Ein Ransomware-Angriff legt die Kanzlei über Nacht lahm. Mandantendaten sind verschlüsselt, Fristen drohen zu verstreichen, und der Anwalt erfährt am Morgen davon aus einer Erpressernachricht auf seinem Bildschirm. Was vor einigen Jahren noch als unwahrscheinliches Szenario galt, ist 2026 für viele kleinere und mittelgroße Kanzleien bittere Realität geworden. Laut dem BSI-Lagebericht 2025 richteten sich rund 23 Prozent aller gemeldeten Ransomware-Vorfälle gegen Unternehmen aus dem Beratungs- und Dienstleistungssektor, zu dem Anwaltskanzleien zählen.
Was das Berufsrecht konkret fordert
Für Rechtsanwälte ist IT-Sicherheit keine freiwillige Extraleistung. Die Pflicht ergibt sich aus mehreren Quellen gleichzeitig. Die Berufsordnung der Rechtsanwälte (BORA) verlangt in Paragraph 2 die Wahrung des Mandatsgeheimnisses. Das Bundesdatenschutzgesetz sowie die DSGVO verpflichten zur technischen und organisatorischen Absicherung personenbezogener Daten. Artikel 32 DSGVO fordert ausdrücklich Maßnahmen wie Verschlüsselung, Zugangskontrollen und ein Verfahren zur regelmäßigen Überprüfung der Schutzmaßnahmen.
Seit dem Inkrafttreten des NIS2-Umsetzungsgesetzes in Deutschland, das schrittweise seit Ende 2024 greift, gelten für bestimmte Kanzleien zusätzliche Meldepflichten gegenüber dem BSI. Betroffen sind vor allem größere Kanzleien, die als Teil kritischer Infrastrukturen eingestuft werden oder Dienstleistungen für solche erbringen. Doch auch kleinere Büros mit fünf bis zehn Anwälten stehen nicht außen vor: Aufsichtsbehörden und Anwaltskammern haben in den vergangenen 18 Monaten ihre Prüftätigkeit zur IT-Compliance merklich intensiviert.
Typische Schwachstellen in der Kanzlei-IT
Die häufigsten Sicherheitslücken sind keine technischen Exoten. Sie lassen sich auf drei Kernprobleme zurückführen:
- Veraltete Software: Viele Kanzleien betreiben Anwaltssoftware wie RA-MICRO oder DATEV auf Windows-Systemen, die seit Monaten kein Sicherheitsupdate mehr erhalten haben.
- Fehlende Mehrfaktor-Authentifizierung: Ein gestohlenes Passwort genügt, um Zugang zum gesamten Mandantenstamm zu erhalten.
- Unzureichende Datensicherung: Backups existieren zwar, werden aber nicht regelmäßig auf Wiederherstellbarkeit getestet. Im Ernstfall sind sie wertlos.
Hinzu kommt das Risiko durch mobiles Arbeiten. Anwälte greifen von Heimnetzwerken, Hotels oder dem Zug auf Kanzleidaten zu, häufig ohne gesicherte VPN-Verbindung. Ein unverschlüsselter Laptop, der in einem Taxi liegen bleibt, kann eine meldepflichtige Datenschutzverletzung nach Artikel 33 DSGVO auslösen, die bei der zuständigen Landesbehörde innerhalb von 72 Stunden angezeigt werden muss.
Managed Services als pragmatischer Weg
Viele Kanzleien haben weder die personellen Ressourcen noch das technische Know-how, um eine vollständige IT-Sicherheitsstruktur intern aufzubauen. Ein eigener IT-Administrator ab 60.000 Euro Jahresgehalt ist für eine Kanzlei mit acht Anwälten schlicht nicht wirtschaftlich. Genau hier setzen Managed Services an, bei denen externe Dienstleister die laufende Betreuung, Überwachung und Absicherung der IT übernehmen, zu kalkulierbaren Monatspauschalen.
Ein typisches Paket für eine mittelgroße Kanzlei umfasst Patch-Management, also das automatische Einspielen von Sicherheitsupdates, ein zentrales Monitoring aller Systeme rund um die Uhr, Endpoint Detection and Response (EDR) auf allen Arbeitsplätzen sowie ein gemanagtes Backup mit täglichen Tests der Wiederherstellbarkeit. Manche Anbieter liefern zusätzlich einen schriftlichen Sicherheitsbericht, der bei Prüfungen durch Datenschutzbehörden oder die Kammer als Nachweis vorgelegt werden kann.
Worauf Kanzleien bei der Dienstleisterwahl achten müssen
Wer IT-Sicherheit auslagert, trägt dennoch die datenschutzrechtliche Verantwortung. Der Managed-Service-Vertrag muss einen vollständigen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO enthalten. Fehlt dieser, haftet die Kanzlei bei einem Vorfall selbst, auch wenn der Fehler beim Dienstleister lag. Ein Bußgeld der Datenschutzaufsicht von 50.000 Euro wegen fehlender vertraglicher Grundlage ist keine theoretische Zahl, sondern entspricht Fällen, die 2024 in Deutschland tatsächlich verhängt wurden.
Weitere Mindestanforderungen an einen geeigneten IT-Dienstleister:
- Nachgewiesene Erfahrung mit berufsrechtlich regulierten Branchen (Anwälte, Steuerberater, Ärzte)
- Serverstandorte ausschließlich in der EU oder im EWR
- Zertifizierung nach ISO 27001 oder nachweisbarer Aufbau eines ISMS
- Klare Reaktionszeiten im SLA, mindestens vier Stunden bei kritischen Vorfällen
Die Haftungsfrage bei einem Sicherheitsvorfall
Wer als Anwalt gegen seine Pflicht zur vertraulichen Mandatsbehandlung verstößt, riskiert nicht nur berufsrechtliche Konsequenzen. Mandanten können zivilrechtliche Schadensersatzansprüche geltend machen, wenn ihnen durch einen Datenverlust nachweislich ein Schaden entstanden ist. Das Oberlandesgericht Köln hat 2023 in einem vergleichbaren Fall aus dem Steuerberatungsbereich klargestellt, dass fehlende technische Schutzmaßnahmen als Organisationsverschulden gewertet werden können.
Hinzu kommen Reputationsschäden. Mandanten, deren sensible Verfahrensdaten durch einen Angriff öffentlich werden, wechseln die Kanzlei. Das ist für eine Kanzlei, die von Weiterempfehlungen lebt, schwerer zu verkraften als jede Geldstrafe.
Konkrete erste Schritte für 2026
Wer seine Kanzlei jetzt absichern will, sollte in drei Phasen vorgehen. Erstens: eine ehrliche Bestandsaufnahme. Welche Systeme sind im Einsatz, wer hat Zugriff auf was, und wann wurde zuletzt ein Backup auf Wiederherstellbarkeit geprüft? Zweitens: die Lücken priorisieren. Mehrfaktor-Authentifizierung für alle externen Zugänge lässt sich innerhalb weniger Tage einführen und schließt eine der häufigsten Einfalltore sofort. Drittens: einen Partner für die laufende Betreuung suchen, der die berufsrechtlichen Anforderungen an Anwaltskanzleien kennt und entsprechende Vertragsdokumentationen mitliefert.
IT-Sicherheit in der Kanzlei ist 2026 keine technische Nischenfrage mehr. Sie ist eine Berufspflicht, eine Haftungsfrage und ein entscheidender Faktor für das Vertrauen der Mandanten.
- Petechien und ärztliche Aufklärungspflicht - 5. Juli 2026
- IT-Sicherheit in der Kanzlei 2026: Pflichten & Lösungen - 5. Juli 2026
- Barrierefreiheit im Mietrecht 2026: Rechte für Mieter - 5. Juli 2026




