Anwaltskanzleien verwalten hochsensible Mandantendaten und sind deshalb ein bevorzugtes Ziel für Cyberkriminelle. Online-Angriffe reichen von Phishing auf E-Mails über manipulierte SEPA-Zahlungen bis hin zum Einschleusen von Schadsoftware, die vollständige Kontrolle über IT-Systeme anstrebt. Ein wirkungsvoller Schutz verlangt weit mehr als eine leistungsfähige Firewall: Er setzt technische Absicherungen, klare Abläufe und ein gesundes Misstrauen gegenüber jeglichen unbekannten Kontakten voraus. Dieser Beitrag verrät, mit welchen einfachen Maßnahmen Sie die IT-Sicherheit Ihrer Kanzlei stärken können.
1. Zwei-Faktor-Authentifizierung (2FA) aktivieren
Aktivieren Sie bei allen Online-Diensten die 2FA. Selbst ausgefeilte Passwörter können per Phishing oder Malware abgegriffen werden. Die 2FA ergänzt das „Wissen“ (Kennwort) durch das „Haben“ (Einmalcode auf Ihrem Smartphone, per SMS oder App) und macht den reinen Passwortdiebstahl wirkungslos, solange Angreifer nicht gleichzeitig Ihr Gerät kontrollieren.
2. E-Mails, URLs und Zahlungsdaten immer verifizieren
Vertrauen Sie niemals unbegründet einer fremden E-Mail-Adresse, URL oder IBAN – vor allem bei Zahlungsaufträgen. Klären Sie solche Details grundsätzlich über einen separaten, Ihnen vertrauten Kanal: Rufen Sie Mandanten, Banken oder Lieferanten auf deren offiziell bekannten Telefonnummern an und überprüfen Sie alle Angaben, bevor Sie reagieren.
3. Spoofing erkennen und abwehren
Beim Spoofing handelt es sich um eine Cyberangriffsmethode, bei der ein Angreifer seine Identität verschleiert oder eine fremde Identität vortäuscht, um das Vertrauen eines Opfers zu gewinnen. Telefon- und SMS-Spoofing ermöglichen es Tätern, selbst Ihre Kanzlei-Rufnummer zu fälschen. Erhalten Sie unerwartet eine Zahlungsaufforderung oder einen dringenden Mandantenanruf, legen Sie auf und wählen Sie die Nummer aus Ihrem eigenen Adressbuch neu. Die Bundesnetzagentur informiert ausführlich über gängige Betrugsmaschen und Gegenstrategien.
4. SEPA-Mandate statt Überweisungen
Setzen Sie nach Möglichkeit SEPA-Mandate ein: Ihr Geschäftspartner bucht den Betrag ab, und Sie können unautorisierte Abbuchungen binnen acht Wochen unkompliziert zurückbuchen lassen. Das ist sicherer als Überweisungen, bei denen falsch eingegebene IBANs oft tödlich sind.
5. Anonyme Einmal-E-Mail-Adressen verwenden
Für Newsletter, Produkttests oder sonstige Anmeldungen sollten Sie nie Ihre Hauptadresse nutzen. Verwenden Sie stattdessen kurzlebige E-Mail-Adressen (etwa via https://temp-mail.org/), um Ihre echten Kontaktdaten – Name, Geburtsdatum, Telefonnummer – nicht preiszugeben und so Angriffsflächen zu verringern.
6. Backups konsequent managen
Erstellen Sie regelmäßig vollständige Sicherungen Ihrer lokalen und Cloud-Daten. Prüfen Sie stichprobenhaft, ob sie im Ernstfall auch wiederherstellbar sind. Eine mehrstufige Strategie mit lokalen, externen und Cloud-Backups sorgt dafür, dass im Fall einer Kompromittierung nicht Ihr gesamter Datenbestand verloren geht.
7. Mehrere Wiederherstellungskanäle hinterlegen
Viele Online-Dienste (z. B. iCloud, E-Mail-Accounts, File-Sharing) erlauben das Hinterlegen alternativer Kontaktadressen oder Telefonnummern. Nutzen Sie diese Möglichkeiten, damit Sie bei Geräteverlust oder Kontensperrung nicht komplett ausgesperrt sind.
8. Passwortmanagement und regelmäßiger Wechsel
Ändern Sie Ihre Passwörter in festen Abständen und verwenden Sie einen Passwortmanager, um für jedes Konto ein starkes, einzigartiges Kennwort zu generieren und sicher abzulegen. Melden Sie sich jedoch nie mit Ihrem Manager in fremden Accounts an (z. B. geteilte iCloud-Accounts), damit Ihre lokal gespeicherten Passwörter nicht auf andere Profile übertragen werden.
9. Datenleck-Check in Intervallen
Kontrollieren Sie mindestens vierteljährlich, ob Ihre E-Mail-Adresse oder andere persönliche Daten in öffentlichen Datenlecks aufgetaucht sind. Dienste wie „Have I Been Pwned“ und der HPI-Leak-Check melden Ihnen, wenn Ihre Daten kompromittiert wurden. Reagieren Sie sofort mit Passwortänderung, Aktivierung der 2FA und Kontrolle Ihrer Konten.
10. Dienstanbieter diversifizieren
Verteilen Sie Ihre Online-Services lieber auf mehrere Anbieter, statt alles bei einem einzigen großen Anbieter zu bündeln. Diese Streuung verringert das Risiko, dass ein einzelner Sicherheitsvorfall Ihre gesamte Infrastruktur lahmlegt.
11. Datensparsamkeit und DSGVO-konformes Löschen
Erheben Sie nur jene Mandantendaten, die wirklich notwendig sind, und löschen Sie veraltete Akten nach den Vorgaben der DSGVO. Deaktivieren Sie unnötige Tracking-Funktionen in Ihrem Browser und nutzen Sie datenschutzorientierte Browser oder Add-Ons (wie DuckDuckGo), um Ihre Online-Aktivitäten zu verschleiern.
Fazit: Belastbare Barriere gegen Online-Angriffe aufbauen
Eine robuste digitale Arbeitsweise für Anwaltskanzleien basiert auf technischen Schutzmaßnahmen, klaren Verifikationsschritten und strikter Datenhygiene. Wer Zwei-Faktor-Authentifizierung einsetzt, Kommunikationswege rigoros absichert, regelmäßige Backups fährt, Passwörter managt, Datenlecks überwacht, Dienste streut und auf Datensparsamkeit achtet, baut eine belastbare Barriere gegen Online-Angriffe auf. So bleibt Ihre Kanzlei nicht nur gesetzeskonform, sondern kann sich ganz auf das Mandat und das Vertrauen Ihrer Klienten konzentrieren.
Bild: KI-generiert
Nils Clausen ist langjähriger Organisations- und IT-Sicherheitsberater und Geschäftsführer der advocat.digital in Hannover und Hamburg. Er berät Anwaltskanzleien mit einem maßgeschneiderten Angebot zur Verbesserung der IT-Sicherheit und Wertschöpfung neuester Technologien, auch zur Künstlichen Intelligenz. Er ist erreichbar unter 040 - 5133 0866 und hallo@advocat.digital.
