestände häufig nur einige Tage rückwirkend zurückgegriffen werden – weshalb Viren häufig erst nach ein oder zwei Wochen aktiv werden und so bereits die gesamte Datensicherung befallen haben.

Der Kernpunkt ist jedoch: Kaum eine Kanzlei führt regelmäßig eine Notfallübung durch. Lassen sich die Daten wirklich wiederherstellen? Wie lange dauert es, bis wieder gearbeitet werden kann? Diese existenziellen Fragen kann kaum ein IT-Entscheider in Anwaltskanzleien beantworten. Nur mit regelmäßiger faktischer Rekonstruktion der Daten lässt sich ein Datenverlust zuverlässig ausschließen. Wenn nur ein Punkt der IT-Sicherheit angegangen werden sollte, dann wäre es dieser: Ein professionelles, schriftliches Datensicherungskonzept mit Notfallübungen.

3. Mein Virenscanner hält Viren ab

Noch vor wenigen Jahren sorgte der Betrieb eines Virenscanners zu einer starken Erhöhung der IT-Sicherheit. Heutzutage stellen wir fest, dass kaum eine aktuelle Schadkampagne sich von den gängigen Antivirus-Lösungen aufhalten lässt. Das Suchen nach Schadsoftware auf Basis von Virendefinitionsdateien ist weitgehend wirkungslos geworden, und doch verlassen sich viele Anwender auf diesen vermeintlichen Schutz. Wir möchten nicht dafür plädieren, den Virenscanner abzuschalten, er ist jedoch zwingend durch weitere Sicherheitsmaßnahmen zu ergänzen.

4. Meine E-Mails sind geschützt

Ein wesentliches Einfallstor für Schadsoftware jeglicher Art ist die E-Mail. Viele Kanzleien setzen daher irgendeinen Spamfilter ein und gehen in der Folge davon aus, hinreichend geschützt zu sein. Dabei wird jedoch nicht hinterfragt, was genau eigentlich gefiltert wird. Professionelle Mail-Protection-Systeme können sehr differenziert verschiedene Inhalte blockieren. Das muss ihnen allerdings jemand sagen, und schon landen wir bei einer regelmäßigen Überprüfung und einem Sicherheitskonzept durch einen (externen) Spezialisten.

Die letzten Crypto-Trojaner-Wellen wurden beispielsweise in erster Linie per Mail versendet, getarnt als Rechnungen oder Bewerbungen im Word-Format mit Makros. Anwaltskanzleien sind hier ein gefundenes Fressen, denn viele Kanzleianwendungen erfordern es, dass diese Makros standardmäßig aktiviert sind. Die E-Mail wird in der Regel von einem Spamfilter, einer Firewall und einem Virenscanner nicht aufgehalten, da sie vorgibt, von einem bekannten Absender zu kommen und mittlerweile so gut geschrieben ist, dass selbst der Mensch sie für echt hält. Die einzige zuverlässige Lösung: Word-Dateien mit Makros werden blockiert. Dann gibt es hin und wieder Diskussionen mit Kollegen und Mandanten, wenn E-Mails nicht zugestellt werden können. Das jedoch ist meistens der Preis: Höhere Sicherheit schränkt den Komfort ein.

5. Unsere Updates sind aktuell

In unbegründeter Sicherheit wiegen sich viele IT-Entscheider in Anwaltskanzleien auch, wenn es um die Aktualität der Updates geht. Windows-Updates werden in der Regel automatisch vorgenommen, Drittanbieter werden meist vergessen. Doch gerade in Java, Adobe oder Browsern lauern öffentlich bekannte Sicherheitslücken, die umgehend geschlossen werden sollten. Die Strategie vieler Kanzleien: „Updates macht bei uns jeder selbst“. Hier haben wir bereits einen kleinen Übersetzer im Kopf, der die Aussage richtigstellt: Es kümmert sich keiner darum. Entweder beschäftigen Kanzleien einen wirklich engagierten IT-Dienstleister, der mindestens wöchentlich neue Updates einspielt oder sie nutzen eine automatisierte Patch-Management-Software auch für Drittanbieter.

6. Unsere Firewall bietet Rundumschutz

Wenn wir eine Firewall im Serverraum der Kanzlei finden, dann atmen wir als IT-Experten schon einmal auf. Hier scheint sich jemand Gedanken um IT-Sicherheit zu machen und dafür sogar Geld auszugeben. Manchmal trügt der Schein, denn der kleine Kasten steht dort seit Jahren, wird jedoch von niemandem aktiv administriert. Welche Einstellungen sind dort gesetzt? Wann ist das letzte Update gelaufen? Ist sie überhaupt eingeschaltet? Wenn diese Fragen zu Achselzucken führen, dann wird es dringend Zeit, einem IT-Dienstleister die Administration zu übergeben. Darüber hinaus sei zu Bedenken gegeben: Eine Firewall ist ein wichtiger Baustein der IT-Sicherheit, aber auch dieser schützt nicht vor allen Gefahren.

7. Mitarbeiterschulungen sind nicht so wichtig

Alle Vorfälle der IT-Sicherheit, die wir in den letzten Jahren erlebt haben – wirklich alle – lassen sich letztlich auf menschliches Versagen zurückführen. Da wurde die falsche E-Mail angeklickt, das mysteriöse Dokument geöffnet oder die seltsame Webseite aufgerufen und schon ist es passiert. Vor diesem Hintergrund ist es schwer verständlich, warum weniger als 10 Prozent der Anwaltskanzleien angeben, dass sie in den letzten zwölf Monaten eine Mitarbeiterschulung zur IT-Sicherheit durchgeführt haben. Die Lösung für dieses Problem liegt auf der Hand.

8. Ich brauche Administrationsrechte

Der Fisch stinkt vom Kopf her – diese Weisheit ist so unbeliebt wie wahr. Wenn wir uns ansehen, welche Anwendungen auf den Arbeitsplätzen, insbesondere jenen der Berufsträger, betrieben werden, dann reibt man sich schon einmal verwundert die Augen. Aus Sicht des IT-Experten ist klar: Je weniger Rechte der Anwender hat, desto sicherer ist das System. Es wird nicht nur verhindert, dass fragwürdige Programme installiert werden, auch kann ein Virus ohne Rechte in der Regel keinen Schaden anrichten. Diese Entwicklung führt zusammen mit anderen Vorteilen zu einer immer stärkeren Zentralisierung der Kanzlei-IT auf einem Terminalserver und einer immer größeren Standardisierung der IT-Systeme zur einfacheren Wartung und Störungsbehebung.

9. Es ist günstiger, die IT selbst zu betreiben

Zugegeben, ob es sich hier um einen Irrtum handelt oder nicht, hängt von der Auslastung und den Opportunitätskosten des Anwalts ab. Als Kanzleigründer mit wenigen Mandaten mag es durchaus günstiger sein, sich selbst um die IT zu kümmern. Wer als erfolgreich etablierter Berufsträger jedoch mehr als eine Stunde in der Woche als IT-Administrator arbeitet, der sollte entweder sehr viel Freude daran haben oder sein Verhalten in Frage stellen.

Wir beobachten in der Praxis genau diese Entwicklung: Zu Beginn administrieren die Anwälte,  Mitarbeiter oder deren Freunde oder Neffen die IT. Irgendwann wird das System langsam, es kommt zu Ausfällen, Virenbefall, im schlimmsten Fall zu Datenverlust. Oder einfach nur dazu, dass niemand mehr Zeit und Lust hat, sich darum zu kümmern. In der Folge wird ein IT-Dienstleister eingesetzt, der allerdings nicht das Rundum-Sorglos-Paket umsetzen soll, sondern nur ausgewählte Bereiche wie Virenschutz und Datensicherung. Kommt es nun zum nächsten Zwischenfall, wird ein Full Service beauftragt oder die Kanzlei-IT ausgelagert.

10. Die Auslagerung der Kanzlei-IT ist unsicher

Häufig begegnen wir der Sorge, dass die Auslagerung der Kanzlei-IT in ein Rechenzentrum unsicher sei. Je nach Rechenzentrum ist diese Befürchtung auch gar nicht unbegründet. Sucht man jedoch gezielt nach Anwaltsrechenzentren, die berufsrechtskonform betrieben werden, dann ist das Gegenteil richtig: Der Betrieb der IT in der Kanzlei ist unsicher. Wir haben schon Server gesehen, die auf dem Mandanten-WC betrieben werden. Selbst wenn es so weit nicht kommt: Wer hat schon 24/7 Zutrittskontrolle, Argon-Gaslöschanlage, redundante Strom- und Datenleitungen, Failover-Server und Videoüberwachung in seinen Räumlichkeiten?

Entscheidend ist bei der Auslagerung jedoch ein zentraler Punkt: Der Anbieter übernimmt die Verantwortung für die Verfügbarkeit der Systeme. Wo er sonst als Dienstleister unterstützend zur Seite steht, wird er als Betreiber des Rechenzentrums eine garantierte Verfügbarkeit (in der Regel 99,5 Prozent) vertraglich zusichern. Das dreht die Perspektive in eine Richtung, die sich viele Anwälte erfahrungsgemäß wünschen: „Die IT soll zuverlässig und sicher laufen und ich möchte möglichst wenig damit zu tun haben“.

Sie wollen immer auf dem Laufenden bleiben?
Jetzt Newsletter abonnieren.