Ransomware legt Anwaltskanzlei lahm: 6 Wochen Totalausfall, 2,7 Millionen Euro Schaden

Der Vorfall

Am Dienstag, den 7. Oktober 2025, um 6:14 Uhr morgens begann der Albtraum der Kanzlei Hartmann, Becker & Kollegen. Die Kanzlei — 28 Anwälte, 15 Rechtsanwaltsfachangestellte, drei Standorte in Nordrhein-Westfalen — gehörte zu den renommiertesten Wirtschaftskanzleien der Region. Mandanten aus dem Mittelstand, börsennotierte Unternehmen, vermögende Privatpersonen. Jahrzehntelang aufgebautes Vertrauen.

Um 6:14 Uhr schlug die Ransomware-Gruppe „BlackShade" zu. Der Angriff kam nicht über eine hochkomplexe Zero-Day-Schwachstelle. Er kam über eine E-Mail. Eine einzige E-Mail, die Rechtsanwaltsfachangestellte Petra Vogel am Freitagnachmittag um 16:52 Uhr geöffnet hatte — kurz vor Feierabend, in Eile, unaufmerksam. Der Betreff: „Fristablauf morgen — dringende Mandantenunterlagen". Der Anhang: eine ZIP-Datei mit dem Namen „Vertragsentwurf_Final_v3.zip". In der ZIP-Datei befand sich eine ausführbare Datei, getarnt als PDF.

Das Wochenende über lag die Schadsoftware still. Sie breitete sich lateral im Netzwerk aus, identifizierte Dateifreigaben, Backup-Server, das Dokumentenmanagementsystem. Am Dienstagmorgen, als die ersten Mitarbeiter ihre Computer starteten, war es bereits zu spät.

Auf jedem Bildschirm dieselbe Nachricht:

„Ihre Dateien wurden verschlüsselt. Zahlen Sie 45 Bitcoin (ca. 3,8 Millionen Euro) innerhalb von 72 Stunden, oder Ihre Mandantendaten werden veröffentlicht. Tick, tock."

Seniorpartner Dr. Klaus Hartmann, 62 Jahre alt, erreichte die Kanzlei um 7:30 Uhr. Er beschrieb den Moment später als den schlimmsten seiner Karriere: „Ich stand vor dem Bildschirm und wusste sofort — das hier wird alles verändern."

Die gesamte digitale Infrastruktur war verschlüsselt. Das Dokumentenmanagementsystem mit 340.000 Dokumenten. Die E-Mail-Server. Die Buchhaltung. Die Fristenkalender. Selbst die Backups — denn die NAS-Geräte, auf denen die Sicherungen lagen, waren über das gleiche Netzwerk erreichbar und wurden mitverschlüsselt.

Die Eskalation

Stunde 1–6: Chaos. Die Kanzlei konnte keine E-Mails senden oder empfangen, keine Dokumente öffnen, keine Fristen prüfen. Drei laufende Gerichtsverfahren hatten Fristen in dieser Woche. Ohne Zugriff auf die Akten war eine fristgerechte Einreichung unmöglich. Dr. Hartmann ließ alle Mitarbeiter nach Hause schicken. Es gab schlicht nichts, was sie hätten tun können.

Tag 1–3: Ein Incident-Response-Team der Firma CyberDefend AG wurde eingeflogen. Kosten: 4.800 Euro pro Tag. Die Forensiker stellten fest, dass die Angreifer nicht nur verschlüsselt, sondern auch exfiltriert hatten. 12 Gigabyte Mandantendaten — darunter Unternehmensgeheimnisse, Vertragswerke, M&A-Due-Diligence-Unterlagen und persönliche Daten — waren vor der Verschlüsselung auf Server der Angreifer kopiert worden.

Tag 4: Die Kanzlei meldete den Vorfall an die Datenschutzbehörde und die Rechtsanwaltskammer. Die Pflicht zur Information der betroffenen Mandanten begann. 847 Mandanten mussten über die potenzielle Kompromittierung ihrer Daten informiert werden. Für eine Kanzlei, die von Diskretion lebt, war dies der schwerste Gang überhaupt.

Woche 2: Die Angreifer machten ihre Drohung wahr und veröffentlichten ein „Proof Pack" — 200 Dokumente aus den gestohlenen Daten. Darunter: ein M&A-Vertragsentwurf für eine Unternehmensübernahme im Wert von 180 Millionen Euro, Scheidungsunterlagen eines prominenten Unternehmers mit detaillierten Vermögensaufstellungen, und interne Korrespondenz zwischen der Kanzlei und einem DAX-Konzern über ein laufendes Kartellverfahren. Wirtschaftsmedien berichteten breit.

Woche 3–4: Drei der größten Mandanten — darunter der DAX-Konzern — kündigten das Mandatsverhältnis fristlos. Der Unternehmer, dessen Scheidungsunterlagen veröffentlicht worden waren, reichte eine Klage auf 500.000 Euro Schadensersatz ein.

Woche 5–6: Die IT-Infrastruktur wurde von Grund auf neu aufgebaut. Viele Dokumente konnten aus papierbasierten Akten und externen Quellen rekonstruiert werden — aber nicht alle. 23.000 Dokumente waren unwiederbringlich verloren.

Der Schaden im Detail

Finanzieller Schaden

Kostenposition	Betrag
DSGVO-Bußgeld	890.000 €
Incident Response und IT-Forensik	185.000 €
Neuaufbau IT-Infrastruktur	340.000 €
Umsatzausfall (6 Wochen Stillstand)	620.000 €
Schadensersatz an Mandanten (Vergleiche)	380.000 €
Externe Rechtsberatung (Datenschutz)	120.000 €
PR-Krisenmanagement	75.000 €
Anwaltskosten Verteidigung	90.000 €
Gesamtschaden	2.700.000 €

Reputationsschaden

Der Mandantenstamm schrumpfte in den zwölf Monaten nach dem Angriff um 34 %. Der Jahresumsatz fiel von 8,2 Millionen Euro auf 5,1 Millionen Euro. Fünf Anwälte — darunter zwei Partner — verließen die Kanzlei, um bei Wettbewerbern anzufangen. Die Personalsuche gestaltete sich schwierig: Welcher ambitionierte Anwalt möchte für eine Kanzlei arbeiten, die in den Medien für den größten Datenschutzskandal der regionalen Rechtsbranche bekannt ist?

Rechtliche Konsequenzen

Das DSGVO-Bußgeld von 890.000 Euro wurde mit folgender Begründung verhängt:

• Verstoß gegen Art. 32 DSGVO: Die Backups befanden sich im selben Netzwerk wie die Produktivsysteme und waren nicht gegen Ransomware geschützt. Es fehlte eine Netzwerksegmentierung.
• Verstoß gegen Art. 5 Abs. 1 lit. f DSGVO: Die Kanzlei konnte keine angemessene Sicherheit der Verarbeitung nachweisen. Es gab keine Multi-Faktor-Authentifizierung, keinen E-Mail-Filter für ausführbare Dateien und kein Security-Awareness-Training für Mitarbeiter.
• Erschwerend: Die Daten umfassten Informationen, die dem besonderen Berufsgeheimnis nach § 203 StGB (Anwaltsgeheimnis) unterliegen.

Die Rechtsanwaltskammer leitete zudem berufsrechtliche Ermittlungen gegen die Seniorpartner ein.

Auswirkungen auf den Betrieb

Sechs Wochen Totalausfall bedeuteten: versäumte Gerichtsfristen, nicht eingereichte Schriftsätze, verlorene Verfahren. Zwei Mandanten erlitten nachweisbare finanzielle Schäden, weil Fristen nicht eingehalten wurden. Die daraus resultierenden Haftungsansprüche gegen die Kanzlei sind zum Zeitpunkt dieser Veröffentlichung noch nicht abschließend beziffert.

Was schiefgelaufen ist

1. Keine E-Mail-Sicherheit: Die Kanzlei hatte keinen erweiterten E-Mail-Schutz. Ausführbare Dateien in ZIP-Archiven wurden nicht blockiert. Es gab keinen Sandbox-Filter, der verdächtige Anhänge in einer isolierten Umgebung geprüft hätte.

2. Fehlende Mitarbeiterschulung: Petra Vogel hatte nie ein Security-Awareness-Training erhalten. Die Kanzlei investierte in juristische Fortbildungen, aber nicht in IT-Sicherheitsschulungen. Dabei sind Phishing-E-Mails der Angriffsvektor Nummer eins für Ransomware.

3. Backups im selben Netzwerk: Die fatale Entscheidung, Backup-Geräte im selben Netzwerksegment wie die Produktivsysteme zu betreiben, machte die gesamte Backup-Strategie wertlos. Offline-Backups oder unveränderliche (immutable) Cloud-Backups hätten den Schaden auf Stunden statt Wochen begrenzt.

4. Kein Incident-Response-Plan: Die Kanzlei hatte keinen dokumentierten Plan für den Fall eines Cyberangriffs. Die ersten kritischen Stunden wurden mit Chaos statt mit koordiniertem Handeln verbracht.

5. Unsicherer Dokumentenaustausch: Mandantendokumente wurden routinemäßig per E-Mail empfangen — genau der Kanal, über den der Angriff erfolgte. Ein sicheres Upload-Portal hätte nicht nur den Dokumentenaustausch geschützt, sondern auch die Angriffsfläche für Phishing-E-Mails reduziert, weil Mandanten keine Dokumente mehr per E-Mail hätten senden müssen.

Die Lehren

E-Mail ist kein sicherer Kanal für Dokumente. Diese Erkenntnis ist nicht neu, aber sie wird immer noch ignoriert. E-Mail ist der primäre Angriffsvektor für Ransomware. Wenn Mandanten Dokumente über sichere Upload-Links einreichen statt per E-Mail, sinkt das Risiko eines erfolgreichen Phishing-Angriffs erheblich.

Backups müssen offline oder unveränderlich sein. Ein Backup, das im selben Netzwerk wie die Produktivdaten liegt, ist kein Backup — es ist eine Kopie, die beim nächsten Angriff mitverschlüsselt wird. Die 3-2-1-Regel gilt: drei Kopien, auf zwei verschiedenen Medien, davon eine offline.

Mitarbeiterschulung ist die beste Investition. Die gesamte Katastrophe begann mit einem einzigen Klick. Regelmäßige Phishing-Simulationen und Security-Awareness-Trainings kosten einen Bruchteil dessen, was ein erfolgreicher Angriff kostet.

Verschlüsselter Dokumentenaustausch schützt doppelt. Wenn sensible Mandantenunterlagen über ein verschlüsseltes System wie SendMeSafe ausgetauscht werden, sind sie selbst bei einem Einbruch in die IT-Infrastruktur geschützt, da sie mit eigenständiger Verschlüsselung gespeichert werden. Gleichzeitig dokumentiert der Audit-Trail lückenlos, wer wann auf welche Daten zugegriffen hat.

---

Schützen Sie Ihre Kanzlei, bevor der Ernstfall eintritt. Testen Sie SendMeSafe 14 Tage kostenlos — verschlüsselter Dokumentenaustausch mit Mandanten, ohne E-Mail-Risiko. Keine Kreditkarte erforderlich.

---

Häufig gestellte Fragen

Sind Anwaltskanzleien besonders häufig Ziel von Ransomware?

Ja — und zunehmend. Anwaltskanzleien sind für Cyberkriminelle extrem attraktive Ziele, weil sie hochsensible Daten verarbeiten, die dem Berufsgeheimnis unterliegen. Die Zahlungsbereitschaft ist hoch, weil eine Veröffentlichung der Daten nicht nur den Datenschutz, sondern auch das Anwaltsgeheimnis verletzt. Laut einer Studie der Bundesrechtsanwaltskammer waren 2025 rund 18 % der deutschen Kanzleien von einem Cyberangriff betroffen — Tendenz steigend.

Soll man das Lösegeld bezahlen?

BSI und Strafverfolgungsbehörden raten einhellig davon ab. Die Zahlung finanziert kriminelle Strukturen, garantiert keine vollständige Entschlüsselung (in 20 % der Fälle funktionieren die Entschlüsselungstools nicht oder nur teilweise) und verhindert nicht die Veröffentlichung exfiltrierter Daten. In diesem Fall hatte die Kanzlei nicht gezahlt — die richtige Entscheidung, auch wenn der Wiederaufbau schmerzhaft war.

Wie kann eine Kanzlei den Dokumentenaustausch mit Mandanten absichern?

Der wichtigste Schritt ist die Abkehr von E-Mail als Hauptkanal für den Dokumentenaustausch. Mit sicheren Upload-Links können Mandanten Unterlagen verschlüsselt einreichen, ohne eine App zu installieren oder ein Konto zu erstellen. Die Kanzlei kann für jeden Mandanten individuelle Links mit Passwortschutz und Ablaufdatum erstellen. Das eliminiert Phishing-Risiken und sorgt gleichzeitig für einen vollständigen Audit-Trail — unverzichtbar für die berufsrechtliche Dokumentationspflicht.

Welche Sofortmaßnahmen sollte eine Kanzlei nach einem Ransomware-Angriff ergreifen?

Sofort alle Systeme vom Netzwerk trennen, um eine weitere Ausbreitung zu verhindern. Dann: Incident-Response-Team einschalten, Datenschutzbehörde innerhalb von 72 Stunden informieren, Rechtsanwaltskammer benachrichtigen. Parallel die forensische Analyse starten, um das Ausmaß der Kompromittierung festzustellen. Auf keinen Fall Lösegeld zahlen und keinesfalls versuchen, Systeme eigenständig wiederherzustellen, bevor die Forensik abgeschlossen ist.