INHOUSE LEGAL TECH – CHECKLISTE FÜR DATENSICHERHEIT 

In der ACC CLO 2020 Umfrage wurden Datenschutz und Cybersicherheit – zusammen mit Compliance – als die wichtigsten organisatorischen Schwerpunktbereiche in Unternehmen genannt. Doch trotz der sorgfältigen Prüfung, die interne Rechtsabteilungen bezüglich Geschäftsaktivitäten und Rechtsberater durchführen, kann es vorkommen, dass externe Rechtsberater nicht den gleichen Fokus auf die Bewertung der eingesetzten Rechtstechnologie legen. Die sensible Natur der Informationen, die durch Rechtssysteme fließen, erfordert aber die höchsten Datensicherheitsstandards. 

Noch immer gibt es juristischen Technologieprojekte, bei denen die Anforderungen an die Datensicherheit erst spät gestellt wurden, manchmal sogar erst nachdem die IT-Abteilung in das Projekt involviert wurde. Das kann dazu führen, dass der favorisierte Anbieter aufgrund schwacher Sicherheitsfunktionen und -richtlinien sofort von der Auswahl ausgeschlossen wird. 

Verständlich, denn die meisten Anwälte und selbst technikaffine Legal Operations Manager sind keine Datensicherheitsexperten. Das Hauptaugenmerk beim Kauf juristischer Software liegt meist auf den Features, die bei der täglichen Arbeit und der Entscheidungsfindung helfen. Die eigentliche Funktionalität steht nicht immer im Vordergrund, denn Inhouse Counsel wissen oft nicht unbedingt welche Fragen sie bei der Entscheidung stellen sollten. Die folgende Liste von Sicherheitsüberlegungen wird Ihnen helfen, gezielte Fragen zu stellen, damit Sie neben der Systemsicherheit auch gleichzeitig die „Kern“-Funktionsanforderungen der Technologie beachten. Das spart Ihnen wertvolle Zeit im Auswahlprozess und erleichtert die Wahl der richtigen Lösung für Sie etwas. Es gibt bereits eine Menge potenzieller Cyber-Risiken, die Ihr Unternehmen betreffen könnten, Ihre eigene Rechtstechnologie sollte daher nicht dazu gehören.  

VERSCHLÜSSELUNG („AT-REST-ENCRYPTION“) 

Juristische Dokumente enthalten sensible Daten. Daher sollten all diese Daten mit einem sicheren und aktuellen Algorithmus verschlüsselt werden. Viele Legal-Tech-Anbieter verschlüsseln lediglich auf der Festplatte, während die Daten in der Datenbank unverschlüsselt gespeichert werden. Das kann zur Folge haben, dass Datenlecks lediglich für den unwahrscheinlichen Fall eines Festplatten-Diebstahls verhindert werden. Onit‘s Legal Spend Management Lösung BusyLamp eBilling.Space hebt die At-Rest-Verschlüsselung daher auf die nächste Stufe, indem wir AES256 verwenden, um Kundendaten (einschließlich Backups) durch individuelle Schlüssel auch in der Datenbank sicher speichern. Das bedeutet auch, dass wir eine zusätzliche Sicherheitsebene als Gegenmaßnahme für potenzielle Cyberangriffe anwenden. 

VERSCHLÜSSELTE ÜBERTRAGUNG („IN-TRANSIT-ENCRYPTION“) 

Sensible Daten sollten nicht nur verschlüsselt gespeichert werden, sondern auch sicher zum Benutzer gelangen. Daher sollte die gesamte Kommunikation verschlüsselt ablaufen. Da Verschlüsselungsverfahren häufig angegriffen werden, muss zudem immer die aktuelle Version verwendet werden.  

DATENTRENNUNG 

Gerade bei „Software as a Service“ (SaaS) -Angeboten ist es üblich, dass eine Anwendung von mehreren Kunden genutzt wird. In diesem Szenario ist es zwingend erforderlich, dass die jeweiligen Kundendaten getrennt gespeichert werden. Damit wird verhindert, dass andere Benutzer:innen „aus Versehen“ (z.B. durch Fehler in der Programmierung der Software) auf Ihre Daten zugreifen. Es gibt dabei mehrere Möglichkeiten, Daten zu trennen. Onit’s BusyLamp Lösung bietet die sichersten Optionen: Wir können entweder eine physische Trennung anbieten, d.h. ein Kunde hat seinen eigenen Server oder aber die effektivste logische Trennung, d.h. ein Kunde besitzt seine eigene Datenbank auf gemeinsamen Servern. 

DATENZUGRIFFSRECHTE 

Die DSGVO und andere interne und externe Vorschriften verlangen oft, dass die Zugriffsrechte auf einer Need-to-know-Ebene festgelegt werden. Daher ist es wichtig, dass die Rechtssoftware die Möglichkeit bietet, die Datensichtbarkeit für jede:n Benutzer:in individuell einzustellen. BusyLamp arbeitet nach dem „Prinzip des geringsten Privilegs“ – das bedeutet, dass der/die Nutzer:in zunächst keine Rechte besitzt. Die spezifischen Datenzugriffsrechte müssen internen und externen Rechtsberatern, entweder auf individueller Ebene oder über eine Gruppenlogik, zugeteilt werden. 

DATENLOKATION 

Der U.S. PATRIOT Act, CLOUD Act, CCPA, die DSGVO und ähnliche Datenschutzbestimmungen können einen massiven Einfluss auf die Datenhosting-Strategien unserer Kunden haben. Die Legal Spend Management Lösung BusyLamp ist ein deutsches Produkt und unterliegt daher europäischen und deutschen Gesetzen und Datensicherheitsrichtlinien. Wir speichern die Daten sicher an dem von Ihnen bevorzugten geografischen Standort. 

UMGANG MIT SICHERHEITSFEHLERN 

Irren ist menschlich. Doch wie gehen wir mit Sicherheitsfehlern um? Bei der Entwicklung und dem Betrieb von Software sollten die Anbieter der Rechtstechnologie aus Fehlern lernen. Der Lernprozess kann durch eine entsprechende Unternehmenskultur sowie speziell entwickelte Verfahren und Prozesse sichergestellt werden. Wir haben uns diesem Versprechen verpflichtet und deshalb ist BusyLamp eBilling.Space seit 2018 nach ISO 27001 zertifiziert. Die darin enthaltenen Prozesse und Richtlinien sind für uns der Wegweiser für eine kontinuierliche Verbesserung und Weiterentwicklung. 

FIREWALLS UND SERVER 

Jede Software ist nur so sicher wie die Server, auf denen sie läuft. So wird jede Software, die mit dem Internet verbunden ist, täglich automatisiert oder gezielt angegriffen. Eine gut durchdachte Strategie zur Abwehr dieser Angriffe durch den Software-Betreiber ist daher unerlässlich, um den Schutz und die Integrität Ihrer juristischen Daten zu gewährleisten. Diese Strategie sollte mehrere ineinander verschachtelte Maßnahmen umfassen (die „Zwiebeltechnik“). Zunächst schützt eine Web Application Firewall die Anwendung selbst. Zusätzlich wird die Servergruppe durch eine Firewall geschützt. Das letzte Glied in der Kette ist ein optimal konfigurierter Server, der alle unberechtigten Zugriffe abwehrt. Alle Komponenten sollten zudem von einem unabhängigen Dienst überwacht werden, der aktiv jede Abweichung von der Norm meldet. Regelmäßige Updates aller beteiligten Systeme sollten eine Selbstverständlichkeit sein, um einen aktuellen und optimalen Schutz zu gewährleisten. 

UNABHÄNGIGE SYSTEM-PENETRATIONSTESTS 

Getroffene Vorkehrungen sehen auf dem Papier immer gut aus. Aber hält der Anbieter auch, was er verspricht? Um das herauszufinden, sollte der Anbieter der Rechtssoftware seine Systeme regelmäßig von einem unabhängigen Dritten testen lassen. Bei diesem „geplanten Angriff“ wird versucht, alle Sicherheitsmaßnahmen zu beseitigen, bevor ein böswilliger Angreifer dies tut. Gefundene Schwachstellen werden dokumentiert und an den Anbieter übermittelt, damit sie sofort behoben werden können. BusyLamp wird mindestens einmal im Quartal von einem unabhängigen Expertenteam getestet und wir können mit Stolz sagen, dass seit mehreren Jahren keine signifikanten Sicherheitslücken gefunden wurden. All unsere Kunden können auf Wunsch und zu jeder Zeit die entsprechenden Testprotokolle einsehen. 

SOFTWARE-PASSWORTSCHUTZ 

Solide Passwörter sind unerlässlich, um unerwünschte Zugriffe auf die Rechtssoftware zu verhindern. BusyLamp verfügt deshalb über konfigurierbare Passworteinstellungen, die Administratoren festlegen können. So wird sichergestellt, dass die Benutzerpasswörter ausreichend stark sind und den Passwortrichtlinien Ihres Unternehmens entsprechen. 

DATENSICHERHEIT VON ANFANG AN 

Die Fähigkeit, Auswirkungen von Sicherheitsverletzungen abzumildern, ist wichtig. Im Optimalfall sollten Sicherheitslücken aber gar nicht erst entstehen. Daher ist es maßgebend, dass der von Ihnen gewählte Legal-Tech-Anbieter die an der Entwicklung der Software beteiligten Personen regelmäßig schult, um ein gleichbleibend hohes Niveau an Datensicherheit zu gewährleisten. Beim Testen der Software sollten nicht nur die eigentlichen Funktionen überprüft werden, sondern auch nach bekannten Sicherheitslücken (z.B. OWASP Top 10) gesucht werden.