Anwaltskanzleien lukratives Ziel
Eine angesehene in New York ansässige Anwaltskanzlei für Medien und Unterhaltung soll im Mai 2020 von der Ransomware «REvil» angegriffen worden sein. Die Anwaltskanzlei soll einige der berühmtesten Persönlichkeiten des öffentlichen Lebens und die bekanntesten Unternehmen in den Vereinigten Staaten vertreten. Die Ransomware-Betreiber beschlagnahmten angeblich alle Daten, die sie für wichtig hielten, bevor sie sie verschlüsselten, was typisch für einen sogenannt doppelten Erpressungsangriff ist. Die gehackten Daten sollen sensible private Informationen von Berühmtheiten umfasst haben.
Die Angreifer forderten gemäss Berichten zunächst 21 Millionen Dollar, und um ihre Behauptungen zu beweisen, stellten sie 2,4 GB einer berühmten Klientin online. Die Lösegeldforderung wurde nach einer Woche erfolgloser Verhandlungen auf 42 Millionen Dollar angehoben.
Die Angreifer nutzten einen noch nie dagewesenen Ansatz, da die Anwaltskanzlei die Zahlung verweigerte: Die gestohlenen Daten wurden versteigert, wobei der Datensatz einer bekannten Sängerin zu einem Grundpreis von 1 Million Dollar verkauft worden sein soll. Der Ruf der Anwaltskanzlei sei durch diesen Vorfall schwer geschädigt worden.
Double Extortion Ransomware
Ransomware (von english ransom für «Lösegeld»), auch Erpressungstrojaner, Erpressungssoftware, Kryptotrojaner oder Verschlüsselungstrojaner genannt, sind Schadprogramme, mit deren Hilfe ein Eindringling den Zugriff des Computerinhabers auf Daten, deren Nutzung oder auf das ganze Computersystem verhindern kann. Dabei werden private Daten auf dem fremden Computer verschlüsselt oder der Zugriff auf sie verhindert, um für die Entschlüsselung oder Freigabe ein Lösegeld zu fordern.
Da sich Unternehmen in den letzten Jahren zunehmend gegen klassische Ransomware-Attacken wappneten (Backup nach dem Generationenprinzip, physische Trennung vom Netzwerk nach dem Backup) stellen die Angreifer vermehrt auf einen sogenannt doppelten Erpressungsangriff (Double Extortion Ransomware) um. Dabei kopieren die Angreifer die Daten vor der Verschlüsselung, wobei sie möglichst sensible Daten bevorzugen. Später drohen sie dann, diese Daten zu veröffentlichen oder im Darknet zu versteigern.
Es liegt auf der Hand, dass die Daten einer Anwaltskanzlei praktisch durchgehend hochsensibel sind. Deren Veröffentlichung birgt nicht nur massive Reputationsrisiken, sondern es können auch aufsichtsrechtliche Konsequenzen drohen.
Wie Sie Ihre Anwaltskanzlei vor einem Cyberangriff schützen können
Das nationale Zentrum für Cybersicherheit (NCSC, https://www.ncsc.admin.ch/ncsc/de/home/cyberbedrohungen/ransomware.html) empfiehlt:
• Regelmässiges Erstellen von Sicherungskopien (Backup) der Daten. Die
Sicherungskopie sollte offline gespeichert werden. Dabei soll sichergestellt
werden, dass das Medium nach dem Backup-Vorgang vom Computer getrennt
wird.
• Schulung der Mitarbeitenden im Umgang mit E-Mails.
• Schutz der IT-Infrastruktur durch die Verwendung von Windows AppLocker.
Durch den Einsatz von Windows AppLocker kann definiert werden, welche
Programme auf den Computer des Unternehmens ausgeführt werden dürfen.
• Blockieren des Empfangs von gefährlichen E-Mail-Anhängen auf dem E-Mail-
Gateway. Eine ausführlichere, aktualisierte Liste ist auf der Webseite des
GovCERT (Swiss Government Computer Emergency Response Team) abrufbar:
https://www.govcert.ch/downloads/blocked-filetypes.txt.
• Sicherstellen, dass gefährliche E-Mail-Anhänge auch dann blockiert werden,
wenn diese in Archiv-Dateien wie beispielsweise ZIP, RAR oder aber auch in
verschlüsselten Archiv-Dateien (z. B. in einem Passwortgeschützen ZIP) an
den Empfänger des Unternehmers versendet werden.
• Zusätzlich sollten sämtliche E-Mail-Anhänge blockiert werden, wenn diese
Makros enthalten (z.B. Word, Excel oder PowerPoint Dokumente, welche
Makros enthalten).
Eine wirkungsvolle technische Massnahme zum Schutz der IT Systeme ist die
Zwei-Faktor-Authentifizierung.
Wie Sie bei einem Cyberangriff vorgehen sollten
Das Nationale Zentrum für Cybersicherheit (NCSC) empfiehlt (https://www.ncsc.admin.ch/ncsc/de/home/infos-fuer/infos-unternehmen/vorfall-was-nun/ransomware.html):
• Schadensbegrenzung
Trennen Sie infizierte Systeme umgehend vom Netz. Dazu trennen Sie das Netzwerkkabel vom Computer und schalten allenfalls vorhandene WLAN-Adapter ab.
• Identifikation der infizierten Systeme
Bei der Identifikation der betroffenen Systeme können «Logdateien» helfen, anhand derer beispielsweise Zugriffe auf Netzwerklaufwerke erkannt werden können. Auch die Metadaten der verschlüsselten Dateien können Hinweise auf infi-
zierte Systeme liefern, beispielsweise welche Benutzerkonten die Dateien erzeugt haben. Sichern Sie die Logdateien.
• Detektion
Anhand der Logs von E-Mail-Server, Proxyserver und Firewall sowie anhand allfälliger weiterer Sicherheitssoftware lässt sich das Ausmass der Infektion feststellen und die URL- und IP-Adressen der Angreifer lassen sich detektieren. Blockieren Sie diese URL- und IP-Adressen auf dem internen Proxyserver bzw. auf der Firewall. Damit verhindern Sie eine ungewollte Verbindung zur Infrastruktur des Angreifers. Bei einer Infektion per E-Mail lassen sich gewisse Links (URL- und IP-Adresse) unter Umständen relativ einfach entweder direkt in der E-Mail (Hyperlink) oder in einem entsprechenden Anhang auslesen.
• Strafanzeige
NCSC empfiehlt in jedem Fall die Einreichung einer Strafanzeige. Überlegen Sie sich früh, ob Sie diesen Schritt unternehmen wollen. Die Zuständigkeit liegt bei der Kantonspolizei an Ihrem Geschäftssitz. Die Polizei berät Sie bezüglich weiterem Vorgehen, insbesondere in Bezug auf die Kommunikation mit der Täterschaft und das Verhalten dieser gegenüber. Besprechen Sie, ob ein unmittelbares Ausrücken der Polizei zur Unterstützung sinnvoll ist.
• Forensische Untersuchungen
Entscheiden Sie frühzeitig, ob eine forensische Untersuchung durchgeführt werden soll. Dies ist vor allem wichtig, wenn Sie Strafanzeige erstatten wollen. Informieren Sie in diesem Fall die Strafverfolgungsbehörden bereits in einer frühen Phase und diskutieren Sie die nächsten Schritte (Beobachtung der Schadsoftware, Gegenmassnahmen usw.).
Sicherungen von Zwischenspeicher und Festplatten sollten durch einen fachkundigen Mitarbeiter oder Dienstleister sinnvollerweise vor weiteren Reparaturversuchen oder Neustarts der betroffenen Systeme unternommen werden. Danach sind forensische Untersuchungen nahezu unmöglich. Sollte in Ihrem Unternehmen das dafür notwendige Fachwissen nicht vorhanden sein, sollten Sie einen Experten hinzuziehen.
• Sicherung der verschlüsselten Daten
Falls das Backup ebenfalls verschlüsselt wurde, ist es empfehlenswert, die verschlüsselten Daten zu behalten und zu sichern, damit diese allenfalls zu einem späteren Zeitpunkt entschlüsselt werden können, sollte sich diesbezüglich eine Lösung finden lassen. In einigen Fällen konnten Sicherheits- und Strafverfolgungsbehörden im Zuge ihrer Ermittlungen Zugang zu Schlüsseln oder Entschlüsselungsmethoden finden.
• Neuinstallation der betroffenen Systeme
Bevor Sie mit der Wiederherstellung der Daten beginnen, ist eine Neuinstallation der infizierten Systeme erforderlich. Das verwendete Betriebssystem sollte von einem vertrauenswürdigen Datenträger stammen.
Unter bestimmten Voraussetzungen ist auch ohne Datensicherung via Backup eine teilweise oder komplette Wiederherstellung der Daten möglich. Eine Entschlüsselung kann unter Umständen funktionieren, wenn
– die Ransomware Schattenkopien in Windows nicht verschlüsselt oder gelöscht hat,
– Snapshots von virtuellen Maschinen oder frühere Dateiversionen bei Clouddiensten
existieren,
– die forensische Wiederherstellung gelöschter Dateien möglich ist,
– die Ransomware in ihrer Verschlüsselungsfunktion Fehler aufweist oder der
Schlüssel für die Entschlüsselung bekannt ist.
• Weitere empfehlenswerte Punkte
– Ausdruck der wichtigsten Kontaktadressen (IT-Dienstleister, Versicherung,
Kontaktdaten aller Mitarbeitenden etc.), da im Falle eines Angriffes auch auf
diese Daten nicht mehr zugegriffen werden kann.
– Meldepflichten prüfen:
º Behörden
º Klienten (insbesondere solche in der EU; Risikobeurteilung)
– Entscheide dokumentieren
– Kosten dokumentieren
– Schlussrapport erstellen (Dokumentationspflicht gemäss DSGVO)
Brot, Wurst und Standesrecht zur Cybersecurity
Am 1. Juni 2022 fand im Stall 6 eine Veranstaltung der Reihe «Brot, Wurst und Standesrecht» zum Thema «Cybersecurity: Bedrohungsszenarien, Erwartungen der Aufsichtskommission und Risikostrategie» statt. Unter der kundigen Leitung unseres Vorstandsmitglieds Karin Graf referierten Kollege Dr. Martin Eckert (MME Legal AG) und Oberrichter Beat Gut (Präsident der Aufsichtskommission) über die neuen Herausforderungen für die Anwaltschaft. Beat Gut verwies im Zusammenhang mit der Nutzung von Cloudlösungen auf die Empfehlungen des Schweizerischen Anwaltsverbands (https://digital.sav-fsa.ch/de/digitale-kanzlei-cloud-und-datenschutz). Er empfahl im Übrigen, auf eine sorgfältige Auswahl des IT-Dienstleisters zu achten und dem Risikoprofil der Kanzlei Rechnung zu tragen. Von Vorteil sei, wenn sich der Server-Standort zumindest im EU-Datenschutzraum befände. Der Ausgestaltung des IT-Dienst-leistungsvertrags müsse besondere Beachtung geschenkt werden und die Kanzlei solle sich in regelmässigen Abständen versichern, ob die verwendete Backup-Lösung tatsächlich funktioniert und wo sich das Backup befindet. Auch sei es wichtig, dass die Klientschaft darüber informiert werde, dass die Daten der Kanzlei in einer Cloud verwaltet werden und welche Cloud-Lösung Verwendung finde.
Der Präsident der Aufsichtskommission wies im Sinne eines «Winks mit dem Zaunpfahl» schliesslich noch auf den Beschluss Nr. 542/2022 vom 14. April 2022 des Regierungsrats des Kantons Zürich hin (https://www.zh.ch/de/politik-staat/gesetze-beschluesse/beschluesse-des-regierungsrates/rrb/regierungsratsbeschluss-542-2022.html), mit welchem der Einsatz von Cloudlösungen (Microsoft 365) für die kantonale Verwaltung beschlossen worden ist. Gemäss einem fachkundigen Votum aus dem Publikum sei darauf zu achten, dass die Kanzlei bei der Nutzung von Microsoft 365 das «Professional Secrecy Amendment» zum Vertragsbestandteil mache.
Navigation
