ZAP 2/2022, Cybersecurity – Anforderungen an die (sichere) Anwaltskanzlei

Die Zahl der Angriffe von Cyberkriminellen gegen Kanzleien ist stark angestiegen – so wird es jedenfalls in einem Beitrag des juristischen Online-Magazins Legal Tribute Online (LTO) vom 14.10.2021 ( https://www.lto.de/recht/juristen/b/anwaltszukunftskongress-azk-cybersecurity-anwaelte-phishing-ransomware-kanzlei-legal-tech/) berichtet. Zugleich seien Rechtsanwältinnen und Rechtsanwälte häufig noch nicht ausreichend gegen Cyberangriffe geschützt. Das stimmt sicherlich und liegt vermutlich u.a. auch daran, dass es nicht das EINE Angriffsszenario gibt, sondern die Angreifer viele verschiedene Methoden nutzen. Hierbei reicht das Spektrum von komplexen Schadprogrammen, wie Emotet, über Verschlüsselungstrojaner bis hin zu Gefährdungen durch Zero-Day-Exploits. Die Emotet-Malware zeichnet sich dadurch aus, dass sie zum einen täuschend echt aussehende, betrügerische E-Mails erzeugen und zum anderen auch noch weitere Schadsoftware nachladen kann, sobald sie sich auf dem angegriffenen System eingenistet hat. Primäres Ziel hierbei ist der Zugriff auf die Nutzerdaten, wie etwa Online-Banking-Informationen. Bei einem Befall durch Verschlüsselungstrojaner (sog. Ransomware, wie z.B. Wannacry oder Goldeneye) wird dagegen das gesamte angegriffene System verschlüsselt und der Nutzer zur Zahlung von höheren Beträgen (meist in Form einer schwer nachverfolgbaren Cryptowährung) gegen Herausgabe des Entschlüsselungspassworts erpresst. Verbreitet wird Ransomware nicht selten durch gefälschte Bewerbungs- oder ähnliche Fake-Schreiben. Öffnet man deren angehängte Dateien, schlägt der Virus zu und man hat keinen Zugriff mehr auf die eigenen Daten. Bei den sog. Zero-Day-Exploits handelt es sich um Software-Sicherheitslücken, für die es noch keine Sicherheitsupdates gibt und die deshalb von Kriminellen mit entsprechendem Wissensvorsprung ausgenutzt werden können. Ein Beispiel dafür ist der Hafnium Hack, der Anfang März 2021 gegen die weltweit verbreitete Server-Software Microsoft Exchange ausgeführt wurde. Vom Hersteller wurden zwar Updates zum Stopfen von bekannt gewordenen Exchange-Sicherheitslücken bereitgestellt, die jedoch nicht von allen Anwendern zeitnah eingespielt wurden. Das führte zu einer massenhaften Verbreitung von Schadsoftware und das eben auch in zahlreichen Anwaltskanzleien.

Egal, ob es sich um ausgeklügelte Technik oder um das Austricksen von Menschen (sog. Social Engineering) handelt, insb. Anwälte und Anwältinnen müssen ihre eigenen Daten und die ihrer Mandantschaft ausreichend schützen. Das verlangt in erster Linie schon das eigene Berufsrecht (§ 43a Abs. 2 BRAO, § 2 BORA), aber auch eine ganze Reihe weiterer Vorschriften. In diesem Kontext wäre § 203 StGB zu nennen, aber letztlich auch das GeschGehG sowie das Datenschutzrecht, v.a. in Form der DSGVO. Da die von Anwälten verarbeiteten Daten in aller Regel Personenbezug aufweisen, ist insb. Art. 32 Abs. 1 DSGVO als Ausfluss des Integrität- und Vertraulichkeitsgrundsatzes (Art. 5 Abs. 1 lit. f) DSGVO) einschlägig. Danach müssen – u.a. unter Berücksichtigung des Stands der Technik – geeignete technische und organisatorische Maßnahmen (TOMs) ergriffen werden, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Das setzt voraus, dass man sich des individuellen Risikos im Zusammenhang mit der Verarbeitung personenbezogener Daten bewusst ist und es entsprechend eingeordnet sowie dokumentiert hat. Zudem müssen die eigenen TOMs geeignet sein, die Daten in angemessener Weise vor dem Zugriff durch unbefugte Dritte, vor Verlust oder vor Zerstörung zu schützen. Die Frage, wann Maßnahmen als geeignet angesehen werden können, kann nur mit Blick auf die eigene Datenverarbeitung im konkreten Einzelfall beantwortet werden, wobei auch stets der Verarbeitungszweck berücksichtigt werden muss. So sind Daten von Beschäftigten in aller Regel sehr sensibel, weil sie z.B. Daten zur Gesundheit oder zur Religion i.S.v. Art. 9 Abs. 1 DSGVO umfassen. Diese müssen daher regelmäßig besser geschützt werden als etwa solche Daten, die ohnehin öffentlich zugänglich sind (z.B. die Telefonnummer der Kanzlei oder die E-Mail-Adresse). Folglich fängt der Schutz von Daten, egal ob online oder offline, grds. schon viel früher an. Natürlich sind Sicherheitsmaßnahmen mit Blick speziell auf Cybersecurity wichtig, vermutlich wichtiger denn je. Darüber darf jedoch nicht der Datenschutz im Alltag vergessen werden. Wer als Anwalt deutlich für andere hörbar im Zug mit einem Mandanten telefoniert und dabei dessen Namen oder andere Details erwähnt, verstößt gleich gegen mehrere der genannten Normen. Wer mit der eigenen Mandantschaft etwa von einer Web.de-, GMX- oder T-Online-Mail-Adresse aus kommuniziert, der verstößt m.E. gegen sein Berufsrecht, weil die Nutzung solcher Free-Mail-Anbieter u.a. damit einhergeht, dass diese Anbieter die Mail-Inhalte durchforsten, um z.B. dazu passende Werbung ausspielen zu können. Und wer heutzutage noch eine Website betreibt, die nicht über ein SSL-/TLS-Zertifikat verfügt, mit ...