Nach den aufgrund Eigenbetroffenheit gewonnenen Eindrücken des Autors sowie aufgrund zahlreicher Diskussionen mit Kolleginnen und Kollegen muss bedauerlicherweise festgestellt werden, dass wir hiervon derzeit wohl noch weit entfernt sind.
Um mit einer positiven Nachricht zu beginnen: Die außerordentliche Solidarität, die uns aus der Anwaltschaft bei der Bewältigung der Folgen eines Ransomware-Hackerangriffes - der wohl als größte Krise unserer nunmehr über 50-jährigen Kanzleihistorie (30 Berufsträger) bezeichnet werden kann - zuteilgeworden ist, hat uns tief beeindruckt. Dabei ist nicht nur das Entgegenkommen und Verständnis der Kolleginnen und Kollegen hervorzuheben, welches uns in den laufenden Mandaten entgegengebracht wurde. Vielmehr ist hier insbesondere die uneigennützige Bereitschaft von Kolleginnen und Kollegen zu benennen, die uns mit ihrer Erfahrung aus bereits bewältigten Angriffen aus ihren Kanzleien zur Seite gestanden haben. Mit diesen eint uns auch die Bereitschaft, an der dringend notwendigen Aufklärung und Fortbildung von Kolleginnen und Kollegen zu diesem Thema mitzuwirken. Es sollte sich möglichst schnell allgemein durchsetzen, dass in der Anwaltschaft, über die bereits bestehenden gesetzlichen Vorgaben zur IT-Sicherheit hinausgehend, durchweg die Messlatte der IT-Sicherheit auf dem höchsten Niveau angesiedelt ist. Dies ist auch mit vertretbarem Aufwand in jeder Kanzlei umsetzbar.
Bei der von den Angreifern auf Rechtsanwaltskanzleien in jüngster Zeit verwendeten sog. Ransomware handelt es sich um Schadprogramme, die auf dem Computer befindliche Daten verschlüsseln. Die Täter erpressen ihre Opfer, indem sie deutlich machen, dass die Daten nur nach einer Lösegeldzahlung wieder freigegeben werden. Im Unterschied zu früheren Jahren erstellen Anwaltskanzleien heutzutage regelmäßige Sicherungen ihrer Daten (Backups). Aus diesem Grund ist seit ca. 2019 die sog. doppelte Erpressung üblich: Will das Opfer kein Lösegeld zahlen, wird mit Veröffentlichung der Daten gedroht, welche die Täter während des Angriffs kopierten. Die existierenden Backups werden beim Angriff gezielt identifiziert und entweder mitverschlüsselt oder vernichtet (gelöscht oder überschrieben). Dies gilt für alle im Netzwerk erreichbaren Sicherungen: Betroffen sind NAS, Datenfreigaben und angeschlossene ungesicherte externe Festplatten.
Die für die jüngsten Hackerangriffe auf deutsche Anwaltskanzleien verantwortlichen Hackergruppen sind bei den Ermittlungsbehörden dafür bekannt, eine Datenveröffentlichung von etwaigen erbeuteten Daten (im Darknet) vorzunehmen, sofern die geforderte Summe nicht bezahlt wird.
Im Ergebnis musste unsere Kanzlei weder mit Kriminellen verhandeln noch Lösegeld bezahlen. Dies verdanken wir einem Notfallsystem unseres Servers, der unmittelbar nach Beginn der Attacke um 1:30 Uhr morgens, wegen ungewöhnlichen Aktivitäten auf unseren Servern, Alarm geschlagen hat. Eine halbe Stunde später konnten die Server manuell physisch vom Internet getrennt werden und damit einen Abfluss von Daten verhindern. Damit ist es dem bestehenden Warnsystem zu verdanken, dass die vorbeschriebene doppelte Erpressung nicht stattfinden konnte.
Allerdings waren die IT-Struktur und sämtliche Nutzerdaten zu diesem Zeitpunkt schon „unknackbar“ mit einer Verschlüsselung zerstört. Mangels einer für einen solchen Notfall vorbereiteten Disaster-Recovery-Strategie hat es sodann rund eine Woche gedauert, mit Hilfe von Neuinstallation der Server, Programmen und eines physisch vom Server getrennten Datenbackups, wieder arbeitsfähig zu werden. Mit der im Nachgang zu dem Hackerangriff aufgesetzten Disaster-Recovery-Strategie wird nunmehr das Ziel verfolgt, bei einem erneuten Angriff spätestens nach 24 Stunden „wieder da zu sein“. Wir wissen jetzt zumindest, wie es geht. Denn in einem Punkt sind sich alle IT-Experten und Ermittlungsbehörden einig: „Nach dem Angriff ist vor dem Angriff“. Unabhängig davon, welche IT-Struktur oder Sicherheitsmaßnahmen umgesetzt werden, es gibt keinen 100%-igen Schutz.
Laut Auskunft eines Cyber-Crime-Versicherers steigt - nach den lediglich vereinzelten Angriffen auf Großkanzleien in den vergangenen Jahren - die Zahl der Angriffe auf mittelständische Kanzleien stetig an. Es dürfte daher nicht danach zu fragen sein, ob der (nächste) Hackerangriff kommt, sondern lediglich, wann er kommt. Häufig geäußerte Ansichten vieler Kolleginnen und Kollegen, „dafür sind wir zu klein“ oder „Wir sind für Angreifer zu uninteressant“, könnten sich schon bald als sehr trügerisch erweisen. Um im Sprachgebrauch der IT-Welt zu bleiben: Hier fehlt es deutlich an dem erforderlichen „Mindset“ in der Anwaltschaft.
Ein wichtiges Thema ist in diesem Zusammenhang vielfach angesprochene Cyber-Crime-Versicherungsvertrag für Rechtsanwaltskanzleien. Dieser ist neben der Verhinderung eines Datenverlustes ein, wenn nicht der, entscheidende Faktor, um nicht erpressbar zu sein.
Es ist jedoch bedenklich, wie offensichtlich nachlässig viele Rechtsanwaltskanzleien trotz der weltweit angespannten Cyber-Bedrohungslage mit ihrer IT-Sicherheit derzeit noch umgehen. Zumindest zwingt bereits die Verhandlung über den Abschluss einer Cyber-Crime-Versicherung den Versicherungsnehmer dazu, die eigene IT-Sicherheit zunächst auf den Prüfstand zu stellen, eine (externe) Schwachstellenanalyse durchzuführen und offensichtlich bestehende Lücken sofort zu schließen. In Zeiten der elektronischen Kommunikation im Rechtsverkehr sollte unabhängig von der Frage des Abschlusses einer entsprechenden Versicherung, zumindest die regelmäßige Durchführung von IT-Schwachstellenanalysen zum obligatorisch Pflichtprogramm einer jeden Kanzlei gehören.
Nachdem in der Vergangenheit die von den Versicherern bisher gestellten Ansprüche an die Cybersicherheit einer Kanzlei, um diese überhaupt zu versichern, durchaus überschaubar waren, ist aufgrund der deutlich zunehmenden Anzahl der Hackerangriffe auf Kanzleien allerdings zu erwarten, dass diese Ansprüche, sowie wohl auch die Prämien, steigen. Diese Ansprüche betreffen die IT-Struktur, die Durchführung von Schwachstellenanalysen und das Vorliegen einer konkreten Disaster-Recovery-Strategie. Zu beachten ist bei Abschluss des Versicherungsvertrages zudem, dass die derzeit noch am Markt üblichen Versicherungsvertragsbedingungen offensichtlich nicht auf „beratende Berufe“, sondern auf produzierende Unternehmen ausgelegt wurden, sodass es hier unter Umständen einiger Anpassung bedarf. Zusätzlich sind die internen Arbeitsanweisungen gegenüber den Mitarbeitenden zur Nutzung der Kanzlei-IT auf die Versicherungsbedingungen der Cyber-Crime-Versicherung abzustellen, um im Schadenfall nicht in das Risiko einer Deckungsschutzversagung zu geraten
Ferner spielt bei der Datensicherheit in Rechtsanwaltskanzleien eine große Rolle, wie die jeweilige IT-Infrastruktur der Kanzlei ausgestaltet ist. Hier konkurrieren im Wesentlichen zwei Modelle bzw. drei Modelle miteinander, deren Vor- und Nachteile und Kosten insbesondere für mittelständische Anwaltskanzleien ohne eigene IT-Abteilung und ohne externe Hilfe kaum sinnvoll gegeneinander abgewogen werden können.
Bis heute werden von den Kanzleien wohl überwiegend sogenannte „on-prem“ Lösungen (kurz für on premises = in eigenen Räumlichkeiten) bevorzugt. Dies bedeutet, dass die Kanzleien eigene Server einsetzen, auf denen diverse virtuelle Server zum Einsatz kommen, die sodann die einzelnen Clients (Arbeitsplätze) der Mitarbeitenden steuern. Es bedarf eines IT-Supportes, der zumindest sicherstellt, dass alle zu der verwendeten Software relevanten Sicherheitsupdates (sog. Patches) zeitnah installiert werden. Geschieht dies nicht, sind diese IT-Systeme grundsätzlich massiv gefährdet.
Dagegen steht das Modell mit „Client-Server-virtualisierten Arbeitsplätzen in der Cloud“ (sog. „in cloud only“ Lösung). Bei dieser Struktur unterhält die Kanzlei keine eigenen Server mehr. Vielmehr befinden sich die notwendigen Rechnerkapazitäten und virtuellen Server nebst Software in einem Rechenzentrum. Dort wird sodann 24/7 und 365 Tage im Jahr durch die Betreiber des Rechenzentrums für den vermeintlich notwendigen Schutz gesorgt.
Nach Auskunft der bei unserem Hackerangriff eingeschalteten IT-Forensiker waren diese in diesem Jahr allerdings schon mit mehreren Angriffen auf Unternehmen befasst, die ihre IT in einer der Cloud-Struktur ausgelagert hatten.
Die Zukunft liegt möglicherweise in einem dritten Modell, einer sogenannten „nativen Cloud-Lösung“, bei der es keine virtuellen Arbeitsplätze mehr gibt. Vielmehr laufen diese Systeme browserbasiert. Hierbei handelt es sich um Programme, die von vornherein ausschließlich für Cloud Lösungen programmiert wurden und damit in der Cloud schneller, sicherer und auch billiger als die „Client-Server in cloud Lösung“ laufen sollen.
Nach den übereinstimmenden Einschätzungen von großen Anwaltssoftwareanbietern soll es einen klaren Trend der Anwaltschaft in Richtung cloud-basierter Lösungen geben, die allerdings deutlich teurer sind als die herkömmlichen „on-prem“ Lösungen. Hierbei handelt es sich nach dem Eindruck des Autors allerdings um eine im Wesentlichen angstgetriebene Debatte, der viele Rechtsanwältinnen und Rechtsanwälte mangels eigener Fachkenntnis über die eigene IT nebst Leistungsfähigkeiten ihres IT-Supportes etwas hilflos gegenüberstehen. Sie tendieren daher zu der vermeintlich sicheren Cloud-Lösung, was jedoch nicht zwangsläufig der Fall ist. So können unter Abwägung aller Vor- und Nachteile incl. Kosten auch Hybridlösungen sinnvoll sein. Dies bedeutet, dass die Anwaltssoftware noch „on-prem“ betrieben wird während, maßgebliche weitere Programme, z.B. die Office-Programme, Telefonanlage, Mailserver und Teile des Backupsystems, in einer Cloud-Lösung betrieben werden. Damit ist beabsichtigt, die Vorteile beider Lösungsansätze miteinander zu kombinieren. Im Zuge einer (aufgrund der Lebensdauer regelmäßig nach fünf Jahren) anstehenden Erneuerung von zentralen Servern in Anwaltskanzleien wird diese Debatte zwangläufig immer wieder neu aufzugreifen sein.
Unabhängig davon, welche Lösung zur Anwendung kommt, muss wohl festgestellt werden, dass die wenigsten Rechtsanwaltskanzleien im Vorfeld ernsthafte und regelmäßige IT-Schwachstellenanalysen sowie Awareness-Trainings für Mitarbeitende betreiben. Ferner haben die wenigsten Rechtsanwaltskanzleien einen Notfallplan, der essentiell entscheidend für die Frage ist, wie schnell man nach einem Angriff wieder arbeitsfähig ist (Disaster Recovery Strategie).
Es dürfte sicherlich nicht richtig sein, an dieser Stelle neben der Berufshaftpflichtversicherung die Forderung nach einer weiteren Pflichtversicherung für die Anwaltschaft aufzustellen. Es dürfte es allerdings im Interesse der gesamten Anwaltschaft liegen, zeitnah sämtliche notwendigen Maßnahmen zur IT-Sicherheit zu ergreifen, um das eingangs bereits postulierte dringend notwendige Signal setzen zu können: Die deutsche Anwaltschaft verhandelt grundsätzlich nicht mit Kriminellen und lässt sich auch nicht erpressen.
Prof. Frank Siegburg
- Rechtsanwalt
- Fachanwalt für Bau- und Architektenrecht