Eine 2020-Umfrage von der American Bar Association festgestellt, dass 29% der teilnehmenden Anwaltskanzleien auf irgendeine Form einer Cybersicherheitsbedrohung gestoßen sind, während 21% nicht vollständig feststellen konnten, ob ein Cyberangriff stattgefunden hat oder nicht.
Beispiele für diese Cybersicherheitsverletzungen sind Datendiebstahl und die Ausbeutung von Websites. Darüber hinaus ergab die Studie, dass die Zahl der Anwaltskanzleien, die von Cybersicherheitsbedrohungen betroffen waren, von 3 bis 2019 um 2020 % gestiegen ist.
In einer Zeit, in der die Pandemie zu einer Zunahme von Online-Geschäftstransaktionen und Remote-Arbeitseinstellungen führt, sollten diese Daten nicht nur für Anwaltskanzleien, sondern auch für ihre Kunden Anlass zur Sorge geben. Die Studie berichtet von einem offensichtlich falschen Sicherheitsgefühl bei vielen Anwaltskanzleien, wenn man bedenkt, dass 70 % der Befragten der Meinung waren, dass keine Verluste oder Störungen in ihrem Geschäft aufgetreten sind. Wie jedoch die American Bar Association selbst Beachten Sie in der Umfrage: „… es ist nur natürlich zu fragen, ob die scheinbar positiven Trends kurzfristig ein beunruhigendes Gefühl der Behaglichkeit angesichts der Aussicht auf einen potenziell längerfristigen Schaden widerspiegeln.“
As Sicherheitsmagazin festgestellt in diesem 2017 Artikel, „kriminelle Datenschutzverletzungen werden Unternehmen in den nächsten 8 Jahren aufgrund der höheren Internetkonnektivität und unzureichender unternehmensweiter Sicherheit insgesamt 5 Billionen US-Dollar kosten.“ In ähnlicher Weise prognostizierte eine Studie des Think Tanks für digitale Technologie, Juniper Research, aus dem Jahr 2019, dass die Kosten für Geschäftsverluste aufgrund von Cybersicherheitsangriffen bis 5 2024 Billionen US-Dollar überschreiten werden.
Warum sind Anwaltskanzleien ein globales Ziel für Cyberkriminelle?
Cyberkriminelle haben eine besondere Affinität zu Angriff auf Anwaltskanzleien weil letztere im Besitz großer Mengen sensibler Kunden- und Brancheninformationen sind. Wenn sie Zugang zu diesen Informationen erhalten, können sie damit Unternehmen und Kunden als Geiseln nehmen. Sie werden dann Lösegeld verlangen, bevor sie den Opfern erlauben, ihre Daten wieder in Besitz zu nehmen. Oder wenn sie in der Lage sind, sich Zugangsdaten für Bank- und Kreditkartendaten zu hacken, können sie direkt Geld stehlen.
Wie später gezeigt wird, scheuen Cyberkriminelle keine großen Anwaltskanzleien. In den letzten Jahren gab es mehrere Fälle, in denen große Anwaltskanzleien in den USA, Großbritannien und Australien angegriffen und überfallen wurden. Mit umfangreichen Informationen, die ihnen zur Verfügung stehen, einschließlich personenbezogener Daten (PII), Finanzinformationen und Fusions- und Übernahmedaten (M&A), sind Anwaltskanzleien zu einem bevorzugten Ziel für Cyber-Gauner geworden.
Diese Neigung von Cyberkriminellen, Anwälte anzugreifen, wird dadurch verstärkt, dass Anwaltskanzleien im Vergleich zu Unternehmen in anderen Branchen wie der Technologie im Allgemeinen über schwächere Cybersicherheitssysteme verfügen. Selbst kleinere Technologieunternehmen hätten einen besseren Cyberschutz als große Anwaltskanzleien. Wie berichtet Laut Attorney at Law Magazine zögern viele Anwälte „immer noch, Cybersicherheitsexperten für ihre Kanzleien einzustellen, entweder intern oder als Berater, normalerweise, weil sie sich nicht bewusst sind, inwieweit diese Arten von Online-Bedrohungen schädlich sein können“.
In Australien spiegelt sich die Schwäche der Cybersicherheitssysteme vieler Anwaltskanzleien in einer erstaunlichen Statistik wider, die darauf hindeutet, dass ein Drittel der Anwaltskanzleien im Land keine Mittel für Cybersicherheitsschulungen bereitstellt. Untersuchungen von GlobalX und der Australian Legal Practice Management Association (ALPMA) ergaben eine paradoxe Situation, in der 79 % der Anwälte über Cybersicherheit alarmiert sind, aber nur 21 % darauf vertrauten, dass ihre Kanzleien einen Cyberangriff überleben können. Trotz des Bewusstseins für die Ernsthaftigkeit von Cyber-Sicherheitsbedrohungen scheinen 33% der australischen Anwaltskanzleien in einer Kultur der Selbstgefälligkeit in der Rechtsbranche gefangen zu sein. Wie wir später in Fallstudien sehen werden, hat die weniger proaktive Haltung von Anwaltskanzleien in Bezug auf Cybersicherheit zu massiven Schäden für ihre Unternehmen geführt.
Welche Taktiken verwenden Cyberkriminelle, um Anwaltskanzleien anzugreifen?
Malware
Im Jahr 2017 wurde DLA Piper von einer Ransomware angegriffen, die Tausende seiner Computer schwächte. Der Angriff zwang DLA Piper dazu, seinen digitalen Betrieb weltweit einzustellen. Die E-Mail- und Telefonsysteme wurden deaktiviert, wodurch Anwälte und andere Mitarbeiter gezwungen waren, ihre Geschäfte mit Mobiltelefonen zu tätigen. Es war unnötig zu erwähnen, dass es für die Mitarbeiter des Unternehmens eine sehr stressige Angelegenheit war, wenn man bedenkt, dass ein juristisches Unternehmen für seine Geschäftstätigkeit in hohem Maße von Dokumenten abhängig ist. Amerikanischer Anwalt macht eine Anprobe Beobachtung über die nachteiligen Auswirkungen des Ransomware-Angriffs: „Bedenken Sie, dass Prozessanwälte nicht in der Lage sind, fristgerecht auf Anträge zuzugreifen. Prozessanwälte bereiten sich auf Argumente ohne Schlüsseldokumente vor. Transaktionsanwälte sind nicht in der Lage, mit Kunden zu kommunizieren, die versuchen, milliardenschwere Geschäfte abzuschließen.“
Phishing
Das Vereinigte Königreich wurde nach den Sperren im Jahr 2020 aufgrund der COVID-19-Pandemie zu einem Nährboden für Phishing-Angriffe gegen Anwaltskanzleien. Die Solicitors Regulation Authority hat selbst in den ersten zwei Monaten seit Beginn der Sperrung einen Anstieg von Phishing um 300 % festgestellt. In den ersten sechs Monaten des Jahres 2020 berichteten britische Anwaltskanzleien, dass ihnen Cyberkriminelle fast 2.5 Millionen Pfund gestohlen haben, mehr als dreimal so viel wie in den ersten sechs Monaten des Jahres 2019. Eine Anwaltskanzlei meldete einen Phishing-Betrug, bei dem ihr Seniorpartner zum Opfer fiel. Eine Phishing-E-Mail mit Malware wurde als von einem Client stammend getarnt. Wenn das Opfer auf den Anhang klickte, schickte es sofort E-Mail-Nachrichten an die Kontakte des Seniorpartners, in denen sie aufgefordert wurden, auf einen Link zu klicken und die angeforderten Informationen bereitzustellen. Dies führte dazu, dass die Anwaltskanzlei ihre Bank aufforderte, ihr Kundenkonto zu sperren und sich bei den betroffenen Kunden zu entschuldigen.
Identity Theft
Im Oktober 2020 erlebte die Einwanderungskanzlei Fragomen, Del Rey, Bernsen & Loewy unbefugten Datenzugriff auf I-9-Dateien, die personenbezogene Daten ehemaliger und gegenwärtiger Google-Mitarbeiter enthielten. Diese Anwaltskanzlei führt für Unternehmen Überprüfungen durch, um festzustellen, ob ihre Mitarbeiter einen gesunden rechtlichen Status haben, um in den Vereinigten Staaten zu arbeiten. I-9-Dateien enthalten viele vertrauliche Daten, darunter Passinformationen, Führerscheine und Personalausweise, was sie zu einem süßen Kuchen für Hacker und Identitätsdiebe macht.
Aktuelle Beispiele für Angriffe auf Anwaltskanzleien
Im Januar 2021 wurde ein Anbieter von Goodwin Procter, der für große Dateiübertragungen zuständig war, Opfer eines Hackerangriffs. Dies ermöglichte es Cyberkriminellen, Zugang zu Daten zu erhalten, die der Anbieter für die Anwaltskanzlei überwachte. Die Untersuchung von Goodwin ergab Folgendes: Einige Mandanten der Anwaltskanzlei hätten unbefugten Zugriff auf sensibles Material erhalten, nur ein kleiner Prozentsatz der Mitarbeiter von Goodwin war betroffen und es gab keine Beweise dafür, dass andere Vermögenswerte und Geschäftsvorgänge negativ beeinflusst wurden. Da jedoch das große Geheimdienstunternehmen Law.com merkt an"Manche glauben, die wahren Dramen spielen sich privat ab."
Allens, eine der größten und angesehensten australischen Anwaltskanzleien, wurde im Januar 2021 ebenfalls Opfer einer ausgeklügelten Cybersicherheitsverletzung. Der Angriff wurde Berichten zufolge auf ein zwei Jahrzehnte altes Dateiübertragungs- und Speichersystem von Accellion eingeleitet , ein in Kalifornien ansässiges Cybersicherheitsunternehmen, das Dateiübertragungs- und Speicherdienste für große Unternehmen, darunter viele Anwaltskanzleien auf der ganzen Welt, anbietet. Accellion hat sein Legacy-Produkt erst letztes Jahr aktualisiert, als es eine Schwachstelle im System entdeckte. Auf der Website von Accellion wurde der ehemalige Infrastrukturmanager von Allens, Shawn Schmidt, ziemlich augenzwinkernd zur Wahl des Cybersicherheitsunternehmens durch die australische Anwaltskanzlei zitiert: „Wir hätten den Mitarbeitern leicht erlauben können, Lösungen für Verbraucher wie Dropbox zu verwenden, die oberflächlich gesehen die Arbeit erledigt hätten. Aber wir wussten, dass unsere Kanzlei und unsere Kunden etwas brauchen, dem sie vertrauen und auf das sie sich verlassen können.“
Jones Day, die zehntgrößte Anwaltskanzlei in den Vereinigten Staaten und auch ein Kunde von Accellion, berichtete im vergangenen Februar 10, dass private Daten ihrer Kunden sowie Unternehmenskommunikationsdateien auch aufgrund einer Sicherheitslücke in der zwei Jahrzehnte alten Datei von Accellion gehackt wurden Übertragungsgerät.
Fazit
Die Cybersecurity-Umfrage 2020 der American Bar Association zeigt den umfangreichen Schaden, den Anwaltskanzleien durch Verstöße erlitten haben. XNUMX % der Studienteilnehmer berichteten ihren Kunden über den Verlust von gebührenpflichtigen Stunden; neununddreißig Prozent mussten Beratungsgebühren für die Reparatur aufwenden; siebzehn Prozent mussten entweder ihre Hardware oder Software ersetzen; XNUMX Prozent verloren ihren Netzwerkzugang; und zehn Prozent verloren den Zugriff auf ihre Website.
Anwaltskanzleien müssen eine proaktivere Haltung einnehmen, um Cyber-Angriffe bekämpfen zu können. Sie sollten in ständiger Kommunikation mit ihrem Sicherheitsanbieter stehen, um die neuesten Patches und Updates zu erhalten. Selbst Cybersicherheitsunternehmen können in Selbstgefälligkeit verfallen und so liegt es an den Anwaltskanzleien, ihre Dienstleister sorgfältig auszuwählen.
Anwälte wissen in erster Linie, dass die Vertraulichkeit von Informationen ein Goldstandard in ihrem Geschäft ist. Es ist eine der Grundlagen für den Ruf ihres Unternehmens. Sie ist die Basis für den Aufbau einer vertrauensvollen Beziehung zu ihren Kunden. Und es bietet ihnen Schutz vor Kunstfehlerklagen. Letztendlich sollten Anwaltskanzleien in Cybersicherheitsprodukte und -dienste investieren, die auf dem neuesten Stand sind und über ausgezeichnete Bewertungen verfügen.