Umfrage zeigt: Cybersicherheit in der Anwaltskanzlei ist Mitarbeitersache

Das Thema Cybersicherheit und Datenschutz wird von vielen Anwaltskanzleien verdrängt. Nach dem Motto „Wird schon nichts passieren“ beschäftigt man sich erst damit, wenn „das Kind schon in den Brunnen gefallen“ ist. „Wie steht es um Cybersicherheit in Anwaltskanzleien?“, hat die MkG-Redaktion in einer Umfrage unter kleinen bis mittelgroßen Anwaltskanzleien in Deutschland deshalb gefragt. Lesen Sie hier die wichtigsten Ergebnisse.

Cybersicherheit berührt den Kern der anwaltlichen Tätigkeit und Rechtsberatung: Vertrauen bei Mandanten erzeugen und aufrechterhalten. Gleichzeitig wachsen die Ansprüche an Effizienz und Erreichbarkeit. Immer mehr Mandanten möchten unkompliziert, schnell und am liebsten rund um die Uhr papierlos über ihre Fälle informiert und beraten werden. Nicht nur aufgrund des Vertrauensverhältnisses zum Mandanten, sondern auch per Berufsrecht, haben Anwältinnen und Anwälte die Verpflichtung, das Risiko, dass sensible Daten in falsche Hände geraten, so gering wie möglich zu halten. Die MkG-Redaktion wollte wissen, wie es um die Cybersicherheit in deutschen Anwaltskanzleien steht. Hier die zentralen Ergebnisse der Auswertung:

Cybersicherheit ist ein Zukunftsthema

Eine eindeutige Mehrheit von 79 Prozent weist dem Thema Cybersicherheit mittlere bis hohe Relevanz zu, 36 Prozent davon sogar eine hohe Relevanz. Nur 21 Prozent der Kanzleien stufen die Wichtigkeit als gering ein. So gut wie alle befragten Kanzleien sehen Cybersicherheit als ein Zukunftsthema: 93 Prozent glauben, dass sie zukünftig eine noch größere Rolle spielen wird.

Wie schütze ich mich vor Hackerangriffen?

Cybersicherheit ist ein „großes Wort“, aber welche Themen umfasst der Begriff?  Eine Idee davon, bekommt man, wenn man fragt, in welchen Bereichen Informationsbedarf besteht. In der MkG-Umfrage standen folgende Punkte zur Wahl: Datenschutz, Schutz vor Hackerangriffen, Mitarbeiter-Schulung in Sachen Cybersicherheit, Cyber-Versicherung, Schutzsoftware und -tools sowie die Wahl und Wartung von Hardware. 25 Prozent wollen mehr darüber wissen, wie man sich effektiv vor Hackerangriffen schützt. Darüber hinaus fühlt sich etwa ein Drittel in den Bereichen Datenschutz und der Auswahl von Schutzsoftware noch nicht ausreichend informiert.

Ein Drittel übernimmt IT-Sicherheit selbst, ein weiteres Drittel gibt sie an externe Dienstleister ab

Neben dem Informationsbedarf ist auch die praktische Umsetzung von Cybersicherheit von hoher Bedeutung, um den Status Quo in diesem Beriech einzuschätzen. Deshalb haben wir die an der Untersuchung beteiligten Kanzleien gefragt, wer bei ihnen für IT-Sicherheit und -Wartung  der Kanzlei verantwortlich ist. Hier sind die Vorgehensweisen recht unterschiedlich: 31 Prozent der Kanzleien geben diese Aufgabe an externe Dienstleister weiter, während 33 Prozent die IT-Sicherung und -Wartung festen Mitarbeitern überlässt. Bei 27 Prozent der Kanzleien wechseln sich die Mitarbeiter in dieser Aufgabe ab. Nur bei 10 Prozent der Anwaltskanzleien wird die IT-Sicherung und -Wartung von Rechenzentren übernommen.

Die eine Hälfte prüft mindestens zweiwöchentlich, die andere seltener

Auch wenn das Thema Cybersicherheit unter deutschen Anwaltskanzleien eher unbeliebt ist, kommen die meisten der Pflicht, ihre Systeme regelmäßig zu prüfen nach. 42 Prozent der Befragten geben an, wöchentlich oder zweiwöchentlich eine Prüfung durchzuführen. Der Anteil, der sie seltener oder unregelmäßig prüft, ist jedoch etwa genauso groß: 24 Prozent prüfen ihre Systeme jedes halbe Jahr, 13 Prozent nur einmal pro Jahr und 18 Prozent nur unregelmäßig.

Die Mehrheit der Befragten hat keinen Notfallplan gemäß DSGVO

Was ist im Worst Case zu tun? Um den gravierenden Auswirkungen eines Hackerangriffs vorzubeugen, ist ein fester Notfallplan die beste Prophylaxe. Hier handelt die große Mehrheit der Anwaltskanzleien jedoch nach dem Prinzip Verdrängung: 70 Prozent geben an, erst über das weitere Vorgehen eines Hackerangriffs zu entscheiden, wenn es tatsächlich dazu kommt. Diese erfüllen somit nicht die notwendigen Datenschutzregelungen gemäß DSGVO. Nur 19 Prozent der Befragten haben hingegen einen festen Notfallplan, der schriftlich festgehalten wurde.

Die meisten Kanzleien sehen keine Notwendigkeit für eine Cyber-Versicherung

Die geringe Gefahreneinschätzung von Cybersicherheit in Deutschlands Anwaltskanzleien schlägt sich auch bei der Absicherung nieder: Eine Mehrheit von 70 Prozent möchte keine Cyber-Versicherung abschließen und plant  auch nicht, dies zu tun. 14 Prozent der Befragten haben bereits eine Cyber-Versicherung abgeschlossen. 16 Prozent denken zumindest darüber nach. Sind die Befragten nicht ausreichend über entsprechende Versicherungsangebote informiert oder schätzen sie die Gefahr lediglich als gering ein? Ihre persönliche Erfahrung gibt ihnen immerhin Recht: Bisher sind nur 12 Prozent der befragten Kanzleien einem Hackerangriff zum Opfer gefallen. Wie ist jedoch die weitere Entwicklung des Risikos einzuschätzen, wenn Kanzleien immer digitaler werden?

Gefahrenquelle Nr. 1: Unvorsichtige Mitarbeiter

Obwohl die Mehrheit der befragten Kanzleien keinen Notfallplan für den Fall eines Hackerangriffs besitzt, fühlen sich die meisten trotzdem gut informiert. Mit dem Inkrafttreten der DSGVO im Mai 2018 haben die meisten Kanzleimitarbeiter eine Schulung absolviert und geben nach eigenen Angaben an, den DSGVO-Standards zu entsprechen. Gleichzeitig werden schlecht geschulte oder schlecht informierte Mitarbeiter als Hauptquelle für eventuelle IT-Sicherheitslücken betrachtet. Ein Drittel (31 Prozent) sieht dies als die größte Gefahr an. Auch E-Mails (22 Prozent) sowie veraltete Hard- und Software (20 Prozent) zählen nach Ansicht der Anwaltskanzleien zu den größten Risikofaktoren.

Auch Datensicherung ist als Teilaspekt von Cybersicherheit ein Kernbereich professioneller und moderner Kanzlei-IT. Hier setzen die meisten (53 Prozent) auf die „gute alte“ externe Festplatte, während nur 24 Prozent der Befragten auf moderne Cloud-Systeme setzen. Überraschend und ein wenig erschreckend: Etwa genauso viele nutzen noch veraltete Datensicherungsmethoden wie die CD-ROM oder Backup-Konzepte per Bandsicherung. Auch bei der Datensicherung liegt die Verantwortlichkeit in den meisten Fällen in der Hand eines festen Kanzleimitarbeiters (59 Prozent). Ein Drittel übergibt diese Aufgabe an einen externen Dienstleister.

Fazit: Mitarbeiterschulung das A und O der IT-Sicherheit

Die Untersuchung hat gezeigt: Deutsche Anwaltskanzleien sind in puncto Cybersicherheit sehr unterschiedlich aufgestellt, sowohl was die Aktualität ihrer IT betrifft, als auch beim Wissensstand. Unabhängig vom Niveau lässt sich jedoch bei den meisten Befragten feststellen, dass die Mehrheit der Aufgaben von festen Kanzleimitarbeitern erledigt wird. Mitarbeiterschulung ist deshalb das A und O einer fundierten IT-Sicherheit.