Anders als beim akuten DATEV-Ausfall geht es hier nicht um Reaktion im Ernstfall, sondern um Vorsorge. Kanzleien verarbeiten mit die sensibelsten Daten überhaupt, Einkommensverhältnisse, Vermögenswerte, Geschäftsgeheimnisse von Mandanten, und sind damit ein attraktives Ziel für Angreifer. Die folgenden zehn Maßnahmen bilden ein realistisches Grundgerüst für kleine und mittlere Kanzleien.
1. Mehrstufige Authentifizierung überall aktivieren
Für E-Mail, DATEV-Zugang und alle Cloud-Dienste sollte ein gestohlenes Passwort allein nicht ausreichen, um Zugriff zu erlangen. Mehrstufige Authentifizierung ist die wirksamste Einzelmaßnahme gegen Kontoübernahmen.
2. Verschlüsselte Kommunikation für Mandantendaten
Unverschlüsselte E-Mail ist für den Versand sensibler Unterlagen ungeeignet. Ein verschlüsselter Übertragungsweg oder ein Mandantenportal reduziert das Risiko erheblich.
3. Getrennte Berechtigungen statt Admin-Rechten für alle
Nicht jeder Arbeitsplatz braucht Zugriff auf alle Mandantenakten. Eine klare Rechtevergabe begrenzt den Schaden, falls ein einzelnes Konto kompromittiert wird.
4. Regelmäßige, getrennte Backups
Nach der 3-2-1-Regel: mindestens drei Kopien, zwei Speicherorte, eine davon physisch getrennt oder offline. Details dazu im Beitrag zur lokalen Backup-Rettung.
5. Konsequentes Patchmanagement
Viele erfolgreiche Angriffe nutzen bekannte, längst geschlossene Sicherheitslücken auf ungepatchten Systemen. Ein fester Update-Rhythmus schließt dieses Einfallstor.
6. Schulung des Kanzleiteams zu Phishing
Ein Großteil erfolgreicher Angriffe beginnt mit einer täuschend echten E-Mail. Regelmäßige, kurze Sensibilisierung reduziert die Trefferquote solcher Versuche spürbar.
7. TOM-Dokumentation aktuell halten
Die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO sollten nicht nur einmal erstellt, sondern regelmäßig überprüft und angepasst werden.
8. Auftragsverarbeitungsverträge mit IT-Dienstleistern
Jeder externe Zugriff auf Systeme mit Mandantendaten erfordert eine Vereinbarung nach Art. 28 DSGVO, auch bei vertrauten, langjährigen IT-Partnern.
9. Mobile Geräte absichern
Laptops und Smartphones mit Zugriff auf Kanzleidaten sollten verschlüsselt und mit Möglichkeit zur Fernlöschung ausgestattet sein, falls sie verloren gehen oder gestohlen werden.
10. Einen dokumentierten Notfallplan besitzen
Wer im Ernstfall improvisieren muss, verliert wertvolle Zeit. Ein kurzer, schriftlich festgehaltener Ablauf, wen man zuerst informiert und welche Schritte zuerst folgen, verkürzt die Reaktionszeit erheblich.
Realistische Reihenfolge statt Alles-oder-nichts
Zehn Maßnahmen auf einmal umzusetzen überfordert die meisten kleinen Kanzleien, sowohl zeitlich als auch finanziell. Eine sinnvolle Reihenfolge beginnt mit den Maßnahmen, die den größten Sicherheitsgewinn bei geringstem Aufwand bringen: mehrstufige Authentifizierung und funktionierende Backups lassen sich meist innerhalb weniger Tage einrichten und schließen zugleich die häufigsten Einfallstore. Aufwendigere Punkte wie eine vollständige TOM-Dokumentation oder die Etablierung eines Notfallplans können in den folgenden Wochen folgen.
Wie IT-Notruf-Saar unterstützt
Über das Compliance-Paket unterstützt IT-Notruf-Saar Kanzleien im Raum Saarbrücken und St. Ingbert bei der TOM-Dokumentation, der Ersteinschätzung zu DSGVO-Anforderungen und der schrittweisen Umsetzung dieser Maßnahmen im laufenden Kanzleibetrieb.
IT-Sicherheit in der Kanzlei auf den Prüfstand stellen?
Rückmeldung innerhalb einer Stunde, an Werktagen.