Use Cases

Ransomware-Angriff auf eine Kanzlei

Oliver Derwisch
veröffentlicht am
16.07.2026
-
min. geschätzte Lesezeit
Teile auf
Inhaltsübersicht

Zusammenfassung: Ein Ransomware-Angriff über einen infizierten USB-Stick verschafft Cyberkriminellen Zugriff auf die IT-Systeme einer Steuerberaterkanzlei und führt zu einer vollständigen Systemverschlüsselung. Während die Angreifer Lösegeld fordern, ist der Zugriff auf sensible Mandantendaten über Tage hinweg blockiert. Die Cyberversicherung Cyber Safe von Baobab fängt die finanziellen Folgen dieses Vorfalls auf, indem sie die Kosten für die IT-Forensik, den Systemwiederherstellungsaufwand, die Rechtsberatung zur Meldung von Datenschutzverletzungen sowie den Ertragsausfall während der Betriebsunterbrechung abdeckt.

Für wen ist das relevant? Dieses Szenario betrifft Kanzleien, Steuerberater, Wirtschaftsprüfer und freiberufliche Dienstleister, die täglich mit sensiblen Mandanten- und Finanzdaten arbeiten. Es ist besonders relevant für kleinere Kanzleien ohne eigene IT-Abteilung, bei denen der physische Datenaustausch im Alltag eine Rolle spielt und die gesetzlich zu strengem Datenschutz nach der DSGVO verpflichtet sind.

Der Angriffsablauf

Der reguläre Kanzleibetrieb wurde durch die Nutzung eines ungesicherten Speichermediums unterbrochen. Der Steuerberater hatte auf einem Fachkongress einen scheinbar harmlosen USB-Stick als Werbegeschenk erhalten und diesen an einem Kanzlei-PC angeschlossen. Kurze Zeit später erhielt er den Hinweis eines Geschäftspartners, dass auf der Veranstaltung manipulierte USB-Sticks mit Schadsoftware im Umlauf waren.

Aufgrund dieser Warnung ließ die Kanzlei ihre IT-Systeme durch einen externen Dienstleister überprüfen. Das Ergebnis bestätigte den Verdacht: Ein Schadprogramm (Malware) hatte sich bereits auf den Systemen eingerichtet. Die Angreifer hatten sich dadurch unbemerkt vollen Zugriff auf die Kanzleisysteme und die dort gespeicherten Mandantendaten verschafft. Kurz darauf wurden die Systeme verschlüsselt und eine Erpressergeld-Forderung in Höhe von 25.000 Euro für die Entschlüsselung gestellt.

Der Schaden

Trotz der Lösegeldforderung von 25.000 € beliefen sich die wirtschaftlichen Gesamtkosten des Vorfalls für die Kanzlei auf 32.000 €:

  • Sieben Tage Systemausfall: Für eine volle Woche war der Zugriff auf alle Kanzleisysteme, Fristenkalender, Steuerprogramme und Mandantenakten blockiert. Der Betrieb stand still.
  • Verpflichtende Mandanteninformation: Da personenbezogene und sensible Finanzdaten betroffen waren, musste die Kanzlei alle Mandanten über den Vorfall informieren und den Vorfall der Datenschutzbehörde melden.
  • Wiederherstellung & Forensik: Die Bereinigung der Systeme, die forensische Untersuchung zur Überprüfung des Datenabflusses sowie der Neuaufbau der Arbeitsplätze verursachten zusätzliche Dienstleisterkosten.

Wie hätte BRS diesen Vorfall verhindert und abgesichert?

Cyber Safe und die integrierten Risikolösungen

Die Cyberversicherung Cyber Safe sowie die im Tarif enthaltenen präventiven Werkzeuge hätten die Kanzlei vor den finanziellen und organisatorischen Folgen geschützt:

  • Soforthilfe und Forensik ohne Kostenrisiko: Über den kostenlosen Cybernotruf steht das Incident Response Team von Baobab Risk Solutions innerhalb von Minuten bereit. Die 48h-Keine-Kosten-Garantie übernimmt die Kosten für IT-Spezialisten und Forensiker zur Schadensbegrenzung und Systembereinigung in den ersten zwei Tagen komplett – ohne Selbstbehalt.
  • Übernahme von Drittschadensprüchen & DSGVO-Beratung: Da Mandantendaten betroffen waren, deckt die Police die Kosten für die rechtliche Beratung, die Prüfung von Ansprüchen Dritter sowie die rechtssichere Vorbereitung der Meldungen an Mandanten und Behörden ab.
  • Mitarbeiter-Prävention durch Awareness Schulungen: Kanzleimitarbeiter werden durch die integrierten Schulungsmodule für physische Sicherheitsrisiken – wie das Anschließen unbekannter USB-Sticks – sensibilisiert, wodurch solche Angriffsvektoren im Vorfeld vermieden werden.
  • IT-Krisenplan für schnelles Handeln: Der mitgelieferte IT-Krisenplan gibt Kanzleien bei Verdachtsmomenten sofort verständliche Handlungsschritte an die Hand, um infizierte Rechner sofort zu isolieren und eine Ausbreitung im Kanzleinetzwerk zu verhindern.

Mit Baobab MDR den Angriff automatisch abwehren

Der zubuchbare Service Baobab MDR (Managed Detection and Response) bietet Kanzleien eine kontinuierliche, aktive Abwehr direkt auf den Endgeräten:

  • Verhaltensbasierte Echtzeit-Erkennung: Da Schadsoftware auf USB-Sticks oft speziell modifiziert wird, um klassische Antivirenprogramme zu umgehen, setzt Baobab MDR auf eine verhaltensbasierte Analyse. Sobald die Malware auf dem USB-Stick versucht, unbefugte Prozesse zu starten oder Daten zu verschlüsseln, schlägt das System an.
  • Automatische Isolation und Schadensvermeidung: Das mitgelieferte Tool isoliert den betroffenen Arbeitsplatz-PC in Echtzeit vom Rest des Netzwerks. Die Security-Experten des 24/7 besetzten Security Operations Centers (SOC) analysieren den Vorfall sofort. Der Angriff wird gestoppt, noch bevor die Kriminellen Zugriff auf die Mandantendatenbanken erlangen oder andere Server verschlüsseln können. Der siebentägige Systemausfall und die Pflicht zur Mandantenbenachrichtigung wären vollständig abgewendet worden.

Der Blogartikel wurde verfasst von