Cyberangriff Kanzlei: Steuerberater und Anwälte im Fokus

Typisches Szenario aus der Praxis: eine mittelständische Steuerkanzlei in Bayern, 14 Mitarbeiter, rund 600 laufende Mandate. An einem Montagmorgen melden sich die ersten Mandanten: „Ich habe eine seltsame E-Mail von Ihnen bekommen." Die IT prüft, entdeckt eine Ransomware im Netzwerk. Die Mandantenordner sind verschlüsselt, der DATEV-Zugang tot, die Fristen für Umsatzsteuer-Voranmeldungen laufen ab. Und auf einer Leak-Seite im Darknet steht eine 48-Stunden-Frist: Zahlen oder Mandatsdaten werden veröffentlicht.

Kanzleien sind unter den lukrativsten Zielen für Ransomware-Banden. Der Grund ist strukturell: Nirgendwo sonst liegen so viele hochsensible Datensätze so vieler Unternehmen und Privatpersonen an einer Stelle. Ein Angreifer muss nicht 600 Mandate einzeln angreifen, er muss nur eine Kanzlei kompromittieren. Die Bundesrechtsanwaltskammer warnt seit Jahren vor der steigenden Bedrohungslage im anwaltlichen Berufsstand.

Cyberangriff auf die Kanzlei bezeichnet gezielte Angriffe auf Rechtsanwälte, Steuerberater, Wirtschaftsprüfer und vergleichbare Berufsträger. Das Risiko ist nicht nur wirtschaftlich. Berufsrechtliche Verschwiegenheitspflichten (§43a BRAO, §57 StBerG), das Strafrecht (§203 StGB) und die DSGVO greifen gleichzeitig und ziehen jeweils eigene Konsequenzen nach sich. Dieser Artikel zeigt, warum Kanzleien besonders gefährdet sind, welche rechtlichen Fallstricke ein Angriff auslöst und was eine Cyberversicherung leisten muss.

⚠ KERNPROBLEM

Ein Cyberangriff trifft die Kanzlei dreifach: technisch durch den Systemausfall, rechtlich durch die Verletzung der Verschwiegenheits- und Meldepflichten und berufsrechtlich durch mögliche Ansprüche aus der Kammer. Die Cyberversicherung muss alle drei Dimensionen abdecken. Standardpolicen für KMU reichen dafür meist nicht aus.

Warum gerade Kanzleien so attraktive Ziele sind

Ransomware-Banden wählen ihre Ziele nach einem einfachen Kriterium: maximaler Druck bei maximaler Zahlungsbereitschaft. Kanzleien erfüllen dieses Muster fast idealtypisch.

Angriffsmotiv	Warum Kanzleien besonders betroffen sind
Datendichte	Eine Kanzlei bündelt Geschäftsgeheimnisse, Bilanzen, M&A-Unterlagen und Steuerdaten hunderter Mandanten an einer Stelle
Zahlungsbereitschaft	Fristversäumnisse bedeuten Haftung gegenüber Mandanten. Zahlen wirkt oft wie der schnellste Ausweg
Reputationsrisiko	Ein bekannt gewordener Datenabfluss kann Mandate kosten, die über Jahre aufgebaut wurden
Zeitkritische Prozesse	Steuertermine, Gerichtsfristen, beA-Fristen sind starr. Jeder Tag Ausfall ist teuer
Standard-IT	DATEV, beA, RA-MICRO und vergleichbare Systeme laufen oft auf Standard-Arbeitsplätzen mit breiter Angriffsfläche
Supply-Chain-Wert	Eine kompromittierte Kanzlei eröffnet Zugang zu den IT-Systemen der Mandanten über vertrauenswürdige Kommunikationswege

Die rechtliche Dimension: Drei Rechtsgebiete gleichzeitig

Was einen Cyberangriff auf eine Kanzlei von einem Angriff auf andere Unternehmen unterscheidet, ist die Überlagerung von drei Rechtsgebieten: Berufsrecht, Strafrecht und Datenschutzrecht. Jedes davon hat eigene Pflichten, eigene Fristen, eigene Sanktionen.

§43a Absatz 2 BRAO: Die anwaltliche Verschwiegenheit

§43a BRAO verpflichtet Rechtsanwälte zur Verschwiegenheit über alles, was ihnen in Ausübung ihres Berufes bekannt wird. Die Pflicht ist absolut und zeitlich unbegrenzt. Das Berufsrecht kennt keine „höhere Gewalt" bei Datenabflüssen. Ein Cyberangriff, der zum Datenabfluss führt, ist eine Verletzung der Verschwiegenheitspflicht, sobald die Schutzmaßnahmen als unzureichend eingestuft werden.

Ergänzend regelt §43e BRAO die Einbindung externer Dienstleister. Wer nach einem Angriff einen IT-Forensiker beauftragt, muss sicherstellen, dass dieser vertraglich zur Verschwiegenheit verpflichtet wird. Fehlt diese Regelung, entsteht ein zweiter Verstoß beim Aufarbeiten des ersten.

§57 StBerG: Die steuerberatende Verschwiegenheit

Für Steuerberater gilt die gleiche Logik mit eigener Rechtsnorm: §57 Absatz 1 StBerG schreibt vor, den Beruf „gewissenhaft, unabhängig, eigenverantwortlich und unter Wahrung der Verschwiegenheit" auszuüben. Die Bundessteuerberaterkammer wacht über die Einhaltung. Verstöße können zu Rüge, Geldbuße oder im Extremfall zur Ausschließung führen.

§203 StGB: Die strafrechtliche Ebene

§203 StGB stellt die unbefugte Offenbarung fremder Geheimnisse durch Berufsgeheimnisträger unter Strafe. Anwälte, Steuerberater, Wirtschaftsprüfer und Ärzte fallen ausdrücklich unter diesen Schutz. Entscheidend ist: Nicht der Angriff selbst ist strafbar, sondern die unzureichende Absicherung. Wer Mandantendaten ohne angemessene technische und organisatorische Maßnahmen verwahrt und dadurch einen Abfluss ermöglicht, kann sich strafbar machen.

DSGVO: Die 72-Stunden-Meldepflicht

Parallel zum Berufsrecht greift die 72-Stunden-Meldepflicht nach Art. 33 DSGVO. Sobald personenbezogene Daten betroffen sind, muss die Aufsichtsbehörde innerhalb dieser Frist informiert werden. Betroffene Mandanten sind nach Art. 34 DSGVO zusätzlich direkt zu benachrichtigen, wenn ein hohes Risiko für ihre Rechte besteht.

⚠ DAS DILEMMA

Die DSGVO verlangt Meldung innerhalb von 72 Stunden. Das Berufsrecht verlangt Verschwiegenheit. §203 StGB verbietet die Offenbarung fremder Geheimnisse. In der Praxis bedeutet das: Die Meldung an die Aufsichtsbehörde darf nur den gesetzlich erforderlichen Umfang an Informationen enthalten. Die Benachrichtigung der Mandanten muss so erfolgen, dass keine zusätzlichen Geheimnisse offengelegt werden. Jeder Schritt ist anwaltlich zu begleiten.

Die kanzlei-typischen Angriffspunkte

DATEV: Das Herzstück der Steuerkanzlei

DATEV ist die zentrale Infrastruktur für rund 40.000 Steuerkanzleien in Deutschland. Für einen Angreifer sind DATEV-Zugänge deshalb doppelt wertvoll: Sie enthalten sensibelste Mandatsdaten und sie öffnen häufig den Weg zu den Mandanten-Systemen selbst. DATEV unterhält ein eigenes Sicherheitsteam und bietet Multi-Faktor- Authentifizierung, aber die Angriffsfläche entsteht meist am Arbeitsplatz der Kanzlei, nicht in den DATEV-Rechenzentren.

beA: Das besondere elektronische Anwaltspostfach

Das beA ist für Rechtsanwälte verpflichtend. Über diesen Kanal laufen sämtliche Gerichtskommunikationen. Fällt der Zugang aus oder wird er kompromittiert, stehen Fristen auf dem Spiel. Die Bundesrechtsanwaltskammer betreibt das System zentral, aber die Schwachstelle liegt meist beim lokalen Client, der Smartcard- Infrastruktur oder beim Passwort des Anwalts. Ein Ransomware-Angriff auf die Kanzlei, der den beA-Client lahmlegt, kann Fristversäumnisse auslösen, für die der Anwalt gegenüber dem Mandanten haftet.

Mandatsverwaltung und Spezialsoftware

RA-MICRO, Advolux, LawFirm, Wolters Kluwer Kanzleisoftware, Datev Kanzlei-Rechnungswesen und vergleichbare Produkte sind oft tief in die Arbeitsplätze integriert. Ein erfolgreicher Angriff auf einen Kanzlei-PC kompromittiert meist mehrere dieser Systeme gleichzeitig. Segmentierung ist in kleinen Kanzleien selten, obwohl sie technisch machbar wäre.

Was eine Cyberversicherung für Kanzleien leisten muss

Kanzleispezifische Risiken sind in Standard-Cyberpolicen für KMU oft unzureichend abgedeckt. Eine Police für eine Rechtsanwaltskanzlei oder Steuerberaterkanzlei muss fünf Bausteine enthalten, die über das Standardangebot hinausgehen.

Baustein	Wofür
IT-Forensik mit Branchenkenntnis	Forensiker, die DATEV-, beA- und RA-MICRO-Umgebungen kennen und die berufsrechtliche Schweigepflicht respektieren
Rechtsbeistand vor der Kammer	Verteidigung in berufsrechtlichen Verfahren vor Anwaltskammer oder Steuerberaterkammer
Haftung gegenüber Mandanten	Ansprüche aus Fristversäumnissen, Schäden durch gestohlene Mandatsdaten
Benachrichtigungskosten	Rechtssichere Information betroffener Mandanten, ohne zusätzliche Geheimnisse zu offenbaren
Betriebsunterbrechung	Umsatzausfall bis zur kaufmännischen Betriebsbereitschaft, nicht nur bis zum Wiederanlaufen der Systeme

💡 PRAXISHINWEIS

Die berufsständische Vermögensschadenhaftpflicht (für Anwälte nach §51 BRAO, für Steuerberater nach §67 StBerG) ist keine Cyberversicherung. Sie deckt Beratungsfehler aus der anwaltlichen oder steuerberatenden Tätigkeit, aber nicht Schäden aus Ransomware, IT-Forensik oder Betriebsunterbrechung. Beide Policen ergänzen sich. Sie ersetzen sich nicht.

Was die Cyberversicherung NICHT deckt

Auch die beste Cyberversicherung hat klare Grenzen. Drei davon sind für Kanzleien besonders relevant.

✗ Behördliche Bußgelder. Nach herrschender Rechtsmeinung sind DSGVO-Bußgelder in Deutschland nicht versicherbar. Versichert sind nur die Abwehrkosten gegen den Bußgeldbescheid
✗ Mandatsverluste durch Reputationsschaden. Wenn langjährige Mandanten nach einem Vorfall zur nächsten Kanzlei wechseln, ist das ein Vertrauensschaden. Der wird üblicherweise nicht ersetzt. Die Betriebsunterbrechungs-Komponente deckt nur den Umsatzausfall bis zur kaufmännischen Betriebsbereitschaft
✗ Persönliche Haftung des Berufsträgers bei grober Fahrlässigkeit. Wer bei den IT-Mindeststandards schludert, riskiert Leistungskürzung der Cyberversicherung und persönliche Haftung aus Berufsrecht und §203 StGB. Das trifft nicht die Kanzlei als GmbH/PartG, sondern den einzelnen Berufsträger

Checkliste: Was eine kanzleigerechte Cyberversicherung braucht

1 Deckung für §43a BRAO / §57 StBerG-Folgen. Rechtsbeistand vor der Kammer, Verteidigung in berufsrechtlichen Verfahren
2 Haftpflicht-Erweiterung für Mandatsschäden. Schadensersatzansprüche von Mandanten aus Fristversäumnissen, gestohlenen oder offengelegten Daten
3 Forensik-Dienstleister mit DATEV/beA/RA-MICRO-Kompetenz. Im Vertrag benannt oder über eine 24/7-Hotline abrufbar
4 Verschwiegenheitsverpflichtung der Dienstleister. Alle vom Versicherer beauftragten IT-, Forensik- und PR-Partner müssen zur Verschwiegenheit verpflichtet sein, konform §43e BRAO
5 Kaufmännische Betriebsbereitschaft als Endzeitpunkt der Betriebsunterbrechungs-Leistung. Nicht nur technische Wiederherstellung
6 Haftzeit mindestens 12 Monate. Mandantenvertrauen wird nicht in 6 Monaten wiederhergestellt
7 Deckung für Reputationsmanagement. Professionelle Krisenkommunikation, wenn ein Angriff öffentlich wird
8 Abstimmung mit der Vermögensschadenhaftpflicht. Überschneidungen und Lücken prüfen, bevor ein Schadenfall eintritt

Wie gut Ihre Kanzlei auf einen Cyberangriff vorbereitet ist, können Sie mit unserem kostenlosen Cyber-Risikocheck in 2 Minuten prüfen. Eine individuelle Prüfung Ihrer bestehenden Police auf kanzleispezifische Bausteine nehmen wir auf Anfrage kostenlos und unverbindlich vor: Jetzt Beratungstermin anfragen.

✓ FAZIT

Kanzleien sind unter den attraktivsten Zielen für Ransomware-Angriffe. Die Kombination aus hochsensiblen Mandantendaten, zeitkritischen Prozessen und hoher Zahlungsbereitschaft macht sie zum Premium-Target. Was einen Cyberangriff für Anwälte und Steuerberater besonders kritisch macht, ist nicht der technische Schaden, sondern die rechtliche Überlagerung: Berufsrecht, §203 StGB und DSGVO greifen parallel und führen zu einer dreifachen Haftung mit unterschiedlichen Adressaten und Fristen. Eine Standard-Cyberversicherung für KMU reicht für Kanzleien nicht. Die Police muss die berufsrechtliche Dimension explizit abdecken. Eine Cyberversicherung für Rechtsanwälte oder eine Cyberversicherung für Steuerberater sollte nach diesen Kriterien ausgewählt werden. Nicht nach dem Preis.

Markus Kopka

Versicherungsmakler (§34d GewO) · Cyberversicherung-Spezialist

Markus Kopka berät seit über 25 Jahren Privatpersonen, Selbständige und Unternehmen zu komplexen Versicherungsfragen. Als produktneutraler Versicherungsmakler vergleicht er Tarife von führenden Versicherern am Markt.

LinkedIn (25.000+ Kontakte) Mehr erfahren →

Häufige Fragen zum Cyberangriff auf Kanzleien

Warum sind Kanzleien bevorzugte Ziele für Cyberangriffe?

Kanzleien bündeln hochsensible Daten vieler Mandanten an einer Stelle: Geschäftsgeheimnisse, Finanzdaten, laufende Verfahren, M&A-Unterlagen, Steuererklärungen. Angreifer müssen nicht jeden Mandanten einzeln angreifen, sondern nur die Kanzlei. Dazu kommen zeitkritische Prozesse und hohe Zahlungsbereitschaft, weil ein Ausfall Mandatsverluste und berufsrechtliche Risiken bedeutet.

Was bedeutet §43a BRAO für einen Cyberangriff?

§43a Absatz 2 BRAO verpflichtet Rechtsanwälte zur umfassenden Verschwiegenheit. Bei einem Datenabfluss nach Ransomware bedeutet das: Schon die Tatsache, dass Mandatsdaten in unbefugte Hände gelangen, ist eine Verletzung der Verschwiegenheitspflicht. Anwälte müssen nach §43e BRAO zudem sicherstellen, dass eingeschaltete IT-Dienstleister vertraglich zur Verschwiegenheit verpflichtet sind.

Ist ein Cyberangriff mit §203 StGB strafbar?

Nicht der Angriff selbst, sondern die unzureichende Absicherung. §203 StGB stellt die unbefugte Offenbarung fremder Geheimnisse durch Berufsgeheimnisträger unter Strafe. Wer Mandantendaten ohne ausreichende technische und organisatorische Maßnahmen verwahrt und dadurch einen Abfluss ermöglicht, kann sich strafbar machen. Zusätzlich drohen berufsrechtliche Folgen und zivilrechtliche Schadenersatzansprüche.

Wie deckt eine Cyberversicherung die kanzleispezifischen Risiken ab?

Gute Policen für Kanzleien decken: IT-Forensik mit DATEV- oder beA-Spezialisierung, Betriebsunterbrechung, Kosten der DSGVO-Meldepflicht, Rechtsbeistand vor Anwaltskammer und Steuerberaterkammer, Ansprüche von Mandanten wegen Fristversäumnissen, Benachrichtigungskosten und Reputationsmanagement. Nicht gedeckt sind Bußgelder, Vertrauensschäden aus Mandatsverlusten und persönliche Haftung bei grober Fahrlässigkeit.