Hackerangriffe auf Unternehmen sind inzwischen fast schon an der Tagesordnung. Fast täglich werden neue Fälle von Datendiebstahl, Computersabotage, Erpressung und anderen Delikten bekannt. Tendenz stark steigend. Laut Branchenverband Bitkom (2017) waren bereits 67% aller Unternehmen in Deutschland Opfer eines Hackerangriffs.
Auch eine internationale Großkanzlei wurde vergangenes Jahr Opfer einer Cyber-Attacke. Der Erpressungstrojaner "Petya" hatte das komplette IT-System der Kanzlei am 27. Juni lahmgelegt. Erst am 2. Juli konnten die Mitarbeiter wieder Emails empfangen und versenden. Am 7. Juli teilte ein Unternehmenssprecher mit, dass sie immer noch mit den Folgen des Cyber-Angriffs zu kämpfen hätten und mit Schäden im Millionenbereich rechnen.
Auf Twitter und im Internet kursierten Fotos aus der Lobby eines Bürostandorts. Eine kurzfristig aufgestellte Hinweistafel informierte die Angestellten über den Systemausfall. Die Mitarbeiter konnten nur noch mit ihrem eigenen Handy und per SMS kommunizieren. Auf der Internetseite kommentierte die Kanzlei, dass ihre IT-Abteilung zusammen mit IT-Forensikern und Strafverfolgungsbehörden daran arbeite, die Verbreitung der Schadsoftware zu verhindern. Den Mandanten wurde mitgeteilt, dass sie es mit einer ernsten Cyberbedrohung zu tun hätten und deshalb derzeit nur über Notfall-Rufnummern erreichbar seien.
Rechtsanwälte arbeiten tagtäglich mit vertrauensvollen Kundendaten und Kundeninformationen. Die Kommunikation läuft vermehrt über E-Mail oder Telefon ab. Es werden elektronisch archivierte Daten, Online-Akten und Verwaltungsprogramme genutzt. Bei Datensicherheit und Datenschutz steht diese Berufsgruppe daher vor besonderen Herausforderungen. Vor allem die sensiblen Informationen über Mandanten (z.B. vertrauliche Vertragsdetails, Strafsachen oder persönliche Besitzverhältnisse von Privatpersonen) sind zwingend zuverlässig zu schützen. Für Hacker sind Kanzleien daher ein beliebtes Angriffsziel.
Spielen wir den Fall einer Cyber-Attacke einmal durch. Ihre Kanzlei erhält eine täuschend echt aussehende Email. Dies kann eine angebliche Bewerbung, die Nachricht eines Kollegen zu einem Rechtsstreit oder eine Kundenanfrage sein. Die sich im Anhang befindende Zip-Datei wird von einem Ihrer Angestellten nichts ahnend geöffnet. Und schon hat der Angreifer in Sekundenschnelle Zutritt und Kontrolle auf alle Ihre unternehmensspezifischen Systeme und Daten. Von da an haben die Kriminellen die Möglichkeit im System Ihrer Anwaltskanzlei vertrauliche Unterlagen und Daten auszuspähen oder weitere Schadsoftware hochzuladen. Auf Ihren Bildschirmen erscheint die Lösegeldforderung, welche Sie zur Zahlung von zwei Bitcoin (umgerechnet ca. 11.000€) auf ein anonymes Konto innerhalb einer Frist von 24 Stunden auffordert.
Alle vernetzen Geräte können vom Erpressungstrojaner betroffen sein. Computer und Telefone sind bis auf weiteres nicht mehr funktionsfähig. Sie haben keinen Zugriff mehr auf Ihre Daten und können dem täglichen Geschäftsbetrieb nicht mehr nachgehen. Um die Folgeschäden der Betriebsunterbrechung auf ein Minimum zu reduzieren und die Chancen auf eine Wiederherstellung aller betroffenen Datensätze zu erhöhen, gilt es unverzüglich zu handeln. Sicherheitsexperten müssen umgehend hinzugezogen werden.
Damit sind hohe Kosten verbunden: Wiederherstellungskosten für Ihre Datenbanken und Betriebssysteme, Kosten für IT-Forensiker zur kriminalistischen Beweissicherung und Maßnahmen zur Datensicherheit, Kosten für Krisenmanagement und PR bis hin zur Zahlung von Lösegeldzahlungen bei Erpressung. Während die Systeme von IT-Spezialisten von der Schadsoftware befreit werden und Ihre betriebliche Infrastruktur wieder hergestellt wird, können Sie nicht arbeiten. Meistens verlieren die betroffenen Unternehmen den Umsatz mehrerer Wochen.
Nicht zu vergessen sind die rechtlichen Pflichten und Folgen einer Informationssicherheitsverletzung, die aus dem Bundesdatenschutzgesetz und der ab 25. Mai 2018 gültigen Datenschutzgrundverordnung hervor gehen. Insgesamt sind es vor allem die Folgen der Cyberattacke und nicht die Attacke selbst, die erhebliche Schäden für die betroffenen Unternehmen bewirken. Eine Studie des Digitalverbandes Bitkom, die im September 2017 veröffentlicht wurde, stellte fest, dass nur 4 von 10 Unternehmen auf Cyber-Angriffe durch ein Notfallsystem vorbereitet sind. Insbesondere kleinere und mittlere Unternehmen verfügen nicht über entsprechende Vorkehrungen.
Einen 100% Schutz vor Cyber-Risiken gibt es allerdings nicht. Für die Absicherung des Restrisikos gibt es in Deutschland seit 2014 Versicherungsprodukte, die nun auch für mittelständische Unternehmen und freie Berufe zur Verfügung stehen.
Hanno Pingsmann
Foto: Twitter (Eric Geller)