Suche

Bitte mit Enter bestätigen

Überblick und Handlungsansätze

Cybercrime – Ein Thema auch für Freiberufler

Die Entwicklungen der letzten Jahre haben deutlich gezeigt, dass Cybercrime schon lange nicht mehr nur ein Thema für große Unternehmen ist, sondern dass zunehmend auch kleine und mittlere Unternehmen und selbst Freiberufler – wie z.B. Ärzte, Notare, Rechtsanwälte und Steuerberater – ins Visier von Cyberkriminellen gerückt sind. 

Dies hat vor allem zwei Gründe:

  • Freiberufler speichern in ihren IT-Systemen häufig sehr sensible – und damit für Cyberkriminelle hochinteressante – Daten. Man denke beispielhaft nur an die Patientendaten eines Psychologen, die strafbefreiende Selbstanzeige, die ein Steuerberater gerade für seinen Mandanten vorbereitet oder den aktienkursrelevanten Entwurf eines Unternehmenskaufvertrages auf den Servern eines Notariats.
  • Zugleich halten Freiberufler in aller Regel weder IT-Infrastruktur noch IT-Knowhow in dem Maße und der Qualität vor, wie dies z.B. bei Konzernen mittlerweile zumeist der Fall ist.


Gegenüber Freiberuflern bieten sich für Cyberkriminelle typischerweise vor allem zwei Vorgehensweisen an:

  • Ein Datendiebstahl, bei dem aus dem IT-System des Freiberuflers vertrauliche Mandanten-/Patientendaten entwendet werden, um diese Daten dann – z.B. als Druckmittel für eine Erpressung – entweder gegen die Patienten/Mandanten des Freiberuflers oder gegen den Freiberufler selbst einzusetzen. Wer will als Steuerberater schon gern seinem Mandanten erklären, dass die vorbereitete Selbstanzeige sich nun leider in den Händen eines Hackers befindet? Die Zielsetzung eines Datendiebstahls bei einem Freiberufler kann aber auch schlicht darin bestehen, im ersten Schritt an Daten zu gelangen, die dann in einem zweiten Schritt – z.B. im Rahmen eines Social-Engineering-Angriffs – wiederum für weitere Cybercrime-Taten gegen die Kunden des Freiberuflers eingesetzt werden sollen. Dies kann aus der Sicht von Cyberkriminellen z.B. dann sinnvoll sein, wenn die fraglichen Daten bei dem Freiberufler schlechter geschützt sind als dies beim Kunden selbst der Fall ist.
  • Zum zweiten bietet sich für Cyberkriminelle gegenüber Freiberuflern der Einsatz von Ransomware an. Bei Ransomware handelt es sich zumeist um Programme, die dafür sorgen, dass ein bestimmter oder der gesamte Datenbestand so verschlüsselt wird, dass deren weitere Nutzung – bis zur Eingabe eines Passworts – unmöglich wird. Für die Entschlüsselung der Daten, zu der zumeist ein Passwort erforderlich ist, wird von Cyberkriminellen sodann regelmäßig eine Lösegeldzahlung verlangt, die häufig in einer digitalen Währung (Bitcoin, etc.) zu entrichten ist. Kommt – was in den allermeisten Fällen nicht möglich oder jedenfalls kostenmäßig nicht sinnvoll ist – eine Entschlüsselung der Daten durch externe IT-Spezialisten nicht in Betracht, so verbleibt den Opfern oftmals – vor allem dann, wenn es kein aktuelles Backup des verschlüsselten Datenbestandes gibt – nur die Zahlung des verlangten Lösegeldes. Und selbst bei Zahlung ist natürlich leider nicht garantiert, dass der betroffene Freiberufler tatsächlich wieder Zugriff auf seinen Datenbestand erhält.


Um derartigen Angriffen etwas entgegen zu setzen, sollten Freiberufler zunächst einmal ein Bewusstsein („Awareness“) für derartige Gefahren entwickeln, welches unbedingt auch bei den Mitarbeitern entstehen sollte, da jede Sicherheitsarchitektur natürlich immer nur so gut wie ihr schwächstes Glied ist. So wie es z.B. in jeder Arztpraxis selbstverständlich sein wird, dass der letzte Mitarbeiter am Abend die Eingangstür verschließt und die Alarmanlage aktiviert, sollten Freiberufler bei ihren Mitarbeitern auch ein Problembewusstsein für IT-Risiken schaffen und Absprachen zur IT-Sicherheit mit diesen treffen. Im Idealfall sollte sogar eine umfassende IT-Compliance entwickelt und etabliert werden. Eine entsprechende Schulung der Mitarbeiter durch geeignete IT-Spezialisten ist – angesichts der (Haftungs-)Risiken – sicherlich weder in zeitlicher noch in finanzieller Hinsicht als Ressourcenfehlallokation anzusehen.


Hinzu kommt, dass man bei vielen Freiberuflern immer wieder eine fatale Neigung dazu beobachten kann, eine einmal etablierte IT-Ausstattung nach dem Motto „never change a running system“ über Jahre unverändert zu lassen. Hier mögen zwar auch finanzielle Überlegungen eine Rolle spielen, viel zu oft ist es aber schlicht Bequemlichkeit – das bestehende System funktioniert doch – oder die Scheu davor, sich in eine neue Softwareumgebung einzuarbeiten. In Anbetracht der absolut realen Cyberbedrohungen sollte allerdings selbst in kleineren Freiberuflerpraxen bzw. -kanzleien regelmäßig Zeit und Geld dafür investiert werden, die IT-Systeme durch Updates und regelmäßige Erneuerungen auf aktuellem Stand und damit möglichst sicher zu halten. Eine absolute IT-Sicherheit ist und bleibt – selbst bei größtem Bemühen – leider ohnehin stets eine Illusion.

Eine weitere Vorsichtsmaßnahme, die selbst ohne das Phänomen Cybercrime absolut unverzichtbar wäre, ist das regelmäßige – jedenfalls tägliche – Erstellen von Backups. Idealerweise sollten die Backup-Daten hierbei – Stichwort: Einbruch-, Wasser- und Feuerschäden – physikalisch an einem anderen Ort gelagert und zudem sichergestellt werden, dass die gesicherten Daten für Cyberkriminelle selbst im Worst-Case-Szenario nicht von außen erreichbar sind, also offline archiviert werden. Was nützt nämlich das beste tägliche Backup, wenn z.B. ein Kryptotrojaner nicht nur den aktuellen Datenbestand auf den Servern des Freiberuflers, sondern auch gleich noch die Backup-Daten verschlüsselt? 

Anzuraten ist zudem, eine Notfallplanung für den Fall der Fälle zu entwickeln und diese auch mit den Mitarbeitern abzustimmen und durchzuspielen: Wer macht was, falls es zu einem erfolgreichen Angriff kommt? Wer ist zu informieren und einzuschalten?

Kommt es zu einem erfolgreichen Hack samt einer Verletzung von personenbezogenen Daten, so besteht nach der EU-Datenschutz-Grundverordnung (EU-DSGVO), die ab dem 25.05.2018 zur Anwendung gelangen wird, zudem künftig die Verpflichtung, unverzüglich die zuständigen Aufsichtsbehörden (Art. 33 EU-DSGVO) und die Betroffenen (Art. 34 EU-DSGVO) – bei Freiberuflern also typischerweise die Patienten/Mandanten – zu informieren. Gem. Art. 83 EU-DSGVO wird die Verletzung dieser Pflichten unter der Ägide der EU-DSGVO mit erheblichen Bußgeldern bedroht sein.

Wer als Freiberufler wissen will, wie sicher seine IT ist bzw. wo es welche Schwachstellen gibt, kann bei IT-Sicherheitsfirmen einen Cyberstresstest in Auftrag geben. IT-Profis, die oftmals selbst aus der Hackerszene stammen, simulieren hierbei typische Cyberangriffe, prüfen so die IT-Infrastruktur des Auftraggebers und können in einem zweiten Schritt dann maßgeschneiderte Hinweise zur Verbesserung des IT-Sicherheitslevels geben.

Der typischerweise größten Schwachstelle einer jeden IT-Sicherheitsstruktur kann übrigens auch die beste und aktuellste IT-Technik nicht Herr werden: Dem Menschen. Insbesondere ab einer gewissen Unternehmensgröße setzen daher auch Cyberkriminelle immer wieder – und häufig sehr erfolgreich – auf sog. Social Engineering, welches oben schon kurz angesprochen wurde. Unter Social Engineering versteht man das gezielte Beeinflussen von Menschen, welches z.B. das Ziel verfolgt, an vertrauliche Zugangsdaten zu gelangen. Man spricht hier auch von Social Hacking. So wird von Cyberkriminellen z.B. am Telefon – mit Geschick und/oder autoritärem Auftreten – der Eindruck erweckt, dass der Anrufer ein Mitarbeiter der IT-Abteilung sei und etwa die eilige Herausgabe eines Passworts oder das Ausführen einer per E-Mail übersandten Software eingefordert. Gegen Social Engineering hilft es wiederum vor allem, Mitarbeiter gezielt – Stichwort: Awareness – auf diese Problematiken aufmerksam zu machen und sie betriebsintern auch mit entsprechenden „Vollmachten“ auszustatten, solche Anfragen und deren Eilbedürftigkeit in eigener Verantwortung und proaktiv auf ihre Legitimität zu überprüfen. Insbesondere ab einer gewissen Größe der Kanzlei bzw. Praxis sollte durch geeignete Maßnahmen sichergestellt werden, dass die Mitarbeiter „ihre“ ITler kennen und feste Ansprechpartner für vorsorgliche Rückfragen in derartigen Fällen haben, an die sie sich ohne Scheu wenden können und mögen.

Last but not least sollten auch Freiberufler klären, ob für ihren Betrieb der Abschluss einer Cyberversicherung in Betracht kommt. Diese Frage wird regelmäßig zu bejahen sein. Eine derartige Police, die – völlig zu Recht – als Feuerversicherung des digitalen Zeitalters bezeichnet wird, ist idealerweise so ausgestaltet, dass sie nicht nur die unmittelbaren Schäden einer Cyberattacke abdeckt, sondern auch für die mittelbaren Folgekosten aufkommt. Eine gute Cyberversicherung sollte daher typischerweise jedenfalls die Wiederherstellung der IT-Systeme, die (Folge-)Kosten der Betriebsunterbrechung, die Schadensersatzansprüche von Dritten (bei Freiberuflern typischerweise die Mandanten bzw. Patienten), etwaige Erpressungszahlungen (z.B. beim Einsatz von Ransomware), das akute Krisenmanagement einschließlich einer PR-Strategie und schließlich die Beauftragung von IT-Forensikern und Anwälten zur Aufklärung und zur juristischen Verfolgung des Angriffs abdecken. Der deutsche Markt für Cyberversicherungen hat sich zwischenzeitlich bereits so weit etabliert, dass eine vernünftige Vergleichbarkeit der Angebote gegeben ist.
 

In ähnlicher Form unter dem Titel „Cybercrime - Ein Thema auch für Steuerberater“ erschienen in der Berater-Beilage (Seiten XVIII + XIX) zum Mandanten-Rundschreiben 8/2017 der Stollfuß Medien.
Autor
  • David-Alexander Busch
    David-Alexander Busch berät und vertritt Unternehmen und Privatpersonen bevorzugt im Strafrecht sowie bei ausgewählten zivilrechtlichen Fragestellungen.
    mehr ...