Cyberattacken können jeden treffen

Datenschutz für Steuerberater

Wer als Steuerberater arbeitet, hat es im Alltag mit hochsensiblen Kunden- oder Mitarbeiterdaten zu tun. Die immer komplexer werdenden Anforderungen an den Berufsalltag haben vollständig digitalisierte Systeme unverzichtbar gemacht – sei es für die Steuererklärung von Klienten oder für die eigene Buchhaltung. Es ist also unerlässlich, dass die hausinterne IT zuverlässig arbeitet. Doch was passiert, wenn diese Fehler aufweist? Die meisten Anwender sind sich der potenziellen Cyber-Gefahren leider nicht bewusst: Wer sich und seine Daten schützen will, muss sich gut über das Thema informieren.

Kundendaten
Bankdaten
Buchhaltung
Partner- und Mitarbeiterdaten

Für diese Beraterarten ist Cybersicherheit besonders wichtig:

Steuerberatung, Wirtschaftsberatung, Unternehmensberatung, Finanzberatung, Weiterbildungsberatung, Rentenberatung, Schuldnerberatung

Viren, Malware und Co. – diese Gefahren können auch Sie treffen

Cybergefahren für Steuerberater

Cyberattacken sind in Deutschland an der Tagesordnung: Hacker finden ständig neue Wege, um Systeme zu infiltrieren – gerade wenn die Aussicht besteht, wertvolle Daten erbeuten zu können. Steuerberater haben es im Alltag hauptsächlich mit hochsensiblen personenbezogenen Daten zu tun, die unbedingt vertraulich behandelt werden müssen. Insofern müssen sich Steuerberater zwingend mit dem Thema Cybersicherheit auseinandersetzen.

Der Hackerangriff und das organisierte Verbrechen

Sie denken, Ihre Kanzlei ist zu klein oder zu „unbedeutend“, um Opfer einer Cyberattacke zu werden? Das könnte schnell ein teurer Irrtum werden! Gerade die Daten, die Sie tagtäglich als Steuerberater verwalten, sind von größtem Wert für Cyberkriminelle. Hinter einer entsprechenden Attacke können äußerst unterschiedliche Beweggründe stehen, die von der Spionage über den Bankdatendiebstahl bis hin zur Erpressung reichen können.

Datenschutz- oder Sicherheitsverletzung

Eine prekäre Situation für die hauseigene Cybersicherheit kann auch ohne das Zutun von Hackern entstehen: Wenn bestimmte Gesetze oder Vorschriften nicht oder nur ungenügend umgesetzt werden, kann dies zu Lücken im IT-System führen – was unter Umständen strafrechtliche Konsequenzen für das Unternehmen nach sich ziehen kann! Ein gutes Beispiel ist die neue Datenschutzgrundverordnung: Viele Steuerberater haben Schwierigkeiten, die neuen Vorgaben zum Umgang mit personenbezogenen Daten richtig umzusetzen. So riskieren die Kanzleien Schadensersatzansprüche, die aus einer Verletzung der Informationssicherheit hervorgehen können.

Malware

Bei Malware handelt es sich um sogenannte bösartige (englisch: malicious) Software, die programmiert wurde, um Computern, Smartphones und Tablets zu schaden. Für diesen Zweck kommen unter anderem Trojaner, Spywares oder Viren zum Einsatz. In den meisten Fällen bemerken die Nutzer gar nicht, dass eines ihrer Geräte „infiziert“ wurde: Das kann zur Folge haben, dass sich die Malware ausweitet und weitere Geräte im Netzwerk beschädigt. Gerade für Steuerberater kann das schwerwiegende Folgen nach sich ziehen: Malwares können sensible Kunden- und Bankdaten stehlen oder sogar ganze Steuererklärungen vernichten.

Fehler oder Täuschung von Mitarbeitern

Es ist sehr wichtig, sich und die eigene Steuerkanzlei vor externen Faktoren zu schützen. Allerdings belegen Studien (Bitkom, BSI u. a.), dass die eigenen Mitarbeiter als die größte Gefahrenquelle für den Betrieb einzustufen sind: Ob es sich um nichts ahnende Mitarbeiter handelt, die auf eine Phishing-Mail hereinfallen oder um jemanden, der bewusst Spionage betreibt: Cyberkriminellen wird die Tür zur hauseigenen IT oftmals von innen geöffnet.

Auf einen Blick

Hackerangriff/organisiertes Verbrechen

  • Erpressung
  • Cyber-Diebstahl

Datenschutz- oder Sicherheitsverletzung

  • Verletzung der Datenschutzgesetze (bspw. DSGVO)
  • Schadensersatzansprüche nach einer Verletzung der Informationssicherheit

Malware

  • Komplexe Schadprogramme (z.B. Petya, WannaCry)

Fehler oder Täuschung durch Mitarbeiter

  • Verletzung der Netzwerksicherheit
  • Datenklau
  • Datenweitergabe
  • Sabotage

Unternehmen im Cyber-Check

5 Tipps für mehr IT-Sicherheit

Cybergefahren lauern überall: Ob beim täglichen Abrufen der Mails, dem Besuch einer gefälschten Webseite oder beim Download einer neuen Steuer-Software – Hacker haben erschreckend viele Gelegenheiten, in ein IT-System einzudringen. Mit den folgenden Tipps können Sie – auch bei einem kleinen Budget – die IT-Sicherheit in Ihrem Betrieb signifikant erhöhen:

1 Cybersicherheit ist Chefsache

Die IT-Sicherheit eines Unternehmens erfordert einen ganzheitlichen Ansatz. Deswegen sollte die Büroleitung immer die erste Anlaufstelle für einschlägige Fragen und Probleme sein.

2 Updates und Patches aktuell halten

Als Erstes sollten Sie sich einen Überblick verschaffen, welche Hard- und Software in Ihrer Kanzlei genutzt wird. Anschließend muss sichergestellt werden, dass alle Updates und Patches der verwendeten Rechner auf dem aktuellsten Stand sind. Es dürfen keinesfalls veraltete Betriebssysteme genutzt werden. Mit diesen einfachen Maßnahmen wird die IT in Ihrer Kanzlei bereits ein ganzes Stück sicherer.

3 Sichere Passwörter nutzen

Der Name Ihres Partners, Ihre Geburtsstadt oder schlicht „abcdefgh“? Passwörter wie diese können mühelos von Hackern entschlüsselt werden und sollten keinesfalls verwendet werden. Auch wenn es kein Passwort gibt, das perfekten Schutz bietet, sollte man es Cyberkriminellen trotzdem so schwer wie möglich machen: Verwenden Sie dazu ein Passwort, das aus mindestens acht zufälligen Zeichen besteht, also aus Groß- und Kleinschreibung, Ziffern und Sonderzahlen. Verwenden Sie Passwörter nicht mehrfach und ändern sie diese regelmäßig. Passwörter sollten außerdem auf gar keinen Fall notiert werden.

4 Mitarbeiter regelmäßig schulen

Ihre Mitarbeiter stellen leider die größte Gefahrenquelle für die IT-Sicherheit Ihrer Kanzlei dar. Bereits eine kleine Unachtsamkeit – z. B. das Öffnen eines infizierten E-Mail-Anhangs – genügt, um irreparable Schäden zu verursachen. Deshalb sollten Sie Ihre Mitarbeiter regelmäßig schulen und für Cybersicherheit sensibilisieren, u. a. durch interne Kampagnen zu relevanten IT-Themen. Eine gute Präventionsarbeit bildet dabei das Fundament für die IT-Sicherheit Ihrer Kanzlei.

5 Datensicherung ist elementar

Führen Sie unbedingt regelmäßig Backups durch und bewahren Sie diese an unterschiedlichen Orten auf. Damit schützen Sie Ihre Kanzlei nicht nur vor Datenverlust sondern auch vor Erpressersoftware („Ransomware“). Letztere wird von Cyberkriminellen benutzt, um Daten auf einem Computer zu verschlüsseln, die erst gegen ein Lösegeld wieder zugänglich gemacht werden. Sollten die Nutzer der Forderung nicht nachkommen, droht der Datenverlust.

Jetzt ihre Website prüfen.

Auf allen Firmenrechnern sollten aktuelle Antivirusprogramme installiert sein. Gehen Sie bei der Auswahl der richtigen Software keine Kompromisse ein:

Cyberversicherungen können in den meisten Fällen nur dann abgeschlossen werden, wenn die Kunden bestimmte Grundvoraussetzungen erfüllen: Dazu gehört unter anderem die Mitarbeiterschulung und die Nutzung einer sogenannten Schlüsselsoftware. Um Ihre Kanzlei auf einen solchen Vertragsabschluss vorzubereiten, können Sie im Folgenden eine Cyber-Checkliste downloaden und Punkt für Punkt abhaken.

Mit dieser Checkliste können Sie einen Quick-Check durchführen:

  • Virenscanner, Spamschutz, Firewall und Sicherheitssoftware installieren
  • Daten regelmäßig und getrennt sichern
  • Eine Schlüsselsoftware installieren: Damit sind alle Daten nur über einen Schlüssel oder ein spezielles Passwort zugänglich
  • Unterschiedliche Passwörter nutzen und diese in regelmäßigen Abständen aktualisieren. Diese sollten zudem sicher sein und Groß- und Kleinbuchstaben, Ziffern und Buchstaben enthalten sowie mindestens acht Buchstaben haben
  • Keine Mails von unbekannten Adressaten öffnen
  • Mitarbeiter, die im Homeoffice arbeiten oder ein dienstliches Smartphone nutzen, müssen ebenfalls immer wieder ein Backup ausführen
  • Möglichst regelmäßig den Cache leeren
  • Sensibilisierung der Mitarbeiter für das Thema Datenschutz und Cyber-Kriminalität
Cyber-Checkliste downloaden

Die Folgeschäden einer Cyberattacke

Cyberschäden bei Steuerberatern

Wenn Cyberattacken auf schlecht geschützte IT-Systeme treffen, können diese schwere Folgen nach sich ziehen. Im schlimmsten Fall kann es sogar zu kurz- und mittelfristigen Betriebsunterbrechungen kommen. Was selbst großen Konzernen Probleme bereitet, ist für kleine und mittelständische Beraterunternehmen existenzbedrohlich: Wichtige Steuererklärungen gehen verloren oder Kundendaten werden veröffentlicht. Das kann das Vertrauen Ihrer Klienten dauerhaft beschädigen.

Folgeschäden
  • Datenwiederbeschaffung
  • Neueingabe von Daten
  • Neuinstallationen
  • Aufwendungen für Verschlüsselungen
  • Kosten aufgrund fehlerhaften Versands
  • Schäden durch elektronischen Zahlungsverkehr
  • Telefonmehrkosten
  • Ertragsausfall und Mehrkosten
  • Aufwendungen für eine Ursachenermittlung
  • Notwendige Krisenkommunikation
  • Auftretende Informationskosten
  • Ersatz der Hardware
  • Anwaltskosten
  • Ansprüche nach der Weitergabe von Schadsoftware an Dritte

3 Leistungen, für die Sie externe Hilfe holen müssen

Dienstleister für Cybersicherheit in der Beraterbranche

Die Folgen eines erfolgreichen Cyberangriffs können in den meisten Fällen nicht ohne externe Hilfe bewältigt werden. Zahlreiche Dienstleister haben sich auf diesem Fachgebiet spezialisiert und bieten ganzheitliche Lösungs- und Präventionsansätze an. Unterstützung erhalten Sie u. a. in den folgenden Punkten:

Online-Training

  • Nachhaltiges Training
  • Aktuelle Trainingsvideos über Sicherheitsrisiken
  • Konkrete Handlungsempfehlungen
Zum Online-Training

Mitarbeiterschulung

  • Gefahrenüberlick
  • Präventionsschulungen
Mitarbeiter schulen

Penetrations-Test

  • Angriffssimulation
  • Proaktives Erkennen von Sicherheitslücken
  • Detailierter Sicherheitsreport
Zum Pen-Test anmelden

Cyberattacke: Das müssen Sie jetzt tun

Sofort-Maßnahmen nach einem Cyberangriff

Selbst wenn alle denkbaren Präventionsmaßnahmen ergriffen wurden und alle Patches und Antivirenprogramme immer auf dem neuesten Stand sind, kann ein Cyberangriff auf Ihre IT leider immer noch gelingen. Deswegen sollte in jeder Steuerkanzlei ein Notfallplan existieren, in dem die genauen Ansprechpartner, Abläufe und zu ergreifenden Schritte klar festgehalten sind. So kann im Ernstfall schnell gehandelt und der Schaden begrenzt werden.

Die folgende Checkliste zeigt, was nach einer Cyber-Attacke konkret zu tun ist:

Was im Schadensfall konkret zu tun ist, zeigt diese Checkliste:

  • Interne Aufklärungsarbeit (Schwachstellen analysieren und Einfallstor schließen)
  • Kontinuierliche Überwachung der Systeme auf erneuten
  • Schaden (d.h. Datenabfluss/-verlust) ermitteln
  • Juristisch gebotene Schritte einleiten (zum Beispiel Meldepflichten gegenüber Aufsichtsbehörden)
  • Konkrete Argumentationslinien und Kommunikation nach innen/außen entwickeln
  • Konkrete Argumentationslinien und Kommunikation nach innen/außen entwickeln

Nach einem erfolgreichen Cyber-Angriff auf Ihre Kanzlei muss sofort geprüft werden, ob der Vorfall bestimmten Meldepflichten gegenüber Aufsichtsbehörden im In- und Ausland unterliegt. So können etwaige Haftungsrisiken und Bußgelder vermieden werden.

Davor schützt eine Standard-Cyberversicherung

Cyberversicherung für Steuerberater

Die Konsequenzen von Cyberattacken sind in den meisten Fällen sehr teuer und mit einem enormen Zeitaufwand verbunden. Damit sich die rechtlichen und finanziellen Schäden nicht zu sehr auf die geregelten Abläufe in Ihrer Kanzlei auswirken, ist der Abschluss einer Cyberversicherung ratsam. Die Policen unterscheiden sich teilweise jedoch sehr stark voneinander. Deswegen muss gut geprüft werden, welche Szenarien vertraglich versichert sind und unter welchen Voraussetzungen der Versicherungsschutz im Schadenfall überhaupt besteht.

Zu den Versicherungsprodukten

Ist eine Cyberversicherung sinnvoll?

Brauchen Steuerberater eine Cyberversicherung?

Die groß angelegten Cyberattacken durch die Malwares „Petya“ und „WannaCry“ haben gezeigt, dass die Gefahren für Unternehmen durchaus real sind. Dabei muss es nicht einmal ein wohlorchestrierter Angriff von organisierten Gruppen sein, der ein IT-System lahmlegt: Selbst die kleinste Unachtsamkeit eines Mitarbeiters kann den Hackern Tür und Tor öffnen und irreparable Schäden zur Folge haben. Hier setzen die Cyberversicherer an: Sie helfen bei der Präventionsarbeit und deckeln finanzielle Schäden in der vertraglich festgelegten Höhe. Die meisten Dienstleister können im Schadenfall außerdem bei der Datenwiederherstellung behilflich sein und bieten eine telefonische Rechtsberatung an.