Steuerberater, Anwälte und Notare gehören zu den attraktivsten Zielen für Cyberkriminelle. Der Grund ist simpel: Sie verwalten hochvertrauliche Daten, sensible Finanzen, Mandanteninformationen, Verträge, Vollmachten und Identitäten.

Was viele unterschätzen: Die meisten erfolgreichen Angriffe sind kein Hacken im technischen Sinn, sondern Social Engineering. Dabei manipulieren Angreifer gezielt Menschen, um Zugang zu Systemen, Accounts oder Räumen zu bekommen und genau dadurch entstehen die schwersten Schäden.

In diesem Artikel erfahren Sie, warum Social Engineering für Kanzleien besonders gefährlich ist, welche echten Beispiele aus dem Alltag es gibt und wie du dich wirksam schützt.

Was ist Social Engineering?

Social Engineering beschreibt Methoden, bei denen Kriminelle psychologische Tricks nutzen, um Vertrauen zu gewinnen und Menschen zu Handlungen zu bewegen, die sie eigentlich verweigern würden, z. B.:

• eine Datei öffnen,
• eine Information herausgeben,
• ein Passwort preisgeben,
• einen Link klicken,
• einen Fremden hereinlassen.

Angreifer nutzen dabei Stress, Höflichkeit, Hilfsbereitschaft, Zeitdruck oder Angst und das oft sehr professionell.

Warum Kanzleien besonders anfällig sind

• Hohe Sensibilität der Daten: Kanzleien haben Mandatsakten, Verträge, Steuerunterlagen und Identitäten. Ein einziger Zugriff auf diese höchstsensiblen Daten hat einen immensen Wert für Angreifer.
• Hoher Arbeitsdruck & Zeitstress: In Steuerkanzleien und Notariaten herrschen straffe Fristen. Genau das nutzen Angreifer aus.
• Viele externe Kontakte: Kanzleien kommunizieren täglich mit Behörden, Mandanten, Banken, Gerichten. Das macht gefälschte Nachrichten schwer erkennbar.
• Oft fehlende IT-Sicherheitsprozesse: Viele Kanzleien arbeiten noch ohne ISMS, strukturierte Prozesse oder Schulungen.

Echte Beispiele aus dem Alltag

Beispiel 1: Der „Mandanten-Anruf“: Ein Klassiker

Ein Anwalt erhält einen Anruf eines angeblichen Mandantenmitarbeiters.

Er sagt: „Wir haben technische Probleme, könnten Sie mir bitte kurz die PDF vom letzten Mandatsstand erneut zuschicken? Wir brauchen das dringend.“

Der Name stimmt, die Stimme klingt kompetent. Doch der Anruf kommt von einem Spoofing-Anschluss und die nachgeforderte Datei landet direkt beim Angreifer.

Schaden: Datenabfluss, Mandantenvertrauen zerstört, oft stillschweigende Vertragskündigung.

Beispiel 2: Der „gefälschte Microsoft-Login“ (extrem verbreitet)

Ein Steuerberater erhält nachts automatisierte Mails: „Ihr Microsoft-365-Konto wurde ausgesetzt. Bitte verifizieren Sie sich.“ Die Login-Seite sieht täuschend echt aus. Eine Mitarbeiterin gibt aus Stress ihre Zugangsdaten ein.

Der Angreifer übernimmt sofort:

• Outlook
• Teams
• OneDrive
• Mandanten-Ordner
• E-Mail-Postfach für weitere Täuschungen

Schaden: Komplette Accountübernahme, Verschlüsselung oder stille Datenspionage.

Beispiel 3: Der „Techniker, der kurz in den Serverraum muss“

Ein Notariat bekommt unangekündigten Besuch: „Wir sind von Ihrem IT-Dienstleister und müssen kurz ein Update am Router einspielen.“ Die Person trägt Warnweste und arbeitet überzeugend selbstsicher. Die Sekretärin lässt ihn durch. Schließlich hat man keine Zeit für Nachfragen. Der Techniker steckt ein unbekanntes Gerät im Netzwerk ein. Der Rest ist Geschichte.

Schaden: Direkter Netzwerkzugang → Datenabgriff, Manipulation, Ransomware.

Beispiel 4: Social Engineering über LinkedIn

Angreifer analysieren öffentlich:

• wer arbeitet in der Kanzlei,
• wer ist neu,
• wer ist gestresst (Posts: „Bilanzsaison = Chaos“),
• wer reagiert schnell auf Nachrichten.

Dann folgt eine private Nachricht wie: „Hallo, ich bin neu im Team! Kannst du mir kurz helfen? Ich brauche die Zugangsdaten zum Portal, ich stehe gerade völlig auf dem Schlauch…“ Viele wollen hilfsbereit sein und genau darauf setzt der Angreifer.

Beispiel 5: „Wir sind von der Bank. Es gibt ein Problem“

In der Hektik des Tages ruft angeblich die Mandantenbank an: „Es gab eine ungewöhnliche Transaktion. Können Sie uns das Bestätigungspasswort mitteilen?“ Wenn die Nummer wie die echte Bank angezeigt wird, glauben viele Mitarbeiter das sofort.

Schaden: Finanzielle Verluste, Haftungsrisiko, Schadenersatzforderungen.

Die größten psychologischen Tricks der Angreifer

Angreifer nutzen bewusst:

• Zeitdruck („Wir brauchen das sofort“)
• Autorität („Ich bin von Microsoft/Bank/IT-Abteilung“)
• Höflichkeit („Können Sie mir bitte ganz kurz helfen?“)
• Angst („Ihr Konto wird gesperrt“)
• Vertrautheit („Wir kennen uns doch von letzter Woche…“)

Kanzleien sind oft besonders höflich. Das ist ein hohes Risiko.

Konsequenzen eines erfolgreichen Angriffs

Ein einziger Klick kann bewirken:

• Offenlegung sensibler Mandantendaten
• Bußgelder nach DSGVO
• Reputationsschäden
• Komplette Betriebsunterbrechungen
• Vertragskündigungen durch Mandanten
• Haftungsansprüche
• Totalausfall durch Ransomware

Viele Kanzleien schaffen es nach einem schweren Angriff nicht mehr auf die Beine.

Konsequenzen eines erfolgreichen Angriffs

• Regelmäßige Mitarbeiterschulungen: Die wichtigste Maßnahme überhaupt (mindestens alle 6–12 Monate).
• Multimethoden-Authentifizierung (MFA):
  • Kein Account ohne MFA (nie!).
  • Standardprozesse definieren, z. B. kein Passwort am Telefon, keine unbekannten USB-Sticks, Besucher nur mit Anmeldung, keine unbestätigten Updates.
• Simulierte Phishing-Tests durchführen: Damit erkennt man Schwachstellen im Team sofort.
• Technische Sicherungen (Zero Trust, Conditional Access): Damit ein einzelner Fehler nicht gleich alles zerstört.
• Einführung eines Informationssicherheits-Managementsystems (z. B. ISO 27001): Für Kanzleien und deren Mandanten ist dies ein starkes Qualitätssignal.

Fazit.

Social Engineering ist heute die größte Gefahr für Kanzleien und nicht nur technische Angriffe. Es reicht ein einziger Klick, ein einziges Gespräch oder eine einzige unbedachte Weitergabe von Informationen, um enorme Schäden zu verursachen.

Die gute Nachricht: Mit klaren Prozessen, Schulungen und moderner IT-Sicherheit lässt sich Social Engineering sehr effektiv verhindern.

 

 

 

_{Dieser Artikel wurde mit Unterstützung von AI erstellt und anschließend redaktionell überarbeitet.}