„Keiner von denen blufft!“

Vor diesem Hintergrund besuchten am 28. Januar 2026 zahlreiche Kolleginnen und Kollegen den vom Berliner Anwaltsverein organisierten „Workshop zur Prävention, Detektion und Reaktion“. Die Referenten KHK Lars Huwald (LKA 724 Berlin Cybercrime, ZAC Berlin), Marcel Frenzel (Perseus Technologies) und Sönke Glanz (IT-Security Manager HDI Versicherung) boten durch ihre berufsbedingt unterschiedliche Herangehensweise hilfreiche Tipps auch für kleinere Einheiten, die sich bisher an das Thema nicht so richtig herangetraut haben.

„ES TRIFFT JEDEN UND ALLES – DIE FRAGE IST NICHT, OB ANGEGRIFFEN WIRD, SONDERN WANN“

Mit diesen düsteren Worten stieg KHK Huwald in seinen Vortrag ein. Er skizzierte, warum gerade Rechtsanwaltskanzleien und Arztpraxen „perfekte Ziele“ für Angriffe seien. Es handle sich in beiden Fällen um hochspezialisierte, mit sensiblen Daten arbeitende Berufsgruppen. Doch die hohe Spezialisierung beziehe sich selten auf das Thema Cyber- bzw. Datensicherheit. Diese sei für die meisten, so KHK Huwald, eine Art „Blackbox“. Obwohl den meisten inzwischen bewusst sei, dass die Prävention wichtig ist, verstehe kaum jemand, wie die Angriffe funktionieren und welche Maßnahmen ergriffen werden können. Dies sei nicht verwunderlich, weil es immer schwieriger werde, den Überblick zu behalten.

Herr Huwald berichtete von aktuellen Entwicklungen. Auch wenn an Straftaten und Angriffsmodi im Ergebnis alles denkbar sei, kristallisierten sich doch immer wieder bestimmte Vorgehensweisen heraus, die wie ein Trend über eine bestimmte Zeit zu beobachten seien. Vor allem Gruppierungen, die weltweit aktiv seien, tauchten immer wieder auf und beherrschten die Angreiferszene.

KEINE TRITTBRETTFAHRER MEHR

Betreffend die Vorgehensweise bei Cybercrime-Angriffen sorgte vor allem eine Einschätzung von Herrn Huwald für die eine oder andere überraschte Reaktion. In der heutigen Realität der Cyberkriminalität gebe es kaum noch Trittbrettfahrer. Die Angreifer agieren hochgradig organisiert, arbeitsteilig und strukturiert. Es handle sich um ein Geschäftsmodell, das sogar einen Service- bzw. Dienstleistungsgedanken beinhalte.

„Paradoxerweise spielt gerade im Darknet die Reputation eine große Rolle“

Beispielhaft nannte Herr Huwald hier die Conti-Ransomware, die eine Art „Kundensupport“ für ihre Opfer anbot. Teil dieses Services waren dann z. B. Support-Chats zur Wiederherstellung von durch den Angriff verschlüsselten Daten oder teilweise Entschlüsselungen. Freilich nur gegen die Zahlung des entsprechend geforderten Betrages. Dies sollte die Zuverlässigkeit der Angreifer belegen, weil paradoxerweise gerade im Darknet die Reputation eine große Rolle spielt. Insofern ähnelt diese Vorgehensweise durchaus Kundenbeziehungen in legalen Märkten – was die Angriffe umso gefährlicher macht.

„Keiner von denen blufft!“, so Herr Huwald. Wenn die Angreifenden damit drohen, Daten zu veröffentlichen, dann täten sie es auch. Dabei hätten die Angreifenden regelmäßig über einen teilweise mehrwöchigen oder mehrmonatigen Zeitraum derart viele Daten abgegriffen, dass sie einen großen Schaden anrichten können. Cyberangriffe dauern im Durchschnitt über mehrere Monate und laufen quasi im Hintergrund, ohne dass die Betroffenen es merken.

NOTFALLPLAN

Nach diesen ernüchternden und streckenweise erschreckenden Informationen drängte sich den Teilnehmenden die Frage auf, was getan werden kann bzw. ob überhaupt eine Verteidigung gegen derartige Angriffe möglich ist –, und zwar idealerweise noch bevor der berühmte „Totenkopf“ auf dem Display erscheint. Während Herr Huwald auf das Cyber-Notfalltelefon der Zentralen Ansprechstelle Cybercrime (ZAC) für Berlin verwies und dafür warb, Ressentiments gegenüber der Involvierung der Polizei im Fall eines Angriffes abzubauen, legten Marcel Frenzel (Perseus Technologies) und Sönke Glanz (HDI Versicherung) ihren Schwerpunkt auf die Frage, wie man sich, das eigene Unternehmen und die Mitarbeitenden vorbereiten und schützen kann.

Das wichtigste Element einer guten Vorsorge, darin waren sich die Referenten einig, ist ein Notfallplan. Dieser sollte nicht nur die Vorgehensweise im Falle eines Angriffes beinhalten. Wichtig ist vor allem, klar und rechtzeitig zu bestimmen, welcher Personenkreis im Falle eines Angriffes überhaupt informiert wird (das kann, muss aber nicht die ganze Belegschaft sein). Dabei sollte im Zuge der Erstellung des Notfallplans stets überlegt werden: Was passiert, wenn meine Kanzlei Tage, Wochen oder sogar Monate aufgrund eines Cyberangriffs stillsteht? Wie kann ich den Weiterbetrieb sichern?

„Was passiert, wenn meine Kanzlei Tage, Wochen oder sogar Monate aufgrund eines Cyberangriffs stillsteht“

Die Sicherung von Daten und die Einarbeitung von Mitarbeitenden stellt das Fundament für einen möglichst geringen Schaden im Falle des Angriffs dar. Gerade bei der Einarbeitung von Mitarbeitenden bieten sich zwar zahlreiche Möglichkeiten, von Schulungen zu Frühwarnsystemen über die Erteilung von direkten Weisungen zum Umgang bei externer Kommunikation, die sog. Compliance- Lösung. Doch gerade die Compliance-Lösung zeigt Tücken bei der Vorbereitung auf. Exemplarisch bildeten die Referenten den Fall, dass Mitarbeitenden verboten wird, auf bestimmte Inhalte, z. B. Mail-Anhänge, zu klicken. Herr Huwald wies in diesem Zusammenhang darauf hin, dass derartige Compliance-Lösungen nicht selten dazu führen, dass Angriffe zunächst unentdeckt bleiben und größeren Schaden anrichten, weil sich Mitarbeitende aus Sorge vor Sanktionen nicht trauen, das eigene Fehlverhalten, z. B. den berühmten Klick auf den E-Mail-Anhang, zu melden. So könnte der Angriff im Hintergrund über Wochen oder Monate hinweg laufen. Zwar müssen alle Mitarbeitenden dahingehend geschult werden, wie mit E-Mails umzugehen ist und wie eine „menschliche Firewall“ in der Kanzlei aufgebaut werden kann. Dies ist vor allem vor dem Hintergrund, dass die meisten Angriffe immer noch über E-Mails initiiert werden, unabdingbar. Doch im Ergebnis waren sich die Referenten dahingehend einig, dass Cybersicherheit ganzheitlich betrachtet werden muss und dies ohne professionelle Hilfe kaum möglich ist.

„PROBESTERBEN“ UND INVOLVIERUNG VON IT-DIENSTLEISTERN

Das „Probesterben“, das von allen drei Referenten als Positiv- Beispiel einer guten Vorbereitung genannt wurde, verdeutlichte einen Vorteil der Involvierung von Dienstleistern. Beim Probesterben wird gezielt ein Angriff oder ein anderer sicherheitsrelevanter Vorgang simuliert, beispielsweise durch das bewusste Ausfallenlassen einzelner Systeme. So lassen sich nicht nur Schwachstellen effektiv ermitteln. Vor allem wird deutlich, ob erarbeitete Notfallpläne funktionieren, Daten-Backups greifen oder die Weiterarbeit trotz des (simulierten) Angriffs möglich ist. Derartige Vorbereitungen rentieren sich nach Auffassung der Referenten immer.

Sönke Glanz von der HDI fasste zusammen, welche wirtschaftliche und schadensmindernde Bedeutung die Involvierung von IT-Dienstleistern und Versicherungen haben kann. Es gehe darum, für potenzielle Angreifer so unattraktiv wie möglich zu sein –, was sich mit spezialisierten Dienstleistern besser bewerkstelligen lasse. Prävention sei hier aus seiner Sicht auch wirtschaftlich stets besser als Reaktion. Als drei wesentliche Elemente nannte er die Multifaktor-Authentifizierung, das sog. Phishing-Training und unveränderbare Offline-Backups. Für Rückfragen oder Beratungsinteresse wenden Sie sich gerne an William Bork, Leiter Regionaldirektion, HDI Deutschland Vertrieb, william.bork@hdi.de, www.hdi.de.