Embed Size (px)
Citation preview
T. H. Lenhard / R. Kazemi
eBroschüre Spezial
Cyberkriminalität und Cyberschutz für Rechtsanwälte und Mandanten
Diese eBroschüre wird unterstützt von:
Haftungsausschluss
Die in der eBroschüre enthaltenen Informationen wurden sorgfältig recherchiert und geprüft. Für die Richtigkeit der Angaben sowie die Befolgung von Ratschlägen und Empfehlungen kann der Verlag dennoch keine Haftung übernehmen.
Anregungen und Kritik zu diesem Werk senden Sie bitte an: [email protected] Autoren und Verlag freuen sich auf Ihre Rückmeldung.
Sonderausgabe für Deutscher Anwaltverlag GmbH, Bonn 2016 mit freundlicher Genehmigung Copyright 2016 by Freie Fachinformationen Markus Weins GmbH, Köln Satz: Helmut Rohde, Euskirchen Bestell-Nr.: 80005776 ISBN: 978-3-8240-5776-4
Alle Rechte vorbehalten. Abdruck, Nachdruck, datentechnische Vervielfältigung und Wiedergabe (auch auszugsweise) oder Veränderung über den vertragsgemäßen Gebrauch hinaus bedürfen der schriftlichen Zustimmung des Verlages.
eBroschüre Spezial
Cyberkriminalität und Cyberschutz für Rechtsanwälte und Mandanten
VonDr. Thomas H. Lenhard, Datenschutzbeauftragter, Rodalben
Dr. Thomas H. Lenhard ist Sachverständiger für IT und Datenschutz und Geschäftsführer der medi-ip dataprotect UG (haftungsbeschränkt) in Bonn. 2011 wurde Dr. Lenhard vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein als Sachverständiger für IT-Produkte (technisch) akkreditiert. In den Jahren 2014 und 2015 folgten die Anerkennungen als Sachverständiger für das Europäische Datenschutzsiegel und für das Datenschutzsiegel Mecklenburg-Vorpommern. Im März 2016 war Dr. Lenhard beim Saarländischen Landtag als Kandidat zur Wahl des Landesbeauftragten für Datenschutz und Informationsfreiheit nominiert. Er ist u. a. Co-Autor der kostenlosen E-Broschüre
»Datenschutz und Datensicherheit in der Rechtsanwaltskanzlei« (Hier herunterladen, 5,6 MB).
Dr. Robert Kazemi, Rechtsanwalt, BonnDr. Robert Kazemi arbeitet seit Jahren auf dem Gebiet des Datenschutzrechts und ist Autor zahlreicher Fachpublikationen, unter anderem der beim Deutschen Anwaltverlag erschienenen Werke „Datenschutz in der anwaltlichen Beratung“ und „Marken eintragen und recherchieren“. Er publiziert zudem regelmäßig in namhaften Fachzeitschriften und ist als Sachverständiger (rechtlich) beim Unabhängigen Landeszentrum für Datenschutz akkreditiert. Zudem ist er als wissenschaftlicher Beirat der medi-ip data protect UG tätig.
Cyberkriminalität und Cyberschutz für Rechtsanwälte und Mandanten | Deutscher Anwaltverlag 3
Inhalt VorwortInhalt
Inhalt
1. Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2. Was umfasst der Begriff der Cyberkriminalität? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3. Die Telefonanlage als unterschätzte Gefahr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
4. Professionelle Auftritte von Betrügern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
5. Crypto-Viren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
6. Social Engineering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
7. Nutzung fremder WLAN-Zugänge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
8. Prävention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
9. Das Restrisiko . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
10. Interview: 6 Fragen an Ralph Günther . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Cyber-Risiken gefährden Ihr Unternehmen.
Cyber-Risiken sind nicht zu unterschätzen. Sie können Ihr Unternehmen empfindlich treffen. Egal, ob Ausfall der IT, Cyber-Betrug oder Datenschutzverletzung: AXA bietet Ihnen hierzu individuelle Rundum-Lösungen, um Ihre Risiken zuverlässig abzusichern.
Wir stehen Ihnen mit unseren Spezialisten jederzeit beratend zur Seite.
Stellen Sie hohe Ansprüche an ihreAbsicherung von Cyber-Risiken.
Mehr Informationen erhalten Sie unter:www.axa.de/geschaeftskunden/Cyber-Versicherung
Cyberkriminalität und Cyberschutz für Rechtsanwälte und Mandanten | Deutscher Anwaltverlag 5
1. Vorwort
1. VorwortHören wir den Begriff Cyberkriminalität, so denken viele von uns sicherlich zunächst einmal an das Internet und an sogenannte Hacker. Diese verbreitete Assoziation spiegelt wahrscheinlich eine öffentliche Wahr-nehmung wider, die durch immer häufigere Berichterstattung über Hackerangriffe und weitere kriminelle Machenschaften im Umfeld des Internets geprägt ist. Ein vorläufiger Höhepunkt im Zusammenhang mit einer kriminellen Nutzung des Internets ist im Jahr 2016 sicherlich die Vielzahl von Schadprogrammen, mit denen Datenbestände von Kanzleien, Unternehmen und Einrichtungen des Gesundheitswesens mancherorts kom-plett verschlüsselt und damit unbrauchbar gemacht wurden. Ohne Frage kann man solche Vorkommnisse zur Cyberkriminalität rechnen. Allerdings umfasst dieser an sich unscharfe Begriff ein weitaus größeres Feld an Aktivitäten, Handlungen und Gefahren für Unternehmen und Organisationen, aber auch für Kanzleien und deren Mandanten. Die nachfolgenden Kapitel können daher auch keine vollständige Abhandlung über Cyberkriminalität beinhalten, da das Thema viel zu komplex und umfangreich ist, um es auf wenigen Seiten erschöpfend zu behandeln. Die vorliegende Abhandlung soll vielmehr für die Problematik und die Vielschichtigkeit der Cyberkriminalität sensibilisieren. Aus der praktischen Erfahrung wissen die Autoren, dass viele Betroffene erst dann aktiv werden, wenn bereits ein Schaden entstanden ist. Es könnten jedoch viele Schäden durch Prävention vermieden und die Restrisiken versichert werden.
2. Was umfasst der Begriff der Cyberkriminalität?Sucht man im Internet nach einer Definition für Cyberkriminalität bzw. Cybercrime, wie der international gebräuchliche Begriff dafür lautet, so findet sich nahezu bei jedem Treffer eine andere Begriffserklärung. Es wird häufig nach enger oder weiter gefassten Definitionen unterschieden. So heißt es z. B. bei Büchel/Hirsch: „Unter Computerkriminalität im weiteren Sinn zählen Straftaten, zu deren Durchführung einer ihrer Pha-sen ein elektronisches Datenverarbeitungssystem unter Einbezug von Informations- und Kommunikationstechnik genutzt wird.“1
Dieser weit gefassten Definition schließen sich die Autoren des vorliegenden Textes an, denn der explizite Hinweis auf Informations- und Kommunikationstechnik erscheint im Kontext der Cyberkriminalität unverzicht-bar, da nicht nur Server, Personalcomputer oder Datenbestände Ziel von Cyberattacken sind. Telefonanlagen gehören schon längst zu den bevorzugten Angriffszielen der Cyberkriminalität. Daher kann das Thema bei Weitem nicht mehr auf klassischen Datendiebstahl, Datenmanipulation, Sabotage oder Computerbetrug reduziert werden. Eine weitere Definition des Arbeitskreises II „Innere Sicherheit“ der Ständigen Konferenz der Innenminister und -senatoren der Länder (IMK) spricht davon, dass Computerkriminalität „Straftaten umfasst, die sich gegen das Internet, weitere Datennetze, informationstechnische Systeme oder deren Daten rich-ten.“ Des Weiteren zählen auch diejenigen Straftaten dazu, „die mittels dieser Informationstechnik begangen werden.“2 Damit deckt sich diese Definition im Wesentlichen mit der Gewählten und unterstreicht die enorme Vielfalt der zur Cyberkriminalität gehörenden Straftaten. Cyberkriminalität umfasst demnach neben dem „klassischen“ Hacking auch Phishing, Identitätsdiebstähle, Verstöße gegen das Urheberrecht, Verbreitung von Kinderpornographie, digitale Erpressung wie auch Cyber-Mobbing, Internetbetrug und weitere Delikte im Zusammenhang mit der Nutzung von IuK-Technologie3.
1 Büchel/Hirsch, Internetkriminalität – Phänomene – Ermittlungshilfen – Prävention, 2014.2 Wernert, Internetkriminalität – Grundlagen, erste Maßnahmen und polizeiliche Ermittlungen, 2. Aufl. 2014.3 Informations- und Kommunikationstechnologie.
Cyber-Risiken gefährden Ihr Unternehmen.
Cyber-Risiken sind nicht zu unterschätzen. Sie können Ihr Unternehmen empfindlich treffen. Egal, ob Ausfall der IT, Cyber-Betrug oder Datenschutzverletzung: AXA bietet Ihnen hierzu individuelle Rundum-Lösungen, um Ihre Risiken zuverlässig abzusichern.
Wir stehen Ihnen mit unseren Spezialisten jederzeit beratend zur Seite.
Stellen Sie hohe Ansprüche an ihreAbsicherung von Cyber-Risiken.
Mehr Informationen erhalten Sie unter:www.axa.de/geschaeftskunden/Cyber-Versicherung
Cyberkriminalität und Cyberschutz für Rechtsanwälte und Mandanten | Deutscher Anwaltverlag 6
3. Die Telefonanlage als unterschätzte Gefahr
3. Die Telefonanlage als unterschätzte GefahrWährend man mittlerweile vielerorts in Unternehmen für Fragen der Computersicherheit sensibilisiert ist, wird das Thema Telefonanlage regelmäßig vernachlässigt. Eine Telefonanlage muss eben funktionieren! Dabei macht sich kaum jemand Gedanken, wie eine solche Kommunikationsanlage von Kriminellen zum Schaden einer Kanzlei oder eines Unternehmens genutzt werden kann. Folgende zwei Beispiele sollen eine kleine Auswahl dessen darstellen, was hierbei möglich ist.
Beispiel 1: Eine Klinik hatte die Telefonanlage so konfiguriert, dass nach Ablauf des Guthabens auf einer klinikeigenen Telefonkarte die Gespräche der Patienten nicht unterbrochen wurden. Soweit das Guthaben überzogen war, musste vor einem erneuten Telefonat des Patienten zunächst Geld auf die Karte eingezahlt werden, bevor die zugehörige Telefonnummer wieder freigeschaltet wurde. Ein Patient hat die Karte mit dem Minimalbetrag von 10 Euro dann dazu verwendet, eine kostenpflichtige Telefonnummer im Nahen Osten anzurufen. Nachdem die Verbindung zu dem kostenpflichtigen Dienst etabliert war, hat er den Hörer möglicherweise zur Seite gelegt. Auf alle Fälle war die Verbindung einen ganzen Tag lang aktiv und hat der Klinik einen Schaden von mehreren Tausend Euro eingebracht.
Beispiel 2: In einem Unternehmen wurden die Möglichkeiten und Funktionen einer neuen Telefonanlage mit Verbindung zum Internet getestet. Im Zuge dieser Tests wurde auch ein bestimmter Port (erreichbarer Dienst) geöffnet. Bereits kurz nach Öffnung des Ports wurde dieser aus dem Internet angegriffen. Den An-greifern gelang es, sich Zugriff auf die Telefonanlage zu verschaffen. Innerhalb eines Wochenendes wurden dann verschiedene kostenpflichtige Rufnummern im Nahen Osten und im pazifischen Raum angewählt. Dabei ist dem Unternehmen ein Schaden i. H. v. 26.000 € entstanden.
Da die Telefonanlage im Beispiel 2 als CTI4-Lösung auch mit dem internen Netzwerk der Bereiche Produktion und Verwaltung verbunden war, wäre es ein Leichtes gewesen, von der Telefonanlage aus in die Unterneh-menssysteme einzubrechen, Daten auszuspähen oder Sabotage zu verüben. Es erscheint hier geradezu als ein Glücksfall, dass nur ein überschaubarer monetärer Schaden entstanden ist.
Ohnehin sollte jede Kanzlei, jedes Unternehmen und jede Organisation, soweit ein Internetzugang verfügbar ist, über eine für den professionellen Einsatz geeignete Firewall verfügen. Allerdings liegt eine Ursache dafür, dass Telefonanlagen eine Gefahr für Kanzleien und Unternehmen darstellen können, häufig auch in der Unbedarftheit von Unternehmen, die solche Technik anbieten und montieren und bei denen oftmals das Thema Sicherheit noch nicht angekommen ist. In einigen Fällen, in denen Telefonanlagen über das Internet administrierbar waren, wurden in der Vergangenheit die Default- Passwörter (Werkseinstellung) des Herstellers verwendet. Das ist natürlich eine Einladung für jeden Verbrecher, der im Bereich der Cyber-kriminalität tätig ist.
Generell sollten Telefonanlagen bestmöglich von sonstigen IT-Anlagen getrennt sein. Häufig werden beim Einsatz von Voice-Over-IP Telefonate über dieselben Netzwerkverteiler geführt, über die auch das IT-Netz arbeitet. Aber nur weil zwei Systeme, mehr oder weniger zufällig, dasselbe Kommunikationsprotokoll ver-wenden, heißt das nicht, dass man sie – weil es Arbeit und Planung spart – einfach zusammenschalten sollte. Ein solches Konstrukt ist i. d. R. äußerst anfällig und kann mitunter zu einem unverantwortlichen Sicherheitsrisiko werden.
Das Schaubild 1 zeigt beispielhaft, wie man eine CTI-Lösung nutzen kann, ohne die Netzwerke von IT und Telefon ungefiltert zusammenzuschalten und damit ein Mindestmaß an Sicherheit gewährleisten kann. Dabei sind Internet, IP-Netz und Telefonie-Netz eigenständige Netzwerke, die untereinander ausschließlich über eine (restriktiv konfigurierte) Firewall kommunizieren. Das ermöglicht die Nutzung einer CTI-Lösung im vollen Umfang, ohne dass sich die Netze gegenseitig beeinträchtigen oder gefährden.
4 Computer Telephony Integration.
Cyberkriminalität und Cyberschutz für Rechtsanwälte und Mandanten | Deutscher Anwaltverlag 7
4. Professionelle Auftritte von Betrügern
Schaubild 1: Beispiel für eine sichere Anbindung der Telefonanlage an das IT-Netz einer Kanzlei oder eines Unternehmens
4. Professionelle Auftritte von BetrügernMittlerweile zaubern Mails mit Inhalten wie „ich dir schenken $ 50.000.000 aus Bank, die hat Falschbuchung gemacht“ vermutlich den meisten Internetnutzern ein müdes Lächeln ins Gesicht. Leider sind aber nicht alle Cyberkriminellen derart geistlos, solche plumpen und dümmlichen Nachrichten zu verschicken. Vielmehr treten Kriminelle zusehends professioneller im Internet auf. Die rasante Weiterentwicklung der Technologie vereinfacht ihnen dabei vieles. Eine Internetseite, die durchaus professionell wirkt, ist heute schnell in weni-gen Stunden erstellt. Für die Registrierung einer Domain oder die Einrichtung von E-Mail-Adressen benötigt man i. d. R. nur wenige Minuten. Es ist also für halbwegs gewiefte Kriminelle kein Problem, dem Internet-User mit einem professionellen Auftreten Seriosität vorzugaukeln. Fällt eine Webseite auf und wird z. B. durch die Strafverfolgungsbehörden in einem deutschen Rechenzentrum stillgelegt, so ist in vielen Fällen die Webseite bereits am nächsten Tag in den Niederlanden, in Griechenland, Papua-Neuguinea oder auf Samoa wieder verfügbar. Internetauftritte von Betrügern werden dabei ebenso wie E-Mails mit schadhaften Anhängen immer weiter perfektioniert, was es zunehmend schwierig macht, Täuschungsversuche auf den ersten Blick zu erkennen. Oftmals erscheinen Webauftritte oder E-Mails durchaus glaubhaft und erst bei genauem Hinse-hen erkennt der sensibilisierte Internet-Benutzer, dass z. B. ein Konto in Osteuropa angegeben ist. Daher ist generell Vorsicht geboten, wenn eine Firma oder ein Mailversender einem Nutzer bislang nicht bekannt ist. Insbesondere sollten dann alle Alarmglocken läuten, wenn in einer solchen Mail ein Link zu einer Webseite oder zu einem Download enthalten ist oder die Mail gleich einen Anhang mitsendet. Beim sorgfältigen Filtern bleiben natürlich auch schon mal ungefährliche Mails auf der Strecke. Dies ist insbesondere dann der Fall, wenn der Mailversender in seiner Beschreibung (Anzeigenamen) nur den persönlichen Namen sendet und die Firma oder Organisation daraus gar nicht hervorgeht. Das ist zwar wenig professionell, aber leider sehr verbreitet. In jedem Fall gilt: Kein Risiko eingehen! Lieber eine E-Mail löschen, als einen mehrtägigen Ausfall der gesamten Kanzlei-IT zu riskieren.
Cyberkriminalität und Cyberschutz für Rechtsanwälte und Mandanten | Deutscher Anwaltverlag 8
5. Crypto-Viren
5. Crypto-VirenGerade vor dem Hintergrund, dass Spam-Mails mit schädlichem Inhalt oder Anhang zunehmend schwerer von Computernutzern erkannt werden, sollte eine Art der Computerkriminalität nicht unbeachtet bleiben, die seit dem Jahr 2015 Unternehmen und Institutionen zunehmend in Atem gehalten hat. Es handelt sich hierbei um sog. Crypto-Viren. Diese Schädlinge werden zumeist per E-Mail versendet. Wird nun ein als harmlose Datei getarnter Anhang geöffnet, was durch einen teilweise recht geschickt formulierten E-Mail-Text erreicht werden soll, so werden Daten des Nutzers verschlüsselt. In einigen Fällen wurden beim Öffnen eines Mailanhangs oder Anklicken eines Links vollständige Datenbestände von Kanzleien oder Unternehmen verschlüsselt. Dabei sollte niemand von uns denken, dass ihm das nicht passieren kann. Selbst altgedienten IT-Sicherheitsexperten sind in jüngster Vergangenheit derartige Dinge widerfahren. Insbesondere wenn eine Mail mit der vermeintlichen Telefonrechnung ankommt und man tatsächlich von dem angeblichen Absender monatlich seine Rechnung per Mail erhält, ist ein Schadensfall schnell eingetreten. Auch wenn eine Mail telefonisch durch einen vermeintlichen neuen Mandanten angekündigt wird, ist die Hemmschwel-le gering, eine anhängende Datei zu öffnen. Vorsicht ist ganz besonders dann geboten, wenn ein Anrufer die Anzeige seiner Rufnummer unterdrückt. Besonders perfide sind auch E-Mails, die als Bewerbung auf aktuelle Ausschreibungen getarnt sind. Hier kann man davon ausgehen, dass ein Angreifer ganz gezielt eine bestimmte Kanzlei oder ein bestimmtes Unternehmen angreift, wenn im Betreff der E-Mail Bezug auf aktuelle Stellenausschreibungen genommen wird.
Üblicherweise wird nach erfolgter Infizierung mit Crypto-Viren eine Lösegeldforderung eingeblendet. Angeb-lich soll man nach Zahlung einer bestimmten Summe eine Möglichkeit erhalten, die Daten zu entschlüsseln. Obwohl kolportiert wird, dass einige Opfer bereits ein solches Feedback erhalten hätten, ermahnen die Autoren zur Vorsicht. Falls Sie bezahlen, ist lediglich eines sicher, nämlich dass Ihr Geld weg ist.
Was gilt es im Falle einer Datenverschlüsselung zu tun? Zunächst einmal gibt es bereits zahlreiche Werkzeu-ge, mit denen man die Verschlüsselung einer Vielzahl von Crypto-Viren rückgängig machen kann. Hier ist aber zusätzliche Vorsicht geboten: Einige dieser angeblichen Tools, die zum freien Download im Internet angeboten werden, könnten selbst Schadprogramme sein. Aus diesem Grund wird dringend empfohlen, nur Entschlüsselungswerkzeuge zu verwenden, die von Anbietern zur Verfügung gestellt werden, die zwei-felsohne als seriös angesehen werden können. Hierzu gehören insbesondere die allgemein bekannten Hersteller von Antivirenprogrammen. Die Autoren empfehlen allerdings, sich im Schadensfall direkt mit einem entsprechenden Sachverständigen in Verbindung zu setzen und generell auch die Einschaltung von Ermittlungsbehörden zu erwägen.
6. Social EngineeringWir können unsere IT-Systeme noch so gut absichern, die größte Bedrohung für die Integrität unserer Daten und die Systeme im Allgemeinen ist immer noch der menschliche Faktor. Insbesondere Leichtgläubigkeit, Hilfsbereitschaft oder Neugierde treiben mitunter Computernutzer dazu, offenkundig irrational zu handeln. Nehmen wir an, dass ein Cyberkrimineller sich entsprechend gut vorbereitet hat und sich ggf. sogar eine Telefonliste des Unternehmens beschaffen konnte. Er ruft dann also einen Mitarbeiter oder eine Mitarbei-terin aus einem Bereich an, in dem üblicherweise eher eine geringe IT-Affinität vermutet wird. Dort gibt er z. B. vor, im Namen der IT-Leitung, eines IT-Unternehmens oder eines Providers einen Sicherheitstest durchzuführen und bittet die Mitarbeiter, einen Link im Internet aufzurufen. Wenige Augenblicke später sind ein oder mehrere Systeme infiziert oder der Angreifer hat sich dauerhaft einen Zugang zum System des Unternehmens verschafft. Was es für eine Anwaltskanzlei bedeutet, wenn einem kriminellen Angreifer der gesamte Datenbestand offen liegt, muss nicht explizit erläutert werden.
Ausgesprochen häufig praktiziert wird auch der Anruf mit unterdrückter Rufnummer, bei dem Anrufer vor-geben, für ein Softwareunternehmen (meist Betriebssystemhersteller) oder für einen Telekommunikations-konzern (Internet-Provider) zu arbeiten. Der Inhalt solcher Anrufe entspricht dann meist einem einheitlichen
Cyberkriminalität und Cyberschutz für Rechtsanwälte und Mandanten | Deutscher Anwaltverlag 9
6. Social Engineering
Schema: Es wird vorgegeben, dass der Rechner des angerufenen Inter-netnutzers virenverseucht sei oder sein Rechner oder Internetanschluss irgendwelche Probleme verursache. Teilweise wird auch eine schnellere Internetverbindung in Aussicht gestellt. Kriminelle sind da mitunter recht kreativ. Um etwas – was auch immer – überprüfen zu können, wer-den dann die Angerufenen aufgefordert, einen Link im Internet aufzu-rufen. Folgt man den Anweisungen, muss davon ausgegangen werden, dass das System anschließend kompromittiert ist. Üblicherweise wird man in einem solchen Fall das System vollständig neu installieren, denn im Rahmen dieser Vorgehensweise können sowohl Bot-Viren als auch sonstige Viren, Trojaner oder permanente Zugänge, auf dem Rechner installiert worden sein. In einer Anwaltskanzlei wurden vor einiger Zeit über 1.400 (in Worten: eintausendvierhundert) Schädlinge auf einem infizierten Rechner identifiziert. Einmal infiziert, hatte ein Virus das Antivirensystem ausgehebelt und dann selbständig in großem Umfang Schadsoftware aus dem Internet nachgeladen. Während diese Art des Befalls rein destruktiver Natur war und keine Daten in Mitleidenschaft gezogen wurden, sind mittlerweile Viren und Trojaner weiterentwi-ckelt und ungleich gefährlicher geworden. Ein Bot-Virus installiert sich z. B. so im Rechner, dass er selbst von einigen Antivirensystemen nicht gefunden werden kann. In einer weiteren Rechtsanwaltskanzlei war aufgefallen, dass die Festplatte eines Rechners permanent arbeitete. Durch die sofortige Einschaltung eines Sachverständigen konnte nach gezielter Suche ein Bot-Virus identifiziert und eliminiert werden. Durch die Aufmerksamkeit einer Mitarbeiterin konnte hier Schlimmeres ver-hindert werden.
Wieso ist ein Befall mit Bot-Viren so problematisch?
Bot-Viren integrieren einen infizierten Rechner in ein sog. Bot-Netz, in dem dutzende, hunderte oder tausende infizierte Rechner zusammen-geschaltet, ferngesteuert und üblicherweise zu kriminellen Aktivitäten verwendet werden. Auf diese Weise können Kriminelle ihre Vorhaben umsetzen, wobei bei Rückverfolgung u. U. der Anschluss der Rechtsan-waltskanzlei als Ursprung einer Aktivität ermittelt werden könnte – ein ziemlich peinliches Szenario für den Anwalt. Die Nutzung von infizier-ten Rechnern kann dabei das gesamte Spektrum der Cyberkriminalität umfassen. Das heißt, dass sowohl Betrügereien wie Hackerangriffe, die automatisierte Suche nach Sicherheitslücken oder die Verbreitung kin-derpornographischen Materials über einen infizierten Rechner erfolgen kann, ohne dass der Nutzer oder Eigentümer des Rechners davon weiß.
Für einen Mandanten, ein Unternehmen oder auch eine Kanzlei kann es schwerwiegende Folgen haben, wenn illegale Aktivitäten über einen infizierten Rechner abgewickelt werden. Insbesondere wenn in ver-steckten Dateien und Verzeichnissen auf der Festplatte eines Rech-ners illegale Inhalte entdeckt werden, muss der Rechner immer darauf untersucht werden, ob er Teil eines Bot-Netzes war oder ob er von unberechtigten Dritten hätte genutzt werden können, um kriminelle Taten zu begehen.
In regelmäßigen Abständen oder beim Auftreten von Auffälligkeiten sollten daher Rechner auf Befall durch Bot-Viren untersucht werden.
In diesem Zusammenhang sollte auch einmal lobend erwähnt werden, dass einige Internetprovider die Nutzer per E-Mail tatsächlich warnen,
Ein
völ
lig n
euer
Ans
atz
zu E
ndpo
int S
ecur
ity
INTERCEPT
Ein
völ
lig n
euer
Ans
atz
zu E
ndpo
int S
ecur
ityin
völ
lig n
euer
Ans
atz
zu E
ndpo
int S
ecur
ityin
völ
lig n
euer
Ans
atz
zu E
ndpo
int S
ecur
ityin
völ
lig n
euer
Ans
atz
zu E
ndpo
int S
ecur
ityin
völ
lig n
euer
Ans
atz
zu E
ndpo
int S
ecur
ityin
völ
lig n
euer
Ans
atz
zu E
ndpo
int S
ecur
ity
Revolutionärer Schutz. Effektive Abwehr.
Sophos Intercept X ist eine revolutionäre Next-Generation Endpoint-Technologie zur Erkennung und Abwehr von Ransomware und Zero-Day Exploits.
• Stoppt Ransomware rechtzeitig,
bevor das System geschädigt wird
• Blockiert Zero-Day-Exploits
mit signaturloser Threat- und Exploit-
Erkennung
• Bereinigt das System und entfernt tief
ins System eingebettete Malware
• Analysiert Angriffe sowie deren Ursache
und gibt Handlungsempfehlungen
für die Zukunft
Testversion und mehr Informationen unterwww.sophos.de/intercept-x
SOPH_0050_61_Intercept_70x297_4_he.indd 1 28.09.2016 17:34:33
Cyberkriminalität und Cyberschutz für Rechtsanwälte und Mandanten | Deutscher Anwaltverlag 10
7. Nutzung fremder WLAN-Zugänge
wenn über den Internetanschluss auffällige Aktivitäten erfolgen. Die Warnung erfolgt allerdings per E-Mail ohne Links und Anhänge. Bislang ist den Autoren auch kein Fall bekannt, in dem ein Provider von sich aus bei einem Internetnutzer angerufen hätte.
7. Nutzung fremder WLAN-ZugängeSchlecht gesicherte WLAN5-Zugänge können ebenfalls von Kriminellen genutzt werden, um ihren Aktivitäten nachzugehen. Daher sollten längst keine Verschlüsselungen des Typs WEP oder WAP mehr genutzt werden.6 Diese Verschlüsselungsverfahren sind mit geringem Aufwand zu überwinden. Derzeit sollte ausschließlich die Verschlüsselung WPA2 zum Einsatz kommen. Diese ist aber nicht per se sicher, sondern muss entsprechend konfiguriert werden. Des Weiteren spielt der eingesetzte Router eine wesentliche Rolle bei der Frage, ob in ein WPA2-verschlüsseltes Netz eingebrochen werden kann. In diesem Zusammenhang sollte unbedingt ein Experte zurate gezogen werden.
Dabei muss der Kriminelle sich häufig gar nicht die Mühe machen und in ein schlecht verschlüsseltes WLAN einbrechen. Es finden sich zum Teil vollständig offene – das heißt unverschlüsselte – Funknetzwerke. Manche Hotels bieten auch den Zugang zu einem WLAN an, wobei für alle Nutzer ein einheitliches Passwort gilt, das mitunter seit Monaten oder Jahren nicht geändert wurde. Ist dem Cyberkriminellen ein solcher Zugang be-kannt, kann er sich gemütlich in der Lobby eines Hotels niederlassen und über das WLAN des Hotels seinen Aktivitäten nachgehen. Auf diese Weise werden durchaus auch Spam-Mails, Viren oder andere Schadpro-gramme verschickt. Ein Fall ist bekannt, in dem sogar Morddrohungen per E-Mail versendet wurden. Auch so etwas fällt unter unsere Definition von Cyberkriminalität.
Kriminelle begeben sich zuweilen auf die Suche nach offenen oder schlecht verschlüsselten Funknetzwerken. Wernert spricht hier von WARDriving, wobei WAR für Wireless Access Revolution steht.7 Das heißt, dass der Cyberkriminelle sich mit einer relativ einfachen Ausstattung auf den Weg macht und z. B. durch eine Stadt fährt (… Driving). Dabei wird dann nach offenen oder schlecht verschlüsselten Funknetzwerken gescannt.
Für den Benutzer sind diesbezüglich einige WLAN-Router neuerer Bauart problematisch, da diese zum Teil über ein Guest-Konto verfügen, das in den Standardeinstellungen aktiviert ist und über das sehr häufig Cyberkriminelle Zugang zum Internet über einen entsprechenden Router erlangen.
Wie können wir aber nachvollziehen, ob ein Unberechtigter sich über einen WLAN-Router verbunden hat?Um mit einem Router zu kommunizieren, muss eine Verbindung etabliert werden. Meistens vergibt dabei der Router eine dynamische IP-Adresse per DHCP.8 Die Mehrzahl aller Router merkt sich, zeitlich oft unbegrenzt, welches Gerät mit ihnen verbunden war. Dabei wird üblicherweise die MAC-Adresse des Geräts gespeichert. Teilweise wird auch der Name des Geräts oder Rechners gespeichert, was in der Vergangenheit in vielen Fällen schon Rückschlüsse auf die direkte Nachbarschaft eines von illegaler WLAN-Nutzung Betroffenen zuließ. In jedem Fall sollten diese Daten gesichert werden. MAC-Adressen können zwar gefälscht oder per Software manipuliert oder simuliert werden, aber grundsätzlich ist eine MAC-Adresse an eine Netzwerkkarte gebun-den und einzigartig. Einige Hersteller haben dabei einen Nummernkreis für ihre Geräte reserviert. In Zeiten von ISO 9001 und exzessiver Qualitätssicherung können Gerätehersteller i. d. R. nachvollziehen, welcher Chip in welchem Gerät oder Rechner eingebaut ist. Das heißt, dass man den Rechner bis zur Verkaufsstelle verfolgen kann. Viele PC-Hersteller bieten auch die Möglichkeit an, das Gerät registrieren zu lassen. Daher ist eine Identifikation eines Rechners oder sogar des Eigentümers über die MAC-Adresse denkbar und möglich. Es wird sicherlich im Einzelfall von verschiedenen Gegebenheiten abhängen, ob ein Täter über diesen Weg ermittelt werden kann, aber es ist theoretisch relativ einfach. Unter Umständen kann auch ermittelt werden,
5 Wireless Lokal Area Network.6 Kazemi/Lenhard, Datenschutz und Datensicherheit in der Rechtsanwaltskanzlei, 2. Aufl. 2015.7 Wernert, Internetkriminalität – Grundlagen, erste Maßnahmen und polizeiliche Ermittlungen, 2. Aufl. 2014.8 Dynamic Host Configuration Protocol.
Cyberkriminalität und Cyberschutz für Rechtsanwälte und Mandanten | Deutscher Anwaltverlag 11
8. Prävention
wo und über welchen Account sich ein Krimineller oder Internetbenutzer einwählt, der eine bestimmte MAC-Adresse verwendet.
Während die Ermittlungsbehörden von Bund und Ländern z. T. über hervorragende Computerforensiker verfügen, die weitaus mehr ermitteln können, als in diesem simplen Beispiel erläutert wurde, kommt es in der Praxis durchaus vor, dass eine Staatsanwaltschaft die Meinung vertritt, man könne keinen Rechner über die MAC-Adresse identifizieren, und Ermittlungsverfahren mit dieser Begründung einstellt. Einige Compu-terforensiker sprechen vor dem Hintergrund solcher Aussagen bereits davon, dass Deutschland ein Eldorado für Cyberkriminelle wäre.
8. PräventionSinnvollerweise sollte man mit der Umsetzung von Maßnahmen der Datensicherheit nicht warten, bis etwas passiert ist. Vielen noch so subtilen Methoden Cyberkrimineller kann man den Schrecken nehmen, wenn man ein ausreichendes Datenschutzniveau in seiner Kanzlei, seinem Unternehmen oder in seiner Institution realisiert und ausreichende technische und organisatorische Maßnahmen getroffen hat, um seine Daten und das Unternehmen zu schützen.
Einmal gilt es natürlich, sich vor Datenverlust, der Ausspähung von Daten, der Datenmanipulation oder der Sabotage zu schützen. In jedem Fall sollte es obligatorisch für jede Kanzlei sein, dass eine professionelle Firewall ebenso zum Einsatz kommt wie Antivirensoftware und Malware-Scanner. Mitunter kann eine gut durchdachte und extern gelagerte Datensicherung den Fortbestand einer Kanzlei oder eines Unternehmens sichern.
Als Rechtsanwalt und Sozietät bestens versichert.
Berechnen Sie bequem Ihren individuellen Tarif unter
Cyberkriminalität und Cyberschutz für Rechtsanwälte und Mandanten | Deutscher Anwaltverlag 12
9. Das Restrisiko
9. Das RestrisikoSelbst wenn wir nach dem heutigen Stand der Technik sichere Systeme haben, so ist dieser Status durch eine rasante technische Entwicklung stetig gefährdet. Methoden krimineller Subjekte werden im Rahmen der Cyberkriminalität immer subtiler, aber auch immer professioneller. Selbst sensibilisierte und ausgesprochen risikoaverse Computerbenutzer werden z. T. Opfer krimineller Machenschaften rund um die Nutzung von Internet und Informations- und Kommunikationstechnologie. Wie die vorstehenden Ausführungen zeigen, können Kanzleien, Unternehmen und Institutionen nicht dauerhaft ausschließen, Opfer einer Cyberattacke zu werden. Auf die Internetnutzung zu verzichten, ist keine praktikable Lösung für das Problem der Cyber-kriminalität, da E-Mail und Internet schon längst zu unverzichtbaren Kommunikationsmitteln im Alltag von Kanzleien und Unternehmen zählen. Daher empfiehlt es sich, über den potentiellen Schaden einer solchen Attacke und die Bedeutung für die Kanzlei oder das Unternehmen nachzudenken. Eine Versicherung macht keinen Sinn, wenn keine ausreichenden organisatorischen und technischen Maßnahmen umgesetzt wurden. Soweit aber der Datensicherheit Rechnung getragen wird, kann eine Cyberpolice eine sinnvolle Ergänzung der Absicherung sein. Das Restrisiko kann dabei durch die Cyberpolice abgedeckt werden und so unter Umständen den Fortbestand einer Kanzlei, eines Unternehmens oder einer Institution sichern.
In jedem Fall sollte man sich aber hier zunächst von einem unabhängigen Sachverständigen beraten lassen, der ggf. auch einen für den Abschluss einer Cyberpolice nützlichen Audit durchführen kann.
10. Interview: 6 Fragen an Ralph Günther
Herr Günther, Sie zählen zu den Vorreitern unter den Versicherungsmaklern mit Fokus auf IT-Risiken. Sehen Sie in der Praxis einen Anstieg der Cyber-Risiken?
Generell ist ein Anstieg an Cyber-Risiken wie z.B. Hacking, Social Engineering, Mal- und Ransomware erkenn-bar. Schauen wir uns beispielsweise die Statistiken zur Schadsoftware des AVM-Instituts an: Aktuell sind laut AVM weltweit über 500.000 Schadprogramme im Umlauf. Blicken wir nur fünf Jahre zurück, war es lediglich ein Fünftel dessen und vor zehn Jahren gab es diese Geißel so gut wie gar nicht. Daher ist es kein Wunder, dass mittlerweile auch die Versicherungswirtschaft darauf reagiert hat und vermehrt Versicherungslösungen für Cyber-Schäden anbietet.
Sprechen Sie hier nur von Bedrohungen bei IT-Unternehmen oder auch bei Kanzleien und Rechtsanwälten?
Die Bedrohungen sind in jeder Branche zu spüren, die sich moderner IT bedient und sich das Internet zunutze macht. Dazu zählen in einem besonderen Maße Anwaltskanzleien, wie die im April 2016 bekannt gewordene Spionagewelle gegen Kanzleien in Deutschland verdeutlicht, die der Dridex-Gang – bekannt durch den Ver-schlüsselungstrojaner „Locky“ – zugeschrieben wird (Quelle: heise Security v. 27.4.2016). Dabei mehren sich die Fälle von Erpressung durch das Verschlüsseln von Datenträgern oder das widerrechtliche Veröffentlichen von Daten. Beide Szenarien sind für Anwälte enorm schmerzhaft.
Kennen Sie denn schon konkrete Fälle, bei denen Kanzleien zu Schaden kamen?
Im aktuellsten Fall erhielt eine Kanzlei eine typische Bewerbung auf eine laufende Stellenanzeige. Leider war diese von Cyber-Kriminellen initiiert worden. Beim Öffnen der angehängten Bewerbungsunterlagen installierte sich der enthaltene Trojaner. In Sekundenschnelle wurde das Netzwerk infiziert. Zum Glück konnte der IT-Dienstleister sehr schnell Gegenmaßnahmen einleiten, sodass sich der Systemausfall auf zwei Tage begrenzte. Der Schaden liegt aktuell im vierstelligen Bereich, jedoch ist noch offen, ob es durch den Ausfall zu Firstversäumnissen kam.
Cyberkriminalität und Cyberschutz für Rechtsanwälte und Mandanten | Deutscher Anwaltverlag 13
10. Interview: 6 Fragen an Ralph Günther
Anwälte müssen ja eine Pflichtversicherung für die Berufsausübung nachweisen. Deckt die Berufshaftpflicht Cyber-Risiken ab?
Nein, denn die traditionelle Pflichtversicherung zielt auf die klassische Anwaltstätigkeit und daraus resultie-rende Beratungs- und Aufklärungsfehler, Fristversäumnisse etc. ab. Geschädigter ist dabei meist der Mandant. Jedoch setzt die Leistung der Berufshaftpflicht in der Regel eine Pflichtverletzung des Anwalts voraus, die bei Cyber-Attacken häufig nicht gegeben ist. Diese Lücke kann eine spezielle Cyber-Versicherung für „Daten- und Cyber-Drittschäden“ schließen.
Bei Cyber-Risiken geht es allerdings nicht nur um die Schädigung von Dritten, sondern insbesondere um die Schädigung der Kanzlei selbst. Dafür benötigt der Anwalt dann eine „Cyber-Eigenschaden-Deckung“.
Diese Cyber-Versicherungen können mittlerweile entweder als Leistungserweiterungen in die Berufshaft-pflichtversicherung des Anwalts eingeschlossen – was in der Regel im Hinblick auf den Beitrag sinnvoll ist – oder als separate Versicherung mit unterschiedlichem Versicherungsumfang ausgestaltet werden. Als Leistungserweiterung gibt es die Cyber-Eigenschaden-Deckung für einen Anwalt bereits ab ca. 90 € Jahres-beitrag. Ein separater Vertrag beginnt bei einem Jahresbeitrag von ca. 220 €.
Welche Schäden kann ein Anwalt über eine Cyber-Versicherung konkret absichern?
Im Bereich der Daten- und Cyber-Drittschäden kann z.B. die Verletzung von Geheimhaltungspflichten oder Datenschutzgesetzen versichert werden.
Bei den Cyber-Eigenschäden können z.B. konkret die Kosten für die Wiederherstellung und „Entseuchung“ von IT-Systemen der Kanzlei, Kosten für IT-Forensiker zur kriminalistischen Beweissicherung und Maßnah-men zur Datensicherheit, Benachrichtigungskosten betroffener Mandanten sowie ggf. Kreditschutz- und Kreditüberwachungsservices, Kosten für Krisenmanagement und PR, Umsatzausfälle der Kanzlei bis hin zur Erstattung von Lösegeldzahlungen bei Erpressung abgesichert werden.
Vermutlich lässt sich so ein Schaden schwer beziffern, abgesehen von einer Lösegeldzahlung. Wie berechnet sich der entstandene Schaden bzw. was wird hier von einem Versicherer erstattet?
Hier gibt es unterschiedliche Ansätze. Grundsätzlich kann man sagen, dass sich Aufwendungen des Anwalts zur Identifizierung von Sicherheitslücken, Bereinigung von Systemen, Beauftragung von IT-Forensikern oder das zwischenzeitliche Anmieten von IT-Systemen zur Aufrechterhaltung des Kanzleibetriebs relativ einfach ermitteln, nachweisen und somit auch versichern lassen. Also Kosten oder Mehrkosten, die durch den Cy-ber-Angriff entstanden sind.
Etwas anspruchsvoller ist die Absicherung von Umsatzausfällen, aber auch die lassen sich versichern. Bei der Berechnung des Schadens durch Ruf-/Imageschädigung wird es auch etwas knifflig. Häufig übernehmen in diesem Zusammenhang die Versicherer die notwendigen Kosten für PR- und Marketing-Spezialisten im Krisenfall.
Ralph Günther ist Fachautor, Versicherungsexperte und Gründer sowie Geschäftsführer von exali.de, dem Versicherungsportal für Dienstleister und freie Berufe. Er hat langjäh-rige Erfahrung im Risikomanagement und der Versicherung von Anwälten, IT-Experten, Architekten und Ingenieuren, Kreativen und Beratern. Sein Fokus liegt auf der Absiche-rung von Vermögensschäden – und damit verbunden der Weiter- und Neuentwicklung branchenspezifischer Versicherungskonzepte. Sein Wissen gibt er regelmäßig als Autor in relevanten Fachmedien an seine Zielgruppe weiter.
Anmeldung zum GRATIS-Test unter:www.anwaltsgebuehren.online
Jetzt 60 Tage kostenlos testen!
Mein Er folgsgeheimnis, dass deutlichmehr einbringt als es mich kos tet: Anwalt sGebühren.Online
Bislang war ich mir sicher, dass meine Gebühren abrechnung das Optimale für meine Kanzlei raus holt. Bis ich das jetzt mal mit dem Testzugang von AGO nachgerechnet habe. Schnell wurde mir klar: Da wäre noch einiges mehr möglich gewesen und ich kann meine Abrechnung ganz problemlos optimieren. Jede meiner Leistungen wird vollständig und korrekt erfasst sowie maximal honoriert. Nie wieder peinliche Anrufe bei Mandanten, weil ich eine Position übersehen habe und deshalb weitere oder korrigierte Rechnungen schicken muss.
Astrid BlumenstockRechtsanwältin und Fachanwältin für Familienrecht
