#22 Der Superheld für Ihre Sicherheit: Virenschutz

Christine Munker: Ihre Systemlandschaft ist heute mehr denn je Bedrohungen von außen ausgesetzt. Also im Wesentlichen Angriffen über das Internet. Daher ist das Thema Cybersicherheit und damit verbunden natürlich die IT -Sicherheit insgesamt heute auch nicht mehr aus dem Kanzleialltag wegzudenken. Auch wenn das in der einen oder anderen Kanzlei noch nicht ganz angekommen ist. Ein großer Bereich der Angriffe aus dem Internet ist das Thema Schadsoftware. Also Ransomware, Viren. All diese Dinge. Wir sprechen in unserer heutigen Episode deshalb darüber, wie Sie sich vor diesen ungebetenen Gästen schützen können und damit herzlich willkommen zu einer neuen Folge von So geht's sicher, dem Podcast für Datenschutz und IT -Sicherheit in der Steuerkanzlei. Ich bin Christine Munker, Datenschutzberaterin und Geschäftsführerin der Munker Privacy Consulting GmbH und ich möchte gleich als Allererstes heute mit einem riesigen Missverständnis aufräumen, dass wir auch heute noch gerade in den Köpfen von Steuerberatern immer wieder antreffen. Es geht Sätzchen wie, aber ehrlich, wer kennt mich und meine kleine Kanzlei denn schon? Das interessiert doch alles niemanden. Vielleicht haben Sie damit sogar recht. Kaum ein Russischer, Chinesischer oder auch Deutscher Cyber -Criminaler, wird die Kanzlei Müller, Meyer oder ... aus Niederbayern oder Nordfriesland kennen und gezielt angreifen. Da sind wir uns glaube ich einig. Aber so funktioniert dieses Business heutzutage auch nicht mehr. Ich sage ganz bewusst Business, denn tatsächlich ist hier ein richtiger Wirtschaftszweig entstanden. Nur, dass dieser halt nicht legal ist und nicht im Auge der Öffentlichkeit stattfindet. Heute funktioniert das ungefähr so. Ein Hacker woher auch immer der kommt, im Zweifel tatsächlich auch aus der parallelen Straße zu ihrer Kanzlei, ohne dass er sie oder sie ihn kennen, der möchte Geld verdienen. Also sucht er sich zum Beispiel eine bekannte Sicherheitslücke in einem Betriebssystem, einer E -Mail Software, bei einem Login Tool, das gerne für Cloud -Lösungen genutzt wird oder Ähnliches. Vielleicht ist der Hacker aber ja sogar

Christine Munker: und bedient sich ähnlicher Tools wie wir, wenn wir herausfinden, ob ihre Kanzlei von außen angreifbar ist, also wenn Schwachstellen identifiziert werden. Nur, dass dieser Hacker das natürlich nicht auf ihre Kanzlei bezogen tut, sondern eben eine Software nutzt, die wahllos, quer durch das Internet, Server, Software und Tools, die eben über das Internet erreichbar sind, nach Lücken absucht. Früher... Früher waren solche Hacker immer IT -Nerds, die super programmieren konnten und sich unglaublich intelligent in Systeme hineingeschlichen haben und dort Schadsoftware platziert haben. Heute muss man das nicht mal mehr sein, also Superschlau oder IT -Nerd, denn es gibt Dienstleister dafür. Ich ja gesagt, es ist ein richtiger Wirtschaftszweig, der sich da entwickelt hat. Diese Dienstleister findet man im Darknet, wenn man sich dort ein bisschen auskennt. und kann für gar nicht mal so viel Geld jede Art von Scan -Software, die eben Schwachstellen identifiziert und Schadsoftware, die dem Hacker dann Daten und Informationen liefert, bestellen. Fast wie bei Amazon, nur für Bösewichter. Grunde. Zwischenfazit. Sicherheitslücken zu identifizieren und Schadsoftware auf diese Systeme zu bekommen, muss man weder viel IT -Know -how haben, noch viel Geld ausgeben. Man braucht auch kein konkretes Angriffsziel mehr wie früher, sondern kann einfach gucken, wo man was Spannendes findet, irgendwo im Internet. Hacking ist also unglaublich rentabel geworden und zwar nicht nur für IT -Nerds, sondern für jedermann. Und deswegen ist es auch so eine Art moderne Plage geworden, mit der wir an jeder Ecke konfrontiert werden. Auch immer mehr Steuer kann es sein, die dann spannend für Bösewichter werden, wenn sie den Hinweis bekommen, ein System zugreifen zu können und dann feststellen, dass bei Ihnen alles gespeichert ist. Da reicht ja schon die Information, dass es sich ein Steuerkanzlei handelt und der Hacker weiß ganz genau, dass Ihnen die Schweißperlen auf der Stirn stehen, wenn er die erste nette Nachricht an Sie verschickt hat. Damit aber noch nicht genug. Noch spannender wird es nämlich für Hacker,

Christine Munker: Wenn Sie nicht mal mehr selbst herausfinden müssen, ob ein System eine Schwachstelle hat und dort Schadsoftware platziert werden kann. Wir sprechen hier zum Beispiel vom Thema Phishing. Sie bekommen mal Mail, zum Beispiel von der Telekom, die unglaublich echt aussieht, es aber eben nicht ist. Und wenn Sie nun den Link zum mega super Angebot der Telekom anklicken oder den Anhang, in dem sich vielleicht angeblich eine Rechnung befindet, öffnen, dann haben Sie die Büchse der Pandora geöffnet und Schadsoftware auf ihrem System. Wer von Ihnen erinnert sich zum Beispiel noch an den ersten großen Fishing -Coop, den I love you oder Love letter Virus aus dem Jahr 2000? Wie viele Menschen haben den Anhang dieser E -Mail angeklickt? Einen Liebesbrief bekommt man ja vielleicht nicht ganz so häufig. Diese Schadsoftware verursachte tatsächlich einen Schaden in Höhe von über 10 Milliarden Dollar. Mindestens manche Schätzungen sehen das sogar noch größer. Und sie war der erste große Wurm, also ein Virus, der sich mit Hilfe von Microsoft Outlook maßelnweise aus befallenen Systemen heraus selbst verschickt hat und auf den Systemen selbst für massive Datenverluste gesorgt hat. Das Gleiche funktioniert auch heute noch. Wesentlich subtiler, wesentlich schwerer zu erkennen, aber mit den gleichen Folgen. Das sind die Phishing Mails. Nicht nur die führen aber dazu, dass sie und ihre Mitarbeiter sich Schadsoftware quasi selbst auf ihre Systeme holen. Es gibt genug Webseiten, denen wir, ein Trojaner, was auch immer, platziert werden. Wenn Links angeklickt oder Downloads angestartet werden, dann haben sie diese automatisch auf ihrem System. Und an dieser Stelle stelle ich Ihnen den Superhelden bei der Abwehr solcher Angriffe, aber auch bei selbst ausgelösten Schadsoftware -Downloads gerne vor. Das gute alte Antivirus -Programm. Das wir alle vielleicht gar nicht mehr so ernst nehmen. Das aber wirklich einen riesen Job für ihre Sicherheit macht. Ein aktueller auf ihre Systeme, wirklich gut abgestimmter Virenschutz unterstützt sie nämlich gleich auf mehrfach Weise. Zum einen gibt es heut Lösungen, die das gesamte Netzwerk überwachen und ihnen unerwartete Aktivitäten melden können. Das funktioniert ganz ähnlich wie zum Beispiel

Christine Munker: ein Kontossensor Ihres Banking -Programms. Kommt zum Beispiel eine Abbuchung aus Sri Lanka über mehrere tausend Euro, die sonst eher selten passiert, dann erhalten Sie eine Warnung per E -Mail und können, wenn Sie nicht zufällig gerade selber dort in Urlaub waren und Ihre Hotelrechnung mit der IC -Karte bezahlt haben, zeitnah drauf reagieren. Der Viren -Scanner macht es ähnlich. Der kann gegebenenfalls seltsame Vorgänge blocken, sodass Sie erst prüfen können, ob hier alles mit rechten Dingen zugeht. und dann entsprechende Vorgänge auch erlauben können, wenn alles passt. So stellen Sie eben sicher, dass Dinge, die sich auf dem Netzwerk befinden oder zum Beispiel über Datenträger ins Netzwerk eingebracht werden können, keine schädigende Wirkung entfalten können. Also wenn Sie schon was runtergeladen haben sollten, was da nicht hingehört, irgendein Virus, Schadzorpfer und so weiter, kann ein Virenscanner dafür sorgen, dass der keinen Schaden verursachen kann. Warum ist das wichtig? Weil die Technik auch den Virenscannern immer mal ein Stückchen voraus ist und gegebenenfalls treffen sie auf einen Virus, den der Virenscanner noch nicht entdeckt oder entdecken kann. Deswegen ist es gut, wenn der eben auch einfach erkennen kann, dass da irgendwas passiert, was wirklich nicht normal ist und so ihr System auch dann schützt, wenn der Virus selbst gar nicht unbedingt erkannt wurde. Der Virenschutz ist aber eben außerdem dafür da, 99 Prozent aller Fälle zu verhindern, dass es überhaupt so weit kommt. Der kann beispielsweise in Ihrer Mail -Software verdächtige Absender, verdächtige Anhänge und verdächtige Inhalte direkt blocken oder in Quarantäne versetzen, sodass Sie erstmal schauen können, ob Sie diesen Absender kennen, ob Sie dem vertrauen, bevor die E -Mail auf Ihre Systeme gelangt. Beim Surfen im Internet kann der Vierschutz verdächtige Downloads blockieren oder Sie auf Webseiten, von denen bekannt ist, dass da eigentlich nur Unfug getrieben wird, schon eigentlich gar nicht drauflassen oder sie zumindest darauf hinweisen, dass diese Seite wirklich nicht sicher ist. Und der Virenschutz kann natürlich auch Datenträger scannen, bevor sie diese in ihre Systeme einbringen. Zum Beispiel eben auf einem Einzelarbeitsplatz, der für die Prüfung von USB -Sticks von Mandanten geeignet ist und gedacht ist. Bei diesem Thema noch ein kleiner Hinweis. Passen Sie auf, wenn Mandanten Ihnen Daten online übertragen.

Christine Munker: Die Datentransferportale renommierter Kanzleisoftware -Hersteller, die scannen übermittelte Datenbestände in der Regel auf Schadsoftware. Schon allein, weil sie die eigenen Lösungen natürlich nicht mit Viren verseucht haben möchten. Aber natürlich auch, damit sie die Daten unbesorgt auf ihre Systeme herunterladen können. Übermitteln sie Daten auf andere Weise, zum Beispiel über die Dropbox oder wie Transfer. müssen Sie unbedingt dafür sorgen, dass diese Systeme entweder schon online einen aktuellen und gut konfigurierten Virenschutz bereitstellen, wenn es überhaupt möglich ist, oder Sie müssen diese Daten selbst überprüfen, bevor Sie sie im Netzwerk speichern. Am besten lassen Sie sich über sichere Kanzlei -Portale Daten schicken. Das ist immer die aller einfachste Lösung, denn dann haben Sie das Problem gar nicht erst. Also. Sie brauchen den 1000er Servienschutz in Ihrer Kanzlei auf jeden Fall. Und hier sparen Sie auch bitte nicht und nutzen irgendwelche kostenlosen Varianten an den Einzel -PCs oder Ähnliches. Haben wir alles schon in der Praxis gesehen. Das macht keinen Sinn, denn Sie brauchen ein Konzept für Ihre komplette IT -Systemlandschaft. So einzelne Satellitenlösungen helfen Ihnen da nicht weiter. Was ihre Systemlandschaft alles beinhaltet, wir in den letzten Episoden unseres Podcasts schon besprochen. Das ist eine ganze Menge und daran erkennen Sie, dass eine Einzellösung sinnlos ist. Sie müssen das große Ganze in das Konzept zum Virenschutz mit einbeziehen. Ganz wichtig ist hier vor allem auch das Thema Update -Management. Denn jeden Tag erscheinen hunderttausende neue Schadsoftware -Varianten. Ich habe es gerade schon angesprochen. Ihre Virenschutzsoftware kann die eben nur erkennen, wenn eine aktuelle Datenbank da ist, in der diese Schadsoftwarecodes definiert sind. So aktuell, wie es irgendwie geht. 1000 % funktioniert das immer nicht, weil natürlich die Bösewichter uns da immer ein bisschen voraus sind. Aber sie müssen ihre Virensoftware ganz regelmäßig und am besten automatisch updaten, damit sie eben so viel wie möglich schon erkennen kann.

Christine Munker: Sie brauchen also wirklich regelmäßige Updates auf ihr System. Wenn wir davon ausgehen, dass jeden Tag hunderttausende neue Viren und Trojaner und so weiter entstehen oder Varianten vom Bekannten und ihr Virenscanner wurde vor 14 Tagen das letzte Mal aktualisiert, dann können Sie sich ja jetzt selber ausrechnen, gegen wie viele Virusvarianten Sie keinen effizienten Schutz mehr haben. Also updaten, wenn möglich immer automatisch. Bei der Auswahl des Virenschutzprogramms lassen Sie sich am allerbesten von Ihrem IT -Systempartner beraten. Die meisten Anbieter solcher Tools haben nämlich nicht nur den Virenschutz, sondern zum Beispiel auch Firewalls, Webfilter oder Anti -Fishing -Tools und so weiter im Angebot. Das sind ja oft nicht nur Virenschutzanbieter, sondern eben IT -Sicherheitsdienstleister, die da mehr im Portfolio haben. Hier brauchen Sie also unbedingt jemanden, der Ihre Anforderungen und vor allem Ihre Systeme kennt. rauszufinden, welches Paket für Sie am besten geeignet ist. Welche zusätzlichen Produkte, wie zum Beispiel die Firewall, notwendig sind. Oder was Sie vielleicht auch schon haben und nicht mehr mit buchen müssen. Und womit, also mit welchem Produkt, mit welchen Dienstleistern, mit welcher Kombination aus Dienstleistern Sie das alles für Ihre Bedürfnisse optimal abdecken können. Ohne auch zu viel Geld zu bezahlen, weil Sie bei drei verschiedenen Herstellern das gleiche mitgebucht haben. Das passiert nämlich auch schnell. Wir haben es ja schon angedeutet. Denken Sie also bitte auch daran, Ihre Dienstleister nach dem Schutz vor Schadsoftware zu fragen. Wenn Sie Daten in Cloud -Lösungen speichern, dann sollten Sie sicherstellen, dass diese auch dort vor Virenbefall geschützt sind und nicht beschädigt werden können. Wenn Sie mit Dienstleistern in diesem Bereich den geforderten Vertrag zur Auftragsverarbeitung abschließen, kommt das Thema Virenschutz.

Christine Munker: im Bereich der technisch organisatorischen Maßnahmen solcher Verträge ganz automatisch zum Zug. Dort wird nämlich definiert, wie Ihr Dienstleister in Sachen Virenschutz und natürlich auch Sachen im Bereich vieler anderer IT -Sicherheitsthemen vorgehen sollte. Sie sehen, auch hier hängen IT -Sicherheit und Datenschutz wieder ganz ganz eng zusammen. Der Virenschutz ist ein klassisches Gebiet der IT -Sicherheit. Der Datenschutz liefert ihnen aber die passenden Vertragswerke, hier nicht alles extra regeln zu müssen und das vor allem nicht zu vergessen, diese Dinge zu regeln. Auch wenn viele von ihnen vielleicht den Datenschutz als lästiges Übel ansehen, ich finde, die beiden Bereiche sind tatsächlich ein super Team. Am Ende dieser Episode möchte ich Ihnen jetzt noch ein weiteres Missverständnis erläutern. Ein Virenschutz alleine macht keine IT -Sicherheit. Auch das ist häufig noch eine verbreitete Meinung, auf die wir in unserer Beratung treffen. Nur der Virenschutz hilft Ihnen nicht. Andersrum wird ein Schuh draußen. IT -Sicherheit braucht Virenschutz. Ihm kommt tatsächlich, wenn das immer so plakativ klingt, ein bisschen die Superman -Funktion zu. Und warum? Das haben Sie jetzt schon verstanden. wenn irgendetwas schiefgegangen sein sollte. Also wenn doch irgendwo eine Schwachstelle in Ihren Systemen besteht, ein Update zu einer Sicherheitslücke, aus welchem Grund auch immer, nicht eingespielt wurde oder eben der Mensch auf den falschen Link geklickt hat. Kann ja auch passieren. Dann rettet Ihre Virensoftware, was zu retten ist und verhindert im besten Fall den Befall Ihrer Systeme, den Zugang fremder Personen zu Ihren Daten. und den Stillstand Ihrer Kanzlei. Wow. Eigentlich ein Riesensjob, den die Virenschutzsoftware für Sie übernimmt. Was müssen Sie jetzt konkret tun? Telefonieren, würde ich mal sagen. Rufen Sie den Systempartner an und besprechen Sie das Thema mit ihm oder anders. Sie haben ja mittlerweile bestimmt eine Person in Ihrer Kanzlei auserkoren, die sich das Thema IT -Sicherheit kümmert. Der oder diejenige,

Christine Munker: sollte den Virenschutz jetzt in Ihre regelmäßigen Prüfpunkte mit aufnehmen, so wie eben auch die Datensicherung beispielsweise oder Update -Konzepte regelmäßig auf den Prüfstand gestellt werden müssen. Und da der oder diejenige ja, wenn er fleißig unseren Podcast hört, auch eine Liste erstellt hat, in der alle Dienstleister und Hersteller zu Systemkomponenten aufgelistet sind, können Sie jetzt eigentlich ganz pragmatisch eine nach dem anderen ansprechen und sich bestätigen lassen. Das ist ein zeitgemäßer Vierenschutz. Also wir sprechen hier immer vom aktuellen Stand der Technik. Durchgeführt wird. Da kommt es natürlich auch bisschen darauf an, wie sensibel die Daten sind, die dieser Dienstleister für sie verarbeitet oder auf die der zugreifen kann. eben dann zu definieren, wie gut oder wie intensiv der Vierenschutz sein muss. Sie können auch ihren Datenschutz... Auftragten mit ins Boot holen, denn der müsste ja eigentlich eine Liste aller Dienstleister haben, mit denen er einen Vertrag zur Auftragsverarbeitung geschlossen hat und in diesem Vertrag stehen, wie schon erwähnt, auch die Infos zum Virenschutz. IT -Sicherheit und Datenschutz gemeinsam anzugehen macht eh Sinn. Auf diesen Punkt kommen wir immer öfter in unserem Podcast zu sprechen und an der Stelle kann sich der IT -Sicherheitsverantwortliche Zeit und Arbeit sparen, denn Im Zweifelsfall liegen den Datenschutzbeauftragten die Informationen zum Virenschutz bei den Dienstleistern ja schon vor. Sie sehen also ihr IT -Sicherheitskonzept wird mit jedem Schritt runter und die Vorarbeit, über die wir in den letzten Episoden unseres Podcasts gesprochen haben, ist eigentlich gar nicht mehr so aufwendig, wenn man bedenkt, wie viel Nutzen Sie daraus bei der Bearbeitung der einzelnen Themen ziehen können. Das haben wir in dieser Folge beim Thema Virenschutz schon gesehen, haben wir aber auch Wenn wir über Backup sprechen gesehen, wenn wir über das Update -Management sprechen, das baut alles schön aufeinander auf und Sie können wunderbar ein rundes Konzept darauf bauen. Also legen Sie einfach los und damit sind wir wieder mal am Ende einer Podcast -Episode angeleitet. Wenn Sie jetzt herausfinden wollen, wie es aktuell die Sicherheit Ihrer Systemlandschaft bestellt ist, dann sollten wir uns über einen IT -Sicherheitscheck unterhalten.

Christine Munker: melden Sie sich gerne bei uns. Wir finden zusammen heraus, wie wir den gegebenenfalls vorhandenen Schwachstellen in Ihrer Systemlandschaft auf die Schliche kommen. Unsere Kontaktdaten finden Sie wie immer auf www .munka .info oder hier in den Show Notes. Ich bedanke mich dafür, dass Sie sich auch heute wieder die Zeit genommen haben zuzuhören und würde mich riesig über eine Bewertung unseres Podcasts freuen. Dazu können Sie einfach direkt in Ihrer Podcasting -App Sterne vergeben. Und wenn Sie mehr von diesem Podcast hören wollen, dann sollten Sie, so geht es sicher, jetzt gleich abonnieren. Vielen Dank und bis bald.