Cybersecurity Essentials für LegalTech-Unternehmen

Nach Angaben von IBM und Ponemon belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung auf schwindelerregende 4,35 Millionen Dollar! Kein Wunder, dass die Unternehmen stark in die Cybersicherheit investieren müssen. Für juristische Tech-Unternehmen, die täglich mit einer großen Menge an sensiblen Kundendaten umgehen, steht sogar noch mehr auf dem Spiel. Abgesehen von den unmittelbaren finanziellen Auswirkungen kann eine Datenpanne einen schwerwiegenden Imageschaden verursachen, der oft nur schwer wiedergutzumachen ist, weshalb die Cybersicherheit für Juristen höchste Priorität hat. Da sich die digitale Welt weiterentwickelt, müssen auch die Strategien zum Schutz sensibler Daten an immer ausgefeiltere Bedrohungen angepasst werden.

ELTA, die European Legal Tech Association, versammelte einige der führenden Cybersecurity-Experten von heute in einem digitalen Konferenzraum. Roeland Delrue, Mitbegründer & CRO bei Aikido Security, Aidas Kavalis, Mitbegründer & Head of Product bei Amberlo, Wouter Van Respaille, Mitbegründer & CTO bei Henchman und Michiel Denis, Head of Growth bei Henchman teilen ihr Fachwissen und ihre Erkenntnisse darüber, wie ein solider Cybersecurity-Rahmen für LegalTech-Unternehmen installiert werden kann.

Die wachsende Bedeutung der Cybersicherheit

Welche grundlegenden Cybersicherheitsstandards sollte jede Legaltech-Anwendung erfüllen, und wie haben sich diese Standards angesichts neuer Bedrohungen entwickelt? Roeland Delrue, Mitbegründer und CRO von Aikido Security, betont, dass die Entwicklung einer sicheren Legaltech-Anwendung mit dem Code beginnt.

1. Die Programmierer schreiben die Anwendung in Code. Die erste Sicherheitsebene besteht darin, sicherzustellen, dass der Code selbst sicher ist
2. Sobald der Code fertig ist, wird er in der Regel in Containern verschickt, die die zweite Ebene darstellen, die gescannt und überwacht werden muss.
3. Die dritte Ebene ist die Cloud-Umgebung, in der die Anwendung bereitgestellt wird.

Danach folgt die vierte Ebene, die Domänen (login.com oder app.com), über die die Benutzer auf die Anwendung zugreifen.

Einhaltung der Vorschriften und kontinuierliche Überwachung

Wouter Van Respaille, Mitbegründer und CTO von Henchman, betonte die Bedeutung der Einhaltung von Branchenstandards wie ISO 27001 und SOC 2. Diese Zertifizierungen sind nicht nur Kästchen zum Ankreuzen; sie sind Indikatoren dafür, dass ein Anbieter es mit der Sicherheit ernst meint. Er wies darauf hin, dass Unternehmen ohne diese Zertifizierungen möglicherweise nicht über die notwendigen Ressourcen oder das nötige Engagement für die Sicherheit verfügen.

Über die Einhaltung der Vorschriften hinaus sind eine kontinuierliche Überwachung und kreative Ansätze wie Bug-Bounty-Programme entscheidend. An diesen Programmen sind ethische Hacker beteiligt, die das System kontinuierlich testen und so eine zusätzliche Sicherheitsebene neben den herkömmlichen Scan-Tools schaffen. Van Respaille erläutert den Ansatz bei Henchman: "Aikido scannt kontinuierlich sowohl unsere Infrastruktur als auch unseren Code. Darüber hinaus nutzen wir Intigriti für Bug Bounty Hunting, bei dem ein Kollektiv von Social Hackern unsere Systeme kreativ sondiert und erforscht. Im Vergleich zu herkömmlichen Scanning-Tools ist dieser Ansatz sehr viel innovativer. Wir verwenden auch Phished, um Phishing-Simulationen an alle unsere Mitarbeiter zu senden, um das Bewusstsein für Phishing und Sicherheit zu schärfen und gleichzeitig einen Hauch von Gamification zu bieten. Als Unternehmen, das mit einem nicht enden wollenden Strom sensibler Daten umgeht, ist es wichtig, solche Partnerschaften einzugehen, anstatt alles selbst zu machen."

Da die Cybersicherheit eine komplexe Angelegenheit ist, weist Aidas Kavalis, Mitbegründer und Leiter der Produktabteilung von Amberlo, darauf hin, dass es ratsam ist, einen Dritten zur Bewertung der Anbieter hinzuzuziehen. "Ein Experte auf diesem Gebiet kann Ihnen helfen, Dinge zu entdecken, an die Sie nie gedacht hätten. Selbst wenn ein ISO27001- oder SOC-2-Standard implementiert ist, wie können Sie sicher sein, dass das Zertifikat der Realität entspricht? Ein Fachmann hilft dabei, die richtigen Fragen zu stellen und sicherzustellen, dass die richtigen Dinge im Vorfeld geprüft werden."

Juristische Daten sind hochsensibel und wertvoll

Die Diskussionsteilnehmer sind sich einig, dass juristische Anwendungen im Vergleich zu anderen Webanwendungen mit besonderen Herausforderungen im Bereich der Cybersicherheit konfrontiert sind, da sie zusammen mit Finanzinstituten ein Hauptziel für Hacker darstellen. Juristische Daten sind, ähnlich wie Finanzdaten, hochsensibel und wertvoll. "Der Unterschied besteht darin, dass Finanzinstitute mit Geld umgehen, während Anwaltskanzleien Kundendaten verwalten, die im Falle eines Angriffs manchmal mehr Schaden anrichten können. In jüngster Zeit gab es mehrere Angriffe, bei denen Anwaltskanzleien gehackt wurden, was dazu führte, dass einzelne ihrer Kunden ins Visier genommen wurden. Daher glaube ich, dass Anwaltskanzleien definitiv zu den Sektoren mit dem höchsten Risiko gehören", sagt Kavalis.

Delrue mahnt, den Wert der von Ihnen verarbeiteten Daten im Auge zu behalten, da sich dieser auf das erforderliche Sicherheitsniveau auswirkt: "Es besteht zum Beispiel ein großer Unterschied zwischen einem Legaltech-Anbieter, der nur Verträge prüft, ohne sie zu speichern, und einem Anbieter, der die tatsächlichen Verträge zahlreicher Kunden speichert. Je mehr sensible Daten Sie speichern, desto attraktiver werden Sie für Hacker, die mit Ransomware oder durch den Verkauf der Daten Geld erpressen wollen. Unabhängig davon, ob Sie ein Anbieter oder ein Verbraucher von Rechtstechnologie sind, sollten Sie daher die Sensibilität und den Wert Ihrer Daten für potenzielle böswillige Akteure bewerten. Wenn Ihre Daten sehr wertvoll sind, müssen Sie unbedingt strengere Cybersicherheitsmaßnahmen ergreifen als ein durchschnittliches Unternehmen."

Bewertung der Sicherheit von LegalTech

Bei der Bewertung der Sicherheit von Legaltech-Produkten sollten Anwaltskanzleien auch die Sensibilität und den Umfang der von ihnen verarbeiteten Daten berücksichtigen und sicherstellen, dass die Anwendungen über die erforderlichen Sicherheitsmaßnahmen verfügen.

Als Legaltech-Anbieter wird Kavalis von seinen Kunden um drei Dinge gebeten:

1. ISO- oder SOC-2-Zertifizierungen sowie Fragebögen zur Einhaltung der GDPR.
2. Externe Bewertung der Cybersicherheit: Größere Anwaltskanzleien lassen sich häufig von externen Experten beraten, um zu prüfen, ob Amberlo über angemessene Technologien und Richtlinien verfügt.
3. Und von Zeit zu Zeit auch eine Geschichte von Sicherheitsvorfällen. "Glücklicherweise haben wir bisher keine größeren Sicherheitsvorfälle erlebt, was ich als einen großen Erfolg betrachte. Seit dem Start von Amberlo im Jahr 2017 haben wir täglich Einbruchsversuche in unsere Systeme von einigen bekannten Hacker-Standorten aus erlebt", sagt Kavalis.

Es ist leicht zu überprüfen, ob ein Unternehmen ISO 27001- oder SOC 2-konform ist. Delrue betont jedoch, wie wichtig es ist, zu verstehen, was diese Zertifizierungen bedeuten. Delrue sieht ISO 27001 oder SOC 2 als eine Abkürzung zum Ausfüllen eines langwierigen Sicherheitsfragebogens, bei dem ⅔ der Kästchen automatisch abgehakt werden können. Es gibt jedoch einige Dinge, die von den Zertifizierungen nicht abgedeckt werden, wie z. B. das Scannen von Malware, das von SOC 2 nicht abgedeckt wird. In manchen Fällen reichen also die Standard-ISO-Zertifizierungen nicht aus, und Sie sollten einige tiefer gehende Fragen hinzufügen.

Vor Ort oder in der Cloud gehostet?

Mit den rasanten Fortschritten, die GPT und andere KI-Technologien mit sich bringen, ist die Bewertung der Technologie in Anwaltskanzleien immer wichtiger geworden. Allerdings gab es schon immer eine Debatte über On-Premises- oder Cloud-Hosting. Werfen wir zunächst einen Blick darauf, was das bedeutet:

• Vor-Ort-Software: Kunden haben die Server physisch und hosten ihre Anwendungen dort
• Die private Cloud: Kunden übernehmen Microsoft Azure, die Google Cloud Platform oder AWS, wo sie alle Anwendungen innerhalb ihres Netzwerks ausführen
• Die Wolke: Die Anwendungen laufen vollständig in der Wolke, und die Kunden passen diese Technologie dann an.

"Ich will nicht von einem Auto angefahren werden, also bleibe ich einfach für immer zu Hause. Oder ich könnte tatsächlich irgendwohin gehen, und wenn ich die Straße überquere, schaue ich zuerst nach links und rechts, um mich zu vergewissern, dass ich sicher bin."

Van Respaille verwendet diese Analogie, um On-Premises mit der Cloud zu vergleichen. Seiner Ansicht nach ist es veraltet, vor Ort zu bleiben. "Es bedeutet, dass man von vielen Innovationen ausgeschlossen wird. Mein Rat an alle Anwaltskanzleien lautet, die Cloud voll und ganz zu nutzen, aber mit Bedacht vorzugehen. Seien Sie sich bewusst, dass es Sicherheitschecklisten gibt. Diese müssen nicht übermäßig komplex oder ressourcenintensiv sein; ein einfacher Fragebogen kann ausreichen, um die Tools zu bewerten, die Sie übernehmen möchten. Dieser Ansatz schafft eine erste Sicherheitsebene und gibt Ihnen ein klares Verständnis davon, was Sie tatsächlich kaufen. Zusammenfassend lässt sich sagen: "Setzen Sie auf die Cloud, aber wissen Sie, welche Tools Sie einsetzen wollen!"

Wenn bestimmte Standards erfüllt sind, sieht Delrue On-Premise als eine legitime Option an: "Wenn Sie ein erstklassiges On-Premise-Programm mit engagierten Sicherheitsfachleuten haben, die wissen, wie man es verwaltet, dann ist es definitiv eine brauchbare Option. Er ist jedoch der Meinung, dass hochwertige On-Premise-Sicherheit selten ist. "Wenn Sie es mit hochprofessionellen Cloud-Anbietern zu tun haben und nicht über die internen Ressourcen verfügen, um Ihre On-Prem-Lösung zu verwalten, ist es wahrscheinlich sicherer, die Cloud-Version zu wählen, da es viele Sicherheitsrisiken bei On-Prem-Lösungen gibt." Im Grunde geht es also um eine Risikobewertung: Wo soll das Risiko liegen, und wer soll dieses Risiko verwalten?

"Sehr oft wird ein lokales System zu einem Single Point of Failure", fügt Adias hinzu. "Wenn ein Perimeter durchbrochen wird, bedeutet dies oft, dass alle anderen Systeme ebenfalls leicht zugänglich sind. Ich habe selten einen mehrschichtigen Ansatz für die Cybersicherheit vor Ort gesehen, bei dem jede Anwendung in einer separaten Sicherheitszone isoliert ist.

Von der Idee bis zur Einführung

Natürlich sollten Anbieter von Rechtstechniken von Anfang an Sicherheitsstandards und -maßnahmen integrieren, noch bevor das Produkt entwickelt wurde.

"Es beginnt mit dem Laptop des Softwareentwicklers. Der Entwickler schreibt den Code, und dort kann man die erste Prüfung vornehmen. Das ist es, was Aikido macht", sagt Delrue. "Ob Code, Container, Cloud, Domain, in jedem Teil des Entwicklungslebenszyklus kann Aikido Sicherheitschecks durchführen." Ein zu strenger Ansatz kann jedoch den Entwicklungsprozess enorm verlangsamen. Deshalb rät Delrue, die Risikokategorisierung von Schwachstellen und Sicherheitsproblemen (niedrig, mittel, hoch, kritisch) klug einzusetzen. "Wenn Sie sie bei mittlerem Risiko blockieren, verlangsamen Sie die Entwicklung: Sie werden bei jedem Schritt, den sie machen, wegen einer Sicherheitsüberprüfung, die behoben werden muss, gestoppt. Manchmal ist es etwas einfacher, nur die 'kritischen Probleme' zu blockieren und die 'hohen' später in einem konzentrierten Moment zu beheben."

Während des gesamten Entwicklungszyklus können Sie verschiedene Prüfungen durchführen, um eine angemessene Sicherheitslage zu erreichen. In der Welt der Sicherheitsprodukte wird dies als "shifting left" bezeichnet. "Das bedeutet, dass man einen Fehler in einem früheren Stadium des Zyklus entdeckt, so dass er leichter behoben werden kann, als wenn er bereits bei einem Kunden in Betrieb ist. Denn zu diesem Zeitpunkt ist der Schaden bereits angerichtet." sagt Delrue.

In einer Zeit, in der Datenschutzverletzungen Millionen kosten können und der Ruf am seidenen Faden hängt, ist es klar, dass Cybersicherheit für Legaltech-Unternehmen nicht mehr nur eine Option, sondern eine Notwendigkeit ist. Ganz gleich, ob Sie über Cloud- oder On-Premises-Lösungen debattieren oder eine neue technische Lösung evaluieren, denken Sie daran: Im digitalen Zeitalter ist das Einzige, was teurer ist als die Investition in Cybersicherheit, die Nicht-Investition in sie.