Rechtsanwaltskanzleien und Steuerberatungen verarbeiten Informationen, die zu den sensibelsten \u00fcberhaupt geh\u00f6ren: Mandantengeheimnisse, Finanzunterlagen, Vertragsdetails, laufende Rechtsstreitigkeiten. Die anwaltliche Verschwiegenheitspflicht nach \u00a7 43a BRAO und die steuerliche Verschwiegenheitspflicht nach \u00a7 57 StBerG sind nicht nur ethische Verpflichtungen \u2013 sie sind gesetzliche Pflichten, deren Verletzung strafrechtliche Konsequenzen nach sich ziehen kann.<\/p>\n
In einer Zeit, in der Cyberangriffe auf Kanzleien zunehmen und Datenlecks immer h\u00e4ufiger Schlagzeilen machen, reicht es nicht mehr, sich auf einfache Passw\u00f6rter und einen Virenscanner zu verlassen. Kanzleien brauchen eine durchdachte IT-Sicherheitsstrategie, die sowohl die gesetzlichen Anforderungen erf\u00fcllt als auch den praktischen Kanzleialltag ber\u00fccksichtigt.<\/p>\n
Die Verschwiegenheitspflicht erstreckt sich auf alle Informationen, die dem Anwalt im Rahmen seines Mandats anvertraut werden. Im digitalen Zeitalter bedeutet das: Jedes System, das mandantenbezogene Daten speichert oder verarbeitet, muss so abgesichert sein, dass kein Unbefugter \u2013 weder Hacker, noch Cloud-Anbieter, noch Geheimdienste \u2013 Zugriff auf diese Daten erlangen kann.<\/p>\n
Die Nutzung von US-Cloud-Diensten ist vor diesem Hintergrund besonders kritisch. Der CLOUD Act erm\u00f6glicht es US-Beh\u00f6rden, Zugriff auf Daten zu verlangen, die von US-Unternehmen gespeichert werden \u2013 unabh\u00e4ngig davon, wo die Server stehen. F\u00fcr eine Kanzlei, die ihre Mandantengeheimnisse sch\u00fctzen muss, ist das ein untragbares Risiko.<\/p>\n
Kanzleien sind attraktive Ziele f\u00fcr Cyberkriminelle. Sie verf\u00fcgen \u00fcber wertvolle Informationen \u2013 von Gesch\u00e4ftsgeheimnissen \u00fcber Immobilientransaktionen bis zu M&A-Details. Gleichzeitig investieren viele Kanzleien noch immer zu wenig in IT-Sicherheit. Die Folge: Ransomware-Angriffe, bei denen Kanzleidaten verschl\u00fcsselt und nur gegen L\u00f6segeld freigegeben werden, treffen die Branche \u00fcberproportional h\u00e4ufig.<\/p>\n
Neben der DSGVO und der Verschwiegenheitspflicht m\u00fcssen Kanzleien weitere Vorgaben beachten: Die Berufsordnung f\u00fcr Rechtsanw\u00e4lte (BORA) stellt Anforderungen an die Aufbewahrung und den Schutz von Handakten. Die GoBD regelt die digitale Buchf\u00fchrung und Aufbewahrung. Branchenspezifische Regelungen wie das Geldw\u00e4schegesetz (GwG) stellen zus\u00e4tzliche Anforderungen an die Dokumentation und Datenaufbewahrung.<\/p>\n
Mandantenakten, Schrifts\u00e4tze, Vertr\u00e4ge und Korrespondenz \u2013 das Dokumentenmanagement ist das Herzst\u00fcck jeder Kanzlei. Nextcloud bietet eine sichere Plattform f\u00fcr die zentrale Ablage und gemeinsame Bearbeitung aller Kanzleidokumente. Die Ordnerstruktur l\u00e4sst sich mandantenbezogen organisieren, und die granulare Rechteverwaltung stellt sicher, dass jeder Mitarbeitende nur auf die Akten zugreifen kann, die f\u00fcr seine T\u00e4tigkeit relevant sind.<\/p>\n
F\u00fcr besonders vertrauliche Mandantenakten bietet Nextcloud eine Ende-zu-Ende-Verschl\u00fcsselung auf Ordnerebene. Diese Daten sind dann selbst f\u00fcr den Serveradministrator nicht lesbar \u2013 ein entscheidendes Sicherheitsmerkmal f\u00fcr die Wahrung der Verschwiegenheitspflicht.<\/p>\n
Die E-Mail-Kommunikation einer Kanzlei enth\u00e4lt regelm\u00e4\u00dfig vertrauliche Mandanteninformationen. Mit Mailcow auf eigener Infrastruktur und Unterst\u00fctzung f\u00fcr S\/MIME-Verschl\u00fcsselung k\u00f6nnen Kanzleien sicherstellen, dass sensible Nachrichten nur vom beabsichtigten Empf\u00e4nger gelesen werden k\u00f6nnen.<\/p>\n
F\u00fcr den Austausch umfangreicher Dokumente mit Mandanten eignen sich die sicheren Freigabelinks von Nextcloud besser als E-Mail-Anh\u00e4nge. Die Links k\u00f6nnen passwortgesch\u00fctzt und zeitlich begrenzt werden \u2013 nach Ablauf der Frist ist der Zugriff automatisch gesperrt.<\/p>\n
In einer Kanzlei werden zahlreiche Passw\u00f6rter ben\u00f6tigt: f\u00fcr das Anwaltskonto, das beA (besonderes elektronisches Anwaltspostfach), Gerichtsportale, Mandantenportale und diverse Online-Dienste. Vaultwarden \u2013 die self-hosted Variante von Bitwarden \u2013 bietet eine sichere, zentrale Passwortverwaltung f\u00fcr das gesamte Kanzleiteam.<\/p>\n
Jeder Mitarbeitende hat seinen eigenen verschl\u00fcsselten Tresor, und gemeinsam genutzte Zugangsdaten k\u00f6nnen \u00fcber geteilte Ordner sicher verteilt werden. Die Zwei-Faktor-Authentifizierung bietet eine zus\u00e4tzliche Sicherheitsebene.<\/p>\n
Mandantengespr\u00e4che per Videokonferenz sind l\u00e4ngst Alltag. Mit einem selbst gehosteten Jitsi-Server stellen Sie sicher, dass Ihre Mandantengespr\u00e4che nicht \u00fcber die Server von Zoom oder Microsoft laufen. Die Verbindungen sind verschl\u00fcsselt, und die Aufzeichnungsfunktion kann bei Bedarf aktiviert oder bewusst deaktiviert werden.<\/p>\n
Verschl\u00fcsselung muss konsequent umgesetzt werden: auf dem Server (Festplattenverschl\u00fcsselung), bei der \u00dcbertragung (TLS\/SSL) und bei besonders sensiblen Daten auch auf Dateiebene (Ende-zu-Ende-Verschl\u00fcsselung). Nur so ist sichergestellt, dass Daten selbst bei einem physischen Diebstahl des Servers oder einem Netzwerkangriff gesch\u00fctzt bleiben.<\/p>\n
Nicht jeder Mitarbeitende braucht Zugriff auf alle Mandantenakten. Ein durchdachtes Berechtigungskonzept nach dem Prinzip der minimalen Rechte stellt sicher, dass jede Person nur auf die Informationen zugreifen kann, die sie f\u00fcr ihre Arbeit tats\u00e4chlich ben\u00f6tigt. Chinese Walls zwischen verschiedenen Mandaten lassen sich durch die Ordner- und Berechtigungsstruktur in Nextcloud technisch abbilden.<\/p>\n
Regelm\u00e4\u00dfige, verschl\u00fcsselte Backups sind f\u00fcr Kanzleien existenziell. Ein Datenverlust \u2013 ob durch Hardwaredefekt, Ransomware oder menschliches Versagen \u2013 kann den Verlust von Mandantenakten bedeuten und die Kanzlei in eine existenzbedrohende Lage bringen. Die 3-2-1-Regel (drei Kopien, zwei Medien, ein externer Standort) bietet ein solides Fundament f\u00fcr die Datensicherung.<\/p>\n
Veraltete Software ist eines der gr\u00f6\u00dften Einfallstore f\u00fcr Cyberangriffe. Alle Systeme \u2013 vom Betriebssystem \u00fcber die Kanzleisoftware bis zu den Open-Source-Tools \u2013 m\u00fcssen regelm\u00e4\u00dfig aktualisiert werden. Bei einem Managed-Hosting-Anbieter wird diese Aufgabe automatisch \u00fcbernommen.<\/p>\n
Die beste Technik sch\u00fctzt nicht vor dem menschlichen Faktor. Phishing-Mails, Social Engineering und unachtsamer Umgang mit Passw\u00f6rtern sind die h\u00e4ufigsten Ursachen f\u00fcr Sicherheitsvorf\u00e4lle in Kanzleien. Regelm\u00e4\u00dfige Schulungen und Sensibilisierungsma\u00dfnahmen sind daher unverzichtbar.<\/p>\n
Das beA ist f\u00fcr Rechtsanw\u00e4lte verpflichtend und l\u00e4uft \u00fcber eine zentrale Infrastruktur der Bundesrechtsanwaltskammer. Daran \u00e4ndert eine Open-Source-Strategie nichts. Allerdings k\u00f6nnen alle erg\u00e4nzenden Systeme \u2013 die Dokumentenablage, die interne Kommunikation, das Fristenmanagement \u2013 auf Open-Source-Basis betrieben werden. Das beA wird dadurch nicht ersetzt, sondern in eine sichere Gesamtinfrastruktur eingebettet.<\/p>\n
Die Umstellung der Kanzlei-IT auf eine sichere Open-Source-Infrastruktur muss nicht disruptiv sein. Ein bew\u00e4hrter Ansatz ist die schrittweise Migration: Zun\u00e4chst wird Nextcloud als zus\u00e4tzliches Dokumentenmanagementsystem eingef\u00fchrt, parallel zum bestehenden System. Wenn die Mitarbeitenden sich an die neue Umgebung gew\u00f6hnt haben, werden weitere Dienste migriert \u2013 E-Mail, Passwortmanagement, Videokonferenzen.<\/p>\n
Wichtig ist, dass die Migration von einem Dienstleister begleitet wird, der sowohl die technischen als auch die berufsrechtlichen Anforderungen versteht. Eine Kanzlei-IT ist kein Standardprojekt \u2013 sie erfordert besondere Sorgfalt bei Verschl\u00fcsselung, Zugriffskontrollen und Compliance.<\/p>\n
F\u00fcr Kanzleien ist IT-Sicherheit nicht nur eine technische Frage, sondern eine berufsrechtliche Pflicht. Die Verschwiegenheit, die Mandanten erwarten und das Gesetz verlangt, muss sich in der gesamten IT-Infrastruktur widerspiegeln. Open-Source-L\u00f6sungen auf selbst verwalteter Infrastruktur bieten das h\u00f6chstm\u00f6gliche Ma\u00df an Kontrolle und Sicherheit \u2013 ohne die Kosten und Abh\u00e4ngigkeiten propriet\u00e4rer Systeme.<\/p>\n
Investitionen in IT-Sicherheit sind keine Ausgaben \u2013 sie sind Investitionen in das Vertrauen Ihrer Mandanten und den Schutz Ihrer Kanzlei.<\/p>\n