Kolumne
Sicher im Rechtssinne
Kolumne
Foto_Markus_Hartung_WEB
© Frank Eidel
Foto_Markus_Hartung_WEB

Kürzlich wurde berichtet, dass die „Anwaltskanzlei von Ford, Boeing und Exxon mit Ransomware gehackt“ worden sei. Die Angreifer hatten Zugriff auf sehr sensible Informationen. Auch CMS Hasche Sigle, eine der größten deutschen Wirtschaftskanzleien, wurde kürzlich von Cyberkriminellen attackiert. Für eine Kanzlei ist das der GAU. Wird künftig auch das beA Ziel von Hackerangriffen sein?

27. Aug 2021

Kürzlich wurde berichtet, dass die „Anwaltskanzlei von Ford, Boeing und Exxon mit Ransomware gehackt“ worden sei. Zu den Mandanten gehören auch andere große Namen der US-Industrie, der Angriff war so bedrohlich, dass unter anderem das FBI in die Ermittlungen eingeschaltet wurde. Deren Untersuchung ergab, dass die Hacker hinter dem Angriff Zugriff auf eine Datenbank mit sehr sensiblen Informationen, darunter Reisepass-, Führerschein- und Sozialversicherungsnummern, Finanzkontodaten sowie biometrischen Daten, hatten. Für eine Kanzlei ist das der GAU, von den Sorgen der Betroffenen um Missbrauch ihrer Daten mal ganz zu schweigen.

Je lauter Forderungen nach Digitalisierung werden, desto drängender werden die Warnungen vor Datenverlust. Und solche Fälle scheinen das ja nur zu bestätigen. Gerade wurde berichtet, dass CMS Hasche Sigle, eine der größten deutschen Wirtschaftskanzleien, ebenfalls von Cyberkriminellen attackiert wurde, denen es offenbar gelungen war, Schadsoftware auf den IT-Systemen der Kanzlei zu installieren. Größere Datenverluste habe man noch nicht feststellen können, allerdings habe man alle Netzwerkverbindungen nach außen unterbrochen. Kein Mailsystem, kein Internet, und wo die Briefmarken abgeblieben sind, weiß in solchen Panikmomenten auch niemand. Es ist auch nicht das erste Mal, dass eine Wirtschaftskanzlei in Deutschland von Cyberkriminellen angegriffen wurde: Im Jahr 2017 traf es DLA Piper, die sich ebenfalls für mehrere Tage vom Internet trennen musste, bevor alle Systeme wieder sauber waren. Vermutlich gibt es eine hohe Dunkelziffer weniger prominenter Fälle.

Für Hacker sind Daten Mittel zum Zweck: Entweder werden sie im Darknet zum Verkauf angeboten, oder aber man verschlüsselt mit Ransomware (zu deutsch Erpressungstrojaner) den gesamten Datenbestand des Opfers und lässt sich die Entschlüsselung teuer bezahlen, mit Bitcoin natürlich, so viel legale Anonymität muss sein.

Mangels Sachverhaltskenntnissen kann man nur sagen: Die Sicherheitssysteme sind offenbar nicht gut genug. Das betrifft Kanzleien wie andere Unternehmen, und es betrifft Mensch und Technik. Lücken im System bestehen häufig in der Windows-Welt, offene USB-Slots sind bekannte Einfallstore, aber auch Bedienungsfehler, mangelnde Schulung des Personals, unzureichendes Bewusstsein, dass man etwa Mails und deren Anhänge, die von unbekannten oder unklaren Sendern kommen, keinesfalls öffnen darf. Man spart am falschen Ende.

Wird man das beA auch mal attackieren? Die Liste der Pleiten und Pannen ist dort so lang, dass man sich kaum traut, eine erfolgreiche Attacke auszuschließen. Die Sicherheitsarchitektur mit einem zentralen Server, über den die gesamte anwaltliche Korrespondenz mit den Gerichten in Deutschland läuft, lädt geradezu dazu ein. Das wurde sehr kritisiert, aber: Laut BGH ist das beA sicher im Rechtssinne. Also: nicht so sicher. Sicher im Rechtssinne ist wie verheiratet im Rechtssinne. 

Markus Hartung ist Rechtsanwalt und Mediator in Berlin, Senior Fellow des Bucerius Center on the Legal Profession und Mitglied des Berufsrechtsausschusses des DAV.