Cyberkriminalität und Cyberschutz für Rechtsanwälte und Mandanten

eBroschüre Spezial
T. H. Lenhard / R. Kazemi
Diese eBroschüre wird unterstützt von:
Cyberkriminalität
und Cyberschutz für
Rechtsanwälte
und Mandanten

eBroschüre Spezial
Cyberkriminalität und
Cyberschutz für Rechtsanwälte
und Mandanten
Von
Dr. Thomas H. Lenhard, Datenschutzbeauftragter, Rodalben
Dr. Thomas H. Lenhard ist Sachverständiger für IT und Datenschutz und Geschäftsführer
der medi-ip dataprotect UG (haftungsbeschränkt) in Bonn. 2011 wurde Dr. Lenhard vom
Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein als Sachverständiger
für IT-Produkte (technisch) akkreditiert. In den Jahren 2014 und 2015 folgten die
Anerkennungen als Sachverständiger für das Europäische Datenschutzsiegel und für
das Datenschutzsiegel Mecklenburg-Vorpommern. Im März 2016 war Dr. Lenhard beim
Saarländischen Landtag als Kandidat zur Wahl des Landesbeauftragten für Datenschutz
und Informationsfreiheit nominiert. Er ist u. a. Co-Autor der kostenlosen E-Broschüre
»Datenschutz und Datensicherheit in der Rechtsanwaltskanzlei« (Hier herunterladen, 5,6 MB).
Dr. Robert Kazemi, Rechtsanwalt, Bonn
Dr. Robert Kazemi arbeitet seit Jahren auf dem Gebiet des Datenschutzrechts und ist
Autor zahlreicher Fachpublikationen, unter anderem der beim Deutschen Anwaltverlag
erschienenen Werke „Datenschutz in der anwaltlichen Beratung“ und „Marken eintragen
und recherchieren“. Er publiziert zudem regelmäßig in namhaften Fachzeitschriften und
ist als Sachverständiger (rechtlich) beim Unabhängigen Landeszentrum für Datenschutz
akkreditiert. Zudem ist er als wissenschaftlicher Beirat der medi-ip data protect UG tätig.
Haftungsausschluss
Die in der eBroschüre enthaltenen Informationen wurden sorgfältig recherchiert und geprüft. Für die Richtigkeit der
Angaben sowie die Befolgung von Ratschlägen und Empfehlungen kann der Verlag dennoch keine Haftung übernehmen.
Anregungen und Kritik zu diesem Werk senden Sie bitte an:
kontakt@anwaltverlag.de
Autoren und Verlag freuen sich auf Ihre Rückmeldung.
Sonderausgabe für Deutscher Anwaltverlag GmbH, Bonn 2016
mit freundlicher Genehmigung
Copyright 2016 by Freie Fachinformationen Markus Weins GmbH, Köln
Satz: Helmut Rohde, Euskirchen
Bestell-Nr.: 80005776
ISBN: 978-3-8240-5776-4
Alle Rechte vorbehalten. Abdruck, Nachdruck, datentechnische Vervielfältigung und Wiedergabe (auch auszugsweise)
oder Veränderung über den vertragsgemäßen Gebrauch hinaus bedürfen der schriftlichen Zustimmung des Verlages.

Inhalt Vorwort Inhalt
Inhalt
1. Vorwort ............................................................................. 5
2. Was umfasst der Begriff der Cyberkriminalität? ................................. 5
3. Die Telefonanlage als unterschätzte Gefahr ..................................... 6
4. Professionelle Auftritte von Betrügern .......................................... 7
5. Crypto-Viren ....................................................................... 8
6. Social Engineering ................................................................. 8
7. Nutzung fremder WLAN-Zugänge ................................................ 10
8. Prävention ......................................................................... 11
9. Das Restrisiko ...................................................................... 12
10. Interview: 6 Fragen an Ralph Günther ........................................... 12
Cyberkriminalität und Cyberschutz für Rechtsanwälte und Mandanten | Deutscher Anwaltverlag 3

Cyber-Risiken gefährden Ihr Unternehmen.
Stellen Sie hohe Ansprüche an ihre
Absicherung von Cyber-Risiken.
Cyber-Risiken sind nicht zu unterschätzen. Sie können Ihr Unternehmen empfindlich treffen.
Egal, ob Ausfall der IT, Cyber-Betrug oder Datenschutzverletzung: AXA bietet Ihnen hierzu
individuelle Rundum-Lösungen, um Ihre Risiken zuverlässig abzusichern.
Wir stehen Ihnen mit unseren Spezialisten jederzeit beratend zur Seite.
Mehr Informationen erhalten Sie unter:
www.axa.de/geschaeftskunden/Cyber-Versicherung

1. Vorwort
1. Vorwort
Hören wir den Begriff Cyberkriminalität, so denken viele von uns sicherlich zunächst einmal an das Internet
und an sogenannte Hacker. Diese verbreitete Assoziation spiegelt wahrscheinlich eine öffentliche Wahrnehmung
wider, die durch immer häufigere Berichterstattung über Hackerangriffe und weitere kriminelle
Machenschaften im Umfeld des Internets geprägt ist. Ein vorläufiger Höhepunkt im Zusammenhang mit einer
kriminellen Nutzung des Internets ist im Jahr 2016 sicherlich die Vielzahl von Schadprogrammen, mit denen
Datenbestände von Kanzleien, Unternehmen und Einrichtungen des Gesundheitswesens mancherorts komplett
verschlüsselt und damit unbrauchbar gemacht wurden. Ohne Frage kann man solche Vorkommnisse
zur Cyberkriminalität rechnen. Allerdings umfasst dieser an sich unscharfe Begriff ein weitaus größeres Feld
an Aktivitäten, Handlungen und Gefahren für Unternehmen und Organisationen, aber auch für Kanzleien
und deren Mandanten. Die nachfolgenden Kapitel können daher auch keine vollständige Abhandlung
über Cyberkriminalität beinhalten, da das Thema viel zu komplex und umfangreich ist, um es auf wenigen
Seiten erschöpfend zu behandeln. Die vorliegende Abhandlung soll vielmehr für die Problematik und die
Vielschichtigkeit der Cyberkriminalität sensibilisieren. Aus der praktischen Erfahrung wissen die Autoren,
dass viele Betroffene erst dann aktiv werden, wenn bereits ein Schaden entstanden ist. Es könnten jedoch
viele Schäden durch Prävention vermieden und die Restrisiken versichert werden.
2. Was umfasst der Begriff der Cyberkriminalität?
Sucht man im Internet nach einer Definition für Cyberkriminalität bzw. Cybercrime, wie der international
gebräuchliche Begriff dafür lautet, so findet sich nahezu bei jedem Treffer eine andere Begriffserklärung.
Es wird häufig nach enger oder weiter gefassten Definitionen unterschieden. So heißt es z. B. bei Büchel/
Hirsch: „Unter Computerkriminalität im weiteren Sinn zählen Straftaten, zu deren Durchführung einer ihrer Phasen
ein elektronisches Datenverarbeitungssystem unter Einbezug von Informations- und Kommunikationstechnik
genutzt wird.“ 1
Dieser weit gefassten Definition schließen sich die Autoren des vorliegenden Textes an, denn der explizite
Hinweis auf Informations- und Kommunikationstechnik erscheint im Kontext der Cyberkriminalität unverzichtbar,
da nicht nur Server, Personalcomputer oder Datenbestände Ziel von Cyberattacken sind. Telefonanlagen
gehören schon längst zu den bevorzugten Angriffszielen der Cyberkriminalität. Daher kann das Thema bei
Weitem nicht mehr auf klassischen Datendiebstahl, Datenmanipulation, Sabotage oder Computerbetrug
reduziert werden. Eine weitere Definition des Arbeitskreises II „Innere Sicherheit“ der Ständigen Konferenz
der Innenminister und -senatoren der Länder (IMK) spricht davon, dass Computerkriminalität „Straftaten
umfasst, die sich gegen das Internet, weitere Datennetze, informationstechnische Systeme oder deren Daten richten.“
Des Weiteren zählen auch diejenigen Straftaten dazu, „die mittels dieser Informationstechnik begangen
werden.“ 2 Damit deckt sich diese Definition im Wesentlichen mit der Gewählten und unterstreicht die enorme
Vielfalt der zur Cyberkriminalität gehörenden Straftaten. Cyberkriminalität umfasst demnach neben dem
„klassischen“ Hacking auch Phishing, Identitätsdiebstähle, Verstöße gegen das Urheberrecht, Verbreitung
von Kinderpornographie, digitale Erpressung wie auch Cyber-Mobbing, Internetbetrug und weitere Delikte
im Zusammenhang mit der Nutzung von IuK-Technologie 3 .
1 Büchel/Hirsch, Internetkriminalität – Phänomene – Ermittlungshilfen – Prävention, 2014.
2 Wernert, Internetkriminalität – Grundlagen, erste Maßnahmen und polizeiliche Ermittlungen, 2. Aufl. 2014.
3 Informations- und Kommunikationstechnologie.
Cyberkriminalität und Cyberschutz für Rechtsanwälte und Mandanten | Deutscher Anwaltverlag 5

3. Die Telefonanlage als unterschätzte Gefahr
3. Die Telefonanlage als unterschätzte Gefahr
Während man mittlerweile vielerorts in Unternehmen für Fragen der Computersicherheit sensibilisiert ist,
wird das Thema Telefonanlage regelmäßig vernachlässigt. Eine Telefonanlage muss eben funktionieren!
Dabei macht sich kaum jemand Gedanken, wie eine solche Kommunikationsanlage von Kriminellen zum
Schaden einer Kanzlei oder eines Unternehmens genutzt werden kann. Folgende zwei Beispiele sollen eine
kleine Auswahl dessen darstellen, was hierbei möglich ist.
Beispiel 1: Eine Klinik hatte die Telefonanlage so konfiguriert, dass nach Ablauf des Guthabens auf einer
klinikeigenen Telefonkarte die Gespräche der Patienten nicht unterbrochen wurden. Soweit das Guthaben
überzogen war, musste vor einem erneuten Telefonat des Patienten zunächst Geld auf die Karte eingezahlt
werden, bevor die zugehörige Telefonnummer wieder freigeschaltet wurde. Ein Patient hat die Karte mit
dem Minimalbetrag von 10 Euro dann dazu verwendet, eine kostenpflichtige Telefonnummer im Nahen
Osten anzurufen. Nachdem die Verbindung zu dem kostenpflichtigen Dienst etabliert war, hat er den Hörer
möglicherweise zur Seite gelegt. Auf alle Fälle war die Verbindung einen ganzen Tag lang aktiv und hat der
Klinik einen Schaden von mehreren Tausend Euro eingebracht.
Beispiel 2: In einem Unternehmen wurden die Möglichkeiten und Funktionen einer neuen Telefonanlage
mit Verbindung zum Internet getestet. Im Zuge dieser Tests wurde auch ein bestimmter Port (erreichbarer
Dienst) geöffnet. Bereits kurz nach Öffnung des Ports wurde dieser aus dem Internet angegriffen. Den Angreifern
gelang es, sich Zugriff auf die Telefonanlage zu verschaffen. Innerhalb eines Wochenendes wurden
dann verschiedene kostenpflichtige Rufnummern im Nahen Osten und im pazifischen Raum angewählt.
Dabei ist dem Unternehmen ein Schaden i. H. v. 26.000 € entstanden.
Da die Telefonanlage im Beispiel 2 als CTI 4 -Lösung auch mit dem internen Netzwerk der Bereiche Produktion
und Verwaltung verbunden war, wäre es ein Leichtes gewesen, von der Telefonanlage aus in die Unternehmenssysteme
einzubrechen, Daten auszuspähen oder Sabotage zu verüben. Es erscheint hier geradezu als
ein Glücksfall, dass nur ein überschaubarer monetärer Schaden entstanden ist.
Ohnehin sollte jede Kanzlei, jedes Unternehmen und jede Organisation, soweit ein Internetzugang verfügbar
ist, über eine für den professionellen Einsatz geeignete Firewall verfügen. Allerdings liegt eine Ursache
dafür, dass Telefonanlagen eine Gefahr für Kanzleien und Unternehmen darstellen können, häufig auch in
der Unbedarftheit von Unternehmen, die solche Technik anbieten und montieren und bei denen oftmals
das Thema Sicherheit noch nicht angekommen ist. In einigen Fällen, in denen Telefonanlagen über das
Internet administrierbar waren, wurden in der Vergangenheit die Default- Passwörter (Werkseinstellung)
des Herstellers verwendet. Das ist natürlich eine Einladung für jeden Verbrecher, der im Bereich der Cyberkriminalität
tätig ist.
Generell sollten Telefonanlagen bestmöglich von sonstigen IT-Anlagen getrennt sein. Häufig werden beim
Einsatz von Voice-Over-IP Telefonate über dieselben Netzwerkverteiler geführt, über die auch das IT-Netz
arbeitet. Aber nur weil zwei Systeme, mehr oder weniger zufällig, dasselbe Kommunikationsprotokoll verwenden,
heißt das nicht, dass man sie – weil es Arbeit und Planung spart – einfach zusammenschalten
sollte. Ein solches Konstrukt ist i. d. R. äußerst anfällig und kann mitunter zu einem unverantwortlichen
Sicherheitsrisiko werden.
Das Schaubild 1 zeigt beispielhaft, wie man eine CTI-Lösung nutzen kann, ohne die Netzwerke von IT und
Telefon ungefiltert zusammenzuschalten und damit ein Mindestmaß an Sicherheit gewährleisten kann.
Dabei sind Internet, IP-Netz und Telefonie-Netz eigenständige Netzwerke, die untereinander ausschließlich
über eine (restriktiv konfigurierte) Firewall kommunizieren. Das ermöglicht die Nutzung einer CTI-Lösung
im vollen Umfang, ohne dass sich die Netze gegenseitig beeinträchtigen oder gefährden.
4 Computer Telephony Integration.
Cyberkriminalität und Cyberschutz für Rechtsanwälte und Mandanten | Deutscher Anwaltverlag 6

4. Professionelle Auftritte von Betrügern
Schaubild 1: Beispiel für eine sichere Anbindung der Telefonanlage an das IT-Netz einer Kanzlei oder eines Unternehmens
4. Professionelle Auftritte von Betrügern
Mittlerweile zaubern Mails mit Inhalten wie „ich dir schenken $ 50.000.000 aus Bank, die hat Falschbuchung
gemacht“ vermutlich den meisten Internetnutzern ein müdes Lächeln ins Gesicht. Leider sind aber nicht alle
Cyberkriminellen derart geistlos, solche plumpen und dümmlichen Nachrichten zu verschicken. Vielmehr
treten Kriminelle zusehends professioneller im Internet auf. Die rasante Weiterentwicklung der Technologie
vereinfacht ihnen dabei vieles. Eine Internetseite, die durchaus professionell wirkt, ist heute schnell in wenigen
Stunden erstellt. Für die Registrierung einer Domain oder die Einrichtung von E-Mail-Adressen benötigt
man i. d. R. nur wenige Minuten. Es ist also für halbwegs gewiefte Kriminelle kein Problem, dem Internet-User
mit einem professionellen Auftreten Seriosität vorzugaukeln. Fällt eine Webseite auf und wird z. B. durch die
Strafverfolgungsbehörden in einem deutschen Rechenzentrum stillgelegt, so ist in vielen Fällen die Webseite
bereits am nächsten Tag in den Niederlanden, in Griechenland, Papua-Neuguinea oder auf Samoa wieder
verfügbar. Internetauftritte von Betrügern werden dabei ebenso wie E-Mails mit schadhaften Anhängen
immer weiter perfektioniert, was es zunehmend schwierig macht, Täuschungsversuche auf den ersten Blick
zu erkennen. Oftmals erscheinen Webauftritte oder E-Mails durchaus glaubhaft und erst bei genauem Hinsehen
erkennt der sensibilisierte Internet-Benutzer, dass z. B. ein Konto in Osteuropa angegeben ist. Daher ist
generell Vorsicht geboten, wenn eine Firma oder ein Mailversender einem Nutzer bislang nicht bekannt ist.
Insbesondere sollten dann alle Alarmglocken läuten, wenn in einer solchen Mail ein Link zu einer Webseite
oder zu einem Download enthalten ist oder die Mail gleich einen Anhang mitsendet. Beim sorgfältigen Filtern
bleiben natürlich auch schon mal ungefährliche Mails auf der Strecke. Dies ist insbesondere dann der Fall,
wenn der Mailversender in seiner Beschreibung (Anzeigenamen) nur den persönlichen Namen sendet und
die Firma oder Organisation daraus gar nicht hervorgeht. Das ist zwar wenig professionell, aber leider sehr
verbreitet. In jedem Fall gilt: Kein Risiko eingehen! Lieber eine E-Mail löschen, als einen mehrtägigen Ausfall
der gesamten Kanzlei-IT zu riskieren.
Cyberkriminalität und Cyberschutz für Rechtsanwälte und Mandanten | Deutscher Anwaltverlag 7

5. Crypto-Viren
5. Crypto-Viren
Gerade vor dem Hintergrund, dass Spam-Mails mit schädlichem Inhalt oder Anhang zunehmend schwerer
von Computernutzern erkannt werden, sollte eine Art der Computerkriminalität nicht unbeachtet bleiben,
die seit dem Jahr 2015 Unternehmen und Institutionen zunehmend in Atem gehalten hat. Es handelt sich
hierbei um sog. Crypto-Viren. Diese Schädlinge werden zumeist per E-Mail versendet. Wird nun ein als
harmlose Datei getarnter Anhang geöffnet, was durch einen teilweise recht geschickt formulierten E-Mail-
Text erreicht werden soll, so werden Daten des Nutzers verschlüsselt. In einigen Fällen wurden beim Öffnen
eines Mailanhangs oder Anklicken eines Links vollständige Datenbestände von Kanzleien oder Unternehmen
verschlüsselt. Dabei sollte niemand von uns denken, dass ihm das nicht passieren kann. Selbst altgedienten
IT-Sicherheitsexperten sind in jüngster Vergangenheit derartige Dinge widerfahren. Insbesondere wenn
eine Mail mit der vermeintlichen Telefonrechnung ankommt und man tatsächlich von dem angeblichen
Absender monatlich seine Rechnung per Mail erhält, ist ein Schadensfall schnell eingetreten. Auch wenn
eine Mail telefonisch durch einen vermeintlichen neuen Mandanten angekündigt wird, ist die Hemmschwelle
gering, eine anhängende Datei zu öffnen. Vorsicht ist ganz besonders dann geboten, wenn ein Anrufer
die Anzeige seiner Rufnummer unterdrückt. Besonders perfide sind auch E-Mails, die als Bewerbung auf
aktuelle Ausschreibungen getarnt sind. Hier kann man davon ausgehen, dass ein Angreifer ganz gezielt
eine bestimmte Kanzlei oder ein bestimmtes Unternehmen angreift, wenn im Betreff der E-Mail Bezug auf
aktuelle Stellenausschreibungen genommen wird.
Üblicherweise wird nach erfolgter Infizierung mit Crypto-Viren eine Lösegeldforderung eingeblendet. Angeblich
soll man nach Zahlung einer bestimmten Summe eine Möglichkeit erhalten, die Daten zu entschlüsseln.
Obwohl kolportiert wird, dass einige Opfer bereits ein solches Feedback erhalten hätten, ermahnen die
Autoren zur Vorsicht. Falls Sie bezahlen, ist lediglich eines sicher, nämlich dass Ihr Geld weg ist.
Was gilt es im Falle einer Datenverschlüsselung zu tun? Zunächst einmal gibt es bereits zahlreiche Werkzeuge,
mit denen man die Verschlüsselung einer Vielzahl von Crypto-Viren rückgängig machen kann. Hier ist
aber zusätzliche Vorsicht geboten: Einige dieser angeblichen Tools, die zum freien Download im Internet
angeboten werden, könnten selbst Schadprogramme sein. Aus diesem Grund wird dringend empfohlen,
nur Entschlüsselungswerkzeuge zu verwenden, die von Anbietern zur Verfügung gestellt werden, die zweifelsohne
als seriös angesehen werden können. Hierzu gehören insbesondere die allgemein bekannten
Hersteller von Antivirenprogrammen. Die Autoren empfehlen allerdings, sich im Schadensfall direkt mit
einem entsprechenden Sachverständigen in Verbindung zu setzen und generell auch die Einschaltung von
Ermittlungsbehörden zu erwägen.
6. Social Engineering
Wir können unsere IT-Systeme noch so gut absichern, die größte Bedrohung für die Integrität unserer Daten
und die Systeme im Allgemeinen ist immer noch der menschliche Faktor. Insbesondere Leichtgläubigkeit,
Hilfsbereitschaft oder Neugierde treiben mitunter Computernutzer dazu, offenkundig irrational zu handeln.
Nehmen wir an, dass ein Cyberkrimineller sich entsprechend gut vorbereitet hat und sich ggf. sogar eine
Telefonliste des Unternehmens beschaffen konnte. Er ruft dann also einen Mitarbeiter oder eine Mitarbeiterin
aus einem Bereich an, in dem üblicherweise eher eine geringe IT-Affinität vermutet wird. Dort gibt
er z. B. vor, im Namen der IT-Leitung, eines IT-Unternehmens oder eines Providers einen Sicherheitstest
durchzuführen und bittet die Mitarbeiter, einen Link im Internet aufzurufen. Wenige Augenblicke später
sind ein oder mehrere Systeme infiziert oder der Angreifer hat sich dauerhaft einen Zugang zum System
des Unternehmens verschafft. Was es für eine Anwaltskanzlei bedeutet, wenn einem kriminellen Angreifer
der gesamte Datenbestand offen liegt, muss nicht explizit erläutert werden.
Ausgesprochen häufig praktiziert wird auch der Anruf mit unterdrückter Rufnummer, bei dem Anrufer vorgeben,
für ein Softwareunternehmen (meist Betriebssystemhersteller) oder für einen Telekommunikationskonzern
(Internet-Provider) zu arbeiten. Der Inhalt solcher Anrufe entspricht dann meist einem einheitlichen
Cyberkriminalität und Cyberschutz für Rechtsanwälte und Mandanten | Deutscher Anwaltverlag 8

6. Social Engineering
Schema: Es wird vorgegeben, dass der Rechner des angerufenen Internetnutzers
virenverseucht sei oder sein Rechner oder Internetanschluss
irgendwelche Probleme verursache. Teilweise wird auch eine schnellere
Internetverbindung in Aussicht gestellt. Kriminelle sind da mitunter
recht kreativ. Um etwas – was auch immer – überprüfen zu können, werden
dann die Angerufenen aufgefordert, einen Link im Internet aufzurufen.
Folgt man den Anweisungen, muss davon ausgegangen werden,
dass das System anschließend kompromittiert ist. Üblicherweise wird
man in einem solchen Fall das System vollständig neu installieren, denn
im Rahmen dieser Vorgehensweise können sowohl Bot-Viren als auch
sonstige Viren, Trojaner oder permanente Zugänge, auf dem Rechner
installiert worden sein. In einer Anwaltskanzlei wurden vor einiger Zeit
über 1.400 (in Worten: eintausendvierhundert) Schädlinge auf einem
infizierten Rechner identifiziert. Einmal infiziert, hatte ein Virus das
Antivirensystem ausgehebelt und dann selbständig in großem Umfang
Schadsoftware aus dem Internet nachgeladen. Während diese Art des
Befalls rein destruktiver Natur war und keine Daten in Mitleidenschaft
gezogen wurden, sind mittlerweile Viren und Trojaner weiterentwickelt
und ungleich gefährlicher geworden. Ein Bot-Virus installiert sich
z. B. so im Rechner, dass er selbst von einigen Antivirensystemen nicht
gefunden werden kann. In einer weiteren Rechtsanwaltskanzlei war
aufgefallen, dass die Festplatte eines Rechners permanent arbeitete.
Durch die sofortige Einschaltung eines Sachverständigen konnte nach
gezielter Suche ein Bot-Virus identifiziert und eliminiert werden. Durch
die Aufmerksamkeit einer Mitarbeiterin konnte hier Schlimmeres verhindert
werden.
Wieso ist ein Befall mit Bot-Viren so problematisch?
Bot-Viren integrieren einen infizierten Rechner in ein sog. Bot-Netz, in
dem dutzende, hunderte oder tausende infizierte Rechner zusammengeschaltet,
ferngesteuert und üblicherweise zu kriminellen Aktivitäten
verwendet werden. Auf diese Weise können Kriminelle ihre Vorhaben
umsetzen, wobei bei Rückverfolgung u. U. der Anschluss der Rechtsanwaltskanzlei
als Ursprung einer Aktivität ermittelt werden könnte – ein
ziemlich peinliches Szenario für den Anwalt. Die Nutzung von infizierten
Rechnern kann dabei das gesamte Spektrum der Cyberkriminalität
umfassen. Das heißt, dass sowohl Betrügereien wie Hackerangriffe, die
automatisierte Suche nach Sicherheitslücken oder die Verbreitung kinderpornographischen
Materials über einen infizierten Rechner erfolgen
kann, ohne dass der Nutzer oder Eigentümer des Rechners davon weiß.
Für einen Mandanten, ein Unternehmen oder auch eine Kanzlei kann
es schwerwiegende Folgen haben, wenn illegale Aktivitäten über einen
infizierten Rechner abgewickelt werden. Insbesondere wenn in versteckten
Dateien und Verzeichnissen auf der Festplatte eines Rechners
illegale Inhalte entdeckt werden, muss der Rechner immer darauf
untersucht werden, ob er Teil eines Bot-Netzes war oder ob er von
unberechtigten Dritten hätte genutzt werden können, um kriminelle
Taten zu begehen.
In regelmäßigen Abständen oder beim Auftreten von Auffälligkeiten
sollten daher Rechner auf Befall durch Bot-Viren untersucht werden.
In diesem Zusammenhang sollte auch einmal lobend erwähnt werden,
dass einige Internetprovider die Nutzer per E-Mail tatsächlich warnen,
INTERCEPT
Ein völlig neuer Ansatz zu Endpoint Security
Revolutionärer Schutz.
Effektive Abwehr.
Sophos Intercept X ist eine revolutionäre
Next-Generation Endpoint-Technologie
zur Erkennung und Abwehr von
Ransomware und Zero-Day Exploits.
• Stoppt Ransomware rechtzeitig,
bevor das System geschädigt wird
• Blockiert Zero-Day-Exploits
mit signaturloser Threat- und Exploit-
Erkennung
• Bereinigt das System und entfernt tief
ins System eingebettete Malware
• Analysiert Angriffe sowie deren Ursache
und gibt Handlungsempfehlungen
für die Zukunft
Testversion und mehr Informationen unter
www.sophos.de/intercept-x
Cyberkriminalität und Cyberschutz für Rechtsanwälte und Mandanten | Deutscher Anwaltverlag 9

7. Nutzung fremder WLAN-Zugänge
wenn über den Internetanschluss auffällige Aktivitäten erfolgen. Die Warnung erfolgt allerdings per E-Mail
ohne Links und Anhänge. Bislang ist den Autoren auch kein Fall bekannt, in dem ein Provider von sich aus
bei einem Internetnutzer angerufen hätte.
7. Nutzung fremder WLAN-Zugänge
Schlecht gesicherte WLAN 5 -Zugänge können ebenfalls von Kriminellen genutzt werden, um ihren Aktivitäten
nachzugehen. Daher sollten längst keine Verschlüsselungen des Typs WEP oder WAP mehr genutzt werden. 6
Diese Verschlüsselungsverfahren sind mit geringem Aufwand zu überwinden. Derzeit sollte ausschließlich die
Verschlüsselung WPA2 zum Einsatz kommen. Diese ist aber nicht per se sicher, sondern muss entsprechend
konfiguriert werden. Des Weiteren spielt der eingesetzte Router eine wesentliche Rolle bei der Frage, ob in
ein WPA2-verschlüsseltes Netz eingebrochen werden kann. In diesem Zusammenhang sollte unbedingt ein
Experte zurate gezogen werden.
Dabei muss der Kriminelle sich häufig gar nicht die Mühe machen und in ein schlecht verschlüsseltes WLAN
einbrechen. Es finden sich zum Teil vollständig offene – das heißt unverschlüsselte – Funknetzwerke. Manche
Hotels bieten auch den Zugang zu einem WLAN an, wobei für alle Nutzer ein einheitliches Passwort gilt, das
mitunter seit Monaten oder Jahren nicht geändert wurde. Ist dem Cyberkriminellen ein solcher Zugang bekannt,
kann er sich gemütlich in der Lobby eines Hotels niederlassen und über das WLAN des Hotels seinen
Aktivitäten nachgehen. Auf diese Weise werden durchaus auch Spam-Mails, Viren oder andere Schadprogramme
verschickt. Ein Fall ist bekannt, in dem sogar Morddrohungen per E-Mail versendet wurden. Auch
so etwas fällt unter unsere Definition von Cyberkriminalität.
Kriminelle begeben sich zuweilen auf die Suche nach offenen oder schlecht verschlüsselten Funknetzwerken.
Wernert spricht hier von WARDriving, wobei WAR für Wireless Access Revolution steht. 7 Das heißt, dass der
Cyberkriminelle sich mit einer relativ einfachen Ausstattung auf den Weg macht und z. B. durch eine Stadt
fährt (… Driving). Dabei wird dann nach offenen oder schlecht verschlüsselten Funknetzwerken gescannt.
Für den Benutzer sind diesbezüglich einige WLAN-Router neuerer Bauart problematisch, da diese zum Teil
über ein Guest-Konto verfügen, das in den Standardeinstellungen aktiviert ist und über das sehr häufig
Cyberkriminelle Zugang zum Internet über einen entsprechenden Router erlangen.
Wie können wir aber nachvollziehen, ob ein Unberechtigter sich über einen WLAN-Router
verbunden hat?
Um mit einem Router zu kommunizieren, muss eine Verbindung etabliert werden. Meistens vergibt dabei der
Router eine dynamische IP-Adresse per DHCP. 8 Die Mehrzahl aller Router merkt sich, zeitlich oft unbegrenzt,
welches Gerät mit ihnen verbunden war. Dabei wird üblicherweise die MAC-Adresse des Geräts gespeichert.
Teilweise wird auch der Name des Geräts oder Rechners gespeichert, was in der Vergangenheit in vielen Fällen
schon Rückschlüsse auf die direkte Nachbarschaft eines von illegaler WLAN-Nutzung Betroffenen zuließ. In
jedem Fall sollten diese Daten gesichert werden. MAC-Adressen können zwar gefälscht oder per Software
manipuliert oder simuliert werden, aber grundsätzlich ist eine MAC-Adresse an eine Netzwerkkarte gebunden
und einzigartig. Einige Hersteller haben dabei einen Nummernkreis für ihre Geräte reserviert. In Zeiten
von ISO 9001 und exzessiver Qualitätssicherung können Gerätehersteller i. d. R. nachvollziehen, welcher
Chip in welchem Gerät oder Rechner eingebaut ist. Das heißt, dass man den Rechner bis zur Verkaufsstelle
verfolgen kann. Viele PC-Hersteller bieten auch die Möglichkeit an, das Gerät registrieren zu lassen. Daher ist
eine Identifikation eines Rechners oder sogar des Eigentümers über die MAC-Adresse denkbar und möglich.
Es wird sicherlich im Einzelfall von verschiedenen Gegebenheiten abhängen, ob ein Täter über diesen Weg
ermittelt werden kann, aber es ist theoretisch relativ einfach. Unter Umständen kann auch ermittelt werden,
5 Wireless Lokal Area Network.
6 Kazemi/Lenhard, Datenschutz und Datensicherheit in der Rechtsanwaltskanzlei, 2. Aufl. 2015.
7 Wernert, Internetkriminalität – Grundlagen, erste Maßnahmen und polizeiliche Ermittlungen, 2. Aufl. 2014.
8 Dynamic Host Configuration Protocol.
Cyberkriminalität und Cyberschutz für Rechtsanwälte und Mandanten | Deutscher Anwaltverlag 10

8. Prävention
wo und über welchen Account sich ein Krimineller oder Internetbenutzer einwählt, der eine bestimmte
MAC-Adresse verwendet.
Während die Ermittlungsbehörden von Bund und Ländern z. T. über hervorragende Computerforensiker
verfügen, die weitaus mehr ermitteln können, als in diesem simplen Beispiel erläutert wurde, kommt es in
der Praxis durchaus vor, dass eine Staatsanwaltschaft die Meinung vertritt, man könne keinen Rechner über
die MAC-Adresse identifizieren, und Ermittlungsverfahren mit dieser Begründung einstellt. Einige Computerforensiker
sprechen vor dem Hintergrund solcher Aussagen bereits davon, dass Deutschland ein Eldorado
für Cyberkriminelle wäre.
8. Prävention
Sinnvollerweise sollte man mit der Umsetzung von Maßnahmen der Datensicherheit nicht warten, bis etwas
passiert ist. Vielen noch so subtilen Methoden Cyberkrimineller kann man den Schrecken nehmen, wenn
man ein ausreichendes Datenschutzniveau in seiner Kanzlei, seinem Unternehmen oder in seiner Institution
realisiert und ausreichende technische und organisatorische Maßnahmen getroffen hat, um seine Daten
und das Unternehmen zu schützen.
Einmal gilt es natürlich, sich vor Datenverlust, der Ausspähung von Daten, der Datenmanipulation oder der
Sabotage zu schützen. In jedem Fall sollte es obligatorisch für jede Kanzlei sein, dass eine professionelle
Firewall ebenso zum Einsatz kommt wie Antivirensoftware und Malware-Scanner. Mitunter kann eine gut
durchdachte und extern gelagerte Datensicherung den Fortbestand einer Kanzlei oder eines Unternehmens
sichern.
Als Rechtsanwalt und Sozietät bestens versichert.
Berechnen Sie bequem Ihren individuellen Tarif unter
Cyberkriminalität und Cyberschutz für Rechtsanwälte und Mandanten | Deutscher Anwaltverlag 11

9. Das Restrisiko
9. Das Restrisiko
Selbst wenn wir nach dem heutigen Stand der Technik sichere Systeme haben, so ist dieser Status durch eine
rasante technische Entwicklung stetig gefährdet. Methoden krimineller Subjekte werden im Rahmen der
Cyberkriminalität immer subtiler, aber auch immer professioneller. Selbst sensibilisierte und ausgesprochen
risikoaverse Computerbenutzer werden z. T. Opfer krimineller Machenschaften rund um die Nutzung von
Internet und Informations- und Kommunikationstechnologie. Wie die vorstehenden Ausführungen zeigen,
können Kanzleien, Unternehmen und Institutionen nicht dauerhaft ausschließen, Opfer einer Cyberattacke
zu werden. Auf die Internetnutzung zu verzichten, ist keine praktikable Lösung für das Problem der Cyberkriminalität,
da E-Mail und Internet schon längst zu unverzichtbaren Kommunikationsmitteln im Alltag von
Kanzleien und Unternehmen zählen. Daher empfiehlt es sich, über den potentiellen Schaden einer solchen
Attacke und die Bedeutung für die Kanzlei oder das Unternehmen nachzudenken. Eine Versicherung macht
keinen Sinn, wenn keine ausreichenden organisatorischen und technischen Maßnahmen umgesetzt wurden.
Soweit aber der Datensicherheit Rechnung getragen wird, kann eine Cyberpolice eine sinnvolle Ergänzung
der Absicherung sein. Das Restrisiko kann dabei durch die Cyberpolice abgedeckt werden und so unter
Umständen den Fortbestand einer Kanzlei, eines Unternehmens oder einer Institution sichern.
In jedem Fall sollte man sich aber hier zunächst von einem unabhängigen Sachverständigen beraten lassen,
der ggf. auch einen für den Abschluss einer Cyberpolice nützlichen Audit durchführen kann.
10. Interview: 6 Fragen an Ralph Günther
Herr Günther, Sie zählen zu den Vorreitern unter den Versicherungsmaklern mit Fokus
auf IT-Risiken. Sehen Sie in der Praxis einen Anstieg der Cyber-Risiken?
Generell ist ein Anstieg an Cyber-Risiken wie z.B. Hacking, Social Engineering, Mal- und Ransomware erkennbar.
Schauen wir uns beispielsweise die Statistiken zur Schadsoftware des AVM-Instituts an: Aktuell sind laut
AVM weltweit über 500.000 Schadprogramme im Umlauf. Blicken wir nur fünf Jahre zurück, war es lediglich
ein Fünftel dessen und vor zehn Jahren gab es diese Geißel so gut wie gar nicht. Daher ist es kein Wunder,
dass mittlerweile auch die Versicherungswirtschaft darauf reagiert hat und vermehrt Versicherungslösungen
für Cyber-Schäden anbietet.
Sprechen Sie hier nur von Bedrohungen bei IT-Unternehmen oder auch
bei Kanzleien und Rechtsanwälten?
Die Bedrohungen sind in jeder Branche zu spüren, die sich moderner IT bedient und sich das Internet zunutze
macht. Dazu zählen in einem besonderen Maße Anwaltskanzleien, wie die im April 2016 bekannt gewordene
Spionagewelle gegen Kanzleien in Deutschland verdeutlicht, die der Dridex-Gang – bekannt durch den Verschlüsselungstrojaner
„Locky“ – zugeschrieben wird (Quelle: heise Security v. 27.4.2016). Dabei mehren sich
die Fälle von Erpressung durch das Verschlüsseln von Datenträgern oder das widerrechtliche Veröffentlichen
von Daten. Beide Szenarien sind für Anwälte enorm schmerzhaft.
Kennen Sie denn schon konkrete Fälle, bei denen Kanzleien zu Schaden kamen?
Im aktuellsten Fall erhielt eine Kanzlei eine typische Bewerbung auf eine laufende Stellenanzeige. Leider
war diese von Cyber-Kriminellen initiiert worden. Beim Öffnen der angehängten Bewerbungsunterlagen
installierte sich der enthaltene Trojaner. In Sekundenschnelle wurde das Netzwerk infiziert. Zum Glück konnte
der IT-Dienstleister sehr schnell Gegenmaßnahmen einleiten, sodass sich der Systemausfall auf zwei Tage
begrenzte. Der Schaden liegt aktuell im vierstelligen Bereich, jedoch ist noch offen, ob es durch den Ausfall
zu Firstversäumnissen kam.
Cyberkriminalität und Cyberschutz für Rechtsanwälte und Mandanten | Deutscher Anwaltverlag 12

10. Interview: 6 Fragen an Ralph Günther
Anwälte müssen ja eine Pflichtversicherung für die Berufsausübung nachweisen.
Deckt die Berufshaftpflicht Cyber-Risiken ab?
Nein, denn die traditionelle Pflichtversicherung zielt auf die klassische Anwaltstätigkeit und daraus resultierende
Beratungs- und Aufklärungsfehler, Fristversäumnisse etc. ab. Geschädigter ist dabei meist der Mandant.
Jedoch setzt die Leistung der Berufshaftpflicht in der Regel eine Pflichtverletzung des Anwalts voraus, die
bei Cyber-Attacken häufig nicht gegeben ist. Diese Lücke kann eine spezielle Cyber-Versicherung für „Datenund
Cyber-Drittschäden“ schließen.
Bei Cyber-Risiken geht es allerdings nicht nur um die Schädigung von Dritten, sondern insbesondere um
die Schädigung der Kanzlei selbst. Dafür benötigt der Anwalt dann eine „Cyber-Eigenschaden-Deckung“.
Diese Cyber-Versicherungen können mittlerweile entweder als Leistungserweiterungen in die Berufshaftpflichtversicherung
des Anwalts eingeschlossen – was in der Regel im Hinblick auf den Beitrag sinnvoll
ist – oder als separate Versicherung mit unterschiedlichem Versicherungsumfang ausgestaltet werden. Als
Leistungserweiterung gibt es die Cyber-Eigenschaden-Deckung für einen Anwalt bereits ab ca. 90 € Jahresbeitrag.
Ein separater Vertrag beginnt bei einem Jahresbeitrag von ca. 220 €.
Welche Schäden kann ein Anwalt über eine Cyber-Versicherung konkret absichern?
Im Bereich der Daten- und Cyber-Drittschäden kann z.B. die Verletzung von Geheimhaltungspflichten oder
Datenschutzgesetzen versichert werden.
Bei den Cyber-Eigenschäden können z.B. konkret die Kosten für die Wiederherstellung und „Entseuchung“
von IT-Systemen der Kanzlei, Kosten für IT-Forensiker zur kriminalistischen Beweissicherung und Maßnahmen
zur Datensicherheit, Benachrichtigungskosten betroffener Mandanten sowie ggf. Kreditschutz- und
Kreditüberwachungsservices, Kosten für Krisenmanagement und PR, Umsatzausfälle der Kanzlei bis hin zur
Erstattung von Lösegeldzahlungen bei Erpressung abgesichert werden.
Vermutlich lässt sich so ein Schaden schwer beziffern, abgesehen von einer Lösegeldzahlung.
Wie berechnet sich der entstandene Schaden bzw. was wird hier von einem Versicherer erstattet?
Hier gibt es unterschiedliche Ansätze. Grundsätzlich kann man sagen, dass sich Aufwendungen des Anwalts
zur Identifizierung von Sicherheitslücken, Bereinigung von Systemen, Beauftragung von IT-Forensikern oder
das zwischenzeitliche Anmieten von IT-Systemen zur Aufrechterhaltung des Kanzleibetriebs relativ einfach
ermitteln, nachweisen und somit auch versichern lassen. Also Kosten oder Mehrkosten, die durch den Cyber-Angriff
entstanden sind.
Etwas anspruchsvoller ist die Absicherung von Umsatzausfällen, aber auch die lassen sich versichern. Bei der
Berechnung des Schadens durch Ruf-/Imageschädigung wird es auch etwas knifflig. Häufig übernehmen
in diesem Zusammenhang die Versicherer die notwendigen Kosten für PR- und Marketing-Spezialisten im
Krisenfall.
Ralph Günther ist Fachautor, Versicherungsexperte und Gründer sowie Geschäftsführer
von exali.de, dem Versicherungsportal für Dienstleister und freie Berufe. Er hat langjährige
Erfahrung im Risikomanagement und der Versicherung von Anwälten, IT-Experten,
Architekten und Ingenieuren, Kreativen und Beratern. Sein Fokus liegt auf der Absicherung
von Vermögensschäden – und damit verbunden der Weiter- und Neuentwicklung
branchenspezifischer Versicherungskonzepte. Sein Wissen gibt er regelmäßig als Autor in
relevanten Fachmedien an seine Zielgruppe weiter.
Cyberkriminalität und Cyberschutz für Rechtsanwälte und Mandanten | Deutscher Anwaltverlag 13

Astrid Blumenstock
Rechtsanwältin und
Fachanwältin für Familienrecht
Mein Erfolgsgeheimnis, dass deutlich
mehr einbringt als es mich kostet:
AnwaltsGebühren.Online
Bislang war ich mir sicher, dass meine Gebühren abrechnung das
Optimale für meine Kanzlei raus holt. Bis ich das jetzt mal mit dem
Testzugang von AGO nachgerechnet habe. Schnell wurde mir klar:
Da wäre noch einiges mehr möglich gewesen und ich kann meine
Abrechnung ganz problemlos optimieren.
Jede meiner Leistungen wird vollständig und korrekt erfasst sowie
maximal honoriert. Nie wieder peinliche Anrufe bei Mandanten,
weil ich eine Position übersehen habe und deshalb weitere oder
korrigierte Rechnungen schicken muss.
Jetzt 60 Tage kostenlos testen!
Anmeldung zum GRATIS-Test unter:
www.anwaltsgebuehren.online