Anwaltskanzleien sammeln riesige Mengen an hochsensiblen Daten. Dabei handelt es sich nicht nur um persönliche Informationen über ihre Mandanten, sondern auch um vertrauliche Unternehmensdaten, Geschäftsgeheimnisse, geistiges Eigentum und vieles mehr. Dies hat zur Folge, dass sie sowohl für Cyberkriminelle als auch für böswillige Insider sehr attraktive Ziele geworden sind.
In einem Bericht der American Bar Association wurde festgestellt, dass 29 % der befragten US-Anwaltskanzleien im Jahr 2020 von einer Sicherheitsverletzung betroffen waren, wobei 21 % nicht wussten, ob ihre Kanzlei jemals von einer Datenverletzung betroffen war. Zu den berichteten Folgen von Sicherheitsvorfällen gehörten Beratungskosten für die Reparatur und der Verlust von abrechenbaren Stunden. Sicherheitsverletzungen können auch einen hohen Reputationsschaden für Anwaltskanzleien verursachen: Wichtige Mandanten müssen darauf vertrauen, dass eine Kanzlei in der Lage ist, ihre Informationen vertraulich zu behandeln.
Im Gegensatz zu Unternehmen, die lediglich personenbezogene Daten in großem Umfang sammeln und meist opportunistische Angreifer anlocken, sind Anwaltskanzleien auch das Ziel staatlicher Akteure und von Personen, die vertrauliche Mandanteninformationen für Insidergeschäfte nutzen wollen.
Die Mitarbeiter selbst stellen eine erhebliche Bedrohung für die Datensicherheit dar. Das Risiko, dass Insider sensible Kundendaten stehlen, bevor sie ein Unternehmen verlassen, ist in der Rechtsbranche wesentlich höher als in anderen Bereichen. Auch Nachlässigkeit ist ein Faktor, der zu Datenverlusten beiträgt: Laut dem Cost of a Data Breach Report 2020 des Ponemon Institute und IBM sind 23 % aller Datenschutzverletzungen auf Mitarbeiter zurückzuführen.
Lösungen zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP) haben sich in allen Branchen als unverzichtbares Instrument bei der Umsetzung von Datenschutzstrategien erwiesen. Die DLP-Technologie wurde entwickelt, um Daten direkt zu schützen und nicht nur die Systeme, auf denen sie gespeichert sind. Sie stellt sicher, dass Unternehmen wissen, wo sensible Daten gespeichert sind und wer sie verwendet und kontrolliert ihre Übertragung und Verwendung. Doch sehen wir uns die Vorteile von DLP-Lösungen für Anwaltskanzleien einmal genauer an.
Schutz aller sensiblen Daten
DLP ist als Tool zur Einhaltung von gesetzlichen Vorschriften bekannt, die in der Regel personenbezogene Daten schützen, und bietet häufig vordefinierte Profile, die die Einhaltung von Vorschriften wie DSGVO, PCI DSS, HIPAA usw. unterstützen. Einige Lösungen bieten auch Profile für geistiges Eigentum an. Diese Definitionen sind jedoch auch anpassbar, d. h. Anwaltskanzleien können wählen, was sensible Daten für sie bedeuten, je nach ihren Bedürfnissen und ihrem Fachgebiet.
Sobald sensible Daten definiert sind, werden Richtlinien angewendet, die Dateien mit als sensibel eingestuften Informationen überwachen und kontrollieren. Mithilfe von Inhaltsüberprüfung und kontextbezogenem Scannen können DLP-Lösungen Hunderte von Dateitypen nach sensiblen Daten durchsuchen und verhindern, dass diese über unsichere Kanäle wie File-Sharing- und Cloud-Dienste, Messaging-Apps und persönliche E-Mail-Adressen übertragen, gedruckt oder kopiert werden.
Einschränkung der Nutzung von Wechseldatenträgern
Wechseldatenträger sind für Mitarbeiter, die Zugang zu Arbeitscomputern haben, die einfachste Möglichkeit, Daten auszuspionieren. Insbesondere USB-Geräte, die leicht zu verstecken sind, aber auch unabsichtlich verloren oder vergessen werden können, sind seit langem eine Ursache für Datenlecks. Mit Hilfe von DLP-Lösungen können Anwaltskanzleien die Nutzung aller Peripheriegeräte und USB-Anschlüsse sowie Bluetooth-Verbindungen blockieren oder auf vom Unternehmen zugelassene Geräte beschränken.
Unternehmen, die die Verwendung von Wechseldatenträgern wie USBs weiterhin zulassen möchten, können sich auch für eine DLP-Lösung wie Endpoint Protector entscheiden, die über erzwungene Verschlüsselungsfunktionen verfügt, die sicherstellen, dass alle Daten, die auf einen USB kopiert werden, automatisch mit einer passwortbasierten AES-256-Bit-Verschlüsselung verschlüsselt werden. Auf diese Weise kann bei Verlust oder Diebstahl eines USB-Sticks niemand ohne Entschlüsselungsschlüssel auf die darauf gespeicherten Daten zugreifen.
Beschränkung des Zugriffs auf sensible Daten
Eine weitere Möglichkeit, das Risiko zu verringern, dass Mitarbeiter wertvolle Unternehmensdaten entwenden, besteht darin, den Zugang zu diesen Daten zu beschränken. Natürlich ist die Speicherung und Archivierung von Mandantenakten ein wesentlicher Bestandteil des Kanzleibetriebs, aber es ist auch wichtig, dass nach der Schließung oder Archivierung einer Akte keine Kopien davon im Unternehmensnetzwerk herumliegen.
Um dies zu verhindern, können Unternehmen DLP-Lösungen einsetzen, um nach sensiblen Informationen zu suchen, die lokal auf den Computern der Mitarbeiter gespeichert sind. Sobald Daten an nicht autorisierten Orten gefunden werden, können sie verschlüsselt oder per Fernzugriff gelöscht werden, so dass sie nicht mehr dem Risiko ausgesetzt sind, gestohlen zu werden oder verloren zu gehen.
Überwachung sensibler Daten
Damit Anwaltskanzleien sensible Daten schützen können, müssen sie zunächst wissen, wo sie gespeichert sind und wie sie von den Mitarbeitern verwendet werden. Die DLP-Überwachung sensibler Daten ermöglicht es Anwaltskanzleien, den Datenfluss zu verstehen und Schwachstellen im Umgang mit sensiblen Informationen zu erkennen.
Durch die Identifizierung problematischer Praktiken unter den Mitarbeitern können Anwaltskanzleien Datensicherheitsschulungen organisieren, die diese direkt ansprechen. Die DLP-Datenüberwachung kann auch dazu beitragen, potenzielle Insider-Bedrohungen aufzudecken, z. B. Mitarbeiter, die versuchen, wichtige Kundeninformationen zu exfiltrieren.