So schützen Sie Ihre Steuerkanzlei vor Cyberkriminalität

Im Schatten der technologischen Fortschritte in der Steuerberaterbranche wächst die Bedrohung durch Cyberkriminalität. So können sich Kanzleien vor Datenklau und Erpressung schützen, um ihre Mandanten und ihre eigene Zukunft zu sichern.

Es ist eine grausige Vorstellung: Unbemerkt haben sich Fremde Zugang zum Kanzleinetzwerk verschafft und über viele Wochen akribisch Buchhaltungsbelege, Jahresabschlüsse und Mandantendaten digital gesammelt und auf eigenen Servern gespeichert. Dann geht bei der Kanzlei eine E-Mail ein: „Wir haben ihre Mandantendaten. Zahlen Sie 100.000 Euro in Bitcoin auf dieses Bitcoin Wallet, sonst werden die Daten veröffentlicht“. Eine andere Masche sind so genannte Verschlüsselungstrojaner. Auch hier verschaffen sich Kriminelle Zugang zum IT-System und installieren unbemerkt eine Schadsoftware, die sich über die vernetzten Geräte verbreitet und schließlich die Dateien im infizierten Computernetzwerk verschlüsselt. Wer wieder an seine Daten möchte, muss Lösegeld zahlen.

In beiden Fällen kann es sehr teuer werden, auch wenn nicht gezahlt wird. Die Systeme wiederherzustellen beziehungsweise neu aufzusetzen, ist nicht nur kostspielig, sondern vor allem zeitaufwendig.

Cyberattacken nehmen rasant zu

Laut einer aktuellen Studie des Digitalverbandes Bitkom sind 8 von 10 Unternehmen in Deutschland von Datendiebstahl, Spionage oder Sabotage betroffen. Der angerichtete Schaden ist in den vergangenen zwölf Monaten um 29 Prozent gestiegen, auf die Rekordsumme von 266,6 Milliarden Euro. Für zwei Drittel dieses Schadens – also für 178,6 Milliarden Euro – sind Cyberattacken verantwortlich.

Damit entfallen auf Cybercrime rund 30 Milliarden Euro mehr als im Vorjahr. Tendenz steigend. 80 Prozent der Unternehmen haben in den vergangenen zwölf Monaten eine Zunahme von Cyberattacken verzeichnet. Für die kommenden zwölf Monate erwarten sogar 90 Prozent mehr Cyberattacken, die übrigen zehn Prozent gehen von einem unveränderten Niveau aus, so die nüchternen Zahlen des Bitkom, die auch Kanzleiinhaber wachrütteln sollten.

Steuerkanzleien stehen in einem besonderen Vertrauensverhältnis zu Mandantinnen und Mandanten und bearbeiten in der Regel hochsensible Daten. Sie sind daher ein attraktives Ziel für Cyberkriminelle. Nicht nur das Mandantenvertrauen kann durch Cyberattacken zerstört werden, Angreifer könnten auch Folgeangriffe auf die Betroffenen ausüben. Letztlich besteht neben hohen finanziellen Kosten auch Gefahr, dass die Reputation der Kanzlei so stark beschädigt wird, dass der Angriff sogar das Weiterbestehen der Kanzlei gefährdet.

Wer nicht vorsorgt, gefährdet Mandantendaten

„Alle Unternehmen, die wenig Prävention betreiben, sind gefährdet. Das gilt auch für Steuerkanzleien“, sagt Dr. Marian Corbe, Geschäftsführender Gesellschafter RST Informationssicherheit. Während das Bewusstsein für IT-Sicherheit in großen Steuerkanzleien und Wirtschaftsprüfungsgesellschaften sehr ausgeprägt ist, sieht die Lage in kleineren Kanzleien oft anders aus. Viele Kanzleiinhaber dort sehen keinen Handlungsbedarf, da die Daten nicht im eigenen Haus, sondern auf Servern der DATEV gespeichert werden. Ein Trugschluss, sagt Corbe.

„Verantwortlich für die Datenverarbeitung gegenüber dem Mandanten ist die Kanzlei.“ Bereits auf dem Weg zum sicheren DATEV-Server lauern viele Risiken. Beispielsweise können Informationen bei einem unverschlüsselten Mailversand abgegriffen werden. Ebenso setzt man sich einem Risiko aus, wenn Offline-Kopien von wichtigen Dokumenten lokal auf dem Laptop gespeichert werden, beispielsweise, um während einer Bahnfahrt daran zu arbeiten. Nicht zuletzt besteht auch immer das Risiko, die Kanzleicomputer durch eine Phishing-Mail zu infizieren, die eine unbedachte Aktion eines Mitarbeiters ausgelöst hat. Es sind also nicht nur gezielte Angriffe, sondern auch der fahrlässige Umgang aufgrund eines fehlenden Sicherheitsbewusstseins, die eine Kanzlei zum Opfer von Cyberkriminellen machen kann.

Zu den Risiken zählen:


  • Diebstahl mobiler Geräte
  • Gezielte Hackerangriffe von außen
  • Binnenangriffe
  • Betriebsunterbrechungen durch Systemausfälle
  • Phishing-Attacken, die sensible Daten abgreifen
  • E-Mail-Anhänge, die Schadsoftware installieren
  • Fehlende organisatorische Rahmenbedingungen
  • Unsichere Datenübertragungen
  • Fehlender oder veralteter Virenschutz
  • Schwache Firewall
  • Keine regelmäßige Backups
  • Software, die nicht regelmäßig upgedatet wird
  • Keine Multifaktor-Authentifizierung für kritische Systeme
  • Finanzielle Verluste durch Betriebsausfälle und Erpressung


Mitarbeiter sensibilisieren, Systeme aktuell halten

Laut Bitkom erleiden deutsche Unternehmen am häufigsten Schäden durch Ransomware – also Verschlüssellungstrojaner, die zur Erpressung genutzt werden (31 Prozent), dahinter folgen Phishing-Attacken (26 Prozent), Angriffe auf Passwörter (24 Prozent) und Infizierung mit Schadsoftware (21 Prozent). Um diesen Gefahren zu begegnen, sind regelmäßige Schulungen und Sensibilisierungsmaßnahmen für die Mitarbeitenden ein enorm großer und wichtiger Hebel, beispielsweise, damit Kanzleimitarbeiter die Phishing-Mails trotz der immer professionelleren Machart erkennen und auch Kollegen entsprechend warnen.

Außerdem können regelmäßige interne Testmails die Aufmerksamkeit hochhalten. Ebenso lassen sich durch den richtigen Umgang mit mobilen Geräten Risiken minimieren, zum Beispiel indem Virtual Private Networks (VPNs) für sichere Fernzugriffe verwendet, Daten verschlüsselt gespeichert und Zugänge über eine Multifaktor-Authentifizierung abgesichert werden. Auch Infrastruktur (z.B. Zutrittsmöglichkeiten) und Technik gehören auf den Prüfstand. Sämtliche Systeme sollten mit Updates auf dem neusten Stand gehalten und regelmäßig Backups durchgeführt werden. Nicht zuletzt müssen Zuständigkeiten und Verantwortlichkeiten für die IT-Sicherheit innerhalb der Kanzlei definiert sein und Ansprechpartner und Meldewege allen bekannt sein.

Risikomanagement und Notfallpläne helfen

Aufgrund der komplexen Bedrohungslage rät Corbe dazu, ein Risikomanagement zu etablieren. Im Idealfall sollte dem Experten zufolge ein Informations-Sicherheits-Management-System (ISMS) aufgebaut werden, das sich auch auf die Auswahl und Anbindung von IT-Dienstleistern erstreckt. Viele Kanzleien administrieren ihr IT nicht selbst, sondern haben diese Aufgabe an Systemhäuser ausgelagert. „In solchen Fällen sollte darauf geachtet werden, dass die Dienstleister die Standards einhalten und entsprechend zertifiziert sind, insbesondere nach ISO 27001“, sagt Corbe. Ein Risikomanagement hilft Steuerkanzleien zu erkennen, wo die individuellen Risiken für die Kanzlei liegen, und ermöglicht es, dafür passende Prozesse zu etablieren, die diese Risiken minimieren.

Mit Prävention den Worst Case verhindern

Ist der Worst Case eingetreten und die Kanzlei Opfer eines Cyberangriffs geworden, raten Sicherheitsexperten zu einer transparenten Kommunikation gegenüber den Betroffenen, die dadurch die Chance erhalten, sich selbst besser zu schützen. „Vor allem sollten Kanzleiinhaber dafür sorgen, dass die kompromittierten Systeme schnell vom Netz genommen werden und professionelle Hilfe hinzuziehen: je nach Bedarf für die Bereiche IT, Daten-Forensik, Krisenmanagement, Kommunikation und Rechtsberatung“, sagt Corbe. Damit es aber gar nicht so weit kommt, ist aus Sicht des Experten die Prävention das Wichtigste. Dazu gehört auch ein Krisenplan, der regelmäßig getestet wird. „Bereiten Sie Notfallpläne vor“, empfiehlt Corbe. „Wer muss einbezogen werden? In welcher Reihenfolge? Ist dieser Ablauf definiert, handelt man einige Stunden im Vorteil und erhält wertvollen Handlungsspielraum, um eventuell noch größeren Schaden zu vermeiden.“

Tipp der Redaktion: Besuchen Sie das Online-Seminar Cyber Security

Sie erhalten in dieser Veranstaltung Cyber Security einen Überblick über grundlegende Prinzipen der Informationssicherheit, typische Angriffsvektoren, Methoden der Angreifer, Abwehrstrategien und die Kernthemen, in denen es die Mitarbeiterinnen und Mitarbeiter zu schulen/sensibilisieren gilt.