Blog

Vermehrte Cyberangriffe auf Anwaltskanzleien - ist meine Kanzlei ausreichend geschützt?

Es gibt erfreuliche Trends und es gibt die anderen: In den letzten Wochen und Monaten wird vermehrt über Cyberangriffe auf Anwaltskanzleien berichtet. Im Anwaltsblatt fand sich ein sehr lesenswerter Artikel über den Ablauf nach erfolgreichem Angriff bei der Kanzlei Kapellmann & Partner (https://anwaltsblatt.anwaltverein.de/de/anwaeltinnen-anwaelte/portraets/cyberangriffe-auf-kanzleien). Darüber hinaus warnen die Anwaltskammern vor einer laufenden Kampagne, die gefälschte E-Mails versendet, die sich als beA-Mitteilungen tarnen (https://portal.beasupport.de/neuigkeiten/hinweis-phishing-mails).

Im folgenden Beitrag möchten wir den technischen Ablauf eines Cyberangriffs abbilden und zu jedem Schritt die möglichen Abwehrmaßnahmen vorstellen. So können Sie selbst überprüfen, was Sie bereits umgesetzt haben und wo Ihre offenen Schwachstellen in der Kanzlei liegen. WEITERLESEN...

Als IT-Dienstleister ausschließlich für Anwaltskanzleien bekommen wir mittlerweile wöchentlich Anfragen von Neukunden, die Opfer eines Cyberangriffs wurden. In der Regel melden sie sich, wenn es zu spät ist: Der Datenbestand ist verschlüsselt und es wird eine Lösegeldforderung gestellt. Wenn nun eine gute, vollständige und aktuelle Datensicherung vorhanden ist, lässt sich das Problem mit verhältnismäßig geringem Aufwand beheben: Der Server wird neu aufgesetzt, die aktuellsten Daten werden nachgepflegt und nach ein bis zwei Werktagen kann die normale Kanzleiarbeit fortgesetzt werden.

Im Hintergrund beginnt nun jedoch die größere Herausforderung: Dafür zu sorgen, dass die Kanzlei künftig bestmöglich geschützt ist. Darüber hinaus gibt es jedoch Fälle, in denen der entstandene Schaden größer ist und die Kanzlei für mehrere Wochen nicht arbeitsfähig ist. Das liegt in den allermeisten Fällen an einer mangelhaften Datensicherung. Doch die Datensicherung ist zwar die wichtigste aller Maßnahmen zur IT-Sicherheit, sie sollte jedoch keineswegs die einzige sein. Um Cyberangriffe effektiv abzuwehren und gar nicht erst einen Schaden entstehen zu lassen, müssen für jeden Schritt eines solchen Angriffs die passenden Sicherheitsmaßnahmen eingerichtet werden. Schauen wir uns also den technischen Ablauf eines Cyberangriffs und die entsprechenden Abwehrmechanismen an.

Zunächst einmal ist festzuhalten, dass wir bisher keinen Fall erlebt haben, in dem eine Anwaltskanzlei gezielt angegriffen wurde. Die Schadsoftware kam jedes Mal über eine breit angelegte Kampagne per E-Mail in die Kanzlei. Dahinter steht eine gut organisierte kriminelle Industrie: Es werden Mailserver und Schadcodes für einen bestimmten Zeitraum gebucht und dann eine möglichst große Anzahl von E-Mails versendet. Wenn nur 0,1% von einer Millionen Mails angeklickt werden, dann bleiben immer noch 1.000 Opfer übrig. Wenn davon auch nur 10% ein Lösegeld in Höhe von 10.000 € zahlen, dann fließen 1.000.000 € Euro zum kriminellen Unternehmen – aufgrund der Besonderheiten des Geschäftsmodells natürlich steuerfrei.

Die folgenden Schritte laufen dabei in der Kanzlei ab:

  1. Eine E-Mail geht ein. Eine aktuelle Kampagne tarnt sich beispielsweise als Hinweis auf neue Nachrichten im beA. Bevor die Mail beim Benutzer erscheint, durchläuft sie zuvor den Mailserver der Kanzlei. Hier wird zur erfolgreichen Abwehr vieler Angriffe ein Spamfilter eingesetzt, der aktiv betreut werden sollte. Es ist nämlich in der Praxis gar nicht so einfach, das passende Schutzniveau zu finden. Ist der Spamfilter zu streng eingestellt, erreichen auch wichtige Mails der Mandantschaft nicht die Kanzlei. Werden daraufhin bestimmte Dateitypen oder Inhalte freigegeben, können wiederum zahlreiche unerwünschte Nachrichten durchkommen. Im aktuellen Fall der angeblichen beA-Benachrichtigung müssten einige Absender auf eine Blacklist gesetzt werden (Die Nachrichten kommen von Mailadressen, die ähnlich aussehen wie die korrekte Adresse noreply@bea-brak.de, aber eben nur ähnlich). Auch Inhalte können gezielt herausgefiltert werden – so können falsche Links in den Nachrichten gefunden werden, die der Benutzer schnell übersieht (zum Beispiel bea_brak.de statt bea-brak.de) Fazit: Aktiver Spamschutz verhindert, dass Schadmails in die Kanzlei gelangen.

  2. Die E-Mail wird geöffnet. Ist die Nachricht einmal im Posteingang gelandet, gibt es keine technischen Hilfsmittel, die das Öffnen verhindern. Ab hier liegt die wesentliche Verantwortung beim Benutzer. Daher sind regelmäßige Sensibilisierungsschulungen wichtig. Gefälschte E-Mails lassen sich immer erkennen, am falschen Absender, fehlerhaften Links und weiteren Merkmalen. Meist fehlt das Wissen, manchmal auch die Zeit oder Aufmerksamkeit. Die gute Nachricht: Wird eine Mail geöffnet, passiert zunächst einmal gar nichts. Problematisch wird es erst mit dem nächsten Schritt. Fazit: Schulungen verhindern das Öffnen von Schadmails.

  3. Es wird ein Link geklickt. Ab diesem Punkt wird es gefährlich: Ein fehlerhafter Link lässt sich recht einfach erkennen, wenn man ein geschultes Auge und die notwendige Aufmerksamkeit mitbringt: So steht vielleicht in der Nachricht „Zum beA-Posteingang“, der Link führt jedoch nicht zu bea-brak.de sondern zu bea-brak.mail.com oder zu bea_brak.de. Gegen den Besuch gefälschter Webseiten helfen Blacklists in einer Web-Protection Software, die in der Regel Bestandteil professioneller Firewalls ist und aktiv von einem Spezialisten verwaltet werden muss. Fazit: Web Protection Software verhindert den Besuch gefälschter Webseiten.

  4. Die gefälschte Webseite wird besucht. Wurde der Link geklickt und die falsche Seite besucht, dann wird im Hintergrund unmerklich ein kleines Schadprogramm heruntergeladen. Diese Anwendung wird dann in den folgenden Stunden oder Tagen weitere Dateien aus dem Internet beziehen und sich dann an die eigentliche Arbeit machen. Dazu muss die Anwendung im Hintergrund auch ausgeführt werden können und eigenständig weitere Webseiten aufrufen und Dateien herunterladen können. Dies verhindern ebenfalls die Einstellungen der Firewall oder des Virenschutzprogramms, sofern sie professionell betreut werden. Fazit: Virenschutz und Firewall verhindern das Ausführen von Schadprogrammen.

  5. Die Schadsoftware greift an. Sind alle Bestandteile heruntergeladen, nimmt die Schadsoftware ihre eigentliche Arbeit auf: Sie blockiert Zugänge, kopiert Dateien (für eine spätere Erpressung unter Androhung der Veröffentlichung) und verschlüsselt Laufwerke zur Lösegeldforderung für die Entschlüsselung. Für die meisten dieser Tätigkeiten benötigt die Schadsoftware Administrator-Rechte. Daher liegt ein wesentlicher Schlüssel zur Schadensbegrenzung in der Arbeit mit eingeschränkten Benutzerrechten. Eine weitere wesentliche Frage: Wie lange wartet die Schadsoftware im System, bevor sie angreift? Häufig werden in den ersten Wochen auch die bestehenden Datensicherungen infiziert, sodass ältere Archive benötigt werden, um das System neu aufzubauen. Hierzu mehr unter Punkt 7. Fazit: Arbeiten ohne Admin-Rechte macht Viren das Leben schwer.

  6. Die Lösegeldforderung geht ein. Häufig findet sich nach der erfolgreichen Attacke eine „readme.txt“-Datei auf dem Server. Hier wird Lösegeld gefordert, um die Daten zu entschlüsseln und / oder gedroht, Dokumente zu veröffentlichen. Die Erpresser sind dabei in der Regel professionell organisiert und stellen einen ziemlich guten „Kundensupport“ zur Verfügung, der Nachrichten beantwortet oder sogar Call-Center betreibt. In diesem Stadium hilft vor allem eines: Eine gute Cyberversicherung, die einen spezialisierten Verhandlungspartner, IT-Forensiker und weitere Spezialisten zur Verfügung stellt. Darüber hinaus sollte bereits zuvor ein Notfallplan vorliegen, indem alle Maßnahmen, Ansprechpartner, Zugangsdaten und Verantwortliche festgehalten sind. Fazit: Eine Cyber-Versicherung leistet schnelle Unterstützung im Schadensfall.

  7. Das IT-System wird wieder freigegeben oder neu aufgebaut. Das Lösegeld zu bezahlen ist häufig die letzte Lösung, wenn andere Wege versagen. Zwar wird in der Regel nach der Zahlung die Entschlüsselung vorgenommen, aber wer möchte schon zur Stammkundschaft krimineller Akteure werden? Und wer weiß, welche Schadsoftware noch so installiert wurde? Daher wird die Kanzlei-IT in der Regel neu aufgebaut. Hierbei hilft vor allem eine aktuelle Datensicherung. Der größte Fehler bei der Datensicherung ist übrigens, dass jahrelang niemand nachsieht, ob die gesicherten Daten auch die richtigen sind, ob sie vollständig sind und ob sie sich wirklich wieder herstellen lassen. Die zehn Gebote der Datensicherung finden Sie zudem hier: https://michgehl.de/beitrag/die-10-gebote-der-datensicherung:1833 Fazit: Eine regelmäßig überprüfte, professionelle Datensicherung hilft gegen Datenverlust.

Zusammenfassend stellen wir fest: Auf jeder Ebene gibt es Abwehrmechanismen, die zuverlässig gegen einen Cyberangriff schützen. Wir hatten noch keinen Fall, in dem eine Kanzlei diese Maßnahmen umgesetzt hat und erfolgreich angegriffen wurde. Auch im Deutschen Anwaltsrechenzentrum setzen wir die genannten Instrumente ein und konnten zwar Angriffsversuche erkennen, jedoch keinen einzigen erfolgreichen Angriff in den letzten sieben Jahren seit Bestehen. Das Fazit lautet demnach: Jede Kanzlei braucht einen IT-Spezialisten, mit dem sie ein Sicherheitskonzept und einen Notfallplan abstimmt und dann die oben genannten Maßnahmen nach sorgfältiger Abwägung umsetzt.

Nicht unerwähnt sollte bleiben, dass diese Empfehlung nicht objektiv ist. Wir sind in höchstem Maße befangen, da wir als spezialisierter IT-Dienstleister für Anwaltskanzleien genau damit unser Geld verdienen und dieses Geschäft gerne ausbauen möchten, um auch Ihr Geld zu bekommen. Im Gegenzug bieten wir Ihnen zentrale Bausteine einer Lebensversicherung für Ihre Kanzlei-IT. Lassen wir das Geld doch erst einmal außen vor und beginnen wir mit einem kostenlosen Beratungsgespräch. Senden Sie gerne eine E-Mail an vertrieb@michgehl.de oder nutzen Sie unser Kontaktformular. Wir freuen uns, Sie zu begleiten.

Sie wollen immer auf dem Laufenden bleiben?
Jetzt Newsletter abonnieren.