Anders als beim akuten DATEV-Ausfall geht es hier nicht um Reaktion im Ernstfall, sondern um Vorsorge. Kanzleien verarbeiten mit die sensibelsten Daten überhaupt, Einkommensverhältnisse, Vermögenswerte, Geschäftsgeheimnisse von Mandanten, und sind damit ein attraktives Ziel für Angreifer. Die folgenden zehn Maßnahmen bilden ein realistisches Grundgerüst für kleine und mittlere Kanzleien.

1. Mehrstufige Authentifizierung überall aktivieren

Für E-Mail, DATEV-Zugang und alle Cloud-Dienste sollte ein gestohlenes Passwort allein nicht ausreichen, um Zugriff zu erlangen. Mehrstufige Authentifizierung ist die wirksamste Einzelmaßnahme gegen Kontoübernahmen.

2. Verschlüsselte Kommunikation für Mandantendaten

Unverschlüsselte E-Mail ist für den Versand sensibler Unterlagen ungeeignet. Ein verschlüsselter Übertragungsweg oder ein Mandantenportal reduziert das Risiko erheblich.

3. Getrennte Berechtigungen statt Admin-Rechten für alle

Nicht jeder Arbeitsplatz braucht Zugriff auf alle Mandantenakten. Eine klare Rechtevergabe begrenzt den Schaden, falls ein einzelnes Konto kompromittiert wird.

4. Regelmäßige, getrennte Backups

Nach der 3-2-1-Regel: mindestens drei Kopien, zwei Speicherorte, eine davon physisch getrennt oder offline. Details dazu im Beitrag zur lokalen Backup-Rettung.

5. Konsequentes Patchmanagement

Viele erfolgreiche Angriffe nutzen bekannte, längst geschlossene Sicherheitslücken auf ungepatchten Systemen. Ein fester Update-Rhythmus schließt dieses Einfallstor.

6. Schulung des Kanzleiteams zu Phishing

Ein Großteil erfolgreicher Angriffe beginnt mit einer täuschend echten E-Mail. Regelmäßige, kurze Sensibilisierung reduziert die Trefferquote solcher Versuche spürbar.

7. TOM-Dokumentation aktuell halten

Die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO sollten nicht nur einmal erstellt, sondern regelmäßig überprüft und angepasst werden.

8. Auftragsverarbeitungsverträge mit IT-Dienstleistern

Jeder externe Zugriff auf Systeme mit Mandantendaten erfordert eine Vereinbarung nach Art. 28 DSGVO, auch bei vertrauten, langjährigen IT-Partnern.

9. Mobile Geräte absichern

Laptops und Smartphones mit Zugriff auf Kanzleidaten sollten verschlüsselt und mit Möglichkeit zur Fernlöschung ausgestattet sein, falls sie verloren gehen oder gestohlen werden.

10. Einen dokumentierten Notfallplan besitzen

Wer im Ernstfall improvisieren muss, verliert wertvolle Zeit. Ein kurzer, schriftlich festgehaltener Ablauf, wen man zuerst informiert und welche Schritte zuerst folgen, verkürzt die Reaktionszeit erheblich.

Praktischer Hinweis: Diese zehn Maßnahmen lassen sich nicht an einem Nachmittag umsetzen. Realistisch ist eine schrittweise Einführung über mehrere Monate, priorisiert nach Risiko und Aufwand.

Realistische Reihenfolge statt Alles-oder-nichts

Zehn Maßnahmen auf einmal umzusetzen überfordert die meisten kleinen Kanzleien, sowohl zeitlich als auch finanziell. Eine sinnvolle Reihenfolge beginnt mit den Maßnahmen, die den größten Sicherheitsgewinn bei geringstem Aufwand bringen: mehrstufige Authentifizierung und funktionierende Backups lassen sich meist innerhalb weniger Tage einrichten und schließen zugleich die häufigsten Einfallstore. Aufwendigere Punkte wie eine vollständige TOM-Dokumentation oder die Etablierung eines Notfallplans können in den folgenden Wochen folgen.

Wie IT-Notruf-Saar unterstützt

Über das Compliance-Paket unterstützt IT-Notruf-Saar Kanzleien im Raum Saarbrücken und St. Ingbert bei der TOM-Dokumentation, der Ersteinschätzung zu DSGVO-Anforderungen und der schrittweisen Umsetzung dieser Maßnahmen im laufenden Kanzleibetrieb.

IT-Sicherheit in der Kanzlei auf den Prüfstand stellen?

Rückmeldung innerhalb einer Stunde, an Werktagen.

Soforthilfe anfragen →