Schutz gegen Schatten-IT in Rechtsanwaltskanzleien
Rechtsexperten haben die Verpflichtung, die Daten ihrer Mandanten zu schützen – was sich auch auf die Verwendung von digitalen Tools erstreckt. Jedoch machen sowohl die Beschaffenheit als auch die schiere Unmenge der von ihnen gehandhabten Daten sie zu wahren Magneten für Cyberbedrohungen. Infolgedessen müssen juristische Dienstleister Mehraufwand betreiben, um vertrauliche Daten zu schützen. Leider sind es manchmal die Handlungen einzelner Mitarbeiter, die zu einer Datenschutzverletzung führen können. Daher ist die Verhinderung von Schatten-IT ein bedeutsamer Schritt für den Schutz sensibler Daten.
Bei Schatten-IT handelt es sich um die Nutzung von IT-Tools für Geschäftszwecke, die nicht von der IT-Abteilung der Firma genehmigt wurden. Ein Beispiel hierfür wäre, wenn ein Rechtsanwaltsfachangestellter Fallakten und Informationsunterlagen in sein privates Konto eines in den USA ansässigen Mainstream-Cloudspeicheranbieters hochlädt, um einen einzelnen Link mit dem Rest des Rechtsteams zu teilen. Auf den ersten Blick mag diese Handlung völlig harmlos und praktisch erscheinen. Dennoch stellt das Tun des Rechtsanwaltsfachangestellten mit großer Wahrscheinlichkeit einen Verstoß gegen die DSGVO, eine Gefährdung des anwaltlichen Berufsgeheimnisses und eine Missachtung der von der BRAK, dem ÖRAK, dem SAV und den jeweiligen Rechtsanwaltskammern veröffentlichten Richtlinien dar. Werfen wir doch einmal einen Blick darauf, warum:
- Bekannte Cloudanbieter, wie Google Drive, OneDrive und Dropbox, sichern Daten ausschließlich während der Übertragung („in transit“) und Speicherung („at rest“). Somit verfügen sie über die Schlüssel zu den Daten, wenn sie die auf ihren Servern gespeicherten Dateien verschlüsseln. In der Praxis bedeutet dies, dass sie die Inhalte der Dateien lesen können. Zusätzlich können diverse automatisierte Systeme die Inhalte analysieren, um Komfortfunktionen wie z. B. Volltextsuche anzubieten. Auf diese Weise können Hacker, die sich Zugriff auf die Systeme und somit die Schlüssel verschaffen, ebenfalls all Ihre Daten mühelos entschlüsseln.
- Mainstream-Cloudspeicheranbieter stellen individuellen Nutzern nicht die Entscheidung frei, wo ihre Daten gespeichert werden. Als Ergebnis davon können in den Service hochgeladene Fallakten z. B. auf einem Server in den USA, in Indien oder in Brasilien gespeichert sein. Juristische Dokumente enthalten oftmals personenbezogene Daten und das Speichern derartiger Dateien auf einem Server außerhalb Deutschlands/Österreichs/der Schweiz oder der EU ist illegal, wenn keine angemessenen Schutzmaßnahmen getroffen wurden.
- In den USA ansässige Anbieter müssen gemäß dem dortigen Bundesgesetz gewährleisten, dass US-amerikanische Strafverfolgungsbehörden auf die auf ihren Servern gespeicherten Dateien zugreifen können, wenn ein Durchsuchungsbefehl vorliegt. Infolgedessen stellen die US-amerikanischen Überwachungskompetenzen eine direkte Bedrohung für das Anwaltsgeheimnis in Deutschland/Österreich/der Schweiz dar, was z. B. durch Verordnungen wie § 43e Abs. 3 BRAO geregelt werden soll.
- Der SAV beispielsweise rät Anwälten dazu, sich für Cloudanbieter mit Ende-zu-Ende-Verschlüsselung und Zero-Knowledge-Prinzip zu entscheiden. Der DAV unterstreicht, dass Verschlüsselung eine zentrale Schutzmaßnahme für das Mandantengeheimnis ist.
Was sind die Ursachen von Schatten-IT?
Schatten-IT kann das Ergebnis vieler Faktoren sein. Sowohl übermäßig lockere als auch übermäßig strenge interne Verordnungen und Richtlinien können zu ihren Ursachen zählen. Wenn z. B. Anwälte und unterstützendes Personal mit einem Hang zum Digitalen wie in dem oben genannten Beispiel sich selbst überlassen werden, können selbst gute Absichten katastrophale Folgen nach sich ziehen. Am anderen Ende der Skala kann es hingegen vorkommen, dass die Anweisungen eines besonders strengen IT-Sicherheitsteams von den Mitarbeitern ignoriert werden – besonders dann, wenn diesen nur die Nutzung bestimmter Tools gestattet und wenig bis kein Spielraum zum Ansprechen neuer Bedürfnisse oder Probleme geboten wird.
Andererseits kann Schatten-IT jedoch auch durch einen Mangel an Aufklärung hervorgerufen werden. Cybersicherheitsteams müssen sich die Zeit nehmen, Rechtsexperten über die mit Schatten-IT einhergehenden Risiken aufzuklären. In dem oben aufgeführten Beispiel lässt sich annehmen, dass die Bereitstellung klarer Richtlinien oder die Möglichkeit, die IT-Abteilung um Rat zu bitten, den Rechtsanwaltsfachangestellten von seinem Handeln hätte abhalten und somit die ganze Situation hätte vermieden werden können. IT hätte ihn anleiten können, wie man in diesem Szenario konform handelt, oder ihn in der Verwendung eines für diesen Zweck betrieblich zugelassenen Tools unterweisen können.
Was sind die Risiken von Schatten-IT?
Wir haben oben bereits einige der Hauptrisiken von Schatten-IT angesprochen: Datenschutzverletzungen und Verstöße gegen das Anwaltsgeheimnis. Jedoch kann Schatten-IT zu einer Unzahl an Schwierigkeiten für Sicherheitsteams führen. Zum Beispiel können Mitarbeiter Software von nicht vertrauenswürdigen Quellen herunterladen. Derartige ausführbare Programme können Schadsoftware enthalten, mit denen ihre Geräte infiziert werden können.
Unsichere Cloudanbieter sind ein noch schwerwiegenderes Problem. Mitarbeiter können sich bei diesen registrieren, selbst wenn sie nicht der Administrator ihres Firmencomputers sind. Die Nutzung nicht genehmigter Tools kann zu unbefugten und nicht rückverfolgbaren Änderungen an Dateien und Daten führen. Diese können wiederum Schwierigkeiten während Audits und Compliance-Prüfungen verursachen.
Und zu guter Letzt: Wenn die IT-Abteilung über keine eindeutige Auflistung aller auf den Firmengeräten verwendeten Softwarelösungen verfügt, ist sie auch nicht dazu in der Lage, Patches für diese Tools auszuführen. Im Falle einer Aufdeckung von Sicherheitsschwachstellen sind schnelle Updates die wichtigste Verteidigungsmaßnahme – und sollten somit zentral verwaltet werden.
Die Schattenseiten von Schatten-IT
Schatten-IT ist ein Sicherheitsrisiko – aber kann darüber hinaus auch nachteilige Auswirkungen auf Produktivität und Effizienz haben. In erster Linie lässt sich dies am Zeitaufwand messen, den Rechtsexperten zum Einrichten und Erlernen eines neuen Systems betreiben müssen. Einige komplexe Tools setzen das nötige Know-how und technische Fertigkeiten voraus, um sie auf korrekte Weise firmenweit einzuführen. Diese Tätigkeiten können auf andere Fachgebiete spezialisierte Experten nicht nur eine Menge Zeit kosten, sondern auch zu Fehlern beim Einrichten führen, die unvorhergesehene Schwachstellen eröffnen können. Daher sollten die Einführung, Einrichtung und Aufklärung – wenn möglich – immer von IT-Experten übernommen werden.
Schatten-IT kann außerdem zu einer Verdoppelung der Anstrengungen in diversen geschäftlichen Tätigkeiten führen. Ein eindeutiges Beispiel hierfür ist die Zeit, die auf die Recherche der besten Lösungen für diverse Probleme verwendet wird. Die IT-Abteilung ist sich möglicherweise bewusst, dass innerhalb der Kanzlei ein Bedürfnis besteht, und sucht bereits fieberhaft nach einer sicheren und vertrauenswürdigen Lösung, während andere Teammitglieder eine ähnliche Recherche ausführen, um ein Schatten-Tool zu finden, das sie als Übergangslösung einsetzen können. Eine klare Kommunikation zwischen den Abteilungen könnte dieses Risiko vermindern.
Fünf Tipps für den Kampf gegen Schatten-IT
Einige Experten behaupten, dass die Lösung dieser Probleme in strengen Richtlinien und der Überwachung von Mitarbeitergeräten liegt. Andere befürworten gar das Schaffen einer Unternehmenskultur, in der Mitarbeiter die Aktivitäten ihrer Kollegen melden – einschließlich Vorfälle von Schatten-IT.
Auch wenn die Festlegung klarer Richtlinien und die Nutzung sicherheitsfokussierter Kontrollinstrumente für Firmengeräte im Kampf gegen Schatten-IT nützlich sind, sollten sie nicht aktiv zur Mitarbeiterüberwachung während der Arbeit eingesetzt werden. Des Weiteren kann es zu einem Verlust an Vertrauen und Offenheit im Arbeitsumfeld führen, wenn befürwortet wird, dass Mitarbeiter sich gegenseitig melden sollten – und manchmal geben diese dann dem Sicherheitsteam die Schuld für diese Umstände.
Glücklicherweise gibt es mehrere Schritte, die Sie unternehmen können, um Schatten-IT in Ihrer Kanzlei einzudämmen, während Sie gleichzeitig ein kooperatives und einladendes Arbeitsumfeld schaffen. Lassen Sie uns in die fünf wichtigsten Tipps eintauchen:
- Akzeptieren Sie, dass Richtlinien, Überwachung und eine Einschränkung von Mitarbeiteraktivitäten allein das Problem nicht lösen werden. Eine der gängigsten Ursachen für Schatten-IT ist ein technisches Bedürfnis innerhalb einer Organisation, das nicht erkannt oder durch die vorhandenen IT-Tools nicht gestillt wird. Sicherheitsteams müssen stets darum bemüht sein, solche Bereiche zu identifizieren und neu entstehende Herausforderungen anzugehen, um die Ausweitung von Schatten-IT in Grenzen zu halten.
- Sorgen Sie für eine aktive und klare Kommunikation mit allen wichtigen Beteiligten. Wie bereits oben erwähnt werden Mitarbeiter eher bereit sein zu warten, wenn Ihre IT-Abteilung ihnen auf klare Weise mitteilt, dass sie nach einer Lösung für ein festgestelltes Bedürfnis sucht. Wenn Ihre Richtlinien zusätzlich einfach verständliche Optionen für Mitarbeiter beinhalten, was die Empfehlung von Tools oder das Genehmigungsersuchen für die Software ihrer Wahl betrifft, können Sie eine Unternehmenskultur erzeugen, in der wechselseitige Kommunikation die Norm ist.
- Ergreifen Sie die Initiative, was die Feststellung von Trends und Identifikation von Bedürfnissen innerhalb des Unternehmens angeht. Verfolgen Sie Trends und informieren Sie sich über neue Lösungen im Bereich Legal Tech. Sprechen Sie mit Rechtsanwälten, Rechtsanwaltsfachangestellten und Assistenten, um ein besseres Verständnis dafür zu entwickeln, welche Tools sie bei ihrer täglichen Arbeit unterstützen können. Außerdem sollten Sie niemals annehmen, dass Ihr Team nicht eigenhändig nach einer Lösung suchen wird, wenn IT zu etwas nein sagt. Finden Sie Alternativen für abgelehnte Tools und arbeiten Sie gemeinsam mit den Teams zusammen an der Suche nach umsetzbaren Lösungen.
- Klären Sie Mitarbeiter über die Wichtigkeit von Cybersicherheit auf. Wie wir bereits in unserer aktuellen Reihe zu den größten Cybersicherheitsbedrohungen im Jahr 2022 betont haben, ist Aufklärung ein unerlässliches Hilfsmittel in der Verteidigung gegen all diese Gefahren. Lesen Sie unseren Leitfaden zur Verbesserung der Cybersicherheit in Rechtsanwaltskanzleien, um mehr darüber zu erfahren, welche Schritte Sie unternehmen und wie Sie Ihr Team aufklären können.
- Und zu guter Letzt: Wählen Sie sichere Tools, die Ihrer Arbeit nicht im Wege stehen. Teams vermeiden oftmals die Verwendung genehmigter Tools, wenn deren Verwendung schwierig ist oder sie zu langsam oder umständlich sind. Die Wahl eines Ende-zu-Ende-verschlüsselten Services mit einem Schwerpunkt auf Nutzerfreundlichkeit – wie Tresorit – ist eine großartige Möglichkeit, um die Annahme der von Ihnen zur Sicherung Ihrer geschäftlichen Tätigkeiten gewählten Lösungen zu fördern.
Auch wenn Schatten-IT nicht automatisch eine Bedrohung für ein Unternehmen darstellt, kann sie schnell zu einer solchen werden. Daher sollten Rechtsanwaltskanzleien jeden möglichen Schritt zur Einschränkung dieses Risikos unternehmen. Wenn Sie die oben aufgeführten Ratschläge befolgen, wird dies einen großen Beitrag für die Sicherheit Ihrer Mandantendaten und für Ihren Seelenfrieden leisten.