#19 Lernen Sie Ihre Systeme kennen!

Christine Munker: Wir begeben uns heute auf eine kleine Schnitzeljagd und zwar durch ihre IT -Systeme und die...

Christine Munker: Wir begeben uns heute auf eine kleine Schnitzeljagd und zwar durch Ihre Systeme und die IT. In der letzten Episode haben wir über den wirklich allerersten Schritt in Richtung IT -Sicherheitsmanagement gesprochen, nämlich die Vergabe von klaren Verantwortlichkeiten für dieses Thema. Jetzt hat bei Ihnen also optimalerweise eine Person den Hut auf und der oder diejenige möchte loslegen. Also sprechen wir in dieser Episode über den nächsten Schritt. lernen Sie Ihre IT -Systemlandschaft kennen. Und damit herzlich willkommen zu einer neuen Folge von So geht's sicher, der Podcast für Datenschutz und IT -Sicherheit in der Steuerkanzlei. Ich bin Christine Munker, Datenschutzberaterin und Geschäftsführerin der Munker Privacy Consulting GmbH und ich habe gleich einen Hinweis für alle, die jetzt schon der Meinung sind, meine Systeme kennt mein IT -Systempartner, darum muss ich mich überhaupt nicht kümmern. Damit liegen Sie nämlich in aller Regel falsch. Ihr Systempartner kennt die Systeme, die er Ihnen liefert, installiert, wartet, updated, sichert oder was auch immer. Aber damit haben wir längst nicht die ganze Bandbreite Ihrer IT abgedeckt. Was ist zum Beispiel mit Ihren Smartphones? Welche Modelle nutzen Sie betrieblich? Haben Sie eine Lösung zum Mobile Device Management dafür im Einsatz? Welche Apps sind auf den Geräten installiert? sind diese aus Sicht der IT -Sicherheit und des Datenschutzes durchgecheckt. Anderes Beispiel, Cloud -Lösungen von den Rechtsdatenbanken, Online -Portalen zum Datenaustausch, vielleicht JetGPT, Speziallösungen für z. B. Controlling -Auswertungen, digitalen Scan -Tools und und und. Weiß ihr Systempartner sehr oft gar nichts, weil sie die unabhängig von ihrem IT -Systemhaus Erwerben, Lizenzieren und Einrichten. In diesen Lösungen sind aber zum einen natürlich ihre Benutzerinformationen zum Teil auch mit Zahlungsdaten hinterlegt und zum anderen befinden sich dort Datenbestände ihrer Kanzlei oder ihrer Mandanten. Ein weiteres Beispiel wäre zum Beispiel ihre Kanzlei -Homepage, der damit verbundene Webposter, zusätzliche Analysetools, Newsletter -Tools, Social Media oder Marketing -Tools. Auch dafür gilt genau das Gleiche. Benutzerdaten,

Christine Munker: und Kanzai - auch Mandanteninformationen werden darin verarbeitet. Sie sehen also Ihre Systemlandschaft, hört nicht an der Tür des Server -Raums auf und Ihre Systempartner sind nicht allwissende Ansprechpartner. Genauso gilt die Aussage, wir haben ja alles im Rechenzentrum. Nicht. Denn mit irgendwelchen Geräten melden Sie sich ja dort, andrucken Auswertungen aus und so weiter. Sie kommen also nicht drum rum. Sie müssen Inventarisieren. Schreiben Sie also Listen über die entsprechenden Bestandteile Ihrer Systeme oder lassen Sie sich dabei helfen, denn unter Umständen kann hier Ihr Systempartner doch der richtige Ansprechpartner sein. Systemhäuser bieten nämlich oft eine umfassende IT -Inventarisierung an, in der auch all die Bestandteile Ihre Systemlandschaft erfasst werden, die der Systempartner eben nicht kennt oder nicht installiert hat, nicht wartet. Was müssen Sie also alles herausfinden? Punkt eins. Listen Sie alle verwendeten Komponenten auf. Darunter verstehen wir Computer, Smartphones, Tablets, lokale Server, Remote Server, zum Beispiel eben die Server für Website Hosting, Kommunikationsdienste wie E -Mail Server. oder die Telefonanlage oder Cloud und Rechenzentrumserver, auf denen Ihre Fachanwendungen installiert sind. Außerdem müssen auch alle Peripheriegeräte erfasst werden, wie zum Beispiel Drucker, Scanner, Router, Switches, mobile Modems, Breitbandmodems und so weiter. Warum? All diese Geräte sind ja mit Ihrem Netzwerk verbunden bzw. die Netzwerkverbindungen zum Teil überhaupt erst her und sind damit potenzielle Angriffsmöglichkeiten bzw. schaden sie ihnen natürlich, wenn sie ausfallen. Wenn sie alle verwendeten Komponenten aufgelistet haben, wissen sie also entsprechend, was sie überhaupt schützen müssen. Das ist für ein IT -Sicherheitskonzept natürlich schon mal eine ganz gute Grundlage. Damit sind wir aber noch nicht am Ende. Punkt 2. Erstellen Sie eine Liste der eingesetzten Softwarelösungen und denken Sie dabei bitte auch an die Lösungen, die nicht mehr genutzt werden, aber noch installiert sind.

Christine Munker: Sie sollten hier in dieser Liste die Art der Software, also lokale Installation oder Cloud - Rechenzentrumsnutzung, die wesentlichen Funktionen und die jeweils aktuell eingesetzte Version dieser Software notieren und speichern. Das ist besonders dann wichtig, wenn wir über die Ausfallprävention bzw. über ihre Reaktionsgeschwindigkeit reden, wenn dann doch mal ein Ausfall passiert ist. Daher sollten Sie zusätzlich zu den bereits genannten Informationen wie Versionsnummer und so weiter auch die entsprechenden Informationen über Lizenzen und am besten konkret die Lizenznummern oder eben entsprechende Lizenzdateien abspeichern, wenn eine Neuinstallation eventuell notwendig ist, damit Sie diese auch schnell veranlassen können. Punkt 3. Erstellen Sie eine Auflistung der Daten und der Datenverarbeitung. Das klingt jetzt wieder verdächtig nach Datenschutzbürokratismus. Ich weiß, es ist aber tatsächlich gar nicht so bürokratisch gemeint, auch wenn das Verzeichnis der Verarbeitungstätigkeiten aus dem Datenschutz an dieser Stelle wirklich ganz gute Dienste leistet. Das hat nämlich schon seinen Sinn. Hier geht es aber einen etwas anderen Gedanken. Überlegen Sie mal, was passieren würde, wenn bei Ihnen Daten aus welchem Grund auch immer unbrauchbar werden, gelöscht werden, ausversehen, verändert werden, einfach Dateienbestände beschädigt werden. Bei welchen Daten würden Sie Gefahr laufen, dass Ihre Kanzlei wirklich nachhaltigen Schaden erleidet, weil ihr Geschäftsbetrieb beeinträchtigt wird oder eben nur unterbrochen? Nicht nur, sondern sogar unterbrochen. Wo sind überhaupt die Kanzlei -Datenbestände gespeichert? Hier sprechen wir natürlich besonders von Cloud -Lösungen, aber auch von lokalen Laufwerken auf Notebooks, von Tablets und so weiter. Also die Frage nach der Beeinträchtigung der Kanzleitätigkeit ist hier im Vordergrund zu sehen. Und die können wir uns jetzt auch aus einem anderen Blickwenkel stellen. Welche Verarbeitungen, also welche softwaregestützten Prozesse in Ihrer Kanzlei sind so essentiell, dass ein Ausfall und damit ein Nichtverarbeiten dieser Daten zu einem nachhaltigen Problem für Sie

Christine Munker: werden kann. Wir haben es ja oben schon angesprochen, wenn Sie das alles einmal durchdacht haben, welche Datenbestände habe ich und auf welche Weise werden die verarbeitet und welche dieser Verarbeitungen sind wirklich essentiell, dann wissen Sie, worauf Sie sich bei der Auswahl Ihrer IT -Sicherheitsmaßnahmen besonders konzentrieren sollten. Wir sind aber immer noch nicht ganz am Ende mit unseren Listen. Punkt 4. Listen Sie alle Zugriffsrechte auf. Wer hat welche Rechte in ihrer Kanzlei, auf welchen Systemen und in welcher Software? Was dürfen Administratoren? Was dürfen Standard -User? Und welche Sonderrechte gibt es in Ihrer Kanzlei? Zum Beispiel für Teamleiter oder die kanzlei -eigene Personal - und Buchhaltungsabteilung und so weiter. Ich leg Ihnen hier ganz besonders ans Herz, sich nicht nur ein vielleicht schon bestehendes Rechtekonzept von Ihrem Systempartner oder aus anderen Quellen mal Denken Sie wieder dran, wer dieses Konzept eben einmal erstellt hat, der hat einen bestimmten Blickwinkel auf Ihre Systeme und vielleicht keinen ganz umfassenden. Und wie alt das gegebenenfalls ist, kommt das vom Systempartner, haben wir ja bereits gesagt, wissen Sie, dass der gar nicht alle Zugänge und Rechtevergaben in Ihrer Kanzlei kennt. Dokumentieren Sie wirklich alle Berechtigungen, auch aus den bereits angesprochenen Tools und Lösungen, also auch Cloud -Lösungen und so weiter. Und gehen Sie diese Aufzeichnungen dann einmal mit ganz wachem Auge durch. Wer in Ihrer Kanzlei braucht denn wirklich welche der vergebenen Rechte und welche Zugriffe? Gibt es da vielleicht noch alte Benutzer, die nicht mehr benötigt werden? Das wird in Ihrer Hauptsoftware, der Kanzleisoftware, wahrscheinlich nicht der Fall sein. Die hat man relativ gut im Auge, aber vielleicht eben in Lösungen, die Sie nicht so oft benutzen, die nur manche Benutzer im Zugriff haben, die vielleicht schon länger nicht mehr. aktiv in der Benutzung sind, sind gegebenenfalls noch alte Rechte da, an die niemand mehr gedacht hat, können Rechte besser eingeschränkt werden, zum Beispiel auch, weil die Funktionalität in der Software jetzt bessere Möglichkeiten zulässt als noch vor einem Jahr, weil es da Updates gab dazu. Fakt ist, je genauer sie die Berechtigungen und Zugriffe vergeben, also so eingeschränkt wie möglich, desto weniger Angriffspotenzial und

Christine Munker: Möglichkeiten für unbeabsichtigte Fehlennutzungen bieten Sie. Last but not least, gleich sind wir durch. Punkt 5. Erstellen Sie eine Auflistung aller IT -Verbindungen Ihrer Kanzlei mit der Außenwelt. Oder anders gesagt, welche Berührungspunkte gibt es zwischen den IT -Systemen in Ihrer Kanzlei und dem Internet? Jede Internetverbindung, also z .B. Standleitung ins Rechenzentrum oder Onlineverbindungen zu Cloud -Lösungen, aber auch sowas wie eine Standleitung von ihrem Aufzughersteller zu seinem Servicezentrum, solche Dinge, jede Internetverbindung zu einem Provider oder Geschäftspartner sollte ermittelt werden und in das Bestandsverzeichnis aufgenommen werden. Nur so können diese Verbindungen, nämlich sinnvollen Überwachungs… Regelungen und Methoden unterzogen werden. Der Aufwand für diese gesamte Inventarisierung, der ist jetzt am Anfang natürlich nicht zu unterschätzen. Wenn wir uns diese ganzen fünf Punkte anschauen, da steckt ja schon eine ganze Menge drin, was sie dokumentieren müssen und vor allem erst mal rausfinden müssen. Lassen Sie sich daher gerne vom Systempartner oder IT -Sicherheitsprofis helfen, da es dafür sehr gute technische Möglichkeiten gibt, eine Vorarbeit zu leisten, bestimmte Systeme einfach durch Scans über ihre Landschaft schon mal herauszufinden und aufzulisten beispielsweise. So oder so kommen Sie aber die Inventarisierung nicht herum. Den Grund haben Sie mittlerweile bestimmt erkannt. Erst wenn Sie wissen, wie die Systemlandschaft in Ihrer Kanzlei wirklich aussieht, können Sie Unnötiges rausstreichen und das Nötige sinnvoll organisieren und insbesondere die Bereiche, für ihren Kanzleibetrieb ganz besonders wichtig sind, auch entsprechend schützen. Ohne dieses Wissen können sie zwar ein IT -Sicherheitskonzept bekommen, klar, aber immer nur eins von der Stange. Und da sind dann eben mal die Ärmel zu lang und die Beine zu kurz. Das Risiko würde ich lieber nicht eingehen, wenn es Sicherheit geht. Wirklich individuelle und zielführende, gemanagte Sicherheit.

Christine Munker: richtiges IT -Sicherheitsmanagementsystem angepasst auf Ihre Kanzlei funktioniert logischerweise nur dann, wenn Sie wirklich wissen, was geschützt werden muss, was besonders intensiv geschützt werden muss und welches Sicherheitsgefühl, welchen Sicherheitsbedarf Sie persönlich für diese einzelnen Themenbereiche haben. Das spielt ja auch noch ganz wichtig mit rein. Bei der regelmäßigen Aktualisierung dieser Inventarisierung Und hier würden wir zum Beispiel einen halbjährlichen Check empfehlen. Geht das dann alles natürlich deutlich schneller von der Hand. Behalten Sie diese Aktualisierungen aber auf jeden Fall auf dem Schirm, denn gerade in der heutigen Zeit verändert sich der Software -Einsatz und die genutzte Hardware für bestimmte Systeme relativ schnell. Die Tools und Software -Lösungen explodieren ja zurzeit gerade insbesondere wenn es Digitalisierung und KI -Lösungen geht. Das heißt, Möglichkeit, Sie, wenn Sie in einem halben Jahr auf diese Inventarisierung schauen, schon in manchem Bereich ein ganz anderes Bild vorfinden, die ist durchaus gegeben und die Chance sollten Sie nicht verpassen, Ihr Sicherheitsmanagement darauf anzupassen. Denn wenn Sie diese Änderungen nicht registrieren, passt Ihr ganzes Sicherheitskonzept natürlich nicht mehr zum aktuellen Stand und ist im Grunde vergebene Liebesmüh. Damit sind wir wieder mal am Ende einer Episode Diesmal mit ein bisschen Arbeit für Sie im Gepäck, die sich aber wirklich lohnt. Da wir heute ein paar Mal das Thema Datenverluste angesprochen haben, schauen wir uns in der nächsten Episode direkt an, was man da dagegen tun kann bzw. wie man vorbeugen kann, nämlich mit einer guten Datensicherung und einem guten Backup -Konzept. Wenn Sie Interesse daran haben, einen ersten IT -Sicherheitscheck durchführen zu lassen, einen Status Quo Ihrer Kanzlei rauszufinden, Dann melden Sie sich einfach bei uns auf www .munka .info oder hier in den Show Notes finden Sie unsere Kontaktdaten. Ich bedanke mich dafür, dass Sie sich auch heute wieder die Zeit genommen haben und würde mich riesig über eine Bewertung unseres Podcasts freuen, indem Sie direkt in Ihrer Podcasting -App Sterne vergeben. Wenn Sie mehr von diesem Podcast hören wollen, sollten Sie, so geht es sicher, jetzt gleich abonnieren. Bis