Geopolitische Cyberrisiken sind für Anwaltskanzleien längst kein Randthema mehr. Sie sind unmittelbar, beständig und untrennbar mit der Arbeit verbunden, die Kanzleien für ihre Mandanten leisten. Anwaltskanzleien befinden sich an der Schnittstelle zwischen grenzüberschreitenden Transaktionen, sensiblen Rechtsstreitigkeiten und regulatorischen Angelegenheiten, die staatliche Interessen berühren können. Daher sind sie nicht nur selbst Ziele, sondern auch Zugänge zu ihren Mandanten und den von ihnen bearbeiteten Angelegenheiten.
In Zeiten eskalierender geopolitischer Spannungen dienen Cyberoperationen der Durchsetzung staatlicher Interessen und erstrecken sich auch auf benachbarte Organisationen im privaten Sektor. Für Anwaltskanzleien gehen diese Entwicklungen über technische Störungen hinaus und haben Auswirkungen auf die Mandantenbeziehungen, darunter verzögerte Transaktionen, Gefährdung der Vertraulichkeit und verstärkte behördliche Kontrollen (siehe hier).
Dieses Risiko lässt sich nicht allein durch technische Kontrollmaßnahmen bewältigen. Es erfordert Führungsentscheidungen in den Bereichen Risikotoleranz, Kundenengagement, Governance und Rechenschaftspflicht. Ein gewisses Risiko ist unvermeidbar; die Ergebnisse hängen davon ab, wie damit umgegangen wird.
Drei bewusste Entscheidungen versetzen Unternehmen in die Lage, Vertrauen zu bewahren, ihre Handlungsfähigkeit unter Beweis zu stellen und widerstandsfähig zu agieren. Das Risiko bestimmt, was das Unternehmen akzeptiert. Die Leistungsfähigkeit bestimmt, was es leisten kann. Die Entscheidungsbefugnis bestimmt, wie es handelt.
Entscheidung Nr. 1: Geopolitische Risikotoleranz und Risikosteuerung festlegen
Geopolitische Cyberrisiken sind eine Führungsentscheidung: Sie betrifft das Risikoniveau, das die Kanzlei akzeptieren will. Diese Entscheidung umfasst zwei Aspekte: die Festlegung der Risikotoleranz und deren konsequente Anwendung bei der Mandanten- und Mandatsauswahl.
Die Annahme neuer Mandate birgt sowohl Chancen als auch Risiken. Viele Kanzleien fokussieren sich auf Ersteres und definieren Letzteres nicht hinreichend. Ohne klare Positionierung verändert sich das Risikoprofil einer Kanzlei durch neue Standorte, Mandanten und Mandate schleichend – ohne dass dies bewusst gesteuert wird. Die Folge ist eine „Risiko-Drift“: Das Risiko wächst über die Zeit, ohne dass Kapazitäten oder Governance entsprechend angepasst werden.
Die Definition der Risikotoleranz erfordert ihre Anwendung bei der Mandats- und Klientenauswahl, denn nicht alle Mandate sind gleich risikoreich. Aufgaben, die sensible Rechtsordnungen, staatlich verbundene Einrichtungen oder regulierte Technologien betreffen, können das Risikoprofil erheblich verändern. Diese Risiken sind zu Beginn oft nicht erkennbar und manifestieren sich erst durch Vertragsstrukturen, Datenflüsse oder Beziehungen zwischen den Parteien. Ohne einen strukturierten Ansatz behandeln Kanzleien unter Umständen alle Mandate als gleichwertig – obwohl das definitiv nicht der Fall ist.
Jüngste Cyberangriffe auf Kanzleien wie Covington & Burling verdeutlichen, wie sich dieses Risiko konkret äußert: Die Angreifer – mutmaßlich staatlich gesteuert – nahmen gezielt die Kommunikation bestimmter Anwälte ins Visier, um Informationen für die Verfolgung geopolitischer Ziele zu erlangen. Die Kanzlei war dabei nicht das eigentliche Ziel, sondern der Zugangspunkt. Die Erkenntnis liegt auf der Hand: Das Risiko durch Klienten und Mandate ist der primäre Kanal, über den geopolitische Risiken in eine Kanzlei gelangen. Dies spiegelt ein allgemeineres Muster wider, von dem Organisationen aller Branchen betroffen sind (siehe hier).
Die Unternehmensleitung muss zwischen gewöhnlichen und erhöhten Risiken unterscheiden und diese Unterscheidung konsequent anwenden. Dazu kann es gehören, Risikoindikatoren in die Klienten- und Mandatsannahme zu integrieren sowie Eskalationswege festzulegen, um erhöhte Risiken zu erkennen und zu bewältigen. Ist die Kanzlei nicht bereit oder nicht in der Lage, diese Investitionen zu tätigen, muss sie möglicherweise bestimmte Mandate einschränken oder ein höheres Risikoniveau in Kauf nehmen.
Entscheidung Nr. 2: Sicherheitsmaßnahmen am akzeptierten Risikoniveau ausrichten
Diese Führungsentscheidung betrifft die zentrale Frage: Können wir die Risiken, für die wir uns entschieden haben, tatsächlich tragen? Die Diskrepanz zwischen Risikoanspruch und tatsächlicher Leistungsfähigkeit entsteht oft schleichend – wenn Kanzleien risikoreichere Mandate annehmen, ohne die erforderlichen Sicherheitsmaßnahmen entsprechend anzupassen.
Bei der Aufnahme neuer Mandanten oder Aktivitäten, die den digitalen Fußabdruck der Kanzlei erheblich vergrößern – etwa die Förderung von Remote-Arbeit –, sollten Führungskräfte kritisch prüfen, ob die vorhandenen Kapazitäten ausreichen, um das akzeptierte Risikoniveau zu tragen. Ist dies nicht der Fall, bestehen drei Optionen: in den Aufbau dieser Kapazitäten zu investieren, die betreffende Aktivität einzuschränken oder bewusst mit einem erhöhten Risikoniveau fortzufahren.
Die Vertretung eines prominenten oder politisch sensiblen Mandanten – wie in Entscheidung Nr. 1 beschrieben – erhöht die Wahrscheinlichkeit, ins Visier genommen zu werden. Die Abstimmung der Sicherheitsmaßnahmen auf das jeweilige Risiko ist daher grundlegend für eine erfolgreiche, risikobewusste Mandatsführung.
Eine ähnliche Dynamik gilt für operative Entscheidungen: Remote-Arbeit erweitert den Zugriff auf Kanzleisysteme und sensible Informationen über Standorte und Geräte hinweg. Um diese Flexibilität abzusichern, sind strengere Authentifizierungsverfahren, Gerätekontrolle und Überwachungsmaßnahmen erforderlich. Fehlen diese Kapazitäten, muss die Kanzlei entscheiden, ob sie investiert – oder das Arbeitsmodell einschränkt.
Die Wahl zwischen den drei Optionen – akzeptieren, investieren oder einschränken – ist eine unternehmerische Entscheidung, die jede Kanzlei individuell treffen muss. Wenn Kapazitäten und Risiko aufeinander abgestimmt sind, kann die Kanzlei mit Zuversicht handeln. Fehlt diese Abstimmung, bleiben Lücken bestehen – die sich oft erst unter Druck zeigen, wenn die Kosten der Fehlausrichtung am größten sind.
Entscheidung Nr. 3: Entscheidungsbefugnis für die Reaktion auf Cybervorfälle festlegen
Geopolitische Cybervorfälle stellen nicht nur die Reaktionsfähigkeit auf die Probe, sondern auch die Governancestrukturen: Wer ist befugt zu handeln? Wie werden Entscheidungen getroffen? Und können diese rechtzeitig umgesetzt werden, um den Schaden zu begrenzen?
Kanzleien sollten im Voraus festlegen, wer handlungsbefugt ist, wie Probleme eskaliert werden und unter welchen Umständen die Führungsebene eingeschaltet wird. Dies schließt die Definition klarer Eskalationskriterien ein. Geschäftsführende Partner, CISOs und Leiter der Rechtsabteilung übernehmen dabei unterschiedliche Rollen – diese müssen aufeinander abgestimmt sein, bevor ein Vorfall eintritt. Klare Zuständigkeiten und Verantwortlichkeiten entscheiden darüber, ob getroffene Entscheidungen im Nachhinein nachvollziehbar begründet werden können.
Ein typisches Beispiel: Hat die Kanzlei im Voraus festgelegt, wer befugt ist, kritische Geschäftssysteme während eines Vorfalls abzuschalten, um eine weitere Ausbreitung einzudämmen? Diese Entscheidung sollte vor – nicht während – eines Störfalls getroffen werden.
Klare Entscheidungsbefugnisse ermöglichen eine schnellere Eindämmung, eine konsistentere Kommunikation und besser begründbare Ergebnisse. Ohne sie sind Kanzleien gezwungen, unter größtem Zeitdruck zu handeln, ohne Klarheit darüber zu haben, wer entscheiden darf – und genau dann sind die Kosten einer Verzögerung am höchsten.
Letztendlich ist dies eine Frage der Einsatzbereitschaft: Kann die Kanzlei ihre Entscheidungen umsetzen, wenn es darauf ankommt?
Governance: Die drei Entscheidungen zu einem kohärenten System verbinden
Governance ist der Mechanismus, der diese Entscheidungen miteinander verknüpft und darüber entscheidet, ob sie unter Druck als kohärentes System funktionieren.
Die Entscheidungen sind voneinander abhängig: Die Risikotoleranz beeinflusst die Mandantenauswahl. Das Mandantenrisiko prägt die relevanten Vorfallsszenarien. Die Reaktion auf Sicherheitsvorfälle hängt von klar definierten Entscheidungsbefugnissen ab. Die Einsatzbereitschaft spiegelt wider, wie wirksam diese Elemente unter Druck zusammenspielen. Governance entscheidet darüber, ob diese Entscheidungen wie beabsichtigt umgesetzt werden – und ob sie bei genauer Prüfung verifiziert, getestet und erklärt werden können.
Governance übersetzt die Führungsabsicht in konsequente Praxis. Risikotoleranz, Eskalationswege und Entscheidungsbefugnisse müssen klar definiert sein, bevor sie auf die Probe gestellt werden. Fehlt diese Abstimmung, bleibt Risikotoleranz ein Wunschziel statt gelebter Praxis – und Risiko und Kapazitäten driften im Laufe der Zeit auseinander, selbst wenn einzelne Entscheidungen für sich genommen vernünftig erscheinen.
Europäische Rechtsrahmen untermauern diese Erwartung: Artikel 20 der NIS2-Richtlinie hebt die Verantwortung für Cybersicherheit ausdrücklich auf die Ebene der Vorstände und gleichwertiger Leitungsgremien.
Ohne Governance bleiben Entscheidungen informell und uneinheitlich. Mit Governance bilden sie ein System – nachvollziehbar, überprüfbar und gegenüber Mandanten sowie Aufsichtsbehörden erläuterbar.
Fazit
Zeiten geopolitischer Eskalation sind nicht nur Phasen erhöhten Risikos – sie sind Momente der Entscheidung. Anwaltskanzleien können geopolitische Cyberrisiken zwar nicht beseitigen, aber sie können proaktiv festlegen, wie diese Risiken gesteuert werden.
In solchen Momenten kommt es nicht nur darauf an, welche Entscheidungen getroffen werden. Entscheidend ist, ob die Kanzlei ihre Kapazitäten auf das Risikoniveau abgestimmt hat, das sie zu tragen bereit war.
Die Folgen reichen weit über Systemausfälle hinaus: Sie betreffen das Vertrauen der Mandanten, das Risiko regulatorischer Maßnahmen und die Fähigkeit der Kanzlei, ihre Entscheidungen im Falle einer Überprüfung zu begründen. Kanzleien, die ihren Ansatz im Voraus festlegen, sind besser in der Lage, ihre Mandanten zu schützen, den Geschäftsbetrieb aufrechtzuerhalten und das Vertrauen zu bewahren. Wer dies nicht tut, wird gezwungen sein, Entscheidungen in der Krise zu treffen – wenn die Kosten der Ungewissheit am höchsten sind.
Wie sich Cyberrisiken auswirken, entscheidet sich nicht erst in der Krise. Es kommt auf die Entscheidungen an, die Führungskräfte treffen, bevor eine Krise eintritt.
