Best Practices für Cybersicherheit für Juristen
Wenn Sie in der Anwaltschaft tätig sind, wissen Sie nur zu gut, wie wichtig der Datenschutz ist. Abgesehen von der Vertraulichkeit allgemeiner Kundeninformationen haben Sie es möglicherweise auch mit besonders sensiblen Informationen zu tun, wie z. B. Geschäftsgeheimnissen des Unternehmens oder medizinischen Daten von Kunden.
Hacker mit einer Reihe böswilliger Absichten könnten aus verschiedenen Gründen versuchen, Informationen zu stehlen, z. B. zur Verwendung gegen einen Kunden oder als Mittel zur Erpressung . Unabhängig davon, ob Sie mit Hunderten oder nur wenigen Kunden arbeiten, müssen alle arbeitsbezogenen Geräte gesperrt sein, im Büro, zu Hause und unterwegs.
Glücklicherweise gibt es eine Vielzahl von Vorsichtsmaßnahmen, die Sie ergreifen können, um Ihre Daten zu schützen und sicherzustellen, dass sie niemals neugierigen Blicken ausgesetzt sind. In diesem Beitrag werfen wir einen Blick auf einige reale Beispiele für Cybersicherheitsverstöße in Anwaltskanzleien und erklären, was Sie tun können, um die Risiken solcher Angriffe zu mindern.
Beispiele für Cybersicherheitsverstöße in Anwaltskanzleien
Um einige der Cybersicherheitsbedrohungen zu veranschaulichen, denen Rechtsexperten ausgesetzt sind, werfen wir einen Blick auf einige Beispiele aus der Praxis für Verstöße, die in den letzten Jahren für Schlagzeilen gesorgt haben.
Cravath/Weil (E-Mail-Hacks)
An diesem Verstoß im Jahr 2016 waren 48 US-Anwaltskanzleien beteiligt, und obwohl sie nicht namentlich genannt wurden, konnten Medienmitarbeiter daraus schließen, dass Cravath, Swaine & Moore und Well, Gotshal & Manges zwei der beteiligten Kanzleien waren. Der Grund für diesen Angriff war ein Insiderhandelsplan; Hacker fanden Informationen über bevorstehende Fusionen heraus, indem sie die E-Mails der Mitarbeiter einer Fusionskanzlei hackten. Sie nutzten die gesammelten Daten, um im Rahmen des Programms 4 Millionen US-Dollar zu verdienen. Drei Chinesische Staatsbürger wurden angeklagt im Angriff.
DLA Piper (Ransomware-Angriff)
A Ransomware-Angriff im Juni 2017 (unter Verwendung der Petya-Ransomware) auf DLA Piper bedeutete, dass das Unternehmen und seine Mitarbeiter drei Tage lang weder ihre Telefone nutzen noch auf E-Mails zugreifen konnten. Die Ironie dieses Falles bestand darin, dass DLA Piper sich selbst als Unternehmen mit herausragender Cybersicherheitskompetenz vermarktet.
Panama Papers (Leak aus anonymer Quelle)
Dieser als „Panama Papers“ bezeichnete Fall sorgte im Jahr 2016 und darüber hinaus für große Schlagzeilen, da mehr als 11,5 Millionen Dokumente dazu gehörten Panamaische Anwaltskanzlei Mossack Fonseca wurden der Öffentlichkeit zugespielt. Abgesehen von der Offenlegung vertraulicher Informationen zwischen Anwalt und Mandant, einschließlich Finanzdaten, wurden auch illegale Geschäfte der Kanzlei aufgedeckt. Es hatte Briefkastenfirmen gegründet, um Steuerhinterziehung und -betrug zu betreiben und internationale Sanktionen zu umgehen.
Die Folgen des Lecks einer noch unbekannten Quelle betrafen nicht nur das Unternehmen, sondern auch viele Beamte und vermögende Privatpersonen. Der damalige isländische Ministerpräsident trat aufgrund des Leaks zurück.
Ein ähnlicher Verstoß ereignete sich in einer Anwaltskanzlei Appleby im Jahr 2016 , wodurch viele prominente Persönlichkeiten (einschließlich der Königin von England) der Steuerhinterziehung und ähnlichen Verbrechen beschuldigt werden. Dieser Verstoß erhielt den Spitznamen „Paradise Papers“.
Thirty Nine Essex Street (Watering-Hole-Angriff)
Ein Watering-Hole-Angriff ist eine spezielle Art gezielter Sicherheitslücke. Angreifer erreichen eine Gruppe von Endbenutzern, indem sie eine Website kompromittieren, die sie bekanntermaßen häufig besuchen. Im Jahr 2014 britische Anwaltskanzlei Neununddreißig Essex Street befand sich im Zentrum eines Watering-Hole-Angriffs. Obwohl unbekannt ist, welche Methode sie verwendeten, gelang es den Hackern, die Website des Unternehmens zu manipulieren. Sie waren dann in der Lage, Besucher der Website zu infizieren, wobei die Endziele die verschiedenen Kunden des Unternehmens aus dem Energiesektor waren.
Vertrauenskonto (Phishing-Betrug)
Dieses Vorhaben aus dem Jahr 2012 war ein unwillkommenes Weihnachtsgeschenk für eine Anwaltskanzlei in Toronto. Hacker nutzen einen Phishing-Betrug auf das Treuhandkonto der Firma zugegriffen über den Computer des Firmenbuchhalters. Es wird vermutet, dass der Buchhalter auf einen scheinbar harmlosen E-Mail-Anhang geklickt hat, der einen Virus auf den Computer heruntergeladen hat.
Der als Banker-Trojaner bekannte Virus hatte die Fähigkeit, die Website einer Bank nachzuahmen. Durch diesen Trick übergab der Buchhalter unwissentlich das Passwort an das Treuhandkonto der Anwaltskanzlei. Sobald die Hacker Zugriff darauf hatten, konnten sie Gelder stehlen. Erst Tage nach dem Angriff bemerkte das Unternehmen, dass auf dem Konto ein sechsstelliger Betrag fehlte.
WordPress (Content-Management-System-Hack)
Während viele Angriffe speziell auf Anwaltskanzleien abzielen, war dies weiter verbreitet, betraf jedoch eine Reihe von Anwaltskanzleien. A Fehler in einem WordPress-Add-on Die im Jahr 2016 veröffentlichte Version ermöglichte es Hackern, die Authentifizierungsmaßnahmen von WordPress zu umgehen. Dadurch erhielten sie Zugriff auf die Admin-Panels von WordPress-Websites und konnten den Inhalt von Webseiten ändern. Sowohl Anwaltskanzleien als auch Unternehmen aus anderen Branchen mussten mit unleserlichen Seiten und fehlenden Inhalten rechnen.
Betrug mit schlechten Schecks
Obwohl dies kein Einzelbeispiel ist, Betrug mit schlechten Schecks sind in der Rechtsbranche weit verbreitet und daher hier sicherlich eine Erwähnung wert. Anwaltskanzleien sind häufig im Namen ihrer Mandanten an Transaktionen zwischen verschiedenen Konten beteiligt. In vielen Fällen schicken Mandanten ihrem Anwalt einen Scheck und der Anwalt überweist den Betrag, oft auf ein ausländisches Konto. Da täglich große Geldsummen durch diese Art von Transaktionen fließen, bieten sie eine ideale Gelegenheit für Betrüger.
Bei einem Scheckbetrug läuft eine dieser Transaktionen ganz normal ab, nur dass sich herausstellt, dass der vom Kunden gesendete Originalscheck eine Fälschung ist. Das Problem besteht darin, dass gefälschte Schecks in der Regel nicht sofort entdeckt werden und die Überweisung bereits vor der Entdeckung stattgefunden hat, wodurch der Anwalt für die Geldbeträge aus eigener Tasche muss.
Best Practices für Cybersicherheit für Anwaltskanzleien
Wie Sie anhand der obigen Beispiele sehen können, ist niemand vor Bedrohungen der Cybersicherheit gefeit. Hier sind die wichtigsten Schritte, die Sie unternehmen können, um sich und Ihre Kunden zu schützen:
- Verfügen Sie über eine Cybersicherheitsstrategie und kommunizieren Sie diese
- Verwenden Sie sichere Passwörter (und einen Passwort-Manager)
- Verwenden Sie eine Firewall und Antivirensoftware
- Achten Sie auf Phishing-E-Mails
- Halten Sie Ausschau nach anderen verdächtigen E-Mails und Popups
- Verwenden Sie ein VPN
- Sichere physische Geräte
- Sichern Sie Daten sicher in der Cloud
- Nutzen Sie verschlüsselte Kommunikation
- Holen Sie sich ein SSL-Zertifikat
- Überprüfen Sie neue Software mit äußerster Vorsicht
- Sicher surfen
- Sicher suchen
- Ziehen Sie einen gehosteten virtuellen Desktop in Betracht
- Erhöhen Sie die Netzwerksicherheit
Gehen wir näher auf die einzelnen Punkte ein:
1. Verfügen Sie über eine Cybersicherheitsstrategie und kommunizieren Sie diese
Sorgfältige Planung ist der Schlüssel und es ist wichtig, dass Anwaltskanzleien über eine solide und gut recherchierte Strategie für Cybersicherheit verfügen. Darauf zu warten, dass ein erheblicher Sicherheitsverstoß auftritt, bevor Maßnahmen ergriffen werden, ist eine schlechte, reaktive Strategie.
Stellen Sie sicher, dass alle Dinge im Plan abgedeckt sind, einschließlich der zu verwendenden Sicherheitsdienste und Software sowie der Protokolle für den sicheren Umgang mit Informationen im Alltag. Beachten Sie, dass für viele Unternehmen der Einsatz externer Sicherheitsunternehmen für Dinge wie Penetrationstests, Schwachstellenscans und Malware-Scans erforderlich ist.
Sie müssen auch über Worst-Case-Szenarien nachdenken und welche Maßnahmen Sie im Falle eines Verstoßes ergreifen werden . Erstellen Sie einen Reaktionsplan und testen Sie ihn. Entwickeln und testen Sie Vorfallsreaktions-, Geschäftskontinuitäts- oder Notfallwiederherstellungspläne sowie Kommunikationspläne.
Ebenso wichtig wie ein Plan ist es, sicherzustellen, dass alle Mitarbeiter umfassend geschult sind. Auch wenn bei der Cybersicherheit viel gesunder Menschenverstand gefragt ist, ist die Aufklärung der Mitarbeiter über Risiken und allgemeine Best Practices von entscheidender Bedeutung.

2. Verwenden Sie sichere Passwörter (und einen Passwort-Manager)
Die meisten Best Practices für Passwörter basieren auf gesundem Menschenverstand. Verwenden Sie für jedes Konto ein anderes Passwort und erstellen Sie lange Passwörter, die schwer zu erraten sind. Sie sollten eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Symbolen enthalten und auf jeden Fall die Verwendung der am häufigsten verwendeten Passwörter vermeiden (die Top 500 finden Sie auf unserer Passwort-Manager-Seite).
Da jedoch so viele Konten für verschiedene Anwendungen erforderlich sind, kann es schwierig sein, sich alle diese Passwörter zu merken. Ein Passwort-Manager kann Ihnen dabei helfen. Es merkt sich alle Ihre Passwörter und die Funktion zum automatischen Ausfüllen sorgt dafür, dass diese automatisch auf der entsprechenden Website eingegeben werden.
Das bedeutet du Sie müssen sich Ihre Passwörter nicht merken oder speichern Sie sie in Ihrem Browser (was aus Sicherheitsgründen ein absolutes Tabu ist). Passwort-Manager können Ihnen auch dabei helfen, Phishing-Sites zu erkennen, da sie Formulare auf unbekannten Sites nicht automatisch ausfüllen. Zu den beliebten Optionen gehören: Sticky-Passwort , LastPass , Und Dashlane .
Neben der Verwendung sicherer Passwörter sollten Sie auch die zweistufige Verifizierung (2SV) in Betracht ziehen. In einigen Anwendungen ist dies integriert, es gibt jedoch auch Anwendungen von Drittanbietern, mit denen Sie 2SV erzwingen können. Dabei müssen Sie Ihr Passwort für die Anmeldung auf sekundäre Weise verifizieren, beispielsweise durch die Eingabe eines Codes, der Ihnen per SMS oder E-Mail zugesandt wird.
Es gibt auch die Zwei-Faktor-Authentifizierung (2FA), bei der für den sekundären Authentifizierungsschritt etwas Physisches verwendet wird. Dabei kann es sich um eine biometrische Verifizierungsmethode wie einen Netzhautscan oder einen Fingerabdruck handeln, es könnte sich aber auch um ein Gerät wie eine Schlüsselkarte oder einen Schlüsselanhänger handeln. Yubico ist ein Unternehmen, das sich auf solche Geräte spezialisiert hat.
3. Verwenden Sie eine Firewall und Antivirensoftware
Auch wenn Sie wahrscheinlich zusätzliche Sicherheit benötigen, kann die Verwendung grundlegender Maßnahmen wie der Aktivierung Ihrer Firewall und der Verwendung einer guten Antivirensoftware dennoch sehr hilfreich sein.
Eine Firewall fungiert als Barriere zwischen Ihrem Netzwerk oder Computer und dem Internet. Es schließt Ports, um die Kommunikation mit Ihrem Gerät zu verhindern. Sie können dies manuell tun, aber eine Firewall schließt alle Ports, was den Vorgang vereinfacht. Abgesehen von Stoppen von Bedrohungen wie Schadprogrammen Die von Hackern gesendeten Daten können nicht in Ihren Computer eindringen, sondern verhindern, dass Daten verloren gehen.
Software-Firewalls sind häufig in ein Gerät integriert, einige können jedoch auch separat erworben werden, z Komfortabel Und TinyWall . Hardware-Firewalls können auch separat erworben werden, sind aber häufig im Lieferumfang enthalten in Router eingebaut .
Antivirensoftware kann zum Schutz vor Viren und anderen Formen von Malware beitragen, indem sie die Bedrohung erkennt und häufig entfernt.
Es gibt kostenlose Antivirensoftware-Optionen, diese sind jedoch in der Regel begrenzt und die kostenpflichtigen Alternativen kosten ohnehin nicht so viel. Einige beliebte Optionen sind Bitdefender und Kaspersky.
Siehe auch:Beste kostenlose Firewalls
4. Achten Sie auf Phishing-E-Mails
Hoffentlich haben Sie und Ihre Kollegen den Überblick, wenn es um verschiedene Online-Betrügereien geht, aber da Hacker und andere Cyberkriminelle immer schlauer werden, wird es immer wichtiger zu wissen, worauf Sie achten müssen.
Phishing-Angriffe jemanden einbeziehen Sammeln von Informationen mithilfe von Social Engineering . Ein Angreifer gibt sich als vertrauenswürdige Autoritätsperson aus, um Opfer zur Herausgabe von Passwörtern oder Finanzinformationen zu verleiten. Angriffe können per Telefon, SMS oder E-Mail erfolgen und möglicherweise Links zu Phishing-Websites beinhalten (gefälschte Websites, die so gestaltet sind, dass sie legitim aussehen, um Ihre Daten zu stehlen). Zu den Informationen, nach denen sie möglicherweise suchen, gehören Finanzdaten oder Anmeldeinformationen für verschiedene Konten.
Zu den besonderen Formen des Phishing gehören Speerfischen (wobei der Angriff auf eine Einzelperson oder Gruppe gerichtet ist) und Walfang (Zielgruppe sind Führungskräfte und andere leitende Angestellte). Sollte jemand in der Organisation auf solche Angriffe hereinfallen, wäre dies ein ernstes Risiko für die Cybersicherheit.
Phishing ist weniger erfolgreich, wenn Sie es praktizieren digitale Signaturen um die Quelle einer E-Mail zu authentifizieren und zu überprüfen, dass niemand sie manipuliert hat. Digitale Signaturen verwenden Public-Key-Kryptographie und sind nahezu unmöglich zu fälschen (der private Schlüssel des Absenders müsste kompromittiert worden sein).
5. Halten Sie Ausschau nach anderen verdächtigen E-Mails und Popups
Nicht alle bösartigen E-Mails beinhalten Phishing und viele zielen darauf ab, Sie dazu zu bringen, Malware auf Ihr Gerät herunterzuladen. Malware deckt alle Arten von Computerproblemen ab, darunter Viren, Trojaner, Ransomware und Spyware. Dies kann eine Reihe von Auswirkungen haben: Beispielsweise hält Ransomware Ihre Dateien als Geisel, bis Sie eine Gebühr oder eine andere Zahlungsform zahlen. Spyware ist so konzipiert, dass sie sich ohne Ihr Wissen auf Ihrem Computer einnistet und Aktivitäten aufzeichnet. oft durch das Erstellen von Screenshots oder das Protokollieren von Tastenanschlägen .
Das Problem besteht darin, dass Malware sehr einfach heruntergeladen werden kann (z. B. durch einfaches Klicken auf den falschen Link in einem Popup oder einer E-Mail) und Sie möglicherweise nicht wissen, dass sie sich dort befindet. Daher ist es wichtig, vor potenziell gefährlichen E-Mails, Popups oder Websites Ausschau zu halten und leistungsstarke Antivirensoftware zu verwenden, die das Vorhandensein von Malware erkennen kann.
6. Verwenden Sie ein VPN
Ein virtuelles privates Netzwerk (VPN) eignet sich hervorragend zum Schutz der Daten, die von und zu Ihrem Gerät übertragen werden. Es verschlüsselt Ihren gesamten Internetverkehr, Dies macht es für Dritte, einschließlich Internetdienstanbieter (ISPs), Regierungsbehörden und Hacker, unlesbar.
VPNs eignen sich besonders zur Abwehr von Man-in-the-Middle-Angriffen, bei denen ein Schnüffler Ihren Webverkehr abfängt, um Informationen zu stehlen oder zu ändern. Hierbei handelt es sich um häufige Angriffe auf öffentliche WLAN-Netzwerke, die für ihre geringe Sicherheit bekannt sind. Sie sollten es zwar vermeiden, vertrauliche Informationen über öffentliche WLAN-Netzwerke zu senden, wenn es aber trotzdem sein muss, nutzen Sie ein VPN.
Bedenken Sie, dass der Anbieter selbst bei der Nutzung von VPN weiterhin in der Lage ist, Ihre Aktivitäten zu sehen. Jedoch, seriöse VPN-Anbieter Führen Sie keine Aktivitätsprotokolle oder Informationen, die einer Person zugeordnet werden können. Achten Sie beim Kauf eines VPN auf echte No-Logs- oder Zero-Logs-Richtlinien.
VPNs können auf einzelnen Geräten (einschließlich Smartphones und Tablets) installiert oder für Router konfiguriert werden, um jedes mit einem Netzwerk verbundene Gerät zu schützen. Viele Anbieter haben spezielle Business- und Enterprise-Pakete richtet sich an große und kleine Unternehmen.

Für größere Unternehmen, beispielsweise Anwaltskanzleien mit mehreren Niederlassungen, a Site-to-Site-VPN kann nützlich sein. Dadurch werden Verbindungen zwischen Standorten gesichert und das Netzwerk des Unternehmens erweitert, sodass digitale Ressourcen an einem Standort an anderen Standorten verfügbar sind.
7. Sichern Sie physische Geräte
Es ist möglich, dass Ihr Telefon, Tablet oder Laptop von fast überall gestohlen wird, und natürlich verlieren wir manchmal einfach etwas. Daher ist es wichtig, Ihre Geräte so gut wie möglich zu schützen.
Halten Sie jedes Gerät gesperrt bei Nichtgebrauch mit einem Passwort, einer PIN oder einem Muster. Stellen Sie, sofern verfügbar, sicher, dass Finder-Apps wie „Mein iPhone suchen“ oder „Mein Gerät suchen“ installiert und aktiviert sind. Diese können Ihnen nicht nur dabei helfen, ein verlorenes Gerät zu finden oder festzustellen, ob es gestohlen wurde, sondern sie können Ihnen auch dabei helfen, Ihr Gerät aus der Ferne zu sperren oder zu löschen.
Für unternehmenseigene Geräte: Mobile Geräteverwaltung t (MDM) könnte eine gute Option sein. Mit Lösungen wie ManageEngine Mobile Device Manager Plus und AirWatch Workspace ONE haben Sie die Kontrolle über ein Netzwerk von Geräten.Sie ermöglichen Ihnen die Zugriffsverwaltung(einschließlich Remote-Sperren und -Löschen), sichere Kommunikation und begrenzen das Risiko von Malware. Es gibt auch MAM-Tools (Mobile Application Management) (oft in MDM-Software gebündelt), mit denen Sie die Bereitstellung von Software an Geräte steuern können.
Wenn Geräte aus irgendeinem Grund irgendwo unbeaufsichtigt bleiben müssen, beispielsweise in einer Bibliothek oder sogar im Büro, sollten Sie über eine physische Sperre nachdenken. Kensington-Schlösser und solche von ähnlichen Marken können Ihr Gerät sichern, indem sie in ein spezielles Loch eingeführt werden. Diese eignen sich vor allem für Laptops oder Desktop-Geräte, es gibt jedoch auch Optionen für Tablets (denken Sie an Kassenschlösser).
Sollte es jemandem gelingen, Ihr Gerät zu stehlen oder Zugriff darauf zu haben, während Sie nicht in der Nähe sind, kann die vollständige Festplattenverschlüsselung sicherstellen, dass der Inhalt für niemanden ohne den Entschlüsselungsschlüssel lesbar ist. BitLocker und Veracrypt sind zwei beliebte Optionen für die vollständige Festplattenverschlüsselung.
8. Sichern Sie Daten sicher in der Cloud
Als Jurist ist es von entscheidender Bedeutung, dass die von Ihnen digital gespeicherten Informationen sicher bleiben. Physische Bedrohungen wie Feuer oder Diebstahl oder Cyberbedrohungen wie ein Viren- oder Ransomware-Angriff können alles gefährden.
Eine Möglichkeit, die Sicherheit Ihrer Daten zu gewährleisten, besteht darin, sicherzustellen, dass sie ständig gesichert werden. Während eine physische Festplatte für besonders vertrauliche Informationen, die Sie einem Dritten nicht anvertrauen würden, möglicherweise vorzuziehen ist, haben diese dennoch ihre Nachteile, da sie auch dem Risiko einer physischen Beschädigung oder eines Diebstahls ausgesetzt sind.
Die andere Möglichkeit besteht darin, Daten in der Cloud zu sichern. Mit dem richtigen Service, Cloud-Backup kann sicher und bequem sein . Beliebte Optionen sind IDrive, CrashPlan und Backblaze. Alle diese Dienste verschlüsseln Dateien standardmäßig. Für eine zusätzliche Sicherheitsebene sollten Sie jedoch in Betracht ziehen, Daten zu verschlüsseln, bevor Sie sie an die Cloud senden.
Wenn Sie vertrauliche Informationen auf Ihrem Gerät speichern möchten, empfiehlt es sich, einzelne Dateien sowie das Gerät selbst mit einem Passwort zu schützen.
9. Verwenden Sie verschlüsselte Kommunikation
Wir haben über die Sicherung gespeicherter Daten und des allgemeinen Webverkehrs gesprochen, aber wie sieht es mit der Kommunikation aus? Persönliche Treffen sind im Hinblick auf die Privatsphäre im Allgemeinen am besten geeignet. Natürlich könnte die Identität der Teilnehmer des Treffens durch Aufnahmen von Überwachungskameras oder GPS-Tracking-Daten offengelegt werden. Sofern jedoch kein verstecktes Aufnahmegerät vorhanden ist, sollten die Inhalte des Meetings privat bleiben.
Während persönliche Treffen im Allgemeinen privater sind, gibt es zweifellos unzählige Gelegenheiten, bei denen Telefonanrufe, Nachrichten und E-Mails angemessener oder bequemer sind. Zum Glück gibt es Optionen, die Ihnen helfen können Machen Sie alle diese Kontaktformen deutlich sicherer . Für VoIP- und Messaging-Systeme, einige sichere Optionen Dazu gehören Signal, Threema, Telegram, Viber und Dust.
Für E-Mail können Sie verwenden Hushmail ; Dadurch wird der Inhalt Ihrer E-Mail verschlüsselt, Metadaten wie Betreffzeile, Absender- und Empfängername, Datum und Uhrzeit sind jedoch weiterhin sichtbar. Sie können es zusammen mit einer Wegwerf-E-Mail-Adresse verwenden, beispielsweise einer von Guerilla-Mail oder Mailinator . Sie melden sich einfach anonym für ein Konto an und löschen es, wenn Sie fertig sind.
Wenn Sie Dateien sicher senden müssen, gelten für verschlüsselte E-Mails Einschränkungen hinsichtlich der Dateigröße. Stattdessen gibt es siespezielle Methoden, mit denen Sie Dateien sicher versenden können. Das Secure File Transfer Protocol (SFTP) beinhaltet die Verwendung eines Secure Shell (SSH)-Servers, der FTP-Befehle verstehen kann. Sowohl SolarWinds als auch Rebex bieten kostenlose SFTP-Server an, während Syncplify.me eine kostenpflichtige Alternative bietet.
Kostenloser SFTP/SCP-Server-Download von SolarWinds, 100 % KOSTENLOSES Tool
Für Unternehmensbenutzer ist Managed File Transfer (MFT) möglicherweise eine bessere Lösung für sichere Dateiübertragungen. MFT-Tools sind streng reguliert und bieten ein hohes Maß an Sicherheit und eine bessere Kontrolle über Kommunikation, Übertragungen und Arbeitsabläufe. Cornerstone MFT ist eine beliebte Option und das Unternehmen bietet eine 30-tägige Testversion an, um zu sehen, ob sie gut passt.
10. Holen Sie sich ein SSL-Zertifikat
Der Erwerb eines SSL-Zertifikats und die Implementierung von HTTPS sind aus mehreren Gründen gut fürs Geschäft. Erstens informiert es den Benutzer darüber, dass die Website authentisch ist, sodass er sicher sein kann, dass er keine gefälschte Website besucht.
Zweitens verschlüsselt es den Datenverkehr zwischen der Website und dem Benutzer. Dies macht es für Dritte unlesbar, die möglicherweise versuchen, auszuspionieren. Dies können ISPs oder Regierungsbehörden sein, die Benutzeraktivitäten überwachen, oder Hacker, die Man-in-the-Middle-Angriffe durchführen.
SSL-Zertifikate sind relativ einfach über Anbieter wie Cloudflare, Let’s Encrypt und Comodo erhältlich.
11. Überprüfen Sie neue Software mit äußerster Vorsicht
Obwohl wir in diesem Beitrag eine Menge Software empfohlen haben, ist es wichtig, jede neue Software mit Vorsicht zu behandeln. Im Rahmen Ihres Sicherheitsprotokolls sollten neue digitale Produkte und Dienste recherchiert und überprüft werden. Auch wenn die Anwendung selbst nicht beschädigt ist, besteht die Möglichkeit, dass sie beschädigt ist Sicherheitslücken, die es einem Hacker ermöglichen könnten, durchzukommen . Hier sind einige Tipps:
- Entscheiden Sie sich für seriöse Anwendungen, die langfristigen Support und Updates bieten. Wenn Sie über die nötigen Ressourcen verfügen, überprüfen Sie die Softwarecodes aller webbasierten Anwendungen
- Stellen Sie sicher, dass die Mitarbeiter wissen, dass sie keine Anwendungen auf Geräte herunterladen dürfen, die für arbeitsbezogene Aufgaben verwendet werden. Vor der Installation sollte alles überprüft werden.
- Entwickeln Sie Sicherheitsverträge für externe Anbieter und Anwendungen, die Zugriff auf das Unternehmensnetzwerk haben.
- Halten Sie die gesamte Software auf dem neuesten Stand. Updates schließen häufig Sicherheitslücken, die Sie andernfalls anfällig für Angriffe machen könnten.
12. Sicher surfen
Ihr Browser- und Suchverlauf kann viele Informationen über Sie, Ihren Kunden oder den Fall, an dem Sie arbeiten, preisgeben. Sicheres Surfen ist etwas komplexer als es sein sollte, aber es ist möglich. Der private Browsermodus scheint eine gute Option zu sein, aber dadurch wird Ihr Verlauf nur vor jedem verborgen, der Zugriff auf Ihr Gerät hat.
Sie könnten einen privaten Browser verwenden, z Bequemer Drache oder Epischer Datenschutzbrowser , diese sind jedoch in ihrer Funktionalität eingeschränkt. Darüber hinaus können Sie das gleiche Maß an Sicherheit erreichen, indem Sie Cookies löschen.
Eine bessere Option ist die Tor Browser welche verschlüsselt Ihre Daten und sendet sie über mehrere Computer (Knoten genannt), die von Freiwilligen betrieben werden. Es hat zwar seine Nachteile, darunter ein langsames Surferlebnis, gilt aber als die beste Option für anonymes Surfen. Dies gilt insbesondere dann, wenn Sie es zusammen mit einem VPN verwenden.
Es besteht auch die Möglichkeit, Tor über a zu durchsuchen „Live“-Betriebssystem , wie zum Beispiel Tails. Um es zu verwenden, starten Sie eine CD oder einen USB-Stick und starten das Betriebssystem auf Ihrem Gerät. Es ist kein Installationsvorgang erforderlich, was bedeutet, dass nach dem Herunterfahren keine Spur von Aktivität auf Ihrem Gerät zu sehen ist.
Das Löschen des DNS-Cache und das Deaktivieren des HTML-Webspeichers sind weitere Schritte, die Sie unternehmen können, um das Surfen sicherer zu machen. Datenschutzerweiterungen wie z ScriptSafe Und NoScript kann auch helfen.
13. Sicher suchen
Als Jurist verwenden Sie zweifellos private Logins, um auf viele Ihrer Forschungsmaterialien zuzugreifen, aber es gibt wahrscheinlich immer noch unzählige Gelegenheiten, bei denen eine gute alte Google-Suche eine Fülle von Informationen liefern würde. Natürlich verfolgen und speichern Google und andere beliebte Suchmaschinen wie Bing Ihren Suchverlauf und können daher niemals als sicher angesehen werden.
Es wären lediglich ein oder zwei Suchvorgänge erforderlich unabsichtlich Informationen preisgeben über Ihren Fall. Sie können Ihre Einstellungen innerhalb dieser Suchmaschinen ändern, um die Menge der gespeicherten Informationen zu begrenzen. Und Sie können sehen und Löschen Sie Ihren bisherigen Suchverlauf für Google Und Bing durch den Besuch der einzelnen Seiten. Oder Sie könnten erwägen, ganz auf diese Plattformen zu verzichten und stattdessen eine privatere Alternative zu nutzen.
Obwohl wir nicht so oft von ihnen hören wie von den oben genannten Suchmaschinen, gibt es privatere Optionen. Zum Beispiel, Startseite von Ixquick Und DuckDuckGo Verfolgen Sie Ihre Aktivitäten überhaupt nicht und teilen Sie sie daher niemals mit anderen. Und da Ihre Aktivitäten nicht verfolgt werden, müssen Sie sich als Bonus nicht mit Werbung herumschlagen.
14. Erwägen Sie einen gehosteten virtuellen Desktop
Ein gehosteter virtueller Desktop (HVD) – auch bekannt als Virtual Hosted Desktop (VHD) oder Desktop as a Service (DaaS) – kann dazu beitragen, die Cybersicherheit zu erhöhen und das Arbeiten aus der Ferne oder von unterwegs deutlich einfacher zu machen. Zu den Anbietern zählen Citrix und Amazon.
Mit einem HVD erhalten Sie im Wesentlichen ein PC-Setup, benötigen jedoch keinen echten PC. Eine vollständige Kopie Ihres Desktops wird auf den Servern eines HVD-Anbieters (in der Cloud) gespeichert und ist von überall aus zugänglich. Es umfasst alle Anwendungen, die Sie auf dem Gerät finden, sodass Sie sich keine Gedanken über die Installation von Software auf mehreren Geräten machen müssen und mehrere Benutzer Zugriff auf denselben Desktop haben können.
Da der Zugriff auf den virtuellen Desktop über die Cloud erfolgt, ist er isoliert und vor Dingen wie USB-Anschlüssen, WLAN-Netzwerken und der Gerätekamera geschützt. Darüber hinaus kümmert sich der Anbieter um alle Updates, Speicherung, Backups und mehr. Das bedeutet, dass viele der bewährten Sicherheitspraktiken, die Sie normalerweise durchführen müssten, für Sie erledigt werden.
Die Verwendung eines HVD hat Nachteile, unter anderem müssen Sie Ihre Daten einem Dritten anvertrauen. Es treten auch praktische Probleme auf, wobei Latenz- und Bandbreitenerhöhungen als zwei Hauptprobleme genannt werden. Darüber hinaus gibt es komplexe Lizenzprobleme, wenn Sie mehrere Benutzer und Geräte haben.
15. Verschärfen Sie die Netzwerksicherheit
Dies gilt vor allem dann, wenn Sie die Kontrolle über die Unternehmenssicherheit haben und dafür verantwortlich sind, dass Mitarbeiter nicht versehentlich oder absichtlich auf Informationen zugreifen oder diese preisgeben können. Es gibt ein paar Dinge, die Sie tun können, um die allgemeine Netzwerksicherheit zu erhöhen.
Das Hauptziel von Datendieben ist persönlich identifizierbare Informationen (PII). Als Jurist sollten Sie sich der hohen rechtlichen Kosten bewusst sein, die mit der Offenlegung personenbezogener Daten verbunden sind. Data Loss Prevention-Systeme schützen Sie vor schädlichen PII-Lecks.
Es gibt eine Reihe potenzieller Feinde im Kampf um den Schutz von Daten. Es kann sein, dass Sie verärgerte oder bestochene Arbeiter haben, die als „Arbeiter“ eingestuft werden. Insider-Bedrohung .“ Datendiebe üben Einbruch und zielen auf personenbezogene Daten ab. Ein Beispiel für ein geeignetes DLP-Tool istEndpunktschutzvon CoSoSys.
Endpoint Protector Holen Sie sich eine KOSTENLOSE Demo
Eine weitere Möglichkeit zu verhindern, dass Informationen in die falschen Hände geraten, ist die Implementierung einer Network Access Control (NAC)-SoftwareBietet dem Administrator eine detaillierte Kontrolle darüber, wer auf was zugreifen kann, einschließlich wann und von welchem Gerät aus sie auf Ressourcen zugreifen können. Dies ist besonders hilfreich, wenn ein Unternehmen Remote-Mitarbeiter beschäftigt oder ein Unternehmen betreibt Bringen Sie Ihr eigenes Gerät mit (BYOD) System.
Bildnachweis: „ Lady Justice ” lizenziert unter CC BY 2.0