Nehmen Sie einmal an, Sie sind eine kriminelle Hackergruppe auf der Suche nach Unternehmen, bei denen Sie nach einem Angriff Lösegeld erpressen können. Gesucht werden Firmen, die zahlreiche sensible Daten auf ihren Servern haben, für die der Verlust oder die Veröffentlichung im Darknet besonders schmerzhaft ist und die sich in der Vergangenheit nicht so viel mit IT-Systemen auseinandergesetzt haben. Eine mittelgroße Wirtschaftskanzlei etwa.

Tatsächlich haben Cyberattacken auf Anwaltskanzleien in den vergangenen Jahren stark zugenommen – und allzu oft mit Erfolg. Die Schadensfälle hätten sich im letzten Jahrzehnt jährlich verdoppelt, aber zuletzt auf einem hohen Niveau eingependelt, berichtet Andras Danis, Geschäftsführer von Ass Pro Managerline, das Versicherungen gegen Cyberangriffe abwickelt. "Das gilt für die versicherten Schadensfälle, bei den anderen geht es weiterhin rasant hinauf", sagt Danis. Denn gerade die Versicherungen würden starken Druck auf ihre Kunden ausüben, mehr in Cybersicherheit zu investieren.

50 Prozent zahlen Lösegeld

Aber warum sind gerade Kanzleien so beliebte Zielscheiben für sogenannte Ransomware-Attacken? Während sich andere Unternehmen oft überlegen, ob sie den Angriff aussitzen, die verschlüsselten Daten mühsam wiederherstellen oder hinnehmen, dass Kundendaten im Darknet auftauchen, ist dies für viele Anwältinnen und Anwälte keine Option. "Sie haben kaum eine Möglichkeit, nicht zu bezahlen", sagt Danis. "Wenn sich die Daten der Mandanten im Darknet verbreiten, dann ist ihre Reputation am Boden." Und wenn die Kanzlei nicht bezahlt, dann können die Banden die Klienten erpressen, fügt er hinzu.

Bis zu 50 Prozent der angegriffenen Kanzleien würden der Lösegeldforderung deshalb nachkommen, schätzt Fabian Jeremias, ein Rechtsanwalt, der bei der großen deutschen Kanzlei Rödl & Partner für Compliance und Datenschutz verantwortlich ist. Und das erhöht den Anreiz für Cyberbanden.

Die Verhandlungen führen eigene spezialisierte Kanzleien, die das Lösegeld meist deutlich herunterverhandeln, sagt Danis. Dabei müsse man aufpassen, durch die Zahlung keine Gesetze zu verletzen, wenn die Gruppe etwa auf einer Sanktionsliste steht.

Zwar sei auch Veröffentlichung von Datensätzen im Darknet ein Bedrohungsszenario, allerdings müssten die Datensätze oft erst aufwendig aufbereitet werden, sagt Jeremias. Viele Angreifer scheuten diesen Aufwand. "Zu einem echten Haftungsthema für die Kanzleien wird es, wenn Daten verschlüsselt werden und die Kanzlei keinen Zugriff mehr hat", sagt er. "Dann drohen Fristsäumnisse, Schadensersatzansprüche und Reputationsschäden. Gerade kleineren Kanzleien fehlt oft das Back-up, für sie ist das ein Albtraum."

Explodierende Schadensfälle

Das Geschäft mit Cyberversicherungen hat deshalb stark zugenommen. Diese decken nicht nur Lösegeldzahlungen, sondern auch alle anderen damit verbundenen Schäden ab. In den ersten Jahren seien die Versicherungspolizzen sehr teuer gewesen und hätten wenig Fälle erfasst, was die Nachfrage dämpfte, erzählt Danis. Als die Prämien sanken, stiegen die Umsätze. "Das hat bis vor drei Jahren gut funktioniert, aber dann explodierten die Schadensfälle. Das Jahr 2020 war der Höhepunkt. Da haben die Versicherungen ihren Kunden gesagt: Ihr müsst mehr in die Sicherheit investieren, sonst versichern wir euch nicht mehr. Und das ist auch tatsächlich geschehen."

Im österreichischen Markt seien 20 der Top-30-Kanzleien versichert, sagt Danis. "Und jetzt kommen auch die kleineren nach." Die Kosten sind beträchtlich, aber klein im Vergleich zum Risiko. Eine Versicherung für eine Schadenssumme bis zu einer Million Euro für eine kleinere Kanzlei würde 1.500 Euro im Jahr kosten; eine Deckung bis zu fünf Millionen Euro bei einer großen Kanzlei rund 30.000 im Jahr, sagt Danis. Warum der große Preisunterschied? "Die größeren Kanzleien sind gefährdeter."

Schulung der Mitarbeitenden

Das wüssten die meisten Anwälte, sagt Sebastian Schüßler von Rödl & Partner, der gemeinsam mit Jeremias bei der Legal-Tech-Konferenz am Mittwoch in Wien einen Vortrag zum Thema hält und anhand einer fiktiven Kanzlei die Lücken aufzeigt, in die Kriminelle hineinstoßen können . "Das Sicherheitsbewusstsein bei Anwälten ist sehr hoch, weil wir als Berufsträger stark sensibilisiert sind", sagt er. "Wir wissen, dass man mit Daten sehr sensibel umgehen muss."

Schüßler leitet in seiner Kanzlei die digitale Transformation und legt besonderen Wert auf die Schulung der Mitarbeiterinnen und Mitarbeiter. "Viele der Attacken greifen nicht an einem System, sondern an Menschen an. Man muss sensibilisieren, und dafür braucht es Schulungen, die auch einen Transfer in die Praxis zulassen", sagt Schüßler. "Es darf nicht so sein wie der Erste-Hilfe-Kurs vor dem Führerschein, den man bald wieder vergisst."

Oft ist es eine E-Mail mit einem Link, der sorglos angeklickt wird, oder ein verseuchter Datenstick, den ein Klient zur Verfügung stellt, sagt Jeremias. "Man muss in einer Kanzlei ein Verständnis dafür entwickeln, dass Sicherheit den Komfort einschränkt. Aber dazu muss man bereit sein. Denn die Integrität ist ein zu hohes Gut, das man nicht aus der Hand geben darf." (Eric Frey, 10.11.2022)