Home Office nimmt gerade in diesen Zeiten stark zu – doch damit stellen sich neue Herausforderungen an die Sicherheit des Datenverkehrs. Hier seien viele immer noch nachlässig, beobachten Experten.
Im Zuge der Corona-Epidemie schalten viele Unternehmen um auf Home Office, wo dies möglich ist, manchmal erzwungen aufgrund von Verdachtsfällen. Unabhängig von der aktuellen Entwicklung nimmt mobiles Arbeiten zu. Mitarbeiter wollen überall erreichbar sein und auch von unterwegs Mails schicken oder auf Daten zugreifen. Stichwort Daten: Dabei geht es immer auch um das Thema Sicherheit. Doch um den Datenschutz ist es bei allem Wissen um mögliche Risiken nach wie vor häufig schlecht bestellt, weiß Dr. Florian Scheriau von der Wirtschaftsprüfungsgesellschaft Warth & Klein Grant Thornton. Der Datenspezialist warnt bei seinem Impulsvortrag beim RP-Wirtschaftsforum „Wirtschaftskanzleien“vor einer „blinden Digitalisierung“. Oft würden Systeme eingerichtet ohne Kontrolle ihrer Sicherheit.
Dass er nicht übertreibt, zeigt Scheriau an einem realen Fall. Eine größere Kanzlei hatte ein Datenleck und bat die Experten von Warth & Klein um Mithilfe bei der Aufklärung. „Enorme Mengen an Mandantendaten waren abgeflossen, was lange nicht bemerkt wurde“, beschreibt Scheriau die Dramatik. Kriminelle hatten sich Zugriff auf E-Mail-Konten verschafft – über die klassische Falle, in die offenbar immer noch Menschen tappen. Ein Mitarbeiter hatte auf einen Phishing-Link geklickt. Glück im Unglück: Die Kriminellen wussten offenbar nicht, welchen Schatz sie mit den Daten der Kunden in Händen hielten. Sie versuchten statt dessen, Mitarbeiter mit einer angeblichen Anweisung eines Chefs zur Überweisung größerer Geldsummen zu bewegen. Das fiel dann auf. Die Datenspezialisten von Warth & Klein, die daraufhin eingeschaltet wurden, untersuchten, welche Systeme und welche Mandanten betroffen waren. „Den Fall konnten wir aufklären“, sagt Scheriau.
Ein Problem: Die Kanzlei hatte keine Zwei-Faktor-Authentifizierung eingerichtet. Oftmals erachten Unternehmen solche Sicherungsmaßnahmen als lästig. „Doch es gibt gute Lösungen, die auf den Bedarf zugeschnitten werden können“, sagt Scheriau. So könnten IT-basierte Systeme Unregelmäßigkeiten erkennen und früh warnen. Mittlerweile bieten digitale Dienstleister zum Beispiel speziell für Kanzleien technische Lösungen mit automatisierten Auswertungen an. Was diese Legaltechs mit Künstlicher Intelligenz erreichen, funktioniert natürlich auch in anderen Branchen. Von dem Thema sind ja alle Unternehmen betroffen.
„Die Frage ist: Wer kümmert sich in der Kanzlei oder dem Unternehmen um IT, Datenschutz und Zertifizierungen?“, merkt Dr. Frank Hülsberg (Warth & Klein) in der anschließenden Diskussion an. Erkundige man sich in Unternehmen nach Backups, Firewalls oder Virenschutz, sagen IT-Leiter, das sei alles geregelt. „Aber die Standard-Fallen bestehen weiter“, warnt Hülsberg. Backups würden häufig in zu großen Abständen gemacht und hingen im Netz. Sie wären bei einem Angriff durch Verschlüsselungssoftware mit betroffen. „Und Alarmmeldungen von Virenschutzprogrammen werden oft ignoriert“, weiß der Experte.
SOLLTE MAN CLOUDBASIERTE Lösungen bevorzugen, will Prof. Dr. Maximilian A. Werkmüller (SSP-Law) aus der Runde der Forums-Teilnehmer wissen. „Wir geben Cloudanbietern den Vorzug“, antwortet Scheriau. Das Sicherheitsniveau sei in der Regel höher, als einzelne Unternehmen es leisten könnten. Die Frage, wie gut ein Unternehmen geschützt ist, hat nach Ansicht von Lucas van Randenborgh (Beiten Burkhardt) zwei Dimensionen: Ein Angriff könne die eigene Betriebsfähigkeit lähmen, wenn etwa kein Datenzugriff mehr möglich ist. „Ein anderes Thema ist die Mandantensicherheit“, führt van Randenborgh weiter aus. Gerade bei Kanzleien handele es sich ja um vertrauliche Daten. Aber um lästige Verschlüsselungen zu umgehen, werde man durchaus auch darum gebeten, Mails an private Adressen zu schicken. Hier müsse das Bewusstsein für die Gefahren geschärft werden.
„Es stellt sich darüber hinaus die Frage, wer physisch Zugriff hat“, ergänzt Ingrid Burghardt-Richter (FPS Rechtsanwälte). Daten müsse man auch analog sichern, zum Beispiel vor neugierigen und unbefugten Blicken auf den Bildschirm. Letztlich könnten Kanzleien und Unternehmen Sicherheit aber nicht selbst gewährleisten. „Um die Systeme zu schützen, kann man sich nur auf Experten verlassen.“Was taugen eigentlich Cyber-Versicherungen? „Es gibt da große Unterschiede und verschiedene Modelle“, erklärt Scheriau. Es sei aber hilfreich, sich damit zu befassen.
Sicherheit ist ein komplexes Thema, weiß Werkmüller aus dem Bereich der Family Offices. Diese erwarten oft einen hohen Standard, sodass Dienstleister wie zum Beispiel eine Kanzlei sich daran anpassen und ihr Sicherheitsniveau ebenfalls erhöhen müssen.„Je größer und professioneller ein Mandant aufgestellt ist, desto eher sind verschlüsselte Mails ein Standard“, beobachtet Dr. Jochen Lehmann von der Kanzlei Schmidt, von der Osten & Huber. Praktikabel seien hier Lösungen, die vollautomatisch im Hintergrund laufen. Das werde von den Nutzern akzeptiert. Für Lehmann hat die Datensicherheit einen hohen Stellenwert in der Kanzleiarbeit: „Unser größtes Kapital ist das Vertrauen unserer Mandanten.“
In der Kanzlei McDermott Will & Emery stellen die IT-Experten die Systeme immer wieder in internen Angriffen auf die Probe, um Schwachstellen zu identifizieren, berichtet Dr. Ulrich Flege. Wie andere Diskussionsteilnehmer nimmt auch Flege eine „Spannung zwischen Convenience und Sicherheit“wahr: Das Thema Systemsicherheit, zum Beispiel durch Zwei-Faktor-Autorisierung, sei bekannt, es müsse aber alles schnell gehen. Wenn sich die Systeme so einrichten lassen, dass sie die Anwender nicht beeinträchtigen und trotzdem für Sicherheit sorgen, dann hätten sie mehr Akzeptanz, ist Flege überzeugt.