Schlagwort-Archiv: Phishing

ERV Blog

IT-Sicherheitsstudie: Anwaltskanzleien sind gleich doppelt gefährdet

ERV BlogBesonders sensible Daten und besonders mangelhafte Absicherung – diese beiden Faktoren sorgen für ein stark erhöhtes IT-Risiko in Anwaltskanzleien. Der „Global Corporate IT Security Risks 2013 Survey“ von Kaspersky Lab zeigt das anhand von Zahlen, Fakten und einem Praxisbeispiel.

Kleinunternehmen und Kanzleien sind besonders schlecht geschützt

Zusammengefasst sind die Ergebnisse der Studie:

  • 96% aller KMU waren in 2013 von mindestens einer externen Bedrohung betroffen (zum Beispiel Phishing, Viren oder Trojaner)
  • 87% waren von mindestens einer internen Bedrohung betroffen (zum Beispiel unerledigte Updates und Patches oder unsichere Passwörter)
  • 21% der Bedrohungen führten zum Verlust vertraulicher Finanz- oder Kundendaten
  • 30% der Bedrohungen wurden in KMU mit bis zu 100 Mitarbeitern festgestellt

Anwaltskanzleien mit erhöhtem Schutzbedarf

Auch die meisten Anwaltskanzleien fallen in die Kategorie „KMU bis 100 Mitarbeiter“. Trotz des erhöhten Sicherheitsbedarfs sind hier die Probleme ähnlich: Kleine IT-Budgets und fehlende IT-Kompetenz sorgen für große Sicherheitslücken. Zudem werden viele Attacken gar nicht entdeckt, was die handelnden Personen in trügerischer Sicherheit wiegt. Dabei sind Anwälte zur besonderen Verschwiegenheit verpflichtet und bewahren sensible Daten und Dokumente – zunehmend auch digital. Ein Praxisbeispiel aus der Studie zeigt, wohin Unachtsamkeit führen kann.

Ein USB-Stick treibt Anwaltskanzlei fast in den Ruin

Im vorliegenden Fall war die Kanzlei unter anderem mit der Verwahrung vertraulicher Dokumente in digitaler Form beauftragt. Der USB-Sticks eines Klienten war nun aber mit einem Virus befallen, der selbständig und sehr gründlich mit der Löschung von Daten begann. Dieser Zwischenfall führte fast zum Ruin der Kanzlei, aus drei vermeidbaren Gründen:

1. Die Kanzlei hat den häufigen Fehler gemacht, Wechseldatenträgern von Klienten zu vertrauen und den USB-Stick ungeprüft mit der Kanzlei-IT verbunden

2. Das Sicherheitssystem der Kanzlei war nicht in der Lage, die Ausführung des Schadcodes zu bemerken und Alarm zu schlagen oder einzugreifen

3. Die Datensicherung der Kanzlei war nicht versioniert, so dass der Rückgriff auf einen fehlerfreien Datenbestand unmöglich war

IT-Profis sind ein Muss für jede Anwaltskanzlei

Der Fall zeigt deutlich, was die Studie nahelegt: Jede Anwaltskanzlei benötigt mindestens ein rudimentäres Sicherheitskonzept, einen Notfallplan und professionelle IT-Unterstützung. Datenschutz und Berufsrecht erfordern nicht ohne Grund besondere Sicherheitsvorkehrungen für die sensiblen Mandantendaten. Wir unterstützen Sie gerne dabei, Ihre Kanzlei sicher zu gestalten – mit über 30 Jahren im IT-Service für Anwaltskanzleien.

5 Gründe, warum Phishing immer noch lukrativ ist

Icon Mail Protection„Phishing? So etwas passiert mir doch nicht?“, lautet eine häufige Annahme von IT-Nutzern und Administratoren in Unternehmen. Dennoch steht Phishing nach wie vor ganz oben auf der Liste der einfachsten und lukrativsten Hacking-Attacken. Doch wer klickt auf sowas? Die einfache Antwort: Es kann offensichtlich jeden treffen. Laut dem McAfee Labs Threats Report 2014  erkennen 80% der professionellen Anwender Phishing-Seiten nicht. Der größte Unsicherheitsfaktor im Unternehmen ist und bleibt damit der Mensch. Das häufigste Einfallstor ist und bleibt die E-Mail. Die beste Lösung ist und bleibt die Kombination aus Schulung und Mail Protection. Doch warum klicken Mitarbeiter auf Phishing-Seiten?

1. Die Strategien werden immer ausgeklügelter und gezielter

Klar, die angebliche Mail der Postbank mit acht Rechtschreibfehlern und pixeligen Grafiken erkennen mittlerweile die meisten Menschen. Fehlerfrei formulierte Mahnungen mit deutschen Absenderadressen werden schon mal geöffnet, um sich den Anhang anzusehen. Und neben diesen Massenmails gibt es sehr viel individuellere und gezieltere Nachrichten, die von Originalen nicht zu unserscheiden sind. Dabei merkt der Nutzer in der Regel gar nicht, dass er Opfer einer Attacke wurde. Er hat gerade vielleicht Zugang zu unternehmenskritischen Daten gewährt, aber das fällt zunächst nicht auf.

2. Die schiere Masse: 250.000 neue Phishing URLs mit 1 Mio. neuen Webseiten in nur einem Quartal

Täglich lesen wir Berge von Mails, da können schon kleine Unkonzentriertheiten dazu führen, dass mal schnell etwas geklickt wird. Allein die häufige Gelegenheit, etwas falsch zu machen, führt dazu, dass es auch falsch gemacht wird. Und so werden von den Unmengen an Phishing-Mails jeden Tag auch einige geöffnet und sensible Daten wie Passwörter und Zugangsdaten offenbart.

3. IT-Sicherheit wird in einigen Unternehmen einfach nicht wichtig genommen

Zwar existieren rudimentäre Sicherheitskonzepte und Leitlinien – sie werden aber nicht gelebt. Am deutlichsten ist das aktuell ablesbar an den vielen Unternehmen, bei denen die Heartbleed-Lücke noch nicht geschlossen wurde, die bereits im April bekannt wurde. Listen solcher Unternehmen sind in Hackerkreisen gern gesehene Dokumente, denn solch grobe Fahrlässigkeiten sind eine Einladung an jeden Cyber-Kriminellen.

4. Keine Sensibilisierung der Mitarbeiter

Schulungen werden als lästige Pflicht empfunden und pro forma abgehalten, anstatt die wenigen wirklich wichtigen Maßnahmen mit Nachdruck zu erläutern. Welche Webseiten sollten gemieden werden? Wie erkenne ich eine potentiell gefährliche Mail? Eine regelmäßige und ernst gemeinte Mitarbeiter-Sensibilisierung ist die beste Investition in Ihre IT-Sicherheit.

5. Verzicht auf Mail Protection Software

Vor allem aber werden die am Markt vorhandenen IT-Systeme zum effektiven Schutz nicht eingesetzt. Das beste Beispiel hier ist Mail Protection Software: Mit einer einfachen Umleitung Ihrer Mails über ein Rechenzentrum wird jede Nachricht mit diversen Spamfiltern und mehreren Anti-Virus Anwendungen untersucht. Bei Gefahr gelangt die Mail gar nicht erst in Ihr Unternehmen.

Gerne unterstützen wir Sie beim effektiven Schutz Ihrer Daten und Ihrer IT-Infrastruktur. Nehmen Sie einfach Kontakt zu uns auf.