Cybersecurity-Mindeststandard für Steuerkanzleien

Steuerkanzleien verwalten hochsensible Daten: Einkommensverhältnisse, Vermögenswerte, Geschäftsgeheimnisse. Ein erfolgreicher Cyberangriff kann nicht nur den Kanzleibetrieb lahmlegen, sondern auch das Vertrauen der Mandanten zerstören. Trotzdem behandeln viele kleine Kanzleien IT-Sicherheit stiefmütterlich. Dabei sind die Grundlagen kein Hexenwerk.

Warum IT-Sicherheit für Kanzleien wichtig ist

Die Bedrohungslage hat sich verschärft. Ransomware-Angriffe, bei denen Daten verschlüsselt und erst gegen Lösegeld freigegeben werden, treffen längst nicht mehr nur Großunternehmen. Kleine und mittlere Betriebe sind beliebte Ziele, weil ihre Schutzmaßnahmen oft schwächer sind.

Für Steuerberater kommen berufsrechtliche Pflichten hinzu: Die Verschwiegenheitspflicht nach § 57 StBerG umfasst auch den Schutz anvertrauter Daten. Auch die GoBD-Anforderungen setzen eine sichere IT-Infrastruktur voraus. Wer fahrlässig mit IT-Sicherheit umgeht, riskiert neben dem Datenverlust auch berufsrechtliche Konsequenzen.

Technische Mindestanforderungen

Aktuelle Software und Betriebssysteme

Veraltete Software ist eines der größten Einfallstore für Angreifer. Sicherheitsupdates müssen zeitnah eingespielt werden – bei Betriebssystem, Anwendungsprogrammen und Firmware von Routern und anderen Netzwerkgeräten.

Maßnahmen:

• Automatische Updates aktivieren, wo möglich
• Regelmäßig prüfen, ob alle Systeme auf dem aktuellen Stand sind
• Keine Software mehr nutzen, die vom Hersteller nicht mehr unterstützt wird

Sichere Passwörter und Zugangskontrolle

Schwache Passwörter sind ein Klassiker. „Kanzlei123" oder der Name des Hundes bieten keinen Schutz.

Maßnahmen:

• Komplexe Passwörter verwenden (mindestens 12 Zeichen, Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen)
• Für jeden Dienst ein eigenes Passwort
• Passwort-Manager nutzen
• Zwei-Faktor-Authentifizierung aktivieren, wo verfügbar
• Zugriffsrechte nach dem Prinzip der minimalen Berechtigung vergeben

Datensicherung

Ohne Backup kann ein Ransomware-Angriff existenzbedrohend sein. Die Wiederherstellung aus einem aktuellen Backup ist oft die einzige Möglichkeit, den Betrieb fortzusetzen.

Maßnahmen:

• Regelmäßige Backups (mindestens täglich für wichtige Daten)
• Backups an einem separaten Ort aufbewahren (nicht im selben Netzwerk)
• Wiederherstellung regelmäßig testen
• 3-2-1-Regel: drei Kopien, auf zwei verschiedenen Medien, eine davon extern

Virenschutz und Firewall

Grundlegender Schutz vor Schadsoftware und unberechtigten Zugriffen.

Maßnahmen:

• Aktuelle Antivirensoftware auf allen Arbeitsplätzen
• Firewall am Netzwerkübergang zum Internet
• Regelmäßige Scans des Systems

Verschlüsselung

Sensible Daten sollten verschlüsselt gespeichert und übertragen werden.

Maßnahmen:

• Festplattenverschlüsselung auf Laptops und mobilen Geräten
• Verschlüsselte Verbindungen (HTTPS, VPN) für den Zugriff auf Kanzleisysteme
• E-Mail-Verschlüsselung für sensible Inhalte oder Nutzung sicherer Alternativen

Organisatorische Maßnahmen

Mitarbeiter sensibilisieren

Die meisten erfolgreichen Angriffe beginnen mit einem Klick auf einen falschen Link oder das Öffnen eines verseuchten Anhangs. Technische Schutzmaßnahmen helfen wenig, wenn Mitarbeiter nicht wachsam sind.

Maßnahmen:

• Regelmäßige Schulungen zu Phishing und Social Engineering
• Klare Regeln für den Umgang mit E-Mails von unbekannten Absendern
• Meldewege für verdächtige Vorfälle definieren

Notfallplan erstellen

Was passiert, wenn doch etwas schiefgeht? Ein Notfallplan spart im Ernstfall wertvolle Zeit.

Inhalte:

• Wer ist zu informieren (IT-Dienstleister, Datenschutzbeauftragter, ggf. Behörden)?
• Wie werden betroffene Systeme isoliert?
• Wie erfolgt die Kommunikation mit Mandanten?
• Wo sind die Backup-Medien, wie wird wiederhergestellt?

Dokumentation

Die getroffenen Maßnahmen sollten dokumentiert werden – nicht nur für den Prüfungsfall, sondern auch für die interne Klarheit.

Cloud-Dienste: Chance und Risiko

Viele Kanzleien nutzen Cloud-Dienste für Datenaustausch, Buchhaltung oder Dokumentenmanagement. Das kann die Sicherheit verbessern, wenn der Anbieter professionelle Infrastruktur und Sicherheitsmaßnahmen bietet. Es kann aber auch neue Risiken schaffen.

Worauf achten:

• Serverstandort in Deutschland oder der EU
• Verschlüsselung der Daten bei Übertragung und Speicherung
• Zwei-Faktor-Authentifizierung
• Vertrag zur Auftragsverarbeitung (AVV)
• Exit-Strategie: Können Daten exportiert werden?

Plattformen für die Mandantenkommunikation wie Taxaro bieten den Vorteil, dass Sicherheit bereits eingebaut ist: verschlüsselte Übertragung, sichere Speicherung, Zugriffskontrolle. Das reduziert das Risiko im Vergleich zum Austausch per unverschlüsselter E-Mail erheblich.

BSI-Grundschutz als Orientierung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit dem IT-Grundschutz einen Rahmen für IT-Sicherheit. Für kleine Kanzleien ist die vollständige Umsetzung meist überdimensioniert, aber die Checklisten und Empfehlungen bieten eine gute Orientierung.

Das BSI stellt auch Materialien speziell für kleine und mittlere Unternehmen bereit, die pragmatische Einstiegshilfen bieten.

Fazit: Grundschutz ist machbar

IT-Sicherheit muss nicht teuer oder kompliziert sein. Die wichtigsten Maßnahmen – aktuelle Software, sichere Passwörter, regelmäßige Backups, geschulte Mitarbeiter – sind mit überschaubarem Aufwand umsetzbar. Wer die Grundlagen beherrscht, ist gegen die häufigsten Angriffe gut geschützt. Und wer sensible Mandantendaten verwaltet, hat nicht nur ein wirtschaftliches, sondern auch ein berufsrechtliches Interesse daran.