11,5 Millionen Dokumente mit 2,6 Terabyte hochsensiblen Daten einer Rechtsanwaltskanzlei in Panama, Mossack Fonseca, sind an die Öffentlichkeit gekommen. Sie lösen eine unvergleichbare Welle an weltweitem Interesse aus, werfen vermutete aber bisher verborgene Fakten auf und belasten führende Persönlichkeiten aus Politik, Wirtschaft und Gesellschaft sowie große Unternehmen. Der Fall „Panama Papers“ zeigt auf, welchen Stellenwert die IT-Sicherheit bei Rechtsanwaltskanzleien haben sollte – und welche Auswirkungen ihre Vernachlässigung für Kanzleien und deren Klienten haben kann.
Wie 2,6 Terabyte Daten ein Unternehmen „über die Hintertür“ verlassen können
„2,6 Terabyte Daten passen auf eine externe USB-Festplatte und können so am schnellsten entwendet werden. Sie unautorisiert von außerhalb des Unternehmens über die IT-Netzwerke zu entwenden, dauert – ohne dabei entdeckt zu werden – vermutlich mehrere Wochen“, beschreibt Christian Polster, Chief Security Officer bei RadarServices, einem Anbieter für IT Security Monitoring, die Datenmasse.
Die Möglichkeiten für die Entwendung einer so großen Datenmenge zeigen die Kernbereiche für notwendige IT-Sicherheitsvorkehrungen von Rechtsanwaltskanzleien auf: sie müssen sich auf Insider Threats und externe Netzwerkzugriffe professionell organisierter Hacker konzentrieren.
Professionell organisierte Hacker formieren sich besonders seit 2015. In Untergrundforen wird nach spezialisierten Programmierern gesucht, um große Rechtsanwaltskanzleien zu attackieren. Der Wert der Daten, seien es unveröffentlichte Unternehmensergebnisse, Informationen über bevorstehende Unternehmensübernahmen oder -verschmelzungen, Geschäftsgeheimnisse oder eben auch Informationen zu sensiblen Offshore Aktivitäten, zieht Aufmerksamkeit auf sich. Ende März 2016 bekannt gewordene Angriffe auf mehrere US-Top-Kanzleien, die regelmäßig Wallstreet-Banken und Fortune 500 Unternehmen vertreten (u.a. Cravath Swaine & Moore und Weil Gotshal & Manges), lösten Untersuchungen des FBI aus.
Insider Threats, also mutwillige oder unbewusst herbeigeführte Schäden, die von den Mitarbeitern eines Unternehmens ausgehen, sind besonders für Rechtsanwaltskanzleien relevant: um Fälle bearbeiten zu können, haben Anwälte und ihre Mitarbeiter-Teams oft sehr weitreichende Zugriffe auf besonders heikle Daten ihrer Kunden – und das heute in der Regel von PCs, Laptops, Tablets oder Mobiltelefonen ohne besonders weitreichende Sicherheitsvorkehrungen und mit Anschluss zum Internet.
Der Status Quo der IT-Sicherheit bei Rechtsanwaltskanzleien
„Das Schutzniveau von Rechtsanwaltskanzleien ist im Vergleich zu dem ihrer Klienten wie zum Beispiel Banken, Versicherungen und anderen Global Players, als unterdurchschnittlich einzuschätzen“, so Polster. „Wir stellen jedoch fest, dass die Nachfrage von Kanzleien nach kontinuierlichem IT Security Monitoring steigt. Meist sind die Auslöser dafür große Projekte von potentiellen Klienten. Kanzleien müssen ihre IT-Sicherheitsmaßnahmen im Detail präsentieren, faktisch von den Fachabteilungen der Klienten oder externen Spezialisten überprüfen lassen und dabei den – teilweise sehr hohen – Standards ihrer Klienten genügen. Ein lückenhaftes Monitoring kann eine Rechtsanwaltskanzlei für Projekte disqualifizieren. Der Fall Panama Papers zeigt nur zu plakativ, warum dieses Auswahlkriterium für Geschäftspartner so zentral ist“.
Das Set an effektiven IT-Sicherheitsmaßnahmen
Kanzleien müssen ihren Fokus auf das proaktive Aufspüren von Sicherheitslücken und das zeitnahe Erkennen von – internen oder externen – Angriffen auf ihre IT richten. Die kontinuierliche Gesamtüberprüfung der IT-Infrastruktur liefert alle notwendigen Informationen. Sie umfasst drei Komponenten.
Erstens kontinuierliche Schwachstellenanalysen von innen und außen: Jeden Tag entstehen neue Angriffsarten und damit neue Sicherheitslücken oder Schwachstellen in der IT einer Organisation. Das kontinuierliche Aufspüren ist Voraussetzung, um zum Beispiel eine unsichere Verschlüsselung aufzudecken.
Zweitens eine ständige Überwachung aller Einfallstore für Schadsoftware und aller Kommunikationskanäle über die Unternehmensgrenzen hinweg: Zu denken ist hierbei an die Analyse von Anhängen grundsätzlich aller eingehenden Emails und aller Web-Downloads in „abgeschotteten“ Umgebungen (sogenannte Sandboxen) und damit das Verhindern des Eindringens von Schadsoftware in eine Organisation – einem besonders oft genutzten Werkzeug, um unautorisierten Zugang zu einem IT-Netzwerk zu erlangen. Zudem muss die Übertragung von Daten eines Angreifers aus der Organisation heraus zu externen Zielen im Internet erkannt werden. Dies fällt bei einem Security Monitoring aller Systeme, des Datenverkehrs und der Zugriffe auf sensible Systeme und Dateien auf. Datentransfer von internen zu externen IPs, zu denen keine Geschäftsbeziehung besteht, muss umgehend festgestellt und analysiert werden.
Drittens eine laufende Analyse und Korrelation von Logs der einzelnen Systeme: Angreifer versuchen ihre Bewegungen im Netzwerk so normal wie möglich aussehen zu lassen. Dennoch könnten zum Beispiel Logins von einem Benutzer auf mehreren Systemen von unterschiedlichen IPs zur gleichen Zeit verdächtig sein. Alle Logs von Servern, Netzwerkgeräten, Applikationen und anderen zentralen Einrichtungen müssen daher zentral analysiert und mit den Erkenntnissen aus Intrusion Detection Systemen korreliert werden. Durch Netzwerkdaten- sowie Loganalyse wird zudem überwacht, welche großen Datenmengen im Unternehmen, zum Beispiel von Netzlaufwerken auf Laptops oder direkt auf USB-Festplatten oder USB-Sticks, kopiert werden.
Daneben gehören weitreichende organisatorische Schutzmaßnahmen zu den „must haves“ für Kanzleien. So müssen Zugriffsrechte und Zugriffsmöglichkeiten für Mitarbeiter weitestmöglich limitiert, Zugriffe auf Klientendaten auf Servern überwacht, Serverdaten verschlüsselt, Policies aufgestellt und ständig überprüft werden. Zuverlässigkeitsprüfungen von Mitarbeitern auf allen Hierarchieebenen genauso wie ihrem Umgang mit den ihnen zugänglichen Daten sind unumgänglich. Ein generelles Einschränken der Möglichkeit, Daten auf USB zu speichern bzw. eine Alarmgenerierung im Falle eines Ansteckens eines USB-Massenspeichers sowie ein Verbot der Uploadmöglichkeiten auf Cloudspeicher (u.a. Dropbox) sind – zumindest für den Einsatz bei definierten Mitarbeiterkreise – empfehlenswert. Die regelmäßige Schulung zu IT-sicherheitsrelevanten Themen, u.a. zum Thema Awareness, muss Standard sein.