Cyber-Resilienz für die steuerberatenden Berufe: Anforderungen, Herausforderungen und Schutzmechanismen

Die unaufhaltbare Digitalisierung bringt viele Vorteile, doch auch die Risiken steigen: Steuerberater, die sensible und vertrauliche Kundendaten verwalten, stehen im Fokus potenzieller Cyberangriffe. Diese Branche unterliegt strengen datenschutzrechtlichen Anforderungen, und ein Datenleck kann gravierende rechtliche und finanzielle Folgen haben. Daher ist es wichtig, das Bewusstsein für Cybersicherheit zu stärken und klare Schutzmaßnahmen zu etablieren. Dieser Artikel beleuchtet die besonderen Herausforderungen, stellt bewährte Schutzmaßnahmen vor und geht auf die branchenspezifische Situation ein – etwa den häufigen Einsatz von ausgelagerten ITSystemen und Diensten, insbesondere der Buchhaltung, Lohnabrechnung, Steuererklärung und anderen Aufgaben im Bereich der Finanz- und Unternehmensführung.

Branchenspezifische Herausforderungen in der Cybersicherheit

Für Steuerberater stellen Cyberangriffe eine doppelte Bedrohung dar: Sie gefährden nicht nur das eigene Unternehmen, sondern auch die vertraulichen Daten ihrer Mandanten. Hacker könnten versuchen, über Schwachstellen im System Zugang zu vertraulichen Informationen wie Steuerbescheide, Unternehmensbilanzen oder Einkommensverhältnisse zu erhalten. Auch oder gerade Kanzleien, die viele IT-Services an Dienstleister auslagern sind interessant für Cyberkriminelle, da diese eine zentrale Rolle in der Steuerberatungsbranche spielen – und eine teilweise sehr hohe Durchdringung haben – stellen daher ggf. ein lukratives Ziel für Cyberkriminelle dar. Ein Angriff auf eine solches Verteilernetzwerk oder eine Schwachstelle im System eines Steuerberaters könnte weitreichende Konsequenzen haben.

Im folgenden Überblick sind einige der wichtigsten Schutzmaßnahmen, die Steuerberater ergreifen können, zusammengestellt.

Passwortmanagement: Basis der Cybersicherheit

Ein starkes Passwortmanagement ist eine der grundlegendsten, und vermutlich wichtigsten Maßnahmen für Cybersicherheit. Schwache Passwörter sind eine häufige Ursache für Sicherheitsvorfälle und bieten eine leichte Angriffsfläche für Cyberkriminelle. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, dass Passwörter mindestens zwölf Zeichen umfassen und aus einer Kombination von Buchstaben, Zahlen und Sonderzeichen bestehen sollten.

Ein gutes Passwortmanagement für Steuerberater kann durch den Einsatz von Passwortmanagern unterstützt werden, die komplexe Passwörter automatisch generieren und sicher speichern. Dadurch entfällt die Notwendigkeit, Passwörter manuell zu notieren (leider oftmals der gelbe Post-it unter der Tastatur), was die Sicherheit signifikant erhöht, und die schadhafte Ausnutzung menschlichen Fehlverhaltens minimiert. Auch die regelmäßige Änderung von Passwörtern, idealerweise in festgelegten Abständen, trägt zur Sicherheit bei.

Backup-Strategien: Schutz vor Datenverlust

Backups sind ein unverzichtbarer Teil der IT-Sicherheit (Forensikleitsatz: no backup, no mercy) und sorgen dafür, dass wichtige Daten nach einem Angriff oder Hardware-Ausfall wiederhergestellt werden können. Da Steuerberater täglich mit sensiblen Daten arbeiten, können Datenverluste zu großen Schäden führen. Durch die regelmäßige Sicherung der Daten auf externen Medien oder in sicheren Cloud-Umgebungen wird die Wiederherstellung ermöglicht.

Optimalerweise sollten Backups „offline“ z.B. auf einer externen Festplatte und an einem separaten Standort aufbewahrt werden, um sicherzustellen, dass sie auch im Falle eines Angriffs verfügbar sind. Zudem empfiehlt sich eine 3-2-1-Backup-Strategie: Es sollten drei Kopien der Daten existieren, auf zwei verschiedenen Speichermedien, wovon eine Kopie außerhalb der Firma gespeichert ist.

Antiviren- und Firewalllösungen: Prävention von Malware und unbefugtem Zugriff

Antivirenprogramme und Firewalls sind fundamentale Abwehrmechanismen gegen Cyberbedrohungen. Sie verhindern, dass Malware auf die Systeme gelangt oder Hacker unbefugt auf das Netzwerk zugreifen. Besonders bei der Nutzung von DATEV ist es wichtig, dass nur vertrauenswürdige Programme und Systeme Zugang zum Netzwerk haben.

Eine Antivirus-Lösung sollte regelmäßig aktualisiert werden, um Schutz vor den neuesten Bedrohungen zu bieten. Eine moderne Firewall kann darüber hinaus den ein- und ausgehenden Datenverkehr überwachen und mögliche Anomalien sofort melden. Auch der Einsatz von Endpoint-Protection-Systemen, die direkt an den Arbeitsplätzen der Mitarbeiter ansetzen, bietet zusätzlichen Schutz.

IT-Sicherheit bei Nutzung von DATEV und weiteren Anbietern: Besondere Anforderungen an Steuerkanzleien

DATEV zum Beispiel ist ein zentraler Bestandteil der IT-Infrastruktur vieler Steuerberater. Das Unternehmen bietet viele Sicherheitsmaßnahmen wie Verschlüsselungen und Authentifizierungen, um die Daten seiner Nutzer zu schützen. Dennoch liegt die Verantwortung für die IT-Sicherheit bei der Kanzlei selbst. DATEV gibt viele Sicherheitsstandards vor, die jedoch nur effektiv sind, wenn die Steuerberater diese durch eigene Schutzmechanismen ergänzen und ihre IT-Systeme auf dem neuesten Stand halten. DATEV allein bietet keinen hundertprozentigen Schutz – die Kanzleien müssen aktiv eigene Maßnahmen zur IT-Sicherheit ergreifen.

Mitarbeitersensibilisierung: Menschen als wichtige Sicherheitsfaktoren

Technische Schutzmaßnahmen sind wichtig, doch eine häufig unterschätzte Sicherheitslücke sind die Mitarbeiter selbst. Fehlende Sensibilisierung kann dazu führen, dass Mitarbeiter Phishing-Mails nicht erkennen oder schwache Passwörter wählen. Daher sollten regelmäßige Schulungen zur Cybersicherheit fester Bestandteil der Unternehmenskultur sein. Die Mitarbeiter lernen dabei, Risiken zu erkennen und im Ernstfall richtig zu reagieren.

Die HDI Cyberversicherung bietet mit der Perseus-Präventionsplattform ein kostenloses Tool zur Mitarbeitersensibilisierung an. Hier können Steuerberater ihre Mitarbeiter zu aktuellen Cyberrisiken schulen und so die Sicherheitsstandards im Unternehmen erhöhen. Zudem bietet die Plattform einen Notfallplan für Cyber-Vorfälle und diverse Richtlinien zum Thema Cybersicherheit.

Mindestanforderungen der IT-Sicherheit und Obliegenheiten der Cyberversicherung

Der HDI bietet als Kooperationspartner des DStV mit der HDI Cyberversicherung eine umfassende Absicherung gegen Cyberrisiken. Um jedoch im Schadensfall einen Versicherungsschutz zu gewährleisten, müssen Steuerberater bestimmte Obliegenheiten einhalten. Eine Obliegenheit ist eine vom Versicherungsnehmer geforderte Handlungspflicht, die im Interesse des eigenen Unternehmens und der Kunden liegt.

Dazu gehören beispielsweise die regelmäßige Datensicherung und Schutz der Systeme vor Schadsoftware z.B. durch Nutzung von Antivirensoftware. Diese Pflichten müssen eingehalten werden, um den Versicherungsschutz nicht zu gefährden. Für Kunden ist die Einhaltung dieser Obliegenheiten wichtig, da sie eine Grundsicherheit gegen Cybervorfälle darstellt.

Zusatzleistungen der HDI Cyberversicherung: Prävention und Schwachstellenanalyse

Die HDI Cyberversicherung bietet Steuerberatern verschiedene Zusatzleistungen zur Prävention und Risikoanalyse. Neben der erwähnten Perseus-Plattform zur Mitarbeitersensibilisierung bietet der HDI auch den Datenschutz-Quickcheck an. Dieser erlaubt eine einfache Überprüfung des Status quo der datenschutzrechtlichen Anforderungen und erleichtert es Steuerberatern, gesetzliche Vorgaben einzuhalten.

Mit cysmo, einem Outside-In-Scan, können Steuerberater ihre Systeme auf öffentlich einsehbare Schwachstellen prüfen. Dabei werden Schwachstellen erkannt, die von außen sichtbar und für potenzielle Angreifer angreifbar sind. Dieser präventive Ansatz ermöglicht es, Sicherheitslücken frühzeitig zu schließen und so die Angriffsfläche zu reduzieren. Der cysmo Scan steht für jeden HDI Cyberkunden über die Perseus Präventionsplattform kostenfrei zur Verfügung. So können Verbesserungspotenziale einfach und schnell identifiziert werden.

Cybersicherheit als Grundpfeiler der Steuerberatungsbranche

Die Cybersicherheit ist für Steuerberater eine essenzielle Herausforderung, die durch branchenspezifische Anforderungen und den Schutz sensibler Daten noch wichtiger wird. Durch ein starkes Passwortmanagement, regelmäßige Backups, den Einsatz von Antivirusund Firewalllösungen sowie die Sensibilisierung der Mitarbeiter können Steuerberater ihre IT-Sicherheit effektiv steigern. Die Cyberversicherung stellt dabei nicht nur Schutz im Schadensfall bereit, sondern unterstützt Steuerberater aktiv durch Präventionsmaßnahmen und Hilfsangebote. So können Steuerberater die notwendigen Sicherheitsstandards etablieren, die von Kunden und Regulierungsbehörden gleichermaßen gefordert werden.