Cybersicherheit in Kanzleien

Gefahrenquelle Cyberkriminalität

Steuerberatung ist ein diskretes Geschäft. Es baut auf Vertrauen auf. Und das betrifft insbesondere den Umgang mit hochsensiblen Daten. Die Klientinnen und Klienten Ihrer Steuerberatungskanzlei vertrauen darauf, dass die Zahlen und Dokumente, die sie Ihnen anvertrauen, in sicheren Händen sind und nicht an unbefugte Dritte weitergegeben werden. Basis für dieses Vertrauen ist eine darauf abgestimmte Sicherheitsarchitektur. Früher ließ sich dies mit speziellen Türschlössern, Fenstern und abschließbaren Schränken gewährleisten.

Heute sind die Anforderungen komplexer. Denn nahezu alle wichtigen Daten werden mittlerweile digital verwaltet. Sie kommunizieren mit Ihren Klienten per E-Mail. Sie bearbeiten die Daten mit spezieller Software und speichern Dokumente und Berechnungsergebnisse auf Servern. Zum Teil stehen diese Server in Ihrer Kanzlei, zum Teil werden Daten aber auch weit außerhalb in einer Cloud-Architektur verwaltet. Vielleicht in einem Datencenter um die Ecke, vielleicht aber auch irgendwo in den USA, Island oder Rumämien. Über welche Wege die Daten fließen und wo sie letztlich gespeichert werden, ist nicht immer transparent. Hier liegen Chancen und Risiken eng beieinander. Es ist komfortabel, von überall möglichst leicht und unproblematisch auf alle Ressourcen zugreifen zu können. Gleichzeitig erfordern mobiles Arbeiten, Homeoffice und die Nutzung von Cloud-Services besondere Aufmerksamkeit, wenn es um das Thema Datensicherheit geht. Denn beim Verschicken und bei der Verwaltung von Daten innerhalb von Netzwerken und über das Internet finden Hacker immer wieder Schwachstellen, die sie für ihre kriminellen Machenschaften nutzen.

Wie groß die Bedrohung ist, zeigt eine Sonderauswertung des jüngsten repräsentativen KfW-Mittelstandspanels vom 23. Februar 2023. Demnach sind rund 29 % aller mittelständischen Unternehmen in Deutschland in den Jahren 2018 bis 2020 Opfer von Cyberkriminalität geworden.

Typische Einfallstore für Hackerangriffe

Bekannte Einfallstore für digitale Angriffe sind die Nutzung von E-Commerce und Social Media durch Mitarbeitende, eine nicht ausreichend geschützte Vernetzung der Produktion oder auch mobile Projektarbeit. Die größte Gefahr geht nach wie vor von Schadsoftware aus, die mithilfe von E-Mails in Unternehmen eingeschleust wird. Laut einer Untersuchung des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) gehen zwei Drittel der erfolgreichen Cyberangriffe auf kleine und mittlere Betriebe auf bösartige Codes zurück, die als harmlose E-Mail-Anhänge getarnt waren oder durch Anklicken eines Links in einer E-Mail aktiviert wurden.

Häufig handelt es sich dabei um Verschlüsselungs-Trojaner, mit denen Cyberkriminelle Unternehmen die Kontrolle über ihre eigenen Daten entreißen. Erst nach Zahlung eines Lösegelds können Unternehmen wieder über die Daten verfügen. Insbesondere viele kleine und mittelgroße Unternehmen unterschätzen die Gefahren, die von dieser Bedrohung durch E-Mails ausgehen. Ein Grund dafür ist nicht zuletzt mangelndes Know-how und fehlendes Personal mit fachlicher Expertise zum Thema IT-Sicherheit.

Der Worst Case: Hackerangriff auf eine Steuerberatungskanzlei

Wie zerstörerisch Cyberkriminalität sein kann, zeigt ein Fall aus der Praxis: Anfang 2023 wurde eine Steuerberatungskanzlei Opfer eines erfolgreichen Hackerangriffs. Die Täterinnen und Täter verschickten sogenannte Phishing-E-Mails an die Kanzlei. Im Text der Mails befand sich ein Link, der zu einer Internetadresse mit schadhafter Software führte. Ein Mitarbeiter der Kanzlei erkannte die Gefahr nicht und klickte auf den Link. Dadurch öffnete er, ohne es zu ahnen, den Cyberkriminellen die Tür. Diese hatten nun Zugriff auf die Rechner und das Netzwerk der Steuerkanzlei.

Die Täter installierten eine Software, mit der sie jederzeit sämtliche Daten von Kundinnen und Kunden sowie Geschäftspartnern kopieren, sperren oder vernichten konnten. Ein halbes Jahr später wurde die Schadsoftware aktiviert, die Daten gesperrt und die Geschäftsführerin der Kanzlei erpresst. Das Angebot der Cyberkriminellen lautete: Gegen Zahlung von 25.000 Euro in Bitcoin würden die sich auf den Servern befindlichen Daten wieder freigegeben. Sollte die Zahlung ausbleiben, würden die Daten verbreitet und der Vorfall öffentlich werden.

Die Steuerberaterin reagierte so, wie es für solche Fälle empfohlen wird: Sie weigerte sich, auf den Erpressungsversuch einzugehen. Denn es gibt für die Freigabe von Systemen und Daten keine Garantie. Im Gegenteil: Erpresserische Cyberkriminelle können nach einer Zahlung ihre Drohung aufrechterhalten und immer wieder neue Forderungen stellen. Der Versuch der Geschäftsführerin, auf andere Weise die Kontrolle über ihre Daten zurückzugewinnen, scheiterte. Stattdessen machten die Cyberkriminellen ihre Drohung wahr. Sie versendeten die Schadsoftware im Namen der Kanzlei an alle Adressen aus der Kundendatenbank. Über eine weitere, groß angelegte Mail-Aktion wurde der gesamte Vorfall skizziert und die Steuerkanzlei öffentlich an den Pranger gestellt. Die Kanzlei erlitt dadurch einen immensen Imageschaden.

Betroffenheit von Cyberangriffen nach der Unternehmensgröße 2018 - 2020

Aufklärung – der erste Schritt zu mehr Cybersicherheit

Cybersicherheit ist nicht nur eine Frage der Technik, sondern vor allem des Bewusstseins, der Aufmerksamkeit und des aktiven Beitrags der Mitarbeitenden in den Unternehmen. Der menschliche Faktor ist eine entscheidende Komponente erfolgreicher Cyberabwehr. Denn Firewalls und Antivirenprogramme sind als digitaler Schutzwall nutzlos, wenn Mitarbeitende unachtsam sind und Hackerinnen und Hackern die Hintertür öffnen. Eine wichtige Erkenntnis aus den Erfahrungen der vergangenen Jahre ist: Viele IT-Sicherheitsvorfälle hätten sich durch rechtzeitige Aufklärung, Schulungen, Trainings und regelmäßige Auffrischungskurse vermeiden lassen. Denn je mehr Wissen im Bereich der IT-Sicherheit in den Unternehmen vorhanden ist und je größer der Anteil der Mitarbeitenden ist, die in dieses Thema eingeführt werden, desto höher ist der Schutz vor Cyberkriminalität.

Quelle https://www.kfw.de/%C3%9Cber-die-KfW/Newsroom/Aktuelles/Pressemitteilungen-Details_753216.html
Grafik 3: Betroffenheit von Cyberangriffen nach der Unternehmensgröße, 2018–2020
Quelle https://www.kfw.de/PDF/Download-Center/Konzernthemen/Research/PDF-Dokumente-Fokus-Volkswirtschaft/Fokus-2023/Fokus-Nr.-419-Februar-2023-Cyber-Crime.pdf

10 wichtige Maßnahmen als Basis für mehr Cybersicherheit

Um Ihre Kanzlei besser gegen Cyberattacken zu schützen, können Sie eine Reihe von Maßnahmen ergreifen. Eine solide Basis dafür legen Sie schon, wenn Sie 10 wichtige Regeln beachten. Der Einstieg in eine erhöhte Sicherheitsstruktur wird dadurch deutlich erleichtert:

  • Schulen Sie Ihre Mitarbeitenden
  • Sensibilisieren Sie Ihr Team für die Gefahr, die von E-Mails ausgeht, durch sogenannte Phishing-Tests
  • Setzen Sie eine lückenlose Back-up-Strategie um. Wir empfehlen hier die 3-2-1-Back-up-Strategie: Speichern Sie Ihre Daten 3-fach auf 2 verschiedenen Medientypen, davon eine Kopie außer Haus
  • Definieren Sie Richtlinien für die Nutzung privater Geräte in beruflichem Kontext
  • Schränken Sie Zugriffsrechte ein
  • Vergeben Sie lange, komplexe, einzigartige Passwörter
  • Nutzen Sie eine 2- bzw. Multi-Faktor-Authentifizierung
  • Sorgen Sie dafür, dass Updates von Programmen, Betriebssystemen und Servern umgehend erfolgen
  • Arbeiten Sie einen Notfallplan aus
  • Schaffen Sie mithilfe von Firewall und Antivirenprogrammen eine technische Basis zum Schutz Ihrer Daten

Mitarbeitende durch Experten für Cyberkriminalität schulen

Die Informationssicherheit Ihrer Kanzlei hängt ganz entscheidend von Ihren Mitarbeitenden ab. Denn die meisten Angriffe erfolgen per E-Mail. Es gibt oft klare Merkmale, anhand derer man gefährliche E-Mails erkennen kann. Denn das Vorgehen der Täter hat System. Wenn Mitarbeitende in den Methoden der Cyberkriminellen geschult sind, kann bereits ein Großteil der Angriffe sicher abgewehrt werden.

Das bieten Schulungen durch Perseus Technologies:

  • Kurze, spannende Online-Trainings, die grundlegendes Wissen rund um Cybersicherheit vermitteln
  • Simulierte Phishing-E-Mails, mit denen Mitarbeitende das Erlernte in der Praxis testen können und ihr Sicherheitswissen so verankern
  • Zertifikate, die Lernerfolge dokumentieren und als Nachweis für Versicherungen oder Behörden dienen

Die Schulungen werden an die Größe der Unternehmen angepasst. Kundinnen und Kunden der Deutschen Bank erhalten 25 % Rabatt, da Perseus einer unser Kooperationspartner ist.

Mitarbeitende durch Experten für Cyberkriminalität schulen

Passend versichern: CyberSchutz für Kanzleien

Selbst geschulte Mitarbeitende und hoch entwickelte IT-Sicherheitsstandards schützen nicht komplett vor IT-Risiken wie Hackerangriffen. Versicherungen können die finanziellen Folgen eines Cyberschadens abfangen, damit Ihr Geschäftsbetrieb weiterlaufen kann.

Unser Partner Zurich Versicherung bietet mit Zurich CyberSchutz ein passendes Versicherungspaket an. Die Rahmendaten:

  • Auf kleine und mittelgroße Unternehmen (Umsatz bis 25 Mio. Euro) zugeschnittene Versicherungslösung
  • Breite Deckung für Haftpflicht und Eigenschäden
  • Breite Deckung für Haftpflicht sowie Folgekosten im eigenen Betrieb
  • Unterstützung durch spezialisierte Juristinnen und Juristen und IT-Fachleute im Verdachts- oder Schadenfall
  • Wichtig in Zeiten mobilen Arbeitens: Abdeckung für Homeoffice im gleichen Umfang wie im Büro, solange die Unternehmensstandards eingehalten werden
  • Weite Absicherung auch für Systemausfall bei Fehlfunktion des Computersystems oder Fehler eines oder einer Versicherten
  • Auf Wunsch mit Perseus-Schulungskomponente (siehe oben)
  • Schneller und unkomplizierter Online-Antrag
  • Jahresnettoprämie ab 215 Euro

Zum Schutz Ihrer persönlichen Daten werden das Video und die Verbindung zu YouTube erst nach einem Klick aktiv. Bereits beim Aktivieren des Videos werden personenbezogene Daten (IP-Adresse) an YouTube bzw. Google gesendet und gegebenenfalls auch dort gespeichert. Wenn Sie den Button "Video aktivieren" anklicken, wird ein Cookie auf Ihrem Computer gesetzt, sodass die Website weiß, dass Sie dem Anzeigen von eingebetteten Videos in Ihrem Browser zugestimmt haben. Weitere Details zu den von Google erhobenen Daten finden Sie unter https://policies.google.com/privacy.