Foto: leszekglasner/adobe stock
Cybersicherheit – ein Thema für die Steuerkanzlei?
Mit der zunehmenden Digitalisierung von Kanzleien steigt die Relevanz des Themas Cybersicherheit. Die Aufgabe: Daten der Kanzlei in der digitalen Welt zu schützen.
Früher gab es ein unschlagbares Sicherheitstool: den Schlüssel zur Kanzleitüre. Heute sind wir digital und online, und das bringt viele Vorteile. Der Nachteil: die abgesperrte Türe ist in vielen Fällen nutzlos geworden.
Cyberkriminelle suchen in den meisten Fällen nicht nach konkreten Zielen. Sie scannen mit automatisierten Tools pausenlos nach Servern, die angegriffen werden können. Ist ein Ziel gefunden, erfolgt der Angriff. Aber nicht nur Kriminelle zwingen Sie dazu, Ihre digitalen Kanzleitüren gut zu überwachen. Das Berufsrecht verpflichtet den Steuerberater, seinen Beruf verschwiegen auszuüben. Auch das Strafgesetzbuch stellt die Verwertung fremder Geheimnisse unter Strafe. Hinzu kommen die Vorgaben des Geschäftsgeheimnisgesetzes und der EU-Datenschutz-Grundverordnung. Die Berichterstattung über Bußgelder in diesem Zusammenhang war in den vergangenen Monaten ja Gegenstand zahlreicher Presseartikel.
Man spricht bei den Maßnahmen der Cybersicherheit von der Verteidigung sämtlicher Computer, Server, mobiler Geräte, elektronischer Systeme, Netzwerke und Daten vor böswilligen Angriffen. Cybersicherheit befasst sich mit allen Aspekten der Sicherheit in der Informations- und Kommunikationstechnik. Eine große Rolle spielt hierbei auch der Faktor Mensch als Auslöser von Datenlecks, sei es durch Fahrlässigkeit, durch Unwissen, mangelnde Sensibilisierung oder durch Vorsatz. Deshalb gehören auch bekannte Maßnahmen aus der IT-Sicherheit ins Portfolio, wie die Schulung der Mitarbeiter, die Datensicherung und die Möglichkeiten zur schnellen Wiederherstellung im Ernstfall. Die laufende Sensibilisierung der Mitarbeiter ist auch im Hinblick auf weitere Themen wie Datenschutz oder Social Engineering ein elementarer Bestandteil des Risikomanagements der Kanzlei.
Einen Angriff zu erkennen ist nicht immer leicht. Angriffe erfolgen häufig durch das Abfangen der Kommunikation. Da hier keine aktive Veränderung an den Systemen der Kanzlei stattfindet, ist ein solcher Angriff kaum erkennbar. Ein typisches Beispiel sind Phishing-E-Mails. Als Schutz vor derartigen Angriffen können neben der Sensibilisierung der Mitarbeiter z. B. Verschlüsselungsmaßnahmen empfohlen werden. Bei aktiven Angriffen hingegen handelt es sich um direkte Angriffe auf das System, indem Sicherheitslücken ausgenutzt oder Brute-Force-Attacken durchgeführt werden. Es ist daher essenziell, im Rahmen eines IT- und Cybersicherheitskonzepts geeignete Maßnahmen zur Vorbeugung und Abwehr solcher Angriffe zu definieren. Nutzen Sie Lösungen wie z. B. Filesharing, Kanzlei-Apps und Cloudlösungen, bei denen Daten auf externen Servern gespeichert werden, müssen Sie vor Weitergabe der Daten sicherstellen, dass auch der Geschäftspartner seine IT-Sicherheit im Griff hat.
Die Angriffe von außen können die Überwachung des „Opfers“ zum Ziel haben oder dem Abfangen von Informationen bzw. dem Ausspionieren von Geschäftsgeheimnissen gelten. Auch der Diebstahl von Know-how oder Identitäten sowie Zugriff auf das Online-Banking können im Fokus eines Angriffes stehen.
Oberstes Ziel für die Steuerkanzlei muss es daher sein, ihre Daten gegen Zerstörung, Verlust und Missbrauch zu schützen. In Zusammenhang mit Angriffen von außen ist hier dem Virenschutz (kanzleiweit einheitliches Virenprogramm!) besondere Bedeutung beizumessen. Die Nutzung privater Software auf Kanzleirechnern sollte tunlichst untersagt werden. Es muss auch sichergestellt werden, dass Dateien aus externen Quellen überprüft werden, bevor die Datenbestände in das System der Kanzlei importiert bzw. hochgeladen werden. Auch die Aktualisierung der Software auf den Kanzleisystemen ist ein wichtiger Baustein der Cybersicherheit.
Es ist zudem zu gewährleisten, dass Daten im Falle eines Verlusts oder eines Schadsoftware-Befalls rasch wiederhergestellt werden können. Hierzu gehören entsprechende Datensicherungsverfahren, bei denen Zeitpunkt, Umfang und Aufbewahrungsdauer der Sicherung festgelegt sind (z. B. Tages-, Monats-, Halbjahres- und Jahressicherungen), sowie die sichere Lagerung der Datensicherung, die regelmäßige Überprüfung der Sicherungsläufe sowie Übungen zur Datenwiederherstellung. Für die wichtigsten Sofortmaßnahmen sollte ein Notfallplan in der Kanzlei vorhanden sein. Denken Sie darüber hinaus auch an Papier-Ersatzverfahren (z. B. Erreichbarkeit der Mandanten), Vereinbarungen mit IT-Dienstleistern und Lieferanten über Reaktionszeiten sowie weitere Verhaltensvorschriften wie z. B. Alarmpläne.
Im Rahmen der Zugangskontrolle muss das Thema Passwortmanagement im Vordergrund stehen. Damit soll verhindert werden, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Passwortkomplexität, -länge, -wechsel, Verschlüsselung des Passworts bei Speicherung, Passworthistorie und die Sperrung des Accounts bei mehrfacher Falscheingabe sind hier die wichtigen Faktoren. Zu den typischen Schwachstellen gehören Passwortnotizen am Arbeitsplatz, Trivialpasswörter oder gar die Nutzung eines Passworts für alle Nutzer sowie das Unterlassen von Passwortwechseln bei Ausscheiden eines Mitarbeiters.
Das Thema Cybersicherheit ist, wie ganz allgemein die Maßnahmen der Informationssicherheit, Chefsache. Die Kanzlei benötigt ein IT-Sicherheitskonzept, in dem die wichtigsten Maßnahmen festgelegt sind. Diese Maßnahmen sollten gelebt und durch die Kanzleileitung vorgelebt werden. Die Mitarbeiter müssen über die Inhalte dieses Konzepts informiert sein und für die Risiken der Cybersicherheit sensibilisiert werden. Nicht vergessen werden sollten auch Vereinbarungen mit Geschäftspartnern und Lieferanten, auch für die Zeit nach der Zusammenarbeit.
Wichtig ist die laufende Kontrolle, damit Sie wissen, ob das Sicherheitsmanagement auch wirklich funktioniert. Es empfiehlt sich auch, sich z. B. über die Internetseite des BSI (Bundesamt für Sicherheit in der Informationstechnik) regelmäßig über aktuelle Tricks und Bedrohungen zu informieren. Die sogenannte Bürger-CERT-Warnmeldungen können beim BSI als Newsletter abonniert werden. Ein letzter Tipp: Denken Sie darüber nach, das Thema an einen Profi zu geben. Die Technologien und Prozesse, von denen wir hier sprechen, sind so komplex, dass man sich nicht nebenbei damit befassen kann und fundierte Kenntnisse benötigt.
Seminare des Autors
Kompaktseminar Datenschutz
31.03.2020 München, LSWB-Akademie
Eine Übersicht zu den aktuellen Seminaren von Dirk Munker finden Sie unter:
lswb-akademie.bayern/munker
Kontakt
Munker Privacy Consulting
Christine Munker
Tel: 08807 928171-0
E-Mail: c.munker@munker.info
Web: munker.info