5 Tipps für Anwaltskanzleien zum Schutz der Kundendaten
5 effektive Wege, wie Anwaltskanzleien ihre Klienten-Daten schützen können
Cyber-Kriminalität entwickelt sich immer schneller und gezielter auf alle möglichen Arten von Unternehmensbranchen. Früher galten die Einzelhändlerbranchen und das Bankenwesen mit zu den Hauptzielen der Angreifer, um in erster Linie Kreditkartendaten abzugreifen.
Heute ist schon fast jeder Branchensektor ein potentielles Ziel der Angreifer. Das schließt das Rechtswesen und speziell die Anwaltskanzleien nicht mehr aus. Hier haben es die Kriminellen vorwiegend auf die wertvollen Daten der Klienten bei Rechtsstreitigkeiten oder schwebenden Verfahren abgesehen.
Es scheint, dass die Attraktivität der Kanzleien bei Cyberkriminellen zunehmend steigt. Es gibt Anzeichen dafür, dass fast alle großen Kanzleien in den USA mindestens einmal gehackt wurden.
Anwaltskanzleien verfügen in der Regel über viele hochsensible Kundendaten von Einzelpersonen oder von ganzen Unternehmen, die bei Diebstahl gewinnbringend, z.B. an die Gegenpartei oder andere Institutionen verkauft werden könnten. Die Auswirkungen von Datenschutzverletzungen in diesem Bereich sind besonders hoch, da das Vertrauen zwischen Anwalt und Klientel an oberster Stelle steht. Sollte diese Grundlage durch Datendiebstahl missbraucht werden, müssten die Kanzleien mit massiven Reputationsschäden rechnen. Zudem werden diese Verletzungen durch die EU-Regularien mit hohen Bußgeldern bestraft.
Welche Schritte sollte man sich also überlegen, um Verluste von sensiblen Daten bestmöglich zu verhindern?
Risiko beurteilen
Ein wichtiger erster Schritt ist die Risikoüberprüfung der gesamten IT-Infrastruktur nach möglichen Schwachstellen – vom Rechenzentrum bis hin zu den Benutzerendgeräten in der Kanzlei. Alle Bereiche an denen Daten möglicherweise verloren oder gestohlen werden könnten, auch bei deren Übertragung.
Alle Daten schützen
Wertvolle Daten bewegen sich meist in der gesamten Unternehmensinfrastruktur. Daher sollte man alle Speicherorte (Datencenter, Backups, File-Server, etc), verwendete Applikationen, Anwendungen und vor allem die einzelnen Datenzugänge überprüfen und vor fremden Zugangsversuchen schützen. Es sollte sichergestellt werden, dass die Daten sowohl bei der Übertragung als auch bei der Ablage auf einem Speichermedium immer verschlüsselt werden. Alle Zugriffsmöglichkeiten auf diese sensiblen Daten müssen einer entsprechenden Authentifizierung unterliegen. Zudem sollte ein regelmäßiges Patch- und Schwachstellenmanagement über alle Systeme erfolgen, so dass die permanente Aktualität der Systeme gegeben ist und eventuelle Fehlkonfigurationen schnell behoben werden können.
Bereitstellen von erweiterten Sicherheitsmaßnahmen
Viele Anwaltskanzleien geraten zunehmend in den Focus von zielgerichteten Angriffen (Advanced Persistent Threats), die meist durch Spear-Phishing Attacken oder manipulierten E-Mails eingeleitet werden. Das Ziel dabei ist es einen ersten Fuß in das Netzwerk der Organisation zu bekommen. Solche Angriffsversuche sollten durch die Installation von Web-Security Gateways am Netzwerkeingang abgefangen werden, um weitere Bedrohungen wie Echtzeit-Malware und Zero-Day Exploits verhindern zu können.
Einführung eines Reaktionsplans
Trotz vieler Sicherheitsmaßnahmen ist es nie ausgeschlossen Opfer eines Angriffes zu werden. Falls eine Kompromittierung eintritt, sollte man einen entsprechenden Reaktionsplan zur Hand haben, mit dem man den Angriff zunächst möglichst schnell identifizieren und stoppen, die Schäden beseitigen und den Normalzustand wiederherstellen kann. Zudem sollten die erfolgten Maßnahmen für eine eventuelle Compliance-Überprüfung entsprechend dokumentiert werden. Einige große Firmenkunden gehen bereits dazu über, entsprechende Notfallpläne in Abhängigkeit einer zukünftigen Zusammenarbeit von ihren Kanzleien anzufordern.
Training der Mitarbeiter
Der Mensch ist und bleibt das schwächste Glied in der Sicherheitskette. Die Social-Engineering Techniken (Betrügerische Manipulationen von Firmenmitarbeitern) der Cyberkriminellen, um in das Netzwerk zu gelangen, werden immer ausgefeilter. Mitarbeiter müssen kontinuierlich für mögliche Täuschungsmanöver und betrügerische Kommunikation trainiert und sensibilisiert werden. Dies gilt sowohl im persönlichen Umgang mit einem potentiellen Betrüger als auch im täglichen Umgang mit E-Mails, Telefonaten und den sensiblen Kundendaten.