Meldung vom 16.03.2025

Am 12.03.2025 sind wir Opfer eines Cyberangriffs durch unbekannte Täter geworden. Unsere Microsoft Office 365 Konten wurden übernommen und mutmaßlich gelöscht. Die Cyberattacke ereignete sich außerhalb unserer eigenen Systeme und lag im Herrschaftsbereich des Anbieters Microsoft. Aktuell haben wir keinen Zugriff auf mehrere Dienste:

  • Keine E-Mails, keine Aufgaben, keine Kalender (Ausfall Exchange)
  • Kein Aktenzugriff (Ausfall Sharepoint)
  • Keine Aufgaben- und Vorgangsverwaltung, Fristen oder Wiedervorlagen (Ausfall Office)
  • Keine Office Anwendungen (Outlook, Word, Excel, Powerpoint, Teams usw.)
  • Keine Benachrichtigungen über unserer Webseite durch Ausfall des E-Mail-Servers (Termine, Aufträge usw.)

Telefonisch sind wir aktuell auch nicht erreichbar, da das Sekretariat unsere Mitarbeiter nicht per E-Mail kontaktieren kann und unsere Telefonanlage ebenfalls teilweise mit Microsoft Teams verknüpft ist.

Ob und welche Daten kompromittiert wurden, kann aktuell noch nicht beurteilt werden.  Es kann jedoch nicht ausgeschlossen werden, dass Unbekannte Zugriff auf empfangene oder / und gesendete E-Mails hatten und im Übrigen auf Namen, Anschriften, E-Mail-Adressen, Telefonnummern, Geburtsdaten oder sonstige Akteninhalte.

Alle E-Mails die Sie uns ab/ab dem 12.03.2025 gesendet haben sind mit hoher Wahrscheinlichkeit verloren. Dies betrifft auch Daten die Sie über unsere Webseite www.ksw-legal.de hochgeladen haben, da wir auch hierüber keine Benachrichtigungen per E-Mail erhalten haben. Aufträge von Rahmenvertragspartnern sollten nach Wiederherstellung unserer Systeme erneut übermittelt werden.

Aufgrund des Totalausfalls können wir aktuell keine Beratungstermine, Buchhaltungen, Lohnabrechnungen, Jahresabschlüsse, Steuererklärungen oder sonstige Dienste erbringen. Soweit Sie mit uns einen Termin vereinbart haben, müssen wir diesen im Moment Absagen. Soweit bei Ihnen Fristen ablaufen, bemühen Sie sich bitte bei den zuständigen Stellen eigenständig um eine Fristverlängerung.

Die Störung wurde Microsoft am 12.03.2025 umgehend mitgeteilt, so dass Microsoft weitere Schritte veranlassen konnte und die Zugänge der Täter gesperrt hat. Aktuell haben wir trotz Dutzender Anrufe, E-Mails und Tickets bei dem Anbieter noch immer keinen Zugriff auf die IT-Systeme und versuchen unser Bestes Microsoft dazu zu bewegen, den Vorgang des Zugriffs zu beschleunigen.

Nach wiedererlangtem Zugriff werden die IT-Systeme zunächst forensisch geprüft, danach wird eine Datenwiederherstellung erfolgen und eine abschließende Prüfung der Systeme auf Vollständigkeit und Sicherheit. Es wird noch einige Zeit dauern, bis wir zum Normalbetrieb zurückkehren können. Seien Sie versichert wir Arbeiten mit Hochdruck daran, sind aber von Microsoft abhängig.

Sobald wir wieder vollständigen und sicheren Zugriff auf die Systeme haben, informieren wir Sie über unseren Newsletter und auf unserer Webseite (bitte senden Sie uns dann erst E-Mails ab / am 12.03.2025 erneut). Bis dahin senden Sie bitte keine E-Mails oder übermitteln Angaben und Unterlagen über unsere Webseite (uns erreichen keine E-Mails / Benachrichtigungen). Wir bitten Sie um Verständnis und Geduld. Wir kontaktieren Sie, um abgesagte Termine neu zu vereinbaren.

Zu dem Vorgang ist ein Ermittlungsverfahren beim Kriminalfachdezernat 12, Tegernseer Landstraße 216, 81549 München unter Aktenzeichen BY8732-500972-25/0 anhängig.

Der Vorfall wurde dem Bayerischen Landesamt für Datenschutzaufsicht, Promenade 18, 91522 Ansbach  unter Aktenzeichen FE8087D6 gemeldet.

Weitere Informationen zu Verhaltensmaßnahmen Ihrerseits finden Sie hier.

Falls Sie ungewöhnliche Aktivitäten (E-Mails, Finanztransaktionen o.ä.) wenden Sie sich an die Strafverfolgungsbehörden und ändern sicherheitshalber Ihre Zugangsdaten (Kennwörter usw.).

Nach Art. 82 Abs. 1 DSGVO haftet der Auftragsdatenverarbeiter Microsoft Deutschland GmbH, Walter-Gropius-Straße 5 80807 München für materielle oder immaterielle Schäden.

Meldung vom 20.03.2025

wir haben seit heute wieder Zugriff und konnten unsere Systeme intensiv prüfen und wiederherstellen um Sicherheit und Zuverlässigkeit zu gewährleisten.

Bitte senden Sie uns E-Mails die Sie am / ab dem 12.03.2025 gesendet haben jetzt erneut zu (an den jeweiligen Ansprechpartner). Rahmenvertragspartner können über die bekannten Online-Tools wieder Aufträge einstellen. Alle Funktionen sind wiederhergestellt.

Soweit Sie mit uns Beratungstermine vereinbart hatten, die abgesagt wurden, kontaktieren wir Sie gesondert.

Microsoft hat uns am 20.03.2025 um 10:00 Uhr den Zugriff auf den Office 365 Tenant gewährt und wir konnten zusammen mit einem IT-Forensiker eine Analyse durchführen. Nach aktuellem Kenntnisstand hat der Täter sich einen neuen Account erstellt, sich administrative Rechte vergeben und alle anderen Accounts inkl. der globalen Administratoren gelöscht. Die bisherigen Auswertungen haben ergeben, dass der oder die Täter keine Daten abgegriffen haben. Es fanden sich keinerlei Hinweise darauf, dass auf die E-Mail-Konten zugegriffen wurde oder auf Akten die auf Sharepoint / OneDrive gespeichert waren. Welchen Nutzen der Täter aus dem Cyberangriff gezogen haben kann, ist fragwürdig. Aktuell ist auch noch ungeklärt, wie genau der Täter Zugriff erlangen konnte. Wir haben diesbezüglich bei Microsoft entsprechende Sicherheitsprotokolle angefragt. Unsere Systeme wurden vollständig nach Schadsoftware durchsucht, ohne Ergebnis. Hausintern haben wir alle Kennwörter geändert und die Multi-Faktor-Authentifizierung verändert. Die Ermittlungen der Strafverfolgungsbehörden werden noch andauern. Über neuere Erkenntnisse informieren wir Sie über unsere Webseite.

Durch den Cyberangriff fehlt uns knapp eine Woche Arbeitszeit und in der Folge sind mehrere Hundert Vorgänge liegengeblieben. Wir arbeiten alle Vorgänge, Aufträge, Wiedervorlagen usw. anhand von rechtlichen Kriterien zur Priorisierung (Fristsachen, sehr hoher zu erwartender Schaden, Haftsachen, Unterbringung usw.) ab. Bei drohendem Fristablauf von Finanzbuchhaltungen beantragen wir eigenständig Fristverlängerungen. Die Lohnbuchhaltung wird ohne Beeinträchtigung erstellt werden. Jahresabschlüsse von offenlegungspflichtigen Unternehmen mit Fristablauf zum 31.03.2025 werden schnellstmöglich erstellt, andere Steuererklärungen mit Fristablauf zum 31.05.2025 folgen.

Wir bedanken uns für Ihr Vertrauen, Ihr Verständnis und Ihre Nachsicht.