Laut IBM & Ponemon belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung auf unglaubliche 4,35 Millionen US-Dollar! Kein Wunder, dass Unternehmen das Bedürfnis verspüren, massiv in Cybersicherheit zu investieren. Für Legal-Tech-Unternehmen, die täglich große Mengen sensibler Kundendaten verarbeiten, sind die Einsätze sogar noch höher. Über die unmittelbaren finanziellen Auswirkungen hinaus kann eine Datenschutzverletzung schwerwiegende Reputationsschäden verursachen, die oft viel schwieriger zu beheben sind, was Cybersicherheit zu einer Top-Priorität für Juristen macht. Mit der Entwicklung der digitalen Welt müssen sich auch die Strategien zum Schutz sensibler Informationen an immer ausgefeiltere Bedrohungen anpassen.
Die ELTA, die European Legal Tech Association, versammelte einige der führenden Cybersicherheitsexperten von heute in einem digitalen Meetingraum. Roeland Delrue, Co-Founder & CRO bei Aikido Security, Aidas Kavalis, Co-Founder & Head of Product bei Amberlo, Wouter Van Respaille, Co-Founder & CTO bei Henchman und Michiel Denis, Head of Growth bei Henchman teilen ihr Fachwissen und ihre Erkenntnisse darüber, wie ein solides Cybersicherheits-Framework für LegalTech-Unternehmen installiert werden kann.
Die wachsende Bedeutung der Cybersicherheit
Welche grundlegenden Cybersicherheitsstandards sollte jede LegalTech-Anwendung erfüllen, und wie haben sich diese Standards mit neuen Bedrohungen entwickelt? Roeland Delrue, Mitbegründer & CRO bei Aikido Security, betont, dass die Entwicklung einer sicheren LegalTech-Anwendung mit dem Code beginnt.
- Programmierende schreiben die App in Code. Die erste Sicherheitsebene besteht darin, sicherzustellen, dass der Code selbst sicher ist
- Sobald der Code fertig ist, wird er typischerweise in Containern ausgeliefert – die die zweite Schicht darstellen, die gescannt und überwacht werden muss.
- Die dritte Schicht ist die Cloud-Umgebung, in der die Anwendung bereitgestellt wird.
Gefolgt von der vierten Schicht, den Domains (login.com oder app.com), über die Benutzer auf die Anwendung zugreifen.
Compliance und kontinuierliche Überwachung
Wouter Van Respaille, Mitbegründer und CTO bei Henchman, betonte die Bedeutung der Compliance mit Industriestandards wie ISO 27001 und SOC 2. Diese Zertifizierungen sind nicht nur reine Formalitäten; sie sind Indikatoren dafür, dass ein Anbieter Sicherheit ernst nimmt. Er merkte an, dass Unternehmen ohne diese Zertifizierungen möglicherweise die notwendigen Ressourcen oder das Engagement für Sicherheit fehlen.
Über die Compliance hinaus sind kontinuierliche Überwachung und kreative Ansätze wie Bug-Bounty-Programme entscheidend. Diese Programme umfassen ethische Hacker, die das System kontinuierlich testen und eine zusätzliche Sicherheitsebene über herkömmliche Scanning-Tools hinaus bieten. Van Respaille teilt ihren Ansatz bei Henchman: “Aikido scannt kontinuierlich sowohl unsere Infrastruktur als auch unseren Code. Zusätzlich nutzen wir Intigriti für Bug Bounty Hunting, wobei eine Gruppe von Social Hackern unsere Systeme kreativ sondiert und erkundet. Im Vergleich zu traditionellen Scanning-Tools ist dieser Ansatz weitaus innovativer. Wir verwenden auch Phished, um Phishing-Simulationen an alle unsere Mitarbeitenden zu senden, um das Bewusstsein für Phishing und Sicherheit zu schärfen und gleichzeitig einen Hauch von Gamification hinzuzufügen. Als Unternehmen, das einen nie endenden Strom sensibler Daten verarbeitet, ist es wichtig, diese Partnerschaften zu haben, anstatt alles selbst zu machen."
Da Cybersicherheit eine komplexe Angelegenheit ist, weist Aidas Kavalis, Mitbegründer und Produktleiter bei Amberlo, darauf hin, dass es ratsam ist, einen Dritten zur Bewertung von Anbietern hinzuzuziehen. „Ein Experte auf diesem Gebiet kann Ihnen helfen, Dinge zu entdecken, an die Sie nie gedacht hätten. Selbst wenn ein ISO27001- oder SOC-2-Standard implementiert ist, wie können Sie sicher sein, dass das Zertifikat der Realität entspricht? Ein Fachmann hilft, die richtigen Fragen zu stellen und sicherzustellen, dass die richtigen Dinge im Voraus überprüft werden.“
Rechtliche Daten sind hochsensibel und wertvoll
Die Diskussionsteilnehmenden sind sich einig, dass Legaltech-Anwendungen im Vergleich zu anderen Webanwendungen einzigartigen Cybersicherheitsherausforderungen gegenüberstehen und zusammen mit Finanzinstituten ein Top-Ziel für Hacker sind. Rechtsdaten sind, ähnlich wie Finanzdaten, hochsensibel und wertvoll. „Der Unterschied ist, dass Finanzinstitute Geld verwalten, während Anwaltskanzleien Klienteninformationen verwalten, was bei einem Verstoß manchmal größeren Schaden anrichten kann. Kürzlich gab es mehrere Angriffe, bei denen Anwaltskanzleien gehackt wurden, was zu einer individuellen Zielausrichtung ihrer Klienten führte. Daher glaube ich, dass Anwaltskanzleien definitiv zu den Sektoren mit dem höchsten Risiko gehören“, sagt Kavalis.
Delrue mahnt, den Wert der von Ihnen verarbeiteten Daten zu berücksichtigen, da dieser das erforderliche Sicherheitsniveau beeinflusst: „Zum Beispiel gibt es einen erheblichen Unterschied zwischen einem Legaltech-Anbieter, der Verträge nur prüft, ohne sie zu speichern, und einem, der zahlreiche tatsächliche Verträge von Klienten besitzt. Je sensibler die Daten sind, die Sie speichern, desto attraktiver werden Sie für Hacker, die darauf abzielen, Geld durch Ransomware zu erpressen oder die Daten zu verkaufen. Daher sollten Sie, ob Sie ein Legaltech-Anbieter oder -Verbraucher sind, die Sensibilität und den Wert Ihrer Daten für potenzielle böswillige Akteure bewerten. Wenn Ihre Daten sehr wertvoll sind, ist es entscheidend, strengere Cybersicherheitsmaßnahmen zu implementieren, als es ein durchschnittliches Unternehmen tun würde.“
Bewertung der LegalTech-Sicherheit
Bei der Bewertung der Sicherheit von Legaltech-Produkten sollten Anwaltskanzleien auch die Sensibilität und das Volumen der von ihnen verarbeiteten Daten berücksichtigen und sicherstellen, dass die Anwendungen die erforderlichen Sicherheitsmaßnahmen implementiert haben.
Als Legaltech-Anbieter wird Kavalis von seinen Kunden um drei Dinge gebeten:
- ISO- oder SOC 2-Zertifizierungen, zusammen mit GDPR Compliance-Fragebögen.
- Externe Cybersicherheitsbewertung: Größere Anwaltskanzleien fordern oft Tech-Sessions an, bei denen sie externe Experten hinzuziehen, um Amberlo eingehend zu prüfen, ob es über angemessene Technologie und Richtlinien verfügt.
- Und von Zeit zu Zeit, eine Historie von Sicherheitsvorfällen. „Glücklicherweise haben wir bisher keine größeren Sicherheitsvorfälle erlebt, was ich als eine bemerkenswerte Leistung betrachte. Seit der Einführung von Amberlo im Jahr 2017 haben wir täglich Versuche registriert, in unsere Systeme von bekannten Hacker-Standorten einzudringen“, sagt Kavalis.
Eine einfache Überprüfung ist, ob ein Unternehmen ISO 27001- oder SOC 2-konform ist. Delrue betont jedoch die Wichtigkeit zu verstehen, was diese Zertifizierungen beinhalten. Delrue sieht ISO27001 oder SOC 2 als Abkürzung, um einen umfangreichen Sicherheitsfragebogen auszufüllen, wobei ⅔ der Felder automatisch abgehakt werden können. Einige Dinge sind jedoch nicht durch Zertifizierungen abgedeckt, wie zum Beispiel Malware-Scanning, das nicht von SOC2 abgedeckt wird. In einigen Fällen können Standard-ISO-Zertifizierungen also nicht ausreichen, und Sie möchten möglicherweise tiefergehende Fragen stellen.
On-premise vs. in der Cloud gehostet?
Mit den schnellen Fortschritten durch GPT und andere KI-Technologien ist die Bewertung von Technologie in Anwaltskanzleien immer wichtiger geworden. Es gab jedoch schon immer eine on-premise vs. Cloud-Hosting-Debatte. Lassen Sie uns zuerst einen Blick darauf werfen, was das bedeutet:
- On-premise-Software: Kunden besitzen die Server physisch und hosten ihre Anwendungen dort
- Die private Cloud: Kunden nutzen Microsoft Azure, die Google Cloud Platform oder AWS, wo sie alle Anwendungen innerhalb ihres Netzwerks ausführen
- Die Cloud: Anwendungen laufen vollständig in der Cloud und die Kunden adaptieren diese Technologie dann.
„Ich möchte nicht von einem Auto angefahren werden, also bleibe ich einfach für immer zu Hause. Oder ich könnte tatsächlich irgendwo hingehen und beim Überqueren der Straße zuerst nach links und rechts schauen, um sicherzustellen, dass ich sicher bin.“
Van Respaille verwendet diese Analogie, um On-Premise mit der Cloud zu vergleichen. Seiner Ansicht nach ist der Verbleib on-premise veraltet. "Das bedeutet, dass Sie von vielen Innovationen ausgeschlossen werden. Mein Rat an alle Anwaltskanzleien ist, die Cloud vollständig zu nutzen, aber dabei bedacht vorzugehen. Seien Sie sich bewusst, dass es Sicherheits-Checklisten gibt. Diese müssen nicht übermäßig komplex oder ressourcenintensiv sein; ein einfacher Fragebogen kann ausreichen, um die Tools zu bewerten, die Sie einführen möchten. Dieser Ansatz schafft eine erste Sicherheitsebene und gibt Ihnen ein klares Verständnis dafür, was Sie tatsächlich kaufen. Zusammenfassend: 'Gehen Sie vollständig in die Cloud, aber wissen Sie, welche Tools Sie einführen werden!'"
Wenn bestimmte Standards erfüllt sind, sieht Delrue On-Premise als legitime Option: "Wenn Sie ein erstklassiges On-Prem-Programm mit engagierten Sicherheitsexperten haben, die wissen, wie man On-Prem verwaltet, dann ist es definitiv eine praktikable Option." Er glaubt jedoch, dass hochwertige On-Prem-Sicherheit selten ist. "Wenn Sie mit sehr professionellen Cloud-Anbietern zusammenarbeiten und nicht über die internen Ressourcen verfügen, um Ihr On-Prem zu verwalten, ist es wahrscheinlich sicherer, die Cloud-Version zu wählen, da es viele Sicherheitsrisiken On-Prem gibt." Im Grunde ist es also eine Risikobewertung: Wo soll das Risiko liegen, und wer soll dieses Risiko managen?
"Sehr oft wird On-Premise zu einem Single Point of Failure", fügt Adias hinzu. "Wenn ein Perimeter durchbrochen wird, bedeutet dies oft, dass alle anderen Systeme ebenfalls recht leicht zugänglich sind. Ich habe selten einen mehrschichtigen Ansatz für On-Prem-Cybersicherheit gesehen, bei dem jede Anwendung in einer separaten Sicherheitszone isoliert ist."
Von der Ideenfindung bis zur Bereitstellung
Selbstverständlich sollten Legaltech-Anbieter Sicherheitsstandards und -maßnahmen von Anfang an integrieren, noch bevor das Produkt entwickelt wurde.
"Es beginnt mit dem Laptop des Software-Entwickelnden. Der Entwickelnde schreibt Code, und dort können Sie die erste Überprüfung durchführen. Das ist es, was Aikido macht", sagt Delrue. "Ob Code, Container, Cloud, Domain – in jedem Teil des Entwicklungszyklus kann Aikido Sicherheitsprüfungen durchführen." Zu strenge Maßnahmen können den Entwicklungsprozess jedoch enorm verlangsamen. Deshalb rät Delrue, die Risikokategorisierung von Schwachstellen und Sicherheitsproblemen (niedrig, mittel, hoch, kritisch) intelligent zu nutzen. "Wenn Sie sie bei 'mittel' blockieren, verlangsamen Sie die Entwicklung: Sie werden bei jedem Schritt aufgehalten, weil eine Sicherheitsprüfung behoben werden muss. Manchmal ist es etwas einfacher, nur die 'kritischen Probleme' zu blockieren und die 'hohen' dann vielleicht später in einem konzentrierten Moment zu beheben."
Während des gesamten Entwicklungszyklus können Sie verschiedene Prüfungen durchführen, um eine angemessene Security Posture zu gewährleisten. In der Welt der Sicherheitsprodukte wird dies als „Shifting Left“ bezeichnet. „Das bedeutet, jemanden früher im Zyklus zu erwischen, was die Behebung einfacher macht, als wenn es bereits beim Kunden live ist. Denn zu diesem Zeitpunkt ist der Schaden bereits entstanden“, sagt Delrue.
In einer Zeit, in der Datenlecks Millionen kosten können und Reputationen am seidenen Faden hängen, ist klar, dass Cybersicherheit für Legaltech-Unternehmen keine Option mehr, sondern eine Notwendigkeit ist. Ob Sie also über Cloud vs. on-premise debattieren oder eine neue Tech-Lösung evaluieren, denken Sie daran: Im digitalen Zeitalter ist das Einzige, was teurer ist als in Cybersicherheit zu investieren, nicht in sie zu investieren.
Sichern Sie Ihre Software jetzt.
.jpg)
.avif)
