Steuerberatung ist ein diskretes Geschäft. Es baut auf Vertrauen auf. Und das betrifft insbesondere den Umgang mit hochsensiblen Daten. Die Klientinnen und Klienten Ihrer Steuerberatungskanzlei vertrauen darauf, dass die Zahlen und Dokumente, die sie Ihnen anvertrauen, in sicheren Händen sind und nicht an unbefugte Dritte weitergegeben werden. Basis für dieses Vertrauen ist eine darauf abgestimmte Sicherheitsarchitektur. Früher ließ sich dies mit speziellen Türschlössern, Fenstern und abschließbaren Schränken gewährleisten.
Heute sind die Anforderungen komplexer. Denn nahezu alle wichtigen Daten werden mittlerweile digital verwaltet. Sie kommunizieren mit Ihren Klienten per E-Mail. Sie bearbeiten die Daten mit spezieller Software und speichern Dokumente und Berechnungsergebnisse auf Servern. Zum Teil stehen diese Server in Ihrer Kanzlei, zum Teil werden Daten aber auch weit außerhalb in einer Cloud-Architektur verwaltet. Vielleicht in einem Datencenter um die Ecke, vielleicht aber auch irgendwo in den USA, Island oder Rumämien. Über welche Wege die Daten fließen und wo sie letztlich gespeichert werden, ist nicht immer transparent. Hier liegen Chancen und Risiken eng beieinander. Es ist komfortabel, von überall möglichst leicht und unproblematisch auf alle Ressourcen zugreifen zu können. Gleichzeitig erfordern mobiles Arbeiten, Homeoffice und die Nutzung von Cloud-Services besondere Aufmerksamkeit, wenn es um das Thema Datensicherheit geht. Denn beim Verschicken und bei der Verwaltung von Daten innerhalb von Netzwerken und über das Internet finden Hacker immer wieder Schwachstellen, die sie für ihre kriminellen Machenschaften nutzen.
Wie groß die Bedrohung ist, zeigt eine Sonderauswertung des jüngsten repräsentativen KfW-Mittelstandspanels vom 23. Februar 2023. Demnach sind rund 29 % aller mittelständischen Unternehmen in Deutschland in den Jahren 2018 bis 2020 Opfer von Cyberkriminalität geworden.
Bekannte Einfallstore für digitale Angriffe sind die Nutzung von E-Commerce und Social Media durch Mitarbeitende, eine nicht ausreichend geschützte Vernetzung der Produktion oder auch mobile Projektarbeit. Die größte Gefahr geht nach wie vor von Schadsoftware aus, die mithilfe von E-Mails in Unternehmen eingeschleust wird. Laut einer Untersuchung des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) gehen zwei Drittel der erfolgreichen Cyberangriffe auf kleine und mittlere Betriebe auf bösartige Codes zurück, die als harmlose E-Mail-Anhänge getarnt waren oder durch Anklicken eines Links in einer E-Mail aktiviert wurden.
Häufig handelt es sich dabei um Verschlüsselungs-Trojaner, mit denen Cyberkriminelle Unternehmen die Kontrolle über ihre eigenen Daten entreißen. Erst nach Zahlung eines Lösegelds können Unternehmen wieder über die Daten verfügen. Insbesondere viele kleine und mittelgroße Unternehmen unterschätzen die Gefahren, die von dieser Bedrohung durch E-Mails ausgehen. Ein Grund dafür ist nicht zuletzt mangelndes Know-how und fehlendes Personal mit fachlicher Expertise zum Thema IT-Sicherheit.
Wie zerstörerisch Cyberkriminalität sein kann, zeigt ein Fall aus der Praxis: Anfang 2023 wurde eine Steuerberatungskanzlei Opfer eines erfolgreichen Hackerangriffs. Die Täterinnen und Täter verschickten sogenannte Phishing-E-Mails an die Kanzlei. Im Text der Mails befand sich ein Link, der zu einer Internetadresse mit schadhafter Software führte. Ein Mitarbeiter der Kanzlei erkannte die Gefahr nicht und klickte auf den Link. Dadurch öffnete er, ohne es zu ahnen, den Cyberkriminellen die Tür. Diese hatten nun Zugriff auf die Rechner und das Netzwerk der Steuerkanzlei.
Die Täter installierten eine Software, mit der sie jederzeit sämtliche Daten von Kundinnen und Kunden sowie Geschäftspartnern kopieren, sperren oder vernichten konnten. Ein halbes Jahr später wurde die Schadsoftware aktiviert, die Daten gesperrt und die Geschäftsführerin der Kanzlei erpresst. Das Angebot der Cyberkriminellen lautete: Gegen Zahlung von 25.000 Euro in Bitcoin würden die sich auf den Servern befindlichen Daten wieder freigegeben. Sollte die Zahlung ausbleiben, würden die Daten verbreitet und der Vorfall öffentlich werden.
Die Steuerberaterin reagierte so, wie es für solche Fälle empfohlen wird: Sie weigerte sich, auf den Erpressungsversuch einzugehen. Denn es gibt für die Freigabe von Systemen und Daten keine Garantie. Im Gegenteil: Erpresserische Cyberkriminelle können nach einer Zahlung ihre Drohung aufrechterhalten und immer wieder neue Forderungen stellen. Der Versuch der Geschäftsführerin, auf andere Weise die Kontrolle über ihre Daten zurückzugewinnen, scheiterte. Stattdessen machten die Cyberkriminellen ihre Drohung wahr. Sie versendeten die Schadsoftware im Namen der Kanzlei an alle Adressen aus der Kundendatenbank. Über eine weitere, groß angelegte Mail-Aktion wurde der gesamte Vorfall skizziert und die Steuerkanzlei öffentlich an den Pranger gestellt. Die Kanzlei erlitt dadurch einen immensen Imageschaden.
Cybersicherheit ist nicht nur eine Frage der Technik, sondern vor allem des Bewusstseins, der Aufmerksamkeit und des aktiven Beitrags der Mitarbeitenden in den Unternehmen. Der menschliche Faktor ist eine entscheidende Komponente erfolgreicher Cyberabwehr. Denn Firewalls und Antivirenprogramme sind als digitaler Schutzwall nutzlos, wenn Mitarbeitende unachtsam sind und Hackerinnen und Hackern die Hintertür öffnen. Eine wichtige Erkenntnis aus den Erfahrungen der vergangenen Jahre ist: Viele IT-Sicherheitsvorfälle hätten sich durch rechtzeitige Aufklärung, Schulungen, Trainings und regelmäßige Auffrischungskurse vermeiden lassen. Denn je mehr Wissen im Bereich der IT-Sicherheit in den Unternehmen vorhanden ist und je größer der Anteil der Mitarbeitenden ist, die in dieses Thema eingeführt werden, desto höher ist der Schutz vor Cyberkriminalität.
Quelle https://www.kfw.de/%C3%9Cber-die-KfW/Newsroom/Aktuelles/Pressemitteilungen-Details_753216.html
Grafik 3: Betroffenheit von Cyberangriffen nach der Unternehmensgröße, 2018–2020
Quelle https://www.kfw.de/PDF/Download-Center/Konzernthemen/Research/PDF-Dokumente-Fokus-Volkswirtschaft/Fokus-2023/Fokus-Nr.-419-Februar-2023-Cyber-Crime.pdf
Um Ihre Kanzlei besser gegen Cyberattacken zu schützen, können Sie eine Reihe von Maßnahmen ergreifen. Eine solide Basis dafür legen Sie schon, wenn Sie 10 wichtige Regeln beachten. Der Einstieg in eine erhöhte Sicherheitsstruktur wird dadurch deutlich erleichtert:
Die Informationssicherheit Ihrer Kanzlei hängt ganz entscheidend von Ihren Mitarbeitenden ab. Denn die meisten Angriffe erfolgen per E-Mail. Es gibt oft klare Merkmale, anhand derer man gefährliche E-Mails erkennen kann. Denn das Vorgehen der Täter hat System. Wenn Mitarbeitende in den Methoden der Cyberkriminellen geschult sind, kann bereits ein Großteil der Angriffe sicher abgewehrt werden.
Das bieten Schulungen durch Perseus Technologies:
Die Schulungen werden an die Größe der Unternehmen angepasst. Kundinnen und Kunden der Deutschen Bank erhalten 25 % Rabatt, da Perseus einer unser Kooperationspartner ist.
Selbst geschulte Mitarbeitende und hoch entwickelte IT-Sicherheitsstandards schützen nicht komplett vor IT-Risiken wie Hackerangriffen. Versicherungen können die finanziellen Folgen eines Cyberschadens abfangen, damit Ihr Geschäftsbetrieb weiterlaufen kann.
Unser Partner Zurich Versicherung bietet mit Zurich CyberSchutz ein passendes Versicherungspaket an. Die Rahmendaten: