Kanzleien gehören zu den sensibelsten Organisationen überhaupt: Sie verarbeiten hochvertrauliche Mandanteninformationen, Personalakten, Verträge, notarielle Dokumente und finanzielle Daten. Gleichzeitig stehen sie im Alltag unter starkem Zeitdruck und genau diese Kombination macht sie zu einem bevorzugten Ziel für Cyberkriminelle.

Es hat sich gezeigt, dass über 70 % aller erfolgreichen Angriffe auf Kanzleien nicht über „High-Tech-Hacks“ passieren, sondern über menschliche Fehler oder schlechte Prozesse.

In diesem Artikel zeigen wir die 7 größten Cybersecurity-Risiken, mit denen Steuerberater, Anwälte und Notare heute zu kämpfen haben und wie sich diese Risiken einfach, pragmatisch und ohne großen Aufwand entschärfen lassen.

Social Engineering & Phishing: Warum dieses Risiko besonders gefährlich ist

Kanzleien sind für Angreifer attraktiv, weil hier viele personenbezogene und wirtschaftlich relevante Daten liegen. Hacker beobachten oft mehrere Wochen lang LinkedIn-Profile von Mitarbeitenden, analysieren Gewohnheiten und versenden dann täuschend echte Nachrichten:

• angebliche Microsoft-Login-Mails
• gefälschte Mandantenanfragen
• PDF-Dateien mit Forderungen oder Vollmachten
• Paket- oder Bankbenachrichtigungen

Ein einziger Klick kann genügen.

Einfach gelöst durch:

• Schulungen zu Phishing & Social Engineering (kurz, regelmäßig, praxisnah)
• MFA (Multi-Faktor-Authentifizierung) verpflichtend für alle User
• Simulationen: Phishing-Tests, die echte Szenarien nachstellen
• Policies, die definieren, wie Mails mit Dateien oder Links geöffnet werden dürfen

Social Engineering & Phishing: Warum dieses Risiko besonders gefährlich ist

Unsichere Passwörter und fehlendes Identitätsmanagement: Warum dieses Risiko ernst ist Viele Kanzleien nutzen immer noch Passwörter wie „Kanzlei2023!“, die leicht zu erraten bzw. knacken. Noch schlimmer: mehrere Personen teilen sich Zugänge, z. B. zu DATEV, E-Mail oder Cloud-Systemen. Dadurch wird jede Sicherheitsmaßnahme ausgehebelt.

Einfach gelöst durch:

• Passwortmanager
• Klare Rollen & Zugriffsrechte (Zero Trust)
• MFA auf allen Systemen, auch auf Mobilgeräten
• Richtlinien für die regelmäßige Erneuerung von Passwörtern

Veraltete Systeme & fehlende Updates: Warum dieses Risiko besonders häufig vorkommt

Kanzleien nutzen oft Software-Versionen, für die es längst keine Sicherheitsupdates mehr gibt. Gleichzeitig sind IT-Dienstleister nicht immer up-to-date und warten Systeme nur sporadisch.

Einfach gelöst durch:

• Automatische Updates in Microsoft 365 und Betriebssystemen
• Klar definierte Update-Prozesse (Patch-Management)
• Cloud-First-Strategien statt lokaler Server, wo sinnvoll
• Microsoft Secure Score regelmäßig prüfen

Fehlende Verschlüsselung (E-Mail, Datentransfer, Geräte)

Typische Schwachpunkte:

• E-Mails werden unverschlüsselt versendet
• USB-Sticks oder Laptops ohne Festplattenverschlüsselung
• Notare oder Anwälte legen sensible PDF-Dokumente lokal ab

So wird’s sicher:

• Automatische Festplattenverschlüsselung (z. B. BitLocker)
• Sichere Transferlösungen statt Dropbox & Co.
• Mobile Device Management (MDM) zur Absicherung von Smartphones/Tablets

Unzureichende Backup-Strategien: Warum das ein massives Risiko ist

Viele Kanzleien verlassen sich auf manuelle Backups oder Systeme, die nie getestet werden. Der Super-GAU: Backup vorhanden, aber unbrauchbar.

Einfach gelöst durch:

• 3-2-1-Backup-Regel
• Automatisierte, verschlüsselte Cloud-Backups
• Monatliche Test-Wiederherstellungen („Restore-Tests“)
• Notfallplan für Ausfälle (Disaster Recovery)

Keine definierten Prozesse (ISO 27001 relevant): Der unterschätzte Risikofaktor

Selbst wenn die Technik gut ist, scheitert Sicherheit oft an fehlenden organisatorischen Regeln:

• Wer entscheidet im Notfall?
• Was tun bei Datenverlust?
• Wie werden Vorfälle dokumentiert?
• Welche Räume gelten als „kritische Bereiche“ (z. B. Personal, Buchhaltung)?

Gerade im Kontext von ISO 27001, die viele Mandanten inzwischen verlangen, sind Prozesse entscheidend.

Einfach gelöst durch:

• ISMS-Grundstruktur (Informationssicherheits-Managementsystem)
• einfache, klare Vorgehensweisen („Wenn X passiert, dann Y tun“)
• Schulungen, Checklisten & Verantwortlichkeiten
• jährliche interne Audits oder externe Prüfung

Schwache physische Sicherheit & Workspace-Fehler

Kanzleien unterschätzen häufig, wie viele Risiken aus der physischen Umgebung entstehen:

• Akten stehen offen im Flur
• Buchhaltung sitzt im Empfangsbereich
• Bildschirme sind einsehbar
• keine abschließbaren Schränke
• Technik liegt sichtbar im Büro

Besonders kritisch sind ungeschützte Besprechungsräume mit sensiblen Dokumenten.

Einfach gelöst durch:

• Blickschutzfilter & abgeschlossene Bereiche
• getrennte Zonen für öffentliche & vertrauliche Tätigkeiten
• moderne Möbelsysteme mit Kabelmanagement
• Zutrittskontrollen (Schlüssel, Chipkarten, Cloud-Locks)
• Integrationen mit Meetingraum-Technik & Display-Systemen

Fazit.

Cybersecurity muss nicht kompliziert sein. Kanzleien profitieren vor allem von:

• klaren Prozessen
• moderner, automatisierter Technik
• geschulten Mitarbeitenden
• sicheren Arbeitsumgebungen
• regelmäßigen Überprüfungen

Mit den richtigen Tools und einfachen Maßnahmen lassen sich typische Angriffsszenarien verhindern.

_{Dieser Artikel wurde mit Unterstützung von AI erstellt und anschließend redaktionell überarbeitet.}