„Achtung, jetzt hätte es Dich erwischt!_“ ‒ Cyberschutz in Anwaltskanzleien

| Kürzlich stellte Microsoft den Support für sein Betriebssystem Windows 7 ein. Trotzdem ist es noch auf vielen Rechnern aktiv. Kanzleien sollten die Gefahr nicht unterschätzen: Veraltete Software oder mangelnde Sicherheitsvorkehrungen können nicht nur zu Regressfällen führen. Der Jurist und Versicherungsexperte Daniel Treskow erklärt im Interview mit DR wichtige Hintergründe. |

Nicht zuletzt der Hackerangriff auf das Berliner Kammergericht und dessen gravierende Folgen (Deutschlandfunk, 6.2.20) zeigen, dass digitale Angriffe auf Justizbehörden und Kanzleien enorme Schwierigkeiten mit sich bringen: Sie führen zu einem Ausfall vielleicht der gesamten EDV und kosten Geld, wie sich im Interview mit Daniel Treskow zeigt. Treskow ist Jurist bei FORMAT Kanzlei für Investment und Finanzen und betreut in deren Projekt DJP Deutsche Juristen Police Anwälte, die sich gegen berufliche Risiken absichern wollen. Hierzu gehören auch Cyberversicherungen speziell für Anwälte. Ein Gespräch über digitale Risiken, trickreiche Attacken auf Kanzleien und darüber, dass Juristen Versicherungsbedingungen häufig auch nicht oder nur oberflächlich lesen ‒ genau wie andere Berufsgruppen.

Frage: Wie lange beschäftigen Sie sich schon mit dem Thema Cyberversicherung?

Antwort: Das tun wir seit ca. fünf Jahren. Die Cyberversicherung für Anwälte beschäftigt uns natürlich vor allem aus unserem Projekt Deutsche Juristen Police heraus, aber auch in zahlreichen anderen Branchen wie IT-Unternehmen, Marketingunternehmen, Softwarehandel, Webdesign etc.

Frage: Gehen Anwälte den Bereich sichere Kanzlei-IT aufmerksam genug an?

Antwort: Einerseits tragen viele Anwälte die gleichen Argumente vor wie andere Unternehmer: Ich speichere keine Daten, ich habe keine relevanten Daten oder: Was soll man bei mir denn schon holen? Der Serverhersteller sage, der Server sei nicht anfällig. Oder man arbeite mit Apple-Produkten, da könne nichts passieren. Der ITler kümmere sich um alles, eben auch um die Sicherheit.

Frage: Und die andere Gruppe?

Antwort: Auf der anderen Seite kommen, auch nach der Attacke auf das Berliner Kammergericht, immer mehr Anfragen von Anwälten, die konkret von erfolgreichen Cyberattacken auf befreundete Kanzleien berichten. Bei denen ist die Aufmerksamkeit für das Thema dann natürlich sehr hoch. Man hat nun einmal konkret beobachten können, was es bedeutet, wenn eine Anwaltskanzlei fünf bis zehn Tage nicht ordentlich arbeiten kann, oder wenn man eingestehen muss, sich nicht ordnungsgemäß um die Sicherheit der Mandantendaten gekümmert zu haben.

Frage: Bereits die Berufshaftpflichtversicherung eines Anwalts deckt doch auch Cyberrisiken ab, oder?

Antwort: Richtig, allerdings nicht so umfangreich wie eine Cyberversicherung. Diese sind nämlich nur abgedeckt, solange der Schaden bei einem Dritten, also ein Haftpflichtschaden, eintritt. Nicht gedeckt sind selbstverständlich eigene Schäden und auch die ‒ für eine Cyberversicherung wesentlichen ‒ Assistance-Leistungen sind im Rahmen der Ergänzung der Berufshaftpflicht nicht so umfangreich versicherbar. Mir ist ein Fall bekannt, der gut veranschaulicht, welche Kosten hier entstehen können, und dabei ging es lediglich um ein gestohlenes Smartphone. Das sind die Zahlen: PR-Maßnahmen 5.000 EUR, Vertragsstrafen 75.000 EUR, Haftpflichtansprüche anderer Dateninhaber 40.000 EUR; rechtliche Informationen über den Datenmissbrauch aufgrund der DS-GVO sowie Rechtsberatung 3.000 EUR. Insgesamt also ein Schaden von 123.000 EUR.

Frage: Schließen Anwälte eine Police ab, verlangen die Anbieter häufig, dass der Anwalt in seiner Kanzlei bestimmte Sicherheitsstandards erfüllt. Ist das den Anwälten immer bewusst?

Antwort: Unsere jahrelange Erfahrung in der Beratung von Kanzleien zeigt immer wieder, dass Juristen Versicherungsbedingungen ebenso häufig nicht oder nur oberflächlich lesen wie andere Berufsgruppen. Hinzu kommt, dass problematische Klauseln aufgrund mangelnder Erfahrung in speziellen Versicherungsangelegenheiten und fehlender Vergleichsmöglichkeiten selbst von Juristen schnell nicht als solche erkannt werden.

Im Hinblick auf problematische Obliegenheiten ist es eine Frage der Größe der Kanzlei und der gewünschten Versicherungssumme, ob es solche überhaupt gibt. Wenn der Versicherer fragt, ob man einen „Antivirenschutz mit aktueller Virendatenbank“ und „Firewalls“ nutzt und ob man, bei einem Umsatz von 1.000.000 EUR, mindestens wöchentlich eine Datensicherung auf einem Server, einer externen Festplatte oder einem separierten Server macht, dann sind dies eigentlich Voraussetzungen, die leicht umzusetzen sind.

Frage: Und wenn die Kanzleigröße oder Versicherungssummen deutlich höher liegen?

Antwort: Liegen die Dimensionen darüber, kommt es sehr auf den Versicherer an. Hier unterscheiden sich die einzelnen Versicherer sehr deutlich. So wird beispielsweise z. T. eine „mindestens tägliche Datensicherung gefordert, die getrennt aufbewahrt oder betrieben wird, sodass sie nicht von demselben Schadenereignis betroffen sein kann“. Verletzt der Anwalt diese Obliegenheit vorsätzlich, verliert er seinen Versicherungsschutz. Bei grob fahrlässiger Verletzung kürzt der Versicherer die Leistung entsprechend. Hier sehen wir auch ein größeres Problem. Wird ein Patch nicht rechtzeitig installiert, lässt sich das eventuell noch als „leicht fahrlässig“ abtun. Zumal fraglich sein kann, wann es zur Verfügung stand und hätte installiert werden müssen. Bei den Anforderungen an die Datensicherung wird es schwierig, sich herauszureden. Entweder man hat sie oder eben nicht.

Frage: Versuchen die Anbieter, Anwälte für mögliche digitale Attacken zu sensibilisieren?

Antwort: Das tun sie tatsächlich. Versicherer versuchen immer mehr, schon präventiv mögliche Cyberattacken zu verhindern. So z. B., indem man Kanzleimitarbeitern die Möglichkeit bietet, sich Videos zu Themen wie „Was ist eine Cyberattacke?“, „Was tut ein Hacker?“ oder „Wie erstelle ich ein sicheres Passwort?“ anzuschauen. Heute werden teilweise richtige Online-Schulungen, mitunter mit Fragenkatalog und Zertifikat, geboten. Aktuell gibt es mindestens einen Versicherer, der für einen geringen Prämienaufschlag schon ein komplettes Präventionspaket inklusive „gefälschter Phishing-Mails“ zur Verfügung stellt, um die Mitarbeiter jederzeit in Alarmbereitschaft zu wissen. Sendet der Kanzleimitarbeiter die „Phishing-Mail“ an eine vom Versicherer genannte E-Mail-Adresse, gibt es positives Feedback. Öffnet er aber die Mail, bekommt er einen Hinweis: Achtung! Jetzt hätte es Dich erwischt.

Frage: Die eigentliche Schwachstelle sei der Mensch, ist von IT-Experten immer wieder zu hören. Zu Recht?

Antwort: Den wenigsten ist wohl bewusst, dass die eigentliche Cyberattacke gar nicht die Maschine „hacked“, sondern den eigenen Mitarbeiter oder gar einen selbst. Der Hacker versucht nur, den Mitarbeiter dazu zu bewegen, etwas zu tun, was dem Hacker Zutritt verschafft. Wie geschickt dabei vorgegangen wird, wird häufig unterschätzt. Das aktuelle Beispiel von dem Krypto-Trojaner „Emotet“ zeigt, dass manche Phishing-Mails nahe der Perfektion sind und man sich nicht einmal mehr bei der E-Mail eines Kollegen sicher sein kann, ob diese tatsächlich von ihm stammt.

Frage: Online basierte Angriffsstrategien wandeln sich und die Digitalisierung zieht in immer mehr Lebens- und Arbeitsbereiche ein, die ältere Policen vielleicht nicht berücksichtigen. Kann das in einem Schadensfall zum Problem werden?

Antwort: Der Markt ist noch sehr jung, sodass man kaum von veralteten Policen sprechen kann. Darüber hinaus enthalten die von uns empfohlenen Policen eine sogenannte „Innovationsklausel“. Das heißt: Neue, bessere Versicherungsbedingungen werden demnach sofort auch Bestandteil schon bestehender Verträge. Als konkretes Beispiel für problematische Altbedingungen lassen sich spontan Klauseln nennen wie beispielsweise „Hardware auf dem Stand der Technik“. Solche Klauseln hielten wir immer für ein massives Problem. Was genau der „Stand der Technik“ ist, lässt sich im IT-Bereich schon schwer sagen, geschweige denn praktisch umsetzen.

Weiterführende Hinweise

• Risiko ja, aber nicht bei uns ...

• Unsachgemäßer Gebrauch von Kommunikationseinrichtungen: Wie kann das Fehlverhalten des Arbeitnehmers sanktioniert werden?

• Guter Austausch? Warum Patientendaten nicht ausreichend geschützt sind

• Datenleck am Berliner Kammergericht könnte Experten zwei Jahre beschäftigen (Tagesspiegel, 29.1.20)

• Münchner Cyber-Sicherheitskonferenz 2020: Robuste IT-Lösungen als europäische Herausforderung (Deutschlandfunk, 15.2.20)