Der Versicherungsmakler des ÖRAK, AON Austria, stellt ein umfassendes Versicherungsangebot bereit, das Schäden durch Cyber-Angriffe sowie die daraus resultierenden Folgekosten absichert. Dieses Produkt steht österreichischen Rechtsanwaltskanzleien zu exklusiven Konditionen zur Verfügung. Was tun, wenn trotz intensiver Sicherheitsvorkehrungen im Vorfeld dennoch ein Cyber-Angriff erfolgt und die Kanzlei stillsteht? Frau Mag.a Kerstin Keltner von AON Austria und Albert Quehenberger, Founder der AQ Forensics, geben Einblicke.
Rechtsanwaltskanzleien sind vor Cyber-Angriffen nicht gefeit. Wie sieht ein typischer Angriff auf die IT-Infrastruktur eines Unternehmens aus?
Quehenberger: Ein typischer Cyber-Angriff auf die IT-Infrastruktur eines Unternehmens ist heute meist kein isoliertes Ereignis, sondern folgt häufig einer mehrstufigen „Kill Chain“. Der Einstieg kann über unterschiedliche Angriffsvektoren erfolgen. Häufig werden Social-Engineering-Methoden eingesetzt, bei denen Mitarbeiter mit glaubwürdigen Szenarien wie Mandatsanfragen, Gerichtsschreiben oder Nachrichten vermeintlicher Dienstleister konfrontiert werden, um Handlungen auszulösen oder Zugangsdaten zu erlangen. Dabei kommen zunehmend KI-basierte Technologien zum Einsatz, da sie den Aufwand auf Täterseite deutlich reduzieren und Angriffe sprachlich, inhaltlich und zeitlich immer professioneller und schwerer erkennbar machen.
Daneben gibt es weiterhin klassische softwarebasierte Angriffe, etwa durch das Ausnutzen ungepatchter Systeme, unsicher konfigurierter Dienste oder kompromittierter Fernzugänge. Diese erfolgen oft automatisiert und ohne direkte Interaktion mit Mitarbeitern.
Je nach Täterprofil unterscheidet sich das weitere Vorgehen. Einzeltäter agieren meist opportunistisch, während organisierte Gruppen strukturiert entlang der Kill Chain vorgehen. Nach dem initialen Zugriff folgen interne Erkundung, Ausweitung von Berechtigungen und die gezielte Vorbereitung des Angriffs. Erst in einer späteren Phase wird Ransomware eingesetzt, häufig kombiniert mit der vorherigen Kopie sensibler Daten.
Angriffe sind in der Praxis daher meist Kombinationen mehrerer Angriffsvektoren und lassen sich weder auf eine einzelne E-Mail noch auf einen rein technischen Fehler reduzieren.
Im Angriffsfall: ruhig bleiben
Wie sollte man im Angriffsfall reagieren?
Quehenberger: Im Angriffsfall ist vor allem eines wichtig: ruhig bleiben und strukturiert vorgehen. Zunächst sollte der Vorfall technisch eingegrenzt werden, um eine weitere Ausbreitung zu verhindern. Das kann etwa bedeuten, betroffene Systeme oder Zugänge gezielt zu isolieren. Gleichzeitig sollte man überstürzte Maßnahmen vermeiden, da diese Beweise vernichten oder die Situation ungewollt verschärfen können.
Parallel dazu empfiehlt sich eine erste technische und forensische Einschätzung. Dabei geht es darum zu verstehen, welche Systeme betroffen sind, ob Daten abgeflossen sein könnten und ob der laufende Betrieb grundsätzlich wieder aufgenommen werden kann. Erst wenn diese Punkte klar sind, lassen sich fundierte Entscheidungen über die nächsten Schritte treffen.
Gleichzeitig sollten auch rechtliche Aspekte berücksichtigt werden. Fragen zu Meldepflichten, Haftung und möglichen Folgerisiken sollten geklärt sein, bevor nach außen kommuniziert oder weitergehende Maßnahmen gesetzt werden. Unkoordinierte Kommunikation kann den Schaden sonst deutlich vergrößern.
In dieser Phase steht nicht die vollständige Aufklärung im Vordergrund, sondern die Stabilisierung der Situation. Ziel ist es, den Schaden zu begrenzen, die Handlungsfähigkeit zu sichern und eine verlässliche Grundlage für alle weiteren Entscheidungen zu schaffen.
Keltner: Sofern man eine Cyber-Versicherung abgeschlossen hat, sollte man sich im Vorfall unverzüglich an die 24/7-Hotline wenden, damit der Versicherer sein Assistance-Netzwerk aktivieren kann, um die Versicherten im Vorfall aktiv zu unterstützen.
Oftmals verlangen die Angreifer Lösegeld für die Beendigung des Angriffs bzw die Wiederherstellung der Daten. Sollte man zahlen oder ist das Geld dann einfach weg?
Quehenberger: In der Praxis steht zu Beginn nicht die Frage nach einer Zahlung, sondern die technische Klärung, ob Daten oder Systeme noch in einer Form vorliegen, die eine Rückkehr zu einem funktionsfähigen Betriebszustand überhaupt zulässt. Es gibt Fälle, in denen Unternehmen zwar erpresst werden, faktisch aber weder Daten noch Systemzugriffe in einer Weise gesichert oder nutzbar gemacht werden können, die einen regulären Geschäftsbetrieb ermöglichen. In solchen Konstellationen ist eine Zahlung wirkungslos und kann auf persönliche oder nicht rein wirtschaftliche Motive hindeuten, etwa im Zusammenhang mit Insidern oder ehemaligen Mitarbeiterinnen und Mitarbeitern. Unabhängig davon ist die Identifikation der Täter bei Ransomware-Angriffen regelmäßig erschwert, da diese anonym agieren, technische Verschleierungsmechanismen nutzen und sich häufig außerhalb der österreichischen oder europäischen Strafverfolgungszuständigkeit bewegen.
Ist es grundsätzlich möglich, die Kontrolle über Systeme zurückzuerlangen oder den Geschäftsbetrieb technisch wieder aufzunehmen, stellt sich die Frage der Zahlung als wirtschaftliche Entscheidung. In Österreich ist die Zahlung von Lösegeld nicht automatisch rechtswidrig, sie kann jedoch rechtlich heikel sein, wenn dadurch sanktionierte oder terroristisch zuordenbare Strukturen finanziert werden. Das in Kryptowährungen geleistete Lösegeld ist aufgrund der Eigenschaften dieser Systeme nicht zwingend verloren, eine Zahlung bietet jedoch weder Rechtssicherheit noch eine Garantie für die Wiederherstellung der operativen Handlungsfähigkeit oder das Ende der Erpressung.
In der Realität wird häufig pragmatisch gehandelt. Unternehmen entscheiden sich für eine Zahlung, unterlassen eine Meldung des Vorfalls und versuchen, die Situation möglichst rasch zu bereinigen, um den operativen Stillstand zu begrenzen und zeitnah wieder wirtschaftlich handlungsfähig zu sein. Dieses Vorgehen ist gängige Praxis, ersetzt jedoch keine strukturierte technische und rechtliche Bewertung und kann – insbesondere im Nachgang – erhebliche rechtliche, wirtschaftliche und reputative Folgerisiken nach sich ziehen.
Meist erfolgen die Angriffe aus dem Ausland, sodass eine Verfolgung nur über internationale Zusammenarbeit mit den ausländischen Strafbehörden möglich ist. Wie hoch sind die Chancen, die Angreifer tatsächlich zu fassen?
Quehenberger: Die Chancen, Angreifer tatsächlich zu identifizieren und strafrechtlich zu verfolgen, sind in der Praxis eher gering. Die meisten Angriffe werden aus dem Ausland durchgeführt, häufig unter Nutzung verteilter Infrastruktur und aus Jurisdiktionen mit eingeschränkter Rechtshilfe. Ermittlungen sind daher langwierig und stark von internationaler Zusammenarbeit abhängig, die nur in einzelnen Fällen zu konkreten Ergebnissen führt. Eine schnelle Ausforschung der Täter ist die Ausnahme.
Aus forensischer Sicht liegt der Fokus daher häufig nicht auf der Identifikation der handelnden Personen, sondern auf der Nachverfolgung der Vermögenswerte. Kryptowährungstransaktionen hinterlassen nachvollziehbare Spuren, die unabhängig von nationalen Grenzen analysiert werden können. Ziel ist es, Zahlungsflüsse zu dokumentieren, Zusammenhänge herzustellen und gegebenenfalls Ansatzpunkte für weitere Maßnahmen zu schaffen.
Rund um dieses Thema existieren viele Legenden, etwa dass der Einsatz von Mixern eine Verfolgung grundsätzlich unmöglich mache. In der Praxis werden solche Dienste seltener eingesetzt als oft angenommen. Auch wenn sie genutzt werden, bedeutet das nicht automatisch das Ende der Nachvollziehbarkeit. Abhängig von Zeitpunkt, Volumen, Struktur der Transaktionen und weiteren Faktoren bestehen durchaus Möglichkeiten, Zahlungsströme weiter zu analysieren und einzuordnen.
Wie kann man die eigene Rechtsanwaltskanzlei bestmöglich absichern, damit Angriffe gar nicht erst erfolgreich sind?
Quehenberger: Um eine Rechtsanwaltskanzlei bestmöglich vor Cyber-Angriffen zu schützen, geht es nicht um einzelne Maßnahmen, sondern um ein abgestimmtes Gesamtkonzept. Ziel ist es, Angriffsversuche frühzeitig zu erkennen und so abzuwehren, dass es nicht zu einem tatsächlichen Sicherheitsvorfall kommt.
Wichtig ist eine Sensibilisierung der Mitarbeiterinnen und Mitarbeiter
Viele Angriffe lassen sich bereits durch einfache Maßnahmen verhindern. Da Angriffe häufig über Social Engineering erfolgen, ist die Sensibilisierung der Mitarbeiterinnen und Mitarbeiter zentral. Dazu gehört etwa das sorgfältige Prüfen von Absenderadressen, das Überfahren von Links mit dem Cursor sowie ein grundsätzlich kritischer Umgang mit ungewöhnlichen oder zeitkritischen Anfragen.
Auf technischer Ebene sind aktuelle Softwarestände, klare Zugriffsbeschränkungen, starke Authentifizierungsmechanismen und regelmäßig getestete, getrennt aufbewahrte Backups essenziell. Sie tragen dazu bei, Angriffe zu stoppen oder deren Auswirkungen so zu begrenzen, dass der Kanzleibetrieb rasch wieder aufgenommen werden kann.
Ergänzt werden diese Maßnahmen durch klare organisatorische Abläufe, definierte Zuständigkeiten und regelmäßige Überprüfungen der Sicherheitsvorkehrungen. Ein passender Cyber-Versicherungsschutz kann im Schadensfall zusätzliche Unterstützung leisten, etwa bei Forensik, Wiederherstellung und Betriebsunterbrechungen.
Absolute Sicherheit gibt es nicht. Entscheidend ist jedoch, dass Angriffsversuche nicht automatisch zu erfolgreichen Angriffen werden und die Kanzlei auch im Ernstfall handlungsfähig bleibt.
Wobei hilft die Cyber-Versicherung?
Keltner: Eine Cyber-Versicherung unterstützt aktiv bei der Bewältigung der Krise. Über eine 24/7- Hotline verschafft sie den Versicherten unmittelbaren Zugang zu einem Expertennetzwerk aus den Bereichen Krisenmanagement, Forensik, Verhandlungsführung und PR-Beratung. Diese Dienstleister unterstützen die Versicherten aktiv bei der Abwehr und Bereinigung des Cyber-Angriffs, sowie bei der Wiederherstellung des IT-Systems. Im Krisenfall arbeiten die Dienstleister des Versicherers in enger Abstimmung mit den IT-Dienstleistern der Versicherten zusammen, um die Krise zu bewältigen. Darüber hinaus bietet die Versicherung eine umfassende finanzielle Absicherung. Neben der Übernahme der Kosten für Experten sind auch Mehrkosten zur Aufrechterhaltung des Geschäftsbetriebes, bspw durch die Anmietung von Hardware und der entgangene Gewinn in der Zeit der Unterbrechung versichert. Im Fall einer Ransomware-Attacke bietet die Cyber-Versicherung vollumfänglichen Versicherungsschutz für alle Kosten und Aufwendungen, die in diesem Zusammenhang entstehen, auch für Erpressungsgelder.
Neben dieser sogenannten Eigenschadenkomponente sind auch Haftpflichtansprüche von Dritten in Zusammenhang mit der Offenlegung von Daten oder der Verletzung von Geheimhaltungsvereinbarungen versichert. Dies gilt auch für etwaige Vertragsstrafen im Zusammenhang mit Non-Disclosure-Agreements. Sofern die Versicherten Opfer einer Cyber-Attacke werden und die Schadsoftware an Dritte weitergeben, sind auch die dadurch verursachten Schäden im Rahmen der Haftpflichtversicherung versichert.
Zusammengefasst kann man also sagen, sie hilft im Cyber-Vorfall vollumfänglich, von Anfang bis zum Ende und sogar schon vor dem Angriff durch präventive Dienstleistungen, um eine Cyber-Attacke bestmöglich zu verhindern.
Wo kann man die Cyber-Versicherung abschließen?
Die Informationen und das Antragsformular stehen im ÖRAK-Mitgliederbereich unter www.oerak.at zur Verfügung.
Möchten Sie mehr Einblicke in die Bekämpfung von Cyber-Crime erlangen und Details zur Cyber-Versicherung erfahren? Nehmen Sie am kostenlosen Webinar mit Frau Mag.a Kerstin Keltner und Albert Quehenberger am 10.03.2026, 17:00-18:00 teil.
Mag. Kerstin Keltner
geb 1988; studierte Rechtswissenschaften in Wien, seit zwölf Jahren in der Versicherungsbranche tätig, mit Fokus auf Beratung und Vermittlung von Cyber-Versicherungen und Cyber-Riskmanagement, seit 2022 Director Cyber Solutions und Prokuristin der Aon Austria GmbH, Lektorin an der Donau Universität Krems, Auditorin bei Austrian Standards, Co-Founder Women in Insurance Austria
Albert Quehenberger
geb 1983; ist mehrfach zertifizierter Blockchain-Forensiker, Anwärter zum gerichtlich beeideten Sachverständigen sowie Gründer und CEO von AQ Forensics.
Er ist spezialisiert auf die forensische Analyse von Kryptowährungen in Betrugs- und Kriminalfällen, Ransomware-Attacken, digitalem Nachlass und Mittelherkunftsnachweisen.
Quehenberger berät nationale und internationale Behörden, Strafverfolgungsstellen, Anwaltskanzleien und Unternehmen, hielt Fachvorträge vor den Vereinten Nationen und begleitete in Äthiopien ein internationales Ausbildungsprogramm im Web3-Umfeld. Zudem ist er Autor und Vortragender.