Szenarien aus der Praxis

Datenhaltung

Szenario 1: Datenhaltung

Sie haben ihr IT-System in der Geschäftsstelle eingerichtet, sämtliche Daten Ihrer Amtstätigkeit befinden sich dabei auf einem zentralen Server.

  1. Eine Festplatte ist beschädigt und kann nicht mehr ausgelesen werden.
     
  2. Ein Verschlüsselungstrojaner hat sich im Netzwerk ausgebreitet.
     
  3. Der Server wird bei einem Einbruchsdiebstahl gestohlen.

Maßnahme: Backups

Eine gute Backupstrategie hält Antworten auf die folgenden Fragen bereit.

  • Welche Daten sollen gesichert werden?

  • Von welchen Geräten sollen die Daten gesichert werden?

  • Wie oft sollen die Daten gesichert werden?

  • Wie oft soll eine Einspielung des Backups „getestet“ werden?

    Kontrollüberlegung: Welches Ausmaß an Daten bin ich bereit zu verlieren, wenn mich kurz vor dem nächsten Backuptermin ein Datenverlust ereilt?

    Vorsicht bei Cloud-Backups von Daten, die der notariellen Verschwiegenheit unterliegen (§ 18 BNotO)!

Viren und Trojaner

Szenario 2: Viren und Trojaner

Sämtliche Computer in ihrer Geschäftsstelle sind mit dem Internet verbunden. Ihre Angestellten unterhalten dabei eigene E-Mail Postfächer und haben die Berechtigung, selbst E-Mails zu empfangen und zu senden.

  1. Eine Person öffnet einen E-Mail Anhang, der einen Verschlüsselungstrojaner (Erpressungssoftware) enthält.

  2. Über einen Fernzugriff im Netzwerk installiert eine kriminelle Person für das Büro unbemerkt einen Keylogger.

  3. Ein Cryptominer wird unbeabsichtigt innerhalb des Netzwerks installiert.

Maßnahme: Anti-Malware

  • Anti-Malware („Virenscanner“) auf jeden Server, Arbeitsplatz und entsprechende Smartphones installieren.

  • Die Deaktivierung der Anti-Malware darf nur von Administratoren für einen sehr kurzen Zeitraum erfolgen.

  • Warnmeldungen, erzeugt durch die Anti-Malware, sollten dem Administrator unmittelbar mitgeteilt werden.

  • Regelmäßig sollte ein vollständiger Scan der genutzten Systeme durchgeführt werden.

  • Die Anti-Malware sollte immer aktuell gehalten werden.

    Malware kann sowohl direkt Schaden verursachen (Ransomware/Erpressersoftware) oder zu weiterer kriminellen Tätigkeit genutzt werden (Erpressung von Mandanten).

Aktuelle Updates

Szenario 3: Aktuelle Updates

Sie haben in ihrer Geschäftsstelle sieben Computer und einen Server. Updates lassen sie manuell vom Systembetreuer einspielen, der regelmäßig per Fernwartung auf ihre Systemumgebung zugreift.

Der Systembetreuer erkrankt für einen Zeitraum von vier Wochen und es wird kein Update auf den Computern in diesem Zeitraum eingespielt.

Maßnahme: Patch Management

Das Patch-Management ist eine geplant gesteuerte Installation von Systemaktualisierungen, welche Sicherheitslücken in Software-Anwendungen schließt, die erst nach Veröffentlichung erkannt worden sind. Zum Patch-Management gehört das Beschaffen, Testen und Verteilen der Patches.

Eine kostenlose Variante für die lokale Verteilung von Updates von Microsoft Produkten ist der WSUS-Server von Microsoft.

Weil nach den sog. Patchdays die Anzahl der Exploits regelmäßig ansteigt, sollte für die Krankheit oder Verhinderung des Systembetreuers hinreichende Vorsorge getroffen werden.

Passwörter

Szenario 4: Passwörter

Der Zugang zu sämtlichen IT-Systemen in der Geschäftsstelle wird ausnahmslos mit Nutzerkennung und Passwort bzw. PIN geschützt.

  1. Weil sich die Angestellten nicht alle Zugangsdaten merken können, nutzen sie überall dasselbe Passwort.

  2. Das Passwort wurde auf einem Zettel aufgeschrieben und unter die Tastatur geklebt.

  3. Als Passwort verwenden die Angestellten Passwörter wie „Passwort123“ oder ein Wort, welches in gängigen Wörterbüchern enthalten ist.

Maßnahme: Passwortmanagement

Folgende Anforderungen sollten befolgt werden, um ein sicheres Passwortmanagement zu betreiben:

  • Passwörter sollten nicht dort notiert werden, wo andere sie lesen können.

  • Passwörter sind hinreichend komplex zu gestalten (Länge und Zeichenkomplexität).

  • Für jede Anwendung ist vorzugsweise ein neues Passwort zu generieren.

  • Passwörter sollen nicht weitergegeben werden (keine „geteilten“ Passwörter).

  • Bei Verdacht auf Kenntnisnahme Dritter ist das Passwort unverzüglich zu wechseln.

Mobile Geräte

Szenario 5: Mobile Geräte

Die Computer in der Geschäftsstelle sind mit einem Zugangsschutz versehen und die Festplatten sind zusätzlich verschlüsselt.

Der Bürokalender und alle wichtigen Entwürfe der letzten Monate befinden sich dagegen ohne weitere Sicherheitsmaßnahme auf dem Smartphone der Notarin / des Notars.

Maßnahme: Sicherheitsstrategie mobil

  • Sämtliche mobile Geräte sind mit einem sicheren Passwort zu schützen.

  • Werden auf den mobilen Geräten Daten verarbeitet oder gespeichert, sollte die Festplatte oder das Betriebssystem verschlüsselt werden.

  • Auf mobilen Geräten sollte, sofern verfügbar, ein Anti-Malware-Client installiert und regelmäßig aktualisiert werden.

  • WLAN-Hotspots sollten nur mit einer aktiven VPN-Verbindung genutzt werden.

  • Mobile Geräte sollten nicht an fremden Ladegeräten geladen werden.

  • WLAN und Bluetooth sind bei Nichtnutzung zu deaktivieren.

Diebstahl

Szenario 6: Diebstahl

Die Geschäftsstelle ist stark frequentiert, die Angestellten mit zahlreichen Aufgaben beschäftigt. Währenddessen geht eine Person, die sich für eine Unterschriftsbeglaubigung angemeldet hat, in ein Büro und entwendet eine Geldbörse.

Alternative: Nach der Kündigung behält ein Mitarbeiter einen Schlüssel zum Büro und entwendet die Kasse, deren Schlüssel wiederum im Container der Bürovorsteherin lag.

Maßnahme: Sicherheitsstrategie lokal

  • Alle Türen und Fenster sollten mit einem ausreichenden Einbruchschutz und ggf. mit einer Alarmanlage versehen werden.

  • Nicht im Notarbüro beschäftigte Personen sind nicht unbeaufsichtigt zu lassen, wenn sie sich (ausnahmsweise) außerhalb der abgegrenzten, öffentlich zugänglichen Bereiche befinden.

  • Alle ausgegebenen Schlüssel, Karten und andere Zugangsmittel werden in einer Liste geführt.

  • Ausscheidende Mitarbeiter müssen die ihnen ausgegebenen Schlüssel zurückgeben.

Fehlerquellen bei Sicherungen

Szenario 7: Fehlerquellen bei Sicherungen

Für die Backups der internen Server wird eine SSD verwendet. Als durch einen Blitzeinschlag die Festplatten der Server einen Schaden erleiden, wird festgestellt, dass die SSD keinen korrekten Wiederherstellungspunkt enthält und damit trotz Backup ein Totalverlust der Daten entstanden ist.

Maßnahme: Überprüfung der Systeme

  • Die erfolgreiche Durchführung und die Lesbarkeit von Backups sollte regelmäßig geprüft werden.

  • Es ist regelmäßig zu prüfen, ob Updates für Betriebssystem, Anti-Malware und andere Anwendungen ordnungsgemäß installiert werden.

  • Die Funktionstüchtigkeit der Alarmanlage (sofern vorhanden) sollte regelmäßig geprüft werden.

  • USV-Geräte, Drucker usw. sollten regelmäßig von Fachpersonal gewartet werden. Dazu sollte ein Wartungsplan erstellt werden.

  • Wenn Ersatzsysteme oder -leitungen vorgehalten werden, sollten diese regelmäßig auf Funktionstüchtigkeit geprüft werden.

Social engineering

Szenario 8: Social engineering

Die Systeme in der Geschäftsstelle sind mit einer Zugangssperre versehen, sodass jeder Angestellte für einen Zugriff Nutzernamen und Passwort eingeben muss. Sobald jedoch ein Zugriff stattfindet, sind sämtliche Bereiche des Servers für jede/n im Lese- und Schreibmodus frei einsehbar. Durch Social Engineering (fingierte Telefonanrufe etc.) wird die Auszubildende dazu gebracht, das eigene Passwort an einen Dritten zu geben, der nun vollen Zugriff auf das System hat.

Maßnahme: Zugriffskonzept

  • Zugriffe auf Anwendungen und Informationen sollten rollenbasiert definiert werden.

  • Auf den Arbeitsplätzen sollte jeweils nur die Software installiert werden, die dort auch benötigt wird.

  • Die Mitarbeiter sollten nur Zugriff auf die Software, die Datenspeicher und die sonstigen Systeme haben, die sie auch bei der alltäglichen Arbeit benötigen („need to know“).

  • Die zu vergebenen Rechte werden von der jeweils verantwortlichen Person festgelegt.

  • Informationen sind nach ihrer Vertraulichkeit zu klassifizieren.

  • Die vergebenen Rechte und Rollen sind pro Person zu dokumentieren und bei Tätigkeitenwechsel oder der Beendigung des Arbeitsverhältnisses sind die entsprechenden Rechte zu entziehen.

Problembewusstsein

Szenario 9: Problembewusstsein

Sämtliche Angestellten werden regelmäßig zu Schulungen des Systembetreuers eingeladen. Wegen der hohen Arbeitsbelastung fallen die Termine häufig aus. In der täglichen Arbeit sind die Angestellten unsicher, welche Informationen sie an Dritte geben können und was sie bei verdächtigen E-Mails machen sollen.

Maßnahme: Sensibilisierung

Nur geschulte und sensibilisierte Mitarbeiter setzen die Sicherheitsmaßnahmen zielgerichtet um. Allen Mitarbeitern muss verständlich erklärt werden, welche Maßnahmen umgesetzt werden müssen, und wie mit vertraulichen Daten umzugehen ist.

  • Jeder Mitarbeiter ist entsprechend der gesetzlichen Regelung in § 26 BNotO zu verpflichten.

  • Jeder Mitarbeiter ist auf die rechtlichen Grundlagen (z.B. des Datenschutzrechts) aufmerksam zu machen.

  • Alle Mitarbeiter sind für die Belange der IT-Sicherheit zu sensibilisieren.

  • Mit Dienstleistern ist die nach § 26a BNotO vorgeschriebene Vertraulichkeitsvereinbarung abzuschließen.

Vertrauliche Informationen

Szenario 10: Vertrauliche Informationen

Sie haben auf ihrem Notebook eine Kopie der wichtigsten Bürodaten. Während ihr Systembetreuer im Notarbüro sämtliche Festplatten verschlüsselt hat, ist ihr Notebook insoweit ungesichert. Bei einem Wohnungseinbruchdiebstahl wird ihr Notebook entwendet. Die Daten sind vollständig auslesbar, inklusive ihrer Datev Buchhaltung, Mandantendaten und persönlichem Schriftverkehr.

Maßnahme: Verschlüsselung

  • E-Mails mit vertraulichen Inhalten sind verschlüsselt zu übertragen.

  • Alternative zur verschlüsselten E-Mail: SBK2

  • Alle IT-Systeme, auf denen vertrauliche Daten gespeichert oder verarbeitet werden, sind zu verschlüsseln. Das gilt insbesondere für die Festplatten von Arbeitsrechnern und Netzwerkspeichern bzw. Netzwerkservern.

  • Fremde Netze, insbesondere fremde WLAN-Access-Points („Hotspots“) sind nur mit aktiver VPN Verbindung zu benutzen.

  • Daten auf USB-Sticks, externen Festplatten oder Cloud-Speichern sind nur verschlüsselt abzulegen.

XS
SM
MD
LG