Kleine Anwaltskanzleien sind ein eigenes IT-Milieu: hohe Vertraulichkeitsanforderungen, BRAO-Pflichten zur Aktenaufbewahrung, regulatorische Vorgaben (beA, KIM, DATEV-Schnittstellen) — und gleichzeitig oft keine eigene IT-Abteilung. Die Versuchung ist groß, einfach drei Laptops zu kaufen, einen Microsoft-365-Tarif abzuschließen und Akten “irgendwo in OneDrive” abzulegen. Das funktioniert eine Weile — bis der erste Restore-Fall kommt oder die Frage nach DSGVO-konformer Verarbeitung.
Dieser Artikel skizziert eine konkrete, belastbare IT-Architektur für eine dreiköpfige Kanzlei: drei Anwälte/Anwältinnen, evtl. eine Sekretariatskraft, gemischtes Klientel (Wirtschaftsrecht, Familienrecht, Strafrecht — die Mandantenstruktur ist hier egal). Wir bleiben konkret, nennen Komponenten und beschreiben Trade-offs, anstatt nur Buzzwords zu liefern.
Zielsetzung der Architektur
Die IT muss vier Dinge können:
- Akten sicher und nachweisbar speichern — über die gesetzlichen Aufbewahrungsfristen hinaus (BRAO: mindestens 6 Jahre nach Mandatsbeendigung, faktisch oft länger).
- Home-Office und Reisen unterstützen — Anwälte arbeiten heute vom Gericht, vom Café, vom Auto aus.
- Branchensoftware integrieren — DMS, beA, DATEV, NoRA — ohne fragwürdige Workarounds.
- Im Schadensfall (Ransomware, Hardware-Ausfall, Diebstahl) handlungsfähig bleiben.
Wir bauen das auf einer Open-Source-First-Strategie mit pragmatischen kommerziellen Ergänzungen.
Workstations: Notebooks statt Desktops
3× Notebook, 14”–16”, mit folgenden Mindestanforderungen:
- 32 GB RAM (DMS und PDF-Viewer sind speicherhungrig)
- 1 TB NVMe-SSD, BitLocker-verschlüsselt
- Windows 11 Pro (für AD-Anbindung und Gruppenrichtlinien)
- Trusted Platform Module 2.0 (Standard bei aktuellen Geräten)
- Webcam, gute Tastatur (wird unterschätzt — Anwälte schreiben viel)
Empfohlene Hersteller im Mittelfeld: Lenovo ThinkPad T-Serie, Dell Latitude, HP EliteBook. Wer Premium will: Lenovo X1 Carbon, Dell XPS 13 Plus. Gaming-Laptops sind ungeeignet (Akku, Geräuschpegel, Optik im Mandantengespräch).
Externe Monitore in der Kanzlei: 2× 27”-IPS-Monitor pro Arbeitsplatz, USB-C-Docking. 4K ist nicht zwingend, aber WQHD (2560×1440) sollte es schon sein — Anwälte vergleichen oft zwei Dokumente nebeneinander.
Server: TrueNAS Mini X+ als Akten-Server
Das Herzstück der Kanzlei ist ein zentraler Dateispeicher mit Versionsschutz. Wir empfehlen einen TrueNAS Mini X+:
- Kompakt (passt in jedes Büro, kein Server-Raum nötig)
- 4 HDD-Bays + 2× M.2 NVMe-Slots für SLOG/L2ARC
- 10 GbE onboard
- ZFS mit Snapshot-Schutz gegen Ransomware
- TrueCharts / Apps für AD-Anbindung
Bestückung:
- 4× 8 TB HDD im RAIDZ1 → ca. 21 TB nutzbar (mehr als ausreichend für eine Kanzlei dieser Größe)
- Optional 2× 500 GB NVMe als Mirror für VM-Datasets (DMS-Backend, falls on-prem)
Dataset-Layout:
kanzlei/akten— Aktenarchiv, SMB-Freigabe, AD-Permissionskanzlei/vorlagen— Mustervorlagen, allgemeiner Schreibtischkanzlei/buchhaltung— getrennte Permissions, nur Buchhaltungkanzlei/intern— Personalakten, geschäftsführende Anwältekanzlei/scans— Zentrale für Dokumenten-Scanner
Snapshot-Plan: stündlich (Retention 24h), täglich (30 Tage), wöchentlich (12 Wochen), monatlich (24 Monate). Siehe TrueNAS Snapshot Schedule Best Practices.
AD-Anbindung: Entweder ein kleines Windows-Server-AD (auf einer VM, siehe weiter unten) oder Samba-AD direkt auf TrueNAS — siehe TrueNAS Active Directory Domain Join.
Backup: PBS + Cloud nach 3-2-1
Eine Kanzlei darf sich keinen Datenverlust leisten. Das 3-2-1-Backup-Konzept:
- 3 Kopien der Daten
- 2 verschiedene Medien
- 1 Kopie offsite (Cloud)
Konkrete Umsetzung:
- Primär: TrueNAS Mini X+ (Produktiv-Daten + Snapshots)
- Lokal-Backup: Zweites TrueNAS Mini X+ am gleichen Standort (z.B. anderes Stockwerk oder Serverraum) als Replication-Target — täglicher ZFS-Send-Job
- Offsite-Backup: Cloud-Backup zu Storj oder Backblaze B2 verschlüsselt — siehe Cloud Backup Anbieter Vergleich
Für die Workstations zusätzlich ein Proxmox Backup Server (PBS) auf dem zweiten Mini X+ oder einer separaten Hardware — siehe Proxmox Backup Server 4.0 Neuerungen. PBS hat einen Windows-Agent (Beta seit 2025), der NVMe-SSDs der Notebooks deduplizierend sichert.
Wichtig: Backups regelmäßig testen. Ein Backup, das nie restauriert wurde, ist kein Backup. Siehe Backup-Test-Tag: Restore in 30 Minuten.
Firewall: OPNsense auf Mini-PC
Eine professionelle Firewall ist Pflicht — schon weil DSGVO-Audits danach fragen.
Hardware: Mini-PC mit zwei oder vier Intel-i225/i226-Ports (Protectli, Sophos SG-Serie EOL gebraucht, oder ein Lenovo M75q mit 2,5-GbE-Dongle). Investition: 400–800 EUR einmalig.
Konfiguration:
- WAN: Anschluss an Glasfaser- oder DSL-Router (Bridge-Modus, soweit möglich)
- LAN-Kanzlei: intern, AD-Domäne, hierauf Workstations und TrueNAS
- VLAN-Gast: komplett isoliert, eigenes WLAN-SSID für Mandanten und Besucher
- VPN-Endpoint: WireGuard für Home-Office-Zugriff
- DNS-Filterung: AdGuard Home oder Unbound mit Blocklisten — siehe AdGuard Home für Unternehmen
Vorteile gegenüber Consumer-Router:
- VLAN-Segmentierung (Gast nicht im Kanzlei-LAN)
- VPN für Home-Office ohne Drittanbieter-Cloud
- Detaillierte Logs für eventuelle Forensik
- Kein Telemetrie-Abfluss zu Herstellern
Mailserver: M365 oder Mailcow?
Hier gibt es zwei legitime Wege — beide haben Pro und Contra für eine Kanzlei:
Option A: Microsoft 365 Business Standard
Pro:
- Sofort einsatzbereit, kaum Administrationsaufwand
- Exchange Online, Office-Apps, OneDrive, Teams im Paket
- Mobile-Sync ohne Friemelei
- Outlook ist branchenüblich, Mandanten erwarten es
Contra:
- DSGVO-konform nur mit AV-Vertrag und sorgfältiger Konfiguration (Datenresidenz EU, MFA pflicht, Conditional Access)
- Berufsgeheimnisschutz: bei besonders sensiblen Mandaten kritische Betrachtung — Microsoft ist US-Anbieter
- Wiederkehrende Lizenzkosten
Empfehlung: Wer pragmatisch starten will, beginnt mit M365 Business Standard + zusätzlichem MFA-Erzwingen + Conditional-Access-Policies. Für sehr sensible Mandate (Strafverteidigung, Industriespionage-Fälle) zusätzlich verschlüsselte Kommunikation per S/MIME oder PGP.
Option B: On-Prem Mailcow
Pro:
- Vollständige Datenhoheit
- Volle DSGVO-Kontrolle
- Einmalige Investition, keine Subscription
- Lässt sich mit dem Kanzlei-Branding ausstatten
Contra:
- Administrative Verantwortung (DKIM, SPF, DMARC, Reputation, Backups, Updates)
- Externer Webhosting-Partner für Reverse-MX-Relay sinnvoll
- Mobile-Sync braucht extra Config
Empfehlung: Kanzleien mit IT-affinem Anwalt oder externem IT-Partner können Mailcow betreiben — siehe Mailcow für Mittelständler. Wir setzen das selbst regelmäßig auf und betreuen es als Managed-Service.
DMS: Branchen-Spezialsoftware
Hier ist Open-Source-Empfehlung tabu. Anwaltskanzleien arbeiten mit branchenspezifischer Software, die rechtliche Schnittstellen abbildet (Aktenführung, Fristenmanagement, Honorarberechnung nach RVG, beA-Anbindung, DATEV-Schnittstelle).
Marktführer:
- RA-MICRO — sehr verbreitet im Mittelstand, modulares Lizenzmodell
- Advoware — moderne Oberfläche, gute Akten-Strukturen
- AnNoTexT — Cloud-Schwerpunkt, gute Integration
- NoRA — schlanker, oft günstiger Einstieg
Welche dieser Lösungen passt, hängt vom Kanzlei-Profil ab. TrueNAS ersetzt das DMS nicht — TrueNAS ist der Datei-Server, auf dem das DMS seine Akten ablegt. Manche DMS unterstützen direkte SMB-Backends, andere brauchen einen lokalen Windows-Server (auf einer VM in Proxmox auf dem Mini X+, siehe nächster Abschnitt).
VM-Hosting: Proxmox auf separater Box oder TrueNAS-Apps
Für eine Drei-Personen-Kanzlei reicht oft eine kleine Proxmox-Box (Mini-PC mit 32 GB RAM, 2 TB NVMe) zusätzlich zum TrueNAS:
- VM 1: Windows-Server 2022 für AD + DNS + Print
- VM 2: DMS-Server (falls notwendig)
- VM 3: optional Mailcow oder Nextcloud
Alternativ können sehr kleine Kanzleien auf den TrueNAS Apps (Linux-Container) arbeiten — z.B. für Nextcloud, Vaultwarden, AdGuard. Für den Windows-Server bleibt es aber bei einer dedizierten VM (Proxmox).
VPN für Home-Office: WireGuard
Anwälte arbeiten regelmäßig von zu Hause oder unterwegs. Drei Möglichkeiten, sicher auf die Kanzlei zuzugreifen:
- WireGuard auf OPNsense. Jeder Anwalt erhält ein Peer-Config, einmal eingerichtet läuft das. Geringer Overhead, native Apps auf Windows, macOS, iOS, Android.
- RDP über VPN. Wer mit DMS arbeitet, kann sich per RDP auf einen Terminal-Server in der Kanzlei verbinden — alle Daten bleiben dann auf dem Server, das Notebook wird zum Display.
- VDI / Cloud-Lösung. Übertrieben für drei Personen.
Empfehlung: WireGuard + RDP. Siehe OPNsense WireGuard VPN einrichten.
BRAO und Aktenaufbewahrung
Die Bundesrechtsanwaltsordnung (BRAO) verlangt:
- Aktenaufbewahrung mindestens 6 Jahre nach Mandatsbeendigung (§ 50 BRAO)
- Strafverteidigung: oft länger empfohlen (10 Jahre)
- Bei Steuerstrafsachen: 10 Jahre nach AO
- Nach Aktenrückgabe an Mandant: Pflicht zur Kopie für die eigenen Unterlagen
Technisch heißt das:
- Akten dürfen nicht “verschwinden” — Snapshots schützen gegen versehentliches Löschen
- Lange Retention im Backup (mindestens 7 Jahre)
- Bei Hardware-Ausfall: schneller Restore möglich
- Verschlüsselung der Datenträger Pflicht (BitLocker auf Notebooks, ZFS-Encryption auf TrueNAS)
DSGVO und Berufsgeheimnis
Über die DSGVO hinaus gilt für Anwälte § 203 StGB (Verletzung von Privatgeheimnissen). Praktische Konsequenzen:
- AV-Verträge für alle externen Cloud-Komponenten (M365, Storj/B2, ggf. DMS-Cloud)
- MFA überall — kein einfaches Passwort für Akteneinsicht
- Logging von Zugriffen auf sensible Datasets
- Verschlüsselte Mail für besonders sensible Inhalte (S/MIME, PGP)
- beA-Konformität (besonderes elektronisches Anwaltspostfach) ist eigener Stack mit eigener Hardware-Karte
- Kein Schatten-IT — keine privaten Cloud-Speicher der Anwälte
Spezialthema: beA und DATEV
Das beA (besonderes elektronisches Anwaltspostfach) ist Pflicht. Es läuft als eigene Software (Bundesrechtsanwaltskammer), die auf den Workstations installiert wird und eine eigene Karte (BAK-Karte) braucht. Das integriert sich nicht direkt in TrueNAS oder das DMS, einige DMS-Lösungen haben aber beA-Schnittstellen, die die manuellen Schritte reduzieren.
DATEV-Schnittstelle: Wenn die Kanzlei buchhalterisch mit DATEV arbeitet, braucht es eine DATEV-Beratervorlage auf einem Windows-Rechner. Die Daten lassen sich aus dem DMS heraus exportieren.
Gesamt-Investition (Hardware)
Ein Überschlag (rein indikativ, keine konkrete Angebotszahl):
| Komponente | Investitionsbereich |
|---|---|
| 3× Notebook (Mittelklasse-Business) | 3.000–5.000 EUR |
| 2× Monitor pro Platz, Dockingstation | 1.500–2.500 EUR |
| TrueNAS Mini X+ (4× 8 TB HDD) | 3.000–4.500 EUR |
| Zweiter TrueNAS Mini X+ für Backup | 2.500–3.500 EUR |
| OPNsense-Hardware (Mini-PC) | 400–800 EUR |
| Proxmox-Box für VMs | 1.500–2.500 EUR |
| Hardware gesamt | ca. 11.900–18.800 EUR |
Hinzu kommen Software-Lizenzen (Windows-Server, DMS, M365 ggf.), Einrichtung und laufendes Cloud-Backup. Eine konkrete Kalkulation erstellen wir auf Anfrage — die obigen Bereiche sind keine Angebote, sondern Orientierung.
Empfohlener Roll-Out-Plan
- Woche 1–2: Hardware ordern, OPNsense und TrueNAS aufbauen, AD-Domäne einrichten
- Woche 3: Notebooks beziehen, Domäne joinen, Backup einrichten und ersten Restore-Test
- Woche 4: DMS-Installation, Daten-Migration aus Alt-System
- Woche 5: Schulung des Teams, VPN-Setup für Home-Office, Mail-Migration (falls M365)
- Laufend: Monatlicher Snapshot-Check, vierteljährlicher Restore-Test, jährliche IT-Review
Fazit
Eine 3-Personen-Kanzlei verdient eine richtige IT — nicht weniger, aber auch nicht das Sieben-Server-Setup eines Mittelständlers. Mit dieser Architektur erreichen Sie:
- Hohe Datensicherheit (Snapshots + 3-2-1-Backup + Verschlüsselung)
- BRAO-konforme Aufbewahrung (lange Retention, Versionsschutz)
- DSGVO-Konformität (Datenhoheit auf eigener Hardware + AV-Verträge für Cloud-Komponenten)
- Mobile Arbeitsfähigkeit (VPN, RDP, M365-Tarif)
- Wirtschaftlich vertretbar (einmalige Investition, geringe Folgekosten)
Wer das Setup mit uns durchspielen will: Wir beraten genau für solche Profile — Kanzleien, Steuerkanzleien, Notare, Wirtschaftsprüfer. Kontakt.
Quellen und weiterführende Artikel
- TrueNAS für KMU
- TrueNAS Active Directory Domain Join
- TrueNAS Snapshot Schedule Best Practices
- Proxmox Backup Server 4.0 Neuerungen
- Backup-Test-Tag: Restore in 30 Minuten
- OPNsense WireGuard VPN einrichten
- Mailcow für Mittelständler
- Cloud-Backup-Vergleich (Storj, B2, Wasabi, AWS)
- DSGVO-Protokollierungspflichten 2026
Mehr zu diesen Themen:
Weitere Artikel
TrueNAS auf alter Hardware: Wann Recycling, wann neu?
TrueNAS auf ausgemusterter Server-Hardware: Wann sich Recycling für Backup und Sekundärspeicher lohnt, wann ECC-RAM, HBA und Netzteil neu sein müssen.
TrueNAS made-in-USA: Datenschutz-Debatte für EU-Kunden ehrlich beleuchtet
TrueNAS kommt aus den USA -- ist das ein DSGVO-Problem? Ehrliche Analyse zu CLOUD Act, Telemetrie, Source-Available und Support-Verträgen für EU-Kunden.
NFS-Ganesha vs. Kernel-NFSd: Was in TrueNAS wann Sinn ergibt
User-Space Ganesha oder Kernel-NFSd auf TrueNAS? Wir erklaeren Staerken, Grenzen und die richtige Wahl fuer 10GbE-Umgebungen, Proxmox und ESXi.