Sämtliche Computer in ihrer Geschäftsstelle sind mit dem Internet verbunden. Ihre Angestellten unterhalten dabei eigene E-Mail Postfächer und haben die Berechtigung, selbst E-Mails zu empfangen und zu senden.

1. Eine Person öffnet einen E-Mail Anhang, der einen Verschlüsselungstrojaner (Erpressungssoftware) enthält.

2. Über einen Fernzugriff im Netzwerk installiert eine kriminelle Person für das Büro unbemerkt einen Keylogger.

3. Ein Cryptominer wird unbeabsichtigt innerhalb des Netzwerks installiert.

• Anti-Malware („Virenscanner“) auf jeden Server, Arbeitsplatz und entsprechende Smartphones installieren.

• Die Deaktivierung der Anti-Malware darf nur von Administratoren für einen sehr kurzen Zeitraum erfolgen.

• Warnmeldungen, erzeugt durch die Anti-Malware, sollten dem Administrator unmittelbar mitgeteilt werden.

• Regelmäßig sollte ein vollständiger Scan der genutzten Systeme durchgeführt werden.

• Die Anti-Malware sollte immer aktuell gehalten werden.

  Malware kann sowohl direkt Schaden verursachen (Ransomware/Erpressersoftware) oder zu weiterer kriminellen Tätigkeit genutzt werden (Erpressung von Mandanten).

Sie haben in ihrer Geschäftsstelle sieben Computer und einen Server. Updates lassen sie manuell vom Systembetreuer einspielen, der regelmäßig per Fernwartung auf ihre Systemumgebung zugreift.

Der Systembetreuer erkrankt für einen Zeitraum von vier Wochen und es wird kein Update auf den Computern in diesem Zeitraum eingespielt.

Das Patch-Management ist eine geplant gesteuerte Installation von Systemaktualisierungen, welche Sicherheitslücken in Software-Anwendungen schließt, die erst nach Veröffentlichung erkannt worden sind. Zum Patch-Management gehört das Beschaffen, Testen und Verteilen der Patches.

Eine kostenlose Variante für die lokale Verteilung von Updates von Microsoft Produkten ist der WSUS-Server von Microsoft.

Weil nach den sog. Patchdays die Anzahl der Exploits regelmäßig ansteigt, sollte für die Krankheit oder Verhinderung des Systembetreuers hinreichende Vorsorge getroffen werden.

Der Zugang zu sämtlichen IT-Systemen in der Geschäftsstelle wird ausnahmslos mit Nutzerkennung und Passwort bzw. PIN geschützt.

1. Weil sich die Angestellten nicht alle Zugangsdaten merken können, nutzen sie überall dasselbe Passwort.

2. Das Passwort wurde auf einem Zettel aufgeschrieben und unter die Tastatur geklebt.

3. Als Passwort verwenden die Angestellten Passwörter wie „Passwort123“ oder ein Wort, welches in gängigen Wörterbüchern enthalten ist.

Folgende Anforderungen sollten befolgt werden, um ein sicheres Passwortmanagement zu betreiben:

• Passwörter sollten nicht dort notiert werden, wo andere sie lesen können.

• Passwörter sind hinreichend komplex zu gestalten (Länge und Zeichenkomplexität).

• Für jede Anwendung ist vorzugsweise ein neues Passwort zu generieren.

• Passwörter sollen nicht weitergegeben werden (keine „geteilten“ Passwörter).

• Bei Verdacht auf Kenntnisnahme Dritter ist das Passwort unverzüglich zu wechseln.

Die Computer in der Geschäftsstelle sind mit einem Zugangsschutz versehen und die Festplatten sind zusätzlich verschlüsselt.

Der Bürokalender und alle wichtigen Entwürfe der letzten Monate befinden sich dagegen ohne weitere Sicherheitsmaßnahme auf dem Smartphone der Notarin / des Notars.

• Sämtliche mobile Geräte sind mit einem sicheren Passwort zu schützen.

• Werden auf den mobilen Geräten Daten verarbeitet oder gespeichert, sollte die Festplatte oder das Betriebssystem verschlüsselt werden.

• Auf mobilen Geräten sollte, sofern verfügbar, ein Anti-Malware-Client installiert und regelmäßig aktualisiert werden.

• WLAN-Hotspots sollten nur mit einer aktiven VPN-Verbindung genutzt werden.

• Mobile Geräte sollten nicht an fremden Ladegeräten geladen werden.

• WLAN und Bluetooth sind bei Nichtnutzung zu deaktivieren.

Die Geschäftsstelle ist stark frequentiert, die Angestellten mit zahlreichen Aufgaben beschäftigt. Währenddessen geht eine Person, die sich für eine Unterschriftsbeglaubigung angemeldet hat, in ein Büro und entwendet eine Geldbörse.

Alternative: Nach der Kündigung behält ein Mitarbeiter einen Schlüssel zum Büro und entwendet die Kasse, deren Schlüssel wiederum im Container der Bürovorsteherin lag.

• Alle Türen und Fenster sollten mit einem ausreichenden Einbruchschutz und ggf. mit einer Alarmanlage versehen werden.

• Nicht im Notarbüro beschäftigte Personen sind nicht unbeaufsichtigt zu lassen, wenn sie sich (ausnahmsweise) außerhalb der abgegrenzten, öffentlich zugänglichen Bereiche befinden.

• Alle ausgegebenen Schlüssel, Karten und andere Zugangsmittel werden in einer Liste geführt.

• Ausscheidende Mitarbeiter müssen die ihnen ausgegebenen Schlüssel zurückgeben.

Für die Backups der internen Server wird eine SSD verwendet. Als durch einen Blitzeinschlag die Festplatten der Server einen Schaden erleiden, wird festgestellt, dass die SSD keinen korrekten Wiederherstellungspunkt enthält und damit trotz Backup ein Totalverlust der Daten entstanden ist.

• Die erfolgreiche Durchführung und die Lesbarkeit von Backups sollte regelmäßig geprüft werden.

• Es ist regelmäßig zu prüfen, ob Updates für Betriebssystem, Anti-Malware und andere Anwendungen ordnungsgemäß installiert werden.

• Die Funktionstüchtigkeit der Alarmanlage (sofern vorhanden) sollte regelmäßig geprüft werden.

• USV-Geräte, Drucker usw. sollten regelmäßig von Fachpersonal gewartet werden. Dazu sollte ein Wartungsplan erstellt werden.

• Wenn Ersatzsysteme oder -leitungen vorgehalten werden, sollten diese regelmäßig auf Funktionstüchtigkeit geprüft werden.

Die Systeme in der Geschäftsstelle sind mit einer Zugangssperre versehen, sodass jeder Angestellte für einen Zugriff Nutzernamen und Passwort eingeben muss. Sobald jedoch ein Zugriff stattfindet, sind sämtliche Bereiche des Servers für jede/n im Lese- und Schreibmodus frei einsehbar. Durch Social Engineering (fingierte Telefonanrufe etc.) wird die Auszubildende dazu gebracht, das eigene Passwort an einen Dritten zu geben, der nun vollen Zugriff auf das System hat.

• Zugriffe auf Anwendungen und Informationen sollten rollenbasiert definiert werden.

• Auf den Arbeitsplätzen sollte jeweils nur die Software installiert werden, die dort auch benötigt wird.

• Die Mitarbeiter sollten nur Zugriff auf die Software, die Datenspeicher und die sonstigen Systeme haben, die sie auch bei der alltäglichen Arbeit benötigen („need to know“).

• Die zu vergebenen Rechte werden von der jeweils verantwortlichen Person festgelegt.

• Informationen sind nach ihrer Vertraulichkeit zu klassifizieren.

• Die vergebenen Rechte und Rollen sind pro Person zu dokumentieren und bei Tätigkeitenwechsel oder der Beendigung des Arbeitsverhältnisses sind die entsprechenden Rechte zu entziehen.

Sämtliche Angestellten werden regelmäßig zu Schulungen des Systembetreuers eingeladen. Wegen der hohen Arbeitsbelastung fallen die Termine häufig aus. In der täglichen Arbeit sind die Angestellten unsicher, welche Informationen sie an Dritte geben können und was sie bei verdächtigen E-Mails machen sollen.

Nur geschulte und sensibilisierte Mitarbeiter setzen die Sicherheitsmaßnahmen zielgerichtet um. Allen Mitarbeitern muss verständlich erklärt werden, welche Maßnahmen umgesetzt werden müssen, und wie mit vertraulichen Daten umzugehen ist.

• Jeder Mitarbeiter ist entsprechend der gesetzlichen Regelung in § 26 BNotO zu verpflichten.

• Jeder Mitarbeiter ist auf die rechtlichen Grundlagen (z.B. des Datenschutzrechts) aufmerksam zu machen.

• Alle Mitarbeiter sind für die Belange der IT-Sicherheit zu sensibilisieren.

• Mit Dienstleistern ist die nach § 26a BNotO vorgeschriebene Vertraulichkeitsvereinbarung abzuschließen.