Warum Kanzleien ein besonderes IT-Sicherheitsniveau brauchen
Rechtsanwaltskanzleien und Steuerberatungen verarbeiten Informationen, die zu den sensibelsten überhaupt gehören: Mandantengeheimnisse, Finanzunterlagen, Vertragsdetails, laufende Rechtsstreitigkeiten. Die anwaltliche Verschwiegenheitspflicht nach § 43a BRAO und die steuerliche Verschwiegenheitspflicht nach § 57 StBerG sind nicht nur ethische Verpflichtungen – sie sind gesetzliche Pflichten, deren Verletzung strafrechtliche Konsequenzen nach sich ziehen kann.
In einer Zeit, in der Cyberangriffe auf Kanzleien zunehmen und Datenlecks immer häufiger Schlagzeilen machen, reicht es nicht mehr, sich auf einfache Passwörter und einen Virenscanner zu verlassen. Kanzleien brauchen eine durchdachte IT-Sicherheitsstrategie, die sowohl die gesetzlichen Anforderungen erfüllt als auch den praktischen Kanzleialltag berücksichtigt.
Die besonderen Risiken für Kanzleien
Anwaltliche Verschwiegenheitspflicht im digitalen Zeitalter
Die Verschwiegenheitspflicht erstreckt sich auf alle Informationen, die dem Anwalt im Rahmen seines Mandats anvertraut werden. Im digitalen Zeitalter bedeutet das: Jedes System, das mandantenbezogene Daten speichert oder verarbeitet, muss so abgesichert sein, dass kein Unbefugter – weder Hacker, noch Cloud-Anbieter, noch Geheimdienste – Zugriff auf diese Daten erlangen kann.
Die Nutzung von US-Cloud-Diensten ist vor diesem Hintergrund besonders kritisch. Der CLOUD Act ermöglicht es US-Behörden, Zugriff auf Daten zu verlangen, die von US-Unternehmen gespeichert werden – unabhängig davon, wo die Server stehen. Für eine Kanzlei, die ihre Mandantengeheimnisse schützen muss, ist das ein untragbares Risiko.
Gezielter Angriffspunkt für Cyberkriminelle
Kanzleien sind attraktive Ziele für Cyberkriminelle. Sie verfügen über wertvolle Informationen – von Geschäftsgeheimnissen über Immobilientransaktionen bis zu M&A-Details. Gleichzeitig investieren viele Kanzleien noch immer zu wenig in IT-Sicherheit. Die Folge: Ransomware-Angriffe, bei denen Kanzleidaten verschlüsselt und nur gegen Lösegeld freigegeben werden, treffen die Branche überproportional häufig.
Compliance-Anforderungen
Neben der DSGVO und der Verschwiegenheitspflicht müssen Kanzleien weitere Vorgaben beachten: Die Berufsordnung für Rechtsanwälte (BORA) stellt Anforderungen an die Aufbewahrung und den Schutz von Handakten. Die GoBD regelt die digitale Buchführung und Aufbewahrung. Branchenspezifische Regelungen wie das Geldwäschegesetz (GwG) stellen zusätzliche Anforderungen an die Dokumentation und Datenaufbewahrung.
Open-Source-Lösungen für die sichere Kanzlei-IT
Dokumentenmanagement mit Nextcloud
Mandantenakten, Schriftsätze, Verträge und Korrespondenz – das Dokumentenmanagement ist das Herzstück jeder Kanzlei. Nextcloud bietet eine sichere Plattform für die zentrale Ablage und gemeinsame Bearbeitung aller Kanzleidokumente. Die Ordnerstruktur lässt sich mandantenbezogen organisieren, und die granulare Rechteverwaltung stellt sicher, dass jeder Mitarbeitende nur auf die Akten zugreifen kann, die für seine Tätigkeit relevant sind.
Für besonders vertrauliche Mandantenakten bietet Nextcloud eine Ende-zu-Ende-Verschlüsselung auf Ordnerebene. Diese Daten sind dann selbst für den Serveradministrator nicht lesbar – ein entscheidendes Sicherheitsmerkmal für die Wahrung der Verschwiegenheitspflicht.
Sichere Kommunikation
Die E-Mail-Kommunikation einer Kanzlei enthält regelmäßig vertrauliche Mandanteninformationen. Mit Mailcow auf eigener Infrastruktur und Unterstützung für S/MIME-Verschlüsselung können Kanzleien sicherstellen, dass sensible Nachrichten nur vom beabsichtigten Empfänger gelesen werden können.
Für den Austausch umfangreicher Dokumente mit Mandanten eignen sich die sicheren Freigabelinks von Nextcloud besser als E-Mail-Anhänge. Die Links können passwortgeschützt und zeitlich begrenzt werden – nach Ablauf der Frist ist der Zugriff automatisch gesperrt.
Passwortmanagement mit Vaultwarden
In einer Kanzlei werden zahlreiche Passwörter benötigt: für das Anwaltskonto, das beA (besonderes elektronisches Anwaltspostfach), Gerichtsportale, Mandantenportale und diverse Online-Dienste. Vaultwarden – die self-hosted Variante von Bitwarden – bietet eine sichere, zentrale Passwortverwaltung für das gesamte Kanzleiteam.
Jeder Mitarbeitende hat seinen eigenen verschlüsselten Tresor, und gemeinsam genutzte Zugangsdaten können über geteilte Ordner sicher verteilt werden. Die Zwei-Faktor-Authentifizierung bietet eine zusätzliche Sicherheitsebene.
Videokonferenzen mit Jitsi
Mandantengespräche per Videokonferenz sind längst Alltag. Mit einem selbst gehosteten Jitsi-Server stellen Sie sicher, dass Ihre Mandantengespräche nicht über die Server von Zoom oder Microsoft laufen. Die Verbindungen sind verschlüsselt, und die Aufzeichnungsfunktion kann bei Bedarf aktiviert oder bewusst deaktiviert werden.
IT-Sicherheitskonzept für Kanzleien: Die Kernelemente
Verschlüsselung auf allen Ebenen
Verschlüsselung muss konsequent umgesetzt werden: auf dem Server (Festplattenverschlüsselung), bei der Übertragung (TLS/SSL) und bei besonders sensiblen Daten auch auf Dateiebene (Ende-zu-Ende-Verschlüsselung). Nur so ist sichergestellt, dass Daten selbst bei einem physischen Diebstahl des Servers oder einem Netzwerkangriff geschützt bleiben.
Zugriffskontrollen und Berechtigungskonzept
Nicht jeder Mitarbeitende braucht Zugriff auf alle Mandantenakten. Ein durchdachtes Berechtigungskonzept nach dem Prinzip der minimalen Rechte stellt sicher, dass jede Person nur auf die Informationen zugreifen kann, die sie für ihre Arbeit tatsächlich benötigt. Chinese Walls zwischen verschiedenen Mandaten lassen sich durch die Ordner- und Berechtigungsstruktur in Nextcloud technisch abbilden.
Backup und Disaster Recovery
Regelmäßige, verschlüsselte Backups sind für Kanzleien existenziell. Ein Datenverlust – ob durch Hardwaredefekt, Ransomware oder menschliches Versagen – kann den Verlust von Mandantenakten bedeuten und die Kanzlei in eine existenzbedrohende Lage bringen. Die 3-2-1-Regel (drei Kopien, zwei Medien, ein externer Standort) bietet ein solides Fundament für die Datensicherung.
Regelmäßige Sicherheitsupdates
Veraltete Software ist eines der größten Einfallstore für Cyberangriffe. Alle Systeme – vom Betriebssystem über die Kanzleisoftware bis zu den Open-Source-Tools – müssen regelmäßig aktualisiert werden. Bei einem Managed-Hosting-Anbieter wird diese Aufgabe automatisch übernommen.
Sensibilisierung der Mitarbeitenden
Die beste Technik schützt nicht vor dem menschlichen Faktor. Phishing-Mails, Social Engineering und unachtsamer Umgang mit Passwörtern sind die häufigsten Ursachen für Sicherheitsvorfälle in Kanzleien. Regelmäßige Schulungen und Sensibilisierungsmaßnahmen sind daher unverzichtbar.
Das besondere elektronische Anwaltspostfach (beA) und Open Source
Das beA ist für Rechtsanwälte verpflichtend und läuft über eine zentrale Infrastruktur der Bundesrechtsanwaltskammer. Daran ändert eine Open-Source-Strategie nichts. Allerdings können alle ergänzenden Systeme – die Dokumentenablage, die interne Kommunikation, das Fristenmanagement – auf Open-Source-Basis betrieben werden. Das beA wird dadurch nicht ersetzt, sondern in eine sichere Gesamtinfrastruktur eingebettet.
Umsetzung in der Praxis
Die Umstellung der Kanzlei-IT auf eine sichere Open-Source-Infrastruktur muss nicht disruptiv sein. Ein bewährter Ansatz ist die schrittweise Migration: Zunächst wird Nextcloud als zusätzliches Dokumentenmanagementsystem eingeführt, parallel zum bestehenden System. Wenn die Mitarbeitenden sich an die neue Umgebung gewöhnt haben, werden weitere Dienste migriert – E-Mail, Passwortmanagement, Videokonferenzen.
Wichtig ist, dass die Migration von einem Dienstleister begleitet wird, der sowohl die technischen als auch die berufsrechtlichen Anforderungen versteht. Eine Kanzlei-IT ist kein Standardprojekt – sie erfordert besondere Sorgfalt bei Verschlüsselung, Zugriffskontrollen und Compliance.
Fazit: IT-Sicherheit ist Mandatsschutz
Für Kanzleien ist IT-Sicherheit nicht nur eine technische Frage, sondern eine berufsrechtliche Pflicht. Die Verschwiegenheit, die Mandanten erwarten und das Gesetz verlangt, muss sich in der gesamten IT-Infrastruktur widerspiegeln. Open-Source-Lösungen auf selbst verwalteter Infrastruktur bieten das höchstmögliche Maß an Kontrolle und Sicherheit – ohne die Kosten und Abhängigkeiten proprietärer Systeme.
Investitionen in IT-Sicherheit sind keine Ausgaben – sie sind Investitionen in das Vertrauen Ihrer Mandanten und den Schutz Ihrer Kanzlei.
Sie möchten Ihre Kanzlei-IT auf ein sicheres Fundament stellen? nexastack.co bietet maßgeschneiderte IT-Lösungen für Kanzleien und Steuerberatungen – mit verschlüsselter Dokumentenablage, sicherer E-Mail und laufendem Support auf deutschen Servern.