Christine Munker: Herzlich willkommen zu einer neuen Folge von So geht's sicher, dem Podcast für Datenschutz, IT-Sicherheit und den regelkonformen Einsatz von KI in der Steuerkanzlei. Ich bin Christine Wunker und ich berate seit fast 25 Jahren mittlerweile Steuerberater zur Kanzlei-Organisation, zum Einsatz von IT-Lösungen und natürlich auch zum Datenschutz. Und ich habe mir für unsere heutige Podcast-Folge die aktuelle Studie der Bitkom geschnappt. über die wir einmal sprechen sollten. Um was geht es dabei? Die Bitkom hat aktuell die Studie Wirtschaftsschutz 2025 veröffentlicht. Diese Studie aus dem September präsentiert die Ergebnisse einer Umfrage unter deutschen Unternehmen und Unternehmern zum Thema Cyberkriminalität und Wirtschaftsschutz, wie der Namenschen sagt. Auch der Verfassungsschutz hat die Ergebnisse dieser Studie tatsächlich aufgegriffen und Während Cyberangriffe sind inzwischen die größte Bedrohung für die deutsche Wirtschaft. Besonders kritisch sind dabei Ransomware, Phishing und Social-Engineering-Angriffe. Neu ist außerdem, dass Tätergruppen zunehmend künstliche Intelligenz einsetzen, ihre Attacken noch gefährlicher zu machen. Wundert nicht, dass natürlich auch die Bösewichter dieser Welt sich der KI bedienen. Wir wollen uns in dieser Folge einmal anschauen, was die Entwicklung konkret für Steuerkanzleien bedeutet und wie sie sich wirksam davor schützen können. Dann steigen wir mal ein ins Thema. Was können wir aus der Bitkom-Studie denn tatsächlich mitnehmen? Die Studie zeigt ein erschreckend klares Bild. Fast neun von zehn Unternehmen in Deutschland waren in den vergangenen zwölf Monaten von Diebstahlen, Spionage oder Sabotage betroffen. Der jährliche Schaden liegt inzwischen bei 289 Milliarden Euro. Das ist nun tatsächlich ein Rekordwert. Über 200 Milliarden Euro davon gehen tatsächlich direkt auf Cyberattacken zurück. Wer sich mit der Entwicklung von Cyberkriminalität in den letzten Jahren ein bisschen beschäftigt hat, der ist

Christine Munker: wahrscheinlich nicht besonders überrascht von diesen Ergebnissen. Ich habe eben trotzdem von einem erschreckend klaren Bild gesprochen, denn in dieser Studie wurden einfach ganz konkret Unternehmer befragt und zwar nicht nur die ganz Großen, die sich als Angriffsziele für Cyberkriminelle natürlich immer anbieten, sondern eben die kleinen Unternehmen ab 10 Mitarbeitern und mindestens 1 Million Euro Jahresumsatz. Das Ergebnis dieser Studie beruht also eben mal nicht auf der Befragung von DAX-Konzernern und wurde auch nicht aus Fakten wie zum Beispiel der Anzahl von Schadensfällen, die bei bestimmten Versicherungen gemeldet wurden oder von Schadensfällen, die eben zur Anzeige gebracht wurden, abgereitet. Diese Studie spiegelt genau das wieder, was kleine Unternehmen im Alltag erleben. Und das macht die Bedrohungslage, die sich eben daraus ergibt, aus meiner Sicht gerade für Unternehmer. wie sie und mich, wie uns alle, für die Durchschnittskanzlei und das kleine Beratungsunternehmen so erschreckend deutlich. Und das zeigt auch, dass wir dringend handeln sollten und etwas gegen diese Bedrohungen für unsere Unternehmen tun sollten, wenn wir es noch nicht gemacht haben. Aber sprechen wir erst mal darüber, was diese Studie überhaupt konkret ergeben hat. Besonders Auffällig ist, dass Ransomware inzwischen zur häufigsten Schadensursache geworden ist. Mehr als jedes dritte Unternehmen war 2025 davon betroffen. Direkt hinter Ransomware folgen die Phishing-Ingriffe und die Infizierung mit Schadsoftware. Die Studie macht außerdem deutlich, dass die Gefahr durch Internetärter stark gestiegen ist. Ganze 41 % der Unternehmen berichten inzwischen von Vorfällen, die auf aktive oder ehemalige Mitarbeiter zurückzuführen sind. Das, was nicht von innen kommt, ist zwei großen Regionen deutlich zuzuordnen. Vor allem aus China und aus Russland stammen die meisten Attacken. Der Verfassungsschutz ergänzt in seiner Einschätzung zur Studie, dass nicht nur die Wirtschaft insgesamt, sondern auch Kanzleien und andere Dienstleister mit besonders sensiblen Daten oder eben

Christine Munker: aussagekräftigen Finanzdaten im besonderen Fokus der Täter stehen. Was bedeutet das nun konkret für Steuerkanzleien? Es ist kein Geheimnis. Steuerberater arbeiten tagtäglich eben mit hochsensiblen Daten. Einkommen, Steuerbescheide, Lohnabrechnungen oder aber auch Mandantenlogins zum Beispiel für Elster, für andere Portale. Ein erfolgreicher Ransomware-Angriff kann also dafür sorgen, dass der gesamte Kanzlei-Betrieb tagelang oder sogar wochenlang lahmgelegt ist und sehr sensible Informationen über ihre Mandanten offenbaren. Fristen können nicht eingehalten werden, Mandanten verlieren am Ende das Vertrauen und das kann existenzbedrohlich werden, vor allem wenn sie auf ihre Daten nicht mehr zugreifen können. Mittlerweile ist das tatsächlich keine Besonderheit mehr. Wir alle kennen Kanzleien, denen das schon passiert ist. Lösegeldforderungen, verschlüsselte Datendurchstände oder verseuchte Backups beispielsweise. Phishingmails sind dabei immer noch die häufigste Eintrittspforte für Angriffe. Gerade Kanzleien erhalten eben regelmäßig solche gefälschten E-Mail-Nachrichten, die angeblich vom Finanzamt oder von Mandanten stattfinden. Ein ganz aktuelles Beispiel dazu aus Österreich sind gefälschte E-Mails, die eine angebliche Betriebsprüfung durch das Finanzamt ankündigen. Im Anhang oder in einem verlinkten Dokument zu diesen E-Mails befindet sich dann natürlich wie immer Shard-Software, die beim Öffnen sofort auf eine Phishing-Seite weiterreitet. Wer hier oder grundsätzlich bei solchen E-Mails unbedacht klickt, öffnet den Angreifern Tür und Tor und das passiert regelmäßig. Vielleicht haben Sie alle noch einen Lehrer aus Ihrer Schulzeit vor Augen, der es besonders gut drauf hatte, mit einem verärgerten Reusband und einem sehr vielsagenden Blick die ganze Klasse zum Schweigen zu bringen. Genau das wäre auch angebracht, wenn wir wirklich in 2025 immer noch darüber sprechen müssen, dass Phishing-Mails wirklich gefährlich sind und Sie dringend Ihr Team zum Umgang mit solchen Image schulen müssen. Das Reusband

Christine Munker: Spare ich mir allerdings, ich kann das auch nicht so gut, denn wir müssen so oder so mit dem umgehen, was eben gerade stand, der Dinge in den Katzen ein ist. Und wenn es hier Wissenslücken gibt, dann müssen wir helfen, es ist ja unser Job, diese zu schließen. Mein Appell an Sie als Steuerberater ist allerdings tatsächlich ganz deutlich an dieser Stelle. Wir reden schon so, so, so lange über Themen wie Phishing Mails, wie ordentliche Firewalls oder ein gutes Passwortmanagement. Sie können sich wahrscheinlich gar nicht vorstellen, wie oft wir dafür in den letzten Jahren ein gelangweiltes Lächeln und sehr abrupte Themenwechsel in Gesprächen ernten. Das Ergebnis sehen wir zum Beispiel in dieser Studie. Diesen Themen wurde viel zu wenig Aufmerksamkeit geschenkt. Natürlich natürlich nicht durch sie allein, sondern landauf, landab von allen möglichen Unternehmen und Steuerkönsteien, die eben vor ein paar Jahren noch keine Bedrohung gesehen haben. Das ist eine sehr subjektive Sache. Und natürlich auch ein paar andere Themen auf dem Schreibtisch hatten. Das müssen wir ja auch dazu sagen. Denken wir nur an die Pandemie, die Wirtschaftslage insgesamt, es für den einen oder anderen schwierig macht oder Themen wie den Fachkräftemangel. Dann lassen wir uns aber bitte jetzt einen Punkt machen und die IT-Sicherheit endlich in den Fokus rücken, nämlich genau dahin, sie hingehört. Und das schauen wir uns jetzt an. Denn Vorbeugung ist einfacher als viele denken. Die gute Nachricht ist, die Schutzmaßnahmen, die notwendig sind, sind absolut machbar und sie müssen weder kompliziert noch teuer sein. Schon allein regelmäßige Updates, starke Passwörter und vor allem die kontinuierliche Sensibilisierung von Mitarbeitern senken das Risiko erheblich. Wer diesen Podcast regelmäßig hört, kann das Thema Schulung in jeglicher Hinsicht bestimmt schon nicht mehr hören. Hoffen wir mal. dass sie dann mittlerweile auch wirklich damit angefangen haben. klar geregelte Backup-Strate- ... Pff, schweres Wort. Eine klar geregelte ... Eine klar geregelte Backup-Strategie stellt sicher, dass eine Kanzlei auch nach einem Eingriff schnell wieder arbeitsfähig ist. Sehr wirksam ist auch ein sauberes Berechtigungskonzept, das genau regelt, wer auf welche Daten zugreifen darf und nicht alles offen lässt. So lassen sich interne Risiken auch

Christine Munker: minimieren und gleichzeitig verhindern dass Angreifer, die in ein System eindringen, sofort auf alle Daten zugreifen können. Nicht zuletzt ist aber auch die Aufklärung über Social-Engineering-Methoden entscheidend. Ihre Mitarbeiter müssen wissen, wie Angreifer versuchen Vertrauen zu erstellen und woran sie verdächtige Nachrichten oder Aktivitäten erkennen können. Sie sehen schon, Das sind bekannte Themen. Das alles ist also keine Rocket Science, sondern ganz einfache und naheliegende Maßnahmen, für die Sie auch keine Investitionskredite aufnehmen müssen. Noch ein Grund mehr, jetzt damit zu starten. Aber, jetzt kommt das große Aber und damit auch ein Missverständnis, das wir dringend aufklären müssen. Diesen Teil nennen wir am besten mal Aber ich habe doch schon eine Firewall oder aber ich habe doch schon einen Wian Scanner oder warum der IT-Systempartner alleine nicht ausreicht. Viele Kanzleien fühlen sich sicher, weil sie eben einen IT-Systempartner haben. Wir hören das ganz oft. Ich habe doch da schon jemand, der macht das mit. Das ist grundsätzlich auch wichtig, dass sie diesen Systempartner natürlich haben, denn der sorgt dafür, dass die Technik funktioniert. Der spielt Update 2. Er wartet die Server und hält die Hardware am Laufen. Doch genau darin liegt auch die Begrenzung seiner Rolle. Der Systempartner Ihrer Kanzlei ist in erster Linie für den laufenden Betrieb Ihrer IT-Systeme zuständig. Nicht aber für die umfassende Sicherheit im täglichen Umgang mit den Daten. Hier setzt der IT-Sicherheitsberater an. Seine Aufgabe ist es zu prüfen, ob die vorhandenen Maßnahmen wirklich wirksam und vor allem ausreichend sind. Er identifiziert organisatorische Lücken etwa bei mobilen Arbeiten, bei der Rechtevergabe oder im Umgang mit besonders sensible mandanten Daten. Zum Beispiel auch dort, wo Schulungen fehlen. Darum kümmert sich das IT-Systemhaus ja gar nicht. Der IT-Sicherheitsberater hat auch einen viel umfassenderen Blick als das IT-Systemhaus. Warum?

Christine Munker: weil der Sicherheitsberater alle Systeme und Datenbestände kennt, nicht nur die, die er selbst installiert hat und wartet. Wir sprechen hier zum Beispiel von Cloud-Lösungen, in denen Sie mandanten Daten verarbeiten, von Ihrem Web-Server, auf dem Ihre Internetseite liegt und bei dem Sie vielleicht auch E-Mail-Postfächer posten. Wir sprechen von KI-Tools oder kurz von allen Systemen, für die Sie eigentlich nur den Internetzugang Ihrer Kanzlei nutzen. Weil Software und Daten woanders gespeichert sind, nicht auf ihren Systemen. Ein ganz einfaches und sehr, sehr deutliches Beispiel. Ihr IT-Systemhouse hat überhaupt keinen Einfluss drauf. Wie es die Sicherheit des Dativ-Rechenzentrums bestellt ist und welche Daten sie dort verarbeiten. Dativ hat dieses Thema nun normalerweise ganz gut im Griff. Es ist auch einfach nur ein Beispiel. Aber Sie haben sicher verstanden, was ich damit meine. Der IT-Sicherheitsberater entwickelt eine Sicherheitsstrategie, die eben nicht nur auf die Technik vor Ort setzt, sondern auch Prozesse und Menschen mit einbezieht und einen Überblick darüber, was Ihre Kanzlei wo und wann mit welchen Daten tut, wie genau das abgesichert ist und ob diese Absicherung ausreicht. Es ist also wirklich der umfassende Blick auf alles, was Sie mit Technik, IT, Daten und Software tun und nicht nur auf die Systeme, die von ihm selbst geliefert wurden, wie beim IT-System aus. Fassen wir unser heutiges Thema mal zusammen. Die Bitkom Zahlen und die Einschätzung des Verfassungsschutzes dazu, die zeigen relativ eindrucksvoll, wie ernst die Lage ist. Cyberangriffe sind heute die größte Gefahr für Unternehmen und Steuerkanzler einstehen damit genauso im Visier wie die großen Konzerne. Die Bedrohung wird weiter zunehmen, weiterhin getrieben durch Ransomware, durch Phishing-Attacken und immer, immer mehr durch KI-gestützte Angriffe. Aber mit klaren und konsequent umgesetzten Maßnahmen lässt sich diese Gefahr eben tatsächlich wirksam eindämmen. Dabei geht es nicht komplexe Technologie, sondern sinnvoll gestaltete Basics und eine strukturierte Herangehensweise an dieses Thema Sicherheit. Wenn Sie das bisher nicht gezielt angegangen sind, dann sollten Sie die Augen auf gar keinen Fall länger verschließen, denn es lässt sich nun wirklich nicht mehr behaupten, dass die bestehenden Bedrohungen

Christine Munker: irgendjemanden hätten überraschen können, wenn dann doch was passiert. Sie kennen uns nun allerdings nicht als Partner mit dem mahnenden Finger, auch wenn das ab und zu, wie jetzt auch wieder in dieser Folge, ganz bestimmt mal notwendig ist. Unser Anliegen ist es aber Steuerberater auch bei der IT-Sicherheit aktiv und pragmatisch zu unterstützen und mit kleinen aber sinnvollen Schritten eben ins Tun zu kommen. Jede Reise beginnt bekanntlich mit dem ersten Schritt. Der sieht bei uns in der Regel so aus, dass wir erst einmal eine sehr grundlegende Bestandsaufnahme machen, in der wir uns eben die wichtigsten Themen, die zur IT-Sicherheit gehören, anschauen. Aber wirklich die wichtigsten. Wir machen da keine Wissenschaft draus, wir bleiben pragmatisch. Dazu gehören auch die Punkte, über die wir in diesem Podcast, in unserer heutigen Folge schon gesprochen haben. Das machen wir recht kurz und bündig, denn wir finden immer Optimierungsbedarf und da steigen wir dann eben direkt ein und tun was dagegen. Parallel dazu scannen wir ihre Systeme mit einem Software-Tool so, als wären wir ein Angreifer von außen und schauen im ersten Schritt, ob es ganz offensichtlich Lücken gibt, die von diesen alltäglichen Angriffen ausgenutzt werden können. Und damit haben wir schon mal ein ziemlich gutes Bild über die Dinge, die dann Schritt für Schritt verbessert werden. Wir brauchen aber auch nicht besonders lange dieses Bild zu bekommen. Das ist der Vorteil daran. Was wir uns dabei dann alles anschauen und wie dieser Schwachstellen-Scan, von dem ich gerade gesprochen habe, von außen, funktioniert, darüber sprechen wir auf jeden Fall in den nächsten Folgen von So geht's sicher. Wenn Sie jetzt das Gefühl haben sollten, lieber gleich was tun zu wollen, dann melden Sie sich bei uns und wir besprechen in einem ganz unverbindlichen Telefonat wie wir Sie dabei unterstützen können. Die Kontaktdaten finden Sie wie immer in den Show Notes zu dieser Folge oder auf www.munka.info Schauen Sie auch ganz gern mal in die älteren Folgen unseres Podcasts. Da gibt es nämlich schon einige Themen zur IT-Sicherheit, die auch jetzt nicht an Aktualität verloren haben. In den Show Notes zu dieser Folge finden Sie übrigens auch den Link zur Bitkom-Studie, über die wir gesprochen haben.

Christine Munker: wenn Sie selbst mal einen Blick drauf werfen wollen. Damit sind wir einmal mehr am Ende angekommen. Wenn Sie Fragen zu dieser Folge haben, Anregungen, Kritik oder Themenwünsche, dann melden Sie sich gern. Ich freue mich über jede Nachricht rund unseren Podcast und natürlich auch, wenn Sie so geht es sicher, abonnieren oder uns in Ihrer Podcast-App eine Bewertung hinterlassen. Für heute bedanke ich mich ganz herzlich fürs Zuhören und Ihre Zeit. Machen Sie es gut und bis bald bei einer der nächsten Folgen.