In fünf Schritten zur besseren Cybersecurity für Steuerberater-Kanzleien

Plötzlich wird der Bildschirm schwarz – ein Hinweis erscheint, dass die Daten von Hackern gesperrt wurden und ein Lösegeld fällig sei: Das ist heute keine Seltenheit mehr. Laut Lagebild des Bundeskriminalamtes haben 2023 über 800 Unternehmen einen Angriff mit sogenannter Ransomware zur Anzeige gebracht. Ziel dieser Attacken sind oft Anbieter aus der Finanzbranche – neben Banken auch zunehmend Steuerberatungskanzleien. Die Folgen: Rufschädigung, Vertrauensverlust, Finanzeinbußen. Allein deshalb lohnt es sich, in die eigene Cybersicherheit zu investieren. 

Dabei ist es ein Irrglaube, dass nur große Firmen von Cyberangriffen betroffen sind. Laut Hiscox Cyber Readiness Report zielen 43 Prozent der Angriffe auf kleine und mittlere Unternehmen ab. Der Verein Bitkom e.V. beziffert den Schaden durch Cyberangriffe auf deutsche Unternehmen für 2023 auf 205,9 Milliarden Euro. Fakt ist laut Bitkom aber auch, dass 2022 nur neun Prozent des IT-Budgets für Cybersecurity veranschlagt wurden. Ein erfolgreicher Angriff kostet ein Unternehmen weit mehr als dieses Budget – im Zweifel sogar das komplette Geschäft.

Es gibt allerdings einige einfache Maßnahmen, die schnell Wirkung zeigen. Wir haben fünf Tipps zusammengetragen, mit denen sich Steuerberatungs-Kanzleien besser vor Cyberattacken schützen können.

1. Mitarbeiter sensibilisieren und schulen

Gerade für kleinere Unternehmen ist es essenziell, das Team in Sachen Cybersecurity zu sensibilisieren und zu schulen: Welche Methoden gibt es, wie kann ich sie erkennen und – bestenfalls – melden? In Österreich sind Fortbildungen beispielsweise für Steuerberater:innen und Wirtschaftsprüfer:innen mittlerweile verpflichtend vorgeschrieben. Auch Cyberschulungen können hier angerechnet werden. Laut BKA lässt sich in den Sommermonaten regelmäßig ein Abflauen der Angriffe beobachten. Warum nicht diese Zeit für Fortbildungen zu Cybersicherheit nutzen? In Europa bieten eigene Institute solche Kurse für Steuerberater an, darunter:

• Die Wirtschaftsprüferkammer (Deutschland) – Cybersecurity-Leitlinien für Steuerberater
• Das Institute of Chartered Accountants (Großbritannien) – „Cybersecurity for the accountancy profession”
• Der Ordre des Experts-Comptables (Frankreich)
• Die Associazione Nazionale Commercialisti (Italien)
• Die Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal(Rumänien)
• Das Sisäministeriö (Finnland)

2. Regelmäßige Software-Updates und Patches

Auch, wenn es keine eigene IT-Abteilung im Unternehmen gibt, sollten die Systeme auf dem neuesten Stand gehalten werden. Die deutsche Bürokratie treibt hier exotische Blüten: Laut Handwerkerzeitung kann Lösegeld, das bei einem Cyberangriff gezahlt wird, unter Umständen als Betriebskosten abgerechnet werden. Allerdings nur, wenn nachgewiesen werden kann, dass Software-Updates verlässlich installiert wurden. Unternehmen, die sich selbst um ihre IT-Sicherheit kümmern, finden europaweit verlässliche Informationen von Cybersicherheitsbehörden, Branchenverbänden oder staatliche Veröffentlichungen:

• National Cyber Security Centre (NCSC), Großbritannien
• Agence nationale de la sécurité des systèmes d’information (ANSSI), Frankreich
• Bundesamt für Sicherheit in der Informationstechnik (BSI), Deutschland
• Autorità per l’informatica nella pubblica amministrazione (AGID), Italien
• Directoratul Național de Securitate Cibernetică (DNSC), Rumänien
• Finnische Behörde für Verkehr und Kommunikation – Cybersicherheitsrichtlinien für Finanzunternehmen

3. Strenge Passwortrichtlinien etablieren

Das Hasso-Plattner-Institut für Digital Engineering in Potsdam veröffentlicht jedes Jahr die beliebtesten Passwörter der Deutschen. Platz 1 belegt auch 2023 „123456789“. Platz 3 geht an „hallo“ und „password“ liegt immerhin noch auf Platz 6. Allen Mitarbeitern im Unternehmen muss klar sein, wie wichtig sichere Passwörter sind. Die Deutsche Bank, die selbst Schulungen für ihre Mitarbeitenden zum Thema Cybersecurity anbietet, stellt auf ihrer Website fest: „Der menschliche Faktor ist eine entscheidende Komponente erfolgreicher Cyberabwehr.“

4. Zwei- oder Multi-Faktor-Authentifizierung einführen

Um den Zugang zu sensiblen Daten zu sichern, müssen Benutzer häufig zwei oder mehr Verifizierungsfaktoren angeben, um darauf zugreifen zu können. Das mag zeitintensiv und lästig erscheinen. Doch wie so oft ist hier Zeit Geld – das verloren gehen könnte: Eine unter anderem in Deutschland durchgeführte Umfrage von Statista aus dem Jahr 2023 ergab, dass sich die durchschnittlich verursachten Kosten beziehungsweise Verluste von Cyberangriffen im Jahr 2022 auf 16.000 Euro beliefen. Ein starker Anstieg: Laut der Umfrage betrugen die Kosten/Verluste im Jahr 2019 in Deutschland durchschnittlich 9.000 Euro je Vorfall.  

5. Auf Kanzleisoftware mit integrierter Mandantenkommunikation setzen

Ein weiteres Einfallstor für Hacker ist die Kommunikation zwischen Kanzlei und Mandanten, etwa durch Phishing-Mails oder Malware per Mailanhang. Steuerberater-Plattformen wie TaxDome eliminieren dieses Risiko, indem sie eine effiziente Kommunikation zwischen Steuerberatern und Mandanten etablieren – mithilfe eines Mandantenportals, das eine sichere gemeinsame Nutzung von Dokumenten und verschlüsselte Nachrichtenübermittlung ermöglicht. TaxDome automatisiert nicht nur Arbeitsabläufe, sondern sorgt ganz automatisch auch dafür, dass sensible Kundendaten vor unbefugtem Zugriff und Cyber-Bedrohungen geschützt sind.

Cybersecurity ist Thema, das sich stetig entwickelt. Umso wichtiger ist es, am Ball zu bleiben und Risiken und Trends frühzeitig zu erkennen. Ein Schlüssel dabei ist die Wahl der richtigen Software für Ihre Kanzlei: Haben Sie Fragen zu Cybersecurity für Ihre Kanzlei oder suchen Sie eine sichere Verwaltungssoftware für Ihre Kanzlei? Fragen Sie jetzt eine Demo an und lernen Sie TaxDome kennen – und minimieren Sie so Ihre Cybersecurity-Risiken!