Foto: chinnarach/adobe stock

Foto: chinnarach/adobe stock

Cybercrime & Cybersecurity

Problem erkannt? Mit einfachen Lösungen gebannt!

Von Christian Heidler, Vorstand hmd-Software AG

Bevor wir uns mit den beiden Themen näher beschäftigen, eine kurze Erläuterung der Begrifflichkeiten. Unter Cybercrime versteht man Straftaten, die unter Ausnutzung der Informations- und Kommunikationstechnik bzw. der Netze oder gegen diese begangen werden. Unter Cybersecurity versteht man die Gegenmaßnahmen dazu. Mit diesen wollen wir uns beschäftigen bzw. etwas mehr Licht ins Dunkel bringen, welche Gegenmaßnahmen überhaupt ergriffen werden müssten. Denn wenn ich nicht weiß, wovor ich mich schützen soll oder muss, sind die Maßnahmen weder effektiv noch effizient.

Von vielen Kundenbesuchen, Gesprächen, Diskussionen und in meiner langjährigen Tätigkeit in einem IT-Unternehmen sind mir so viele Aussagen und Argumente dargelegt worden, wenig bis nichts in den Bereich Cybersecurity zu investieren, dass man diesen Personen schon bald Fahrlässigkeit unterstellen muss. Die Aussagen reichen von „Bei mir passiert das nicht, ich habe alles im Griff.“ bis „Ich bin doch überhaupt nicht interessant, es gibt doch viel attraktivere Ziele als mich.“ Hier muss ich Ihnen leider allen widersprechen. Die steuerberatenden Berufe sind ein sehr attraktives und lohnendes Ziel. Die Zahlen der Erpressungen nimmt Jahr für Jahr zu. Warum? Weil hier Spionage und Erpressung in aller Regel erfolgreich sind und gut bezahlt werden.

Jetzt werden viele sagen: „Bei mir läuft doch ein Virenscanner auf allen PCs, Notebooks und Servern, das müsste doch ausreichen.“ Auch hier muss ich Sie leider wieder enttäuschen. Das ist der absolute Grundschutz, der eine einfache Sicherheit bietet bzw. darstellt, aber für mein Dafürhalten überhaupt nicht ausreichend ist. Meistens ist der Virenscanner dann zudem nicht korrekt eingestellt, um den besten Schutz zu bieten oder abgelaufen bzw. nicht aktiviert. Sich heute effektiv zu schützen, bedeutet einfach mehr zu tun, als nur einen Virenscanner zu haben.

Damit wir uns einmal ein Bild machen, mit welchen Mitteln heute versucht wird, Sie zu kompromittieren, habe ich versucht, hier einen kleinen Auszug darzustellen. Damit das Ganze nicht zu technisch und unverständlich wird, werde ich versuchen, die Erläuterung möglichst einfach zu halten.

Risikoträger USB-Stick

Fangen wir mit dem beliebtesten Datenträger für den Austausch von Dateien und Daten an – dem USB-Stick. Entweder von zu Hause, von einer Veranstaltung oder vom Mandanten mit in die Kanzlei gebracht, wird dieser USB-Stick einfach an den PC angesteckt und die Daten verarbeitet. Was im Hintergrund passiert, kann niemand ahnen, aber genau das ist das Problem. Im Hintergrund werden fremde Programme gestartet, Tastaturcodes ausgeführt und schlicht und ergreifend der PC gekapert. Damit haben ggf. Dritte vollen Zugang zum PC und damit auch zum Netzwerk mit allen Informationen. Kein schöner Zustand. Jetzt passieren zwei Dinge: Sie werden ausspioniert, Kennwörter weitergeleitet, Dokumente mitgelesen usw. oder es wird Ihnen ein Verschlüsselungstrojaner untergeschoben. Schützen kann man sich davor, indem man USB-Sticks verbietet und an allen PCs die USB-Technik abschaltet oder zumindest den USB-Stick vorher in einem PC außerhalb des Netzwerks prüft. Das ist alles Aufwand, das ist mir klar, aber eben sicherer als gar nichts zu tun. Derart präparierte USB-Sticks werden Rubber Ducky genannt und stehen im Internet frei zur Verfügung.

Die meisten Virenscanner werden nicht anschlagen, wenn so etwas passiert. Also läuft die Spionagesoftware weiter auf dem PC und die Informationen werden über das Internet an Dritte weitergegeben, die dann mit Erpressung und Verschlüsselung versuchen, Geld zu verdienen. Die Erfolgsquote ist hoch.

Schadsoftware im Postfach

Das zweite Massenthema sind getarnte oder gefälschte E-Mails. Spam-E-Mails erreichen uns täglich in Massen. Die meisten lassen sich technisch sehr gut erkennen und filtern bzw. von den wichtigen E-Mails automatisch trennen. Aber hierfür muss bei Ihnen ebenfalls etwas getan werden. Einfach so wird es nicht funktionieren.

Zuerst sollten Sie bei Ihrem Provider prüfen, ob dort für die Postfächer ein Spam-Filter aktiviert ist. Wenn nicht, sollten Sie diesen aktivieren lassen und auf eine niedrige Erkennung stellen lassen, damit wirklich nur der „Schrott“ gefiltert wird. Auch mögliche Suchbegriffe oder eindeutige Wörter sollten damit gefiltert werden. Dies gilt ebenso für einen Virenscanner, der alle E-Mails und Anhänge auf Viren prüft. Auch nicht gewünschte Absender aus fremden Ländern oder mit fremden Zeichensätzen sollten hier gleich aussortiert werden. Außer natürlich, Sie erwarten E-Mails aus diesen Ländern.

Der zweite E-Mail-Filter sollte in Ihrem lokalen Mailsystem liegen, das die ankommenden E-Mails nach weiteren Regeln automatisch prüft und filtert. Mögliche E-Mails mit Bedrohungen oder weiteren Einschränkungen sollten hier gefunden und in einem extra Ordner abgelegt werden.

Sind dann alle restlichen E-Mails sicher? Nein, leider nicht. Denn die E-Mail-Spammer und -Betrüger arbeiten mit immer besser getarnten E-Mails und möchten den Empfänger glauben machen, dass die E-Mail täuschend echt aussieht, damit dieser die E-Mail öffnet. Hier helfen dann fast keine Techniken mehr, sondern nur gesunder Menschenverstand und weitere Sicherheitsfeatures: Sie bekommen Rechnungen per E-Mail von Vodafone, sind aber Telekomkunde. E-Mails von PayPal, wo Sie gar kein Konto haben usw. Schwieriger wird es, wenn E-Mails von z. B. Finanzämtern, Behörden, Versicherungen, Amazon, Ebay usw. kommen. Und den meisten Erfolg haben Spammer derzeit mit Bewerbungen, die als Anhang der E-Mail eine Word- oder Excel-Datei haben. Hier ist besonders darauf zu achten, bevor eine solche E-Mail geöffnet wird.

Auch das Thema Internetsicherheit beim Surfen sollte nicht ganz außer Acht gelassen werden. Hier müssen Virenscanner und Firewalls mit sogenannten Verhaltensfiltern diese Arbeit übernehmen. Eine manuelle Einstellung, welche Seiten „gut“ und „böse“ sind, halte ich für nicht umsetzbar.

Vorschläge und verschiedene Lösungsansätze

Also, was können Sie schrittweise umsetzen, um die Kanzleisicherheit signifikant zu erhöhen und das Risiko eines potenziellen Schadens vorzubeugen? In bin zuerst für die Aufklärung der Mitarbeiter, welche Schäden von USB-Sticks oder E-Mails ausgelöst werden können. Das Thema Erläuterung der Gefahren sollte auch in jedem Datenschutzgespräch bzw. jeder Schulung regelmäßig stattfinden.

Es gibt Sicherheitslösungen, die das Thema USB-Sicherheit aufgreifen und sehr zufriedenstellend umsetzen können. Auch hier sollten Sie zweigleisig fahren und sich nicht komplett auf die Technik verlassen, sondern das Thema USB aufgreifen und mit den Mitarbeitern und den Mandanten besprechen, dass USB ein hohes Sicherheitsrisiko darstellt und aus der Steuerkanzlei kurzfristig verschwinden wird. Es gibt genug Transportalternativen der Softwareanbieter für Steuerberater, die E-Mail und USB-Stick als Datenmedium viel besser und sicherer ersetzen können. Und das Ganze auch noch datenschutzkonform.

Als Grundregeln für den Datenverkehr mit dem Internet sollte eine Firewall in der Kanzlei installiert werden, die kein Produkt von der Stange ist, wie es in der Regel mit dem Vertrag eines Telekommunikationsanbieters kostenfrei angeboten wird. Diese Produkte sind für den Businessbetrieb in einer Steuerkanzlei nicht sicher genug.

Außerdem sollten Sie zwingend darauf achten, dass Mitarbeiter am PC oder Server nicht über administrative Rechte verfügen. Dies erhöht das Risiko im Falle eines Ausbruches enorm und bietet dem Trojaner noch mehr Möglichkeiten der Verbreitung.

Ebenso sollten Sie schnellstmöglich umsetzen, dass Anhänge an E-Mails keine Microsoft-Office-Dateien wie Word, Excel, PowerPoint usw. mehr enthalten dürfen. Dies sollte sowohl für den externen als auch internen E-Mail-Verkehr gelten. Es gibt Anbieter von Steuerberater-Softwaresystemen, die ein integriertes DMS haben, in dem diese Office-Dateien revisionssicher abgelegt und als Link in E-Mails eingebettet werden können.

Dies gilt ebenso für den Mandantenbereich. Lassen Sie sich einfach PDF-Dateien per E-Mail schicken, wenn es nicht anders geht. Auch hier gibt es bereits jede Menge Softwarelösungen der Anbieter bzw. Drittlösungen, um den Transfer von Dateien nicht mehr per E-Mail umsetzen zu müssen.

Stellen Sie Kanzleiregeln für alle Themen auf und schulen Sie die Mitarbeiter regelmäßig darauf und auf deren Umsetzung bzw. Einhaltung. Nur gut informierte Mitarbeiter werden sich nicht von täuschend echten Informationen falsch leiten lassen. Denn wer nicht weiß, was es alles gibt, kann auch nicht darauf reagieren.

Fazit

Nichts oder zu wenig zu tun, bedeutet, irgendwann Schaden zu nehmen. Die Aufwände, die für eine Sicherheitslösung zu investieren sind, sind im Verhältnis zum Schaden, der in Form von Zeitverlust, Mandatsverlust, Datenverlust, Imageverlust usw. entsteht, so minimal, dass darüber fast nicht zu diskutieren ist.

Aufgrund der Breite an Lösungs- und Bedrohungsmöglichkeiten war es mir nicht möglich, alle zu erwähnen oder aufzuführen. Dies würde den Rahmen eines Artikels sprengen. Bitte haben Sie dafür Verständnis.

Kontakt

hmd-Software AG
Christian Heidler
Tel.: 08152/988-202
E-Mail: hmd@hmd-software.com
Web: hmd-software.com