[Intro]

Hallo und herzlich willkommen zu #sogehtsicher, dem Podcast für Datenschutz, IT-Sicherheit und KI-Compliance in der Steuerkanzlei.

Mein Name ist Christine Munker und ich habe heute ein Thema mitgebracht, das viele Steuerberater eigentlich lieber verdrängen würden – das aber inzwischen zur knallharten betrieblichen Realität gehört:Cyberangriffe auf Steuerkanzleien.

Vielleicht denken Sie jetzt: „Wir sind doch viel zu klein, uns will doch keiner hacken.“Genau das ist ein weit verbreiteter Irrtum. Steuerkanzleien sind für Kriminelle gleich in mehrfacher Hinsicht spannend:Sie verarbeiten hochsensible Finanz- und Personendaten,sie arbeiten immer mehr digitalisiert,sie stehen permanent unter Zeitdruck –und sie sind in der Praxis oft deutlich schlechter geschützt als Banken oder große Konzerne und deswegen auch ein gern gesehenes Ziel für Angriffe.

Wenn über Cybersecurity gesprochen wird, dann geht es meistens um Maßnahmen, die Sie in Ihrer Kanzlei umsetzen sollten. Wir fangen heute mal einen Schritt vorher an und sprechen in dieser Folge von #sogehtsicher deshalb darüber,mit welchen Methoden Hacker arbeiten,warum diese Angriffe gerade für Steuerkanzleien so gefährlich sindund welche Schlüsse Sie als Steuerberaterin oder Steuerberater daraus ziehen sollten. Und das tun wir nicht nur heute, sondern auch in der nächsten Folge, sonst wird das ganze etwas zu lang. Ein kleiner Spoiler vorab: am Ende dieser beiden Folgen werden Sie recht deutlich vor Augen haben, warum wir in unserer Beratung und auch in diesem Podcast immer wieder auf die Basics pochen, denn damit können Sie schon richtig viel Sicherheit gewinnen. Was Sie nun genau tun können, um das Thema Cybersecurity anzugehen und sich gegen die Angriffsmethoden zu schützen, darum geht es dann in der dritten Podcastfolge zum Thema bzw. aus unserer Mini-Serie zur Cybersicherheit.

Und jetzt geht’s los.

Beginnen wir mit der bekanntesten Methode: Phishing.Phishing können Sie sich tatsächlich vorstellen wie Angeln – nur eben im Digitalen.Der Angreifer wirft einen Köder aus, meistens in Form einer täuschend echt wirkenden E-Mail, einer Webseite, einer SMS oder einer Messenger-Nachricht.Ziel ist es, dass jemand auf diesen Köder hereinfällt, einen Link anklickt, seinen Benutzernamen und sein Passwort eingibtoder einen schädlichen Anhang öffnet.

Gerade in Steuerkanzleien sind die Tarnidentitäten der Angreifer sehr gezielt gewählt.Typische Rollen sind zum Beispiel:

Angebliche E-Mails von DATEV, von ELSTER oder von der Finanzverwaltung.Scheinbare Nachrichten von Banken oder auch Nachrichten von angeblichen Paketdiensten kommen häufig vor. Immer öfter hören wir auch von vermeintlichen Mandanten-E-Mails mit „wichtigen Unterlagen“. Das ist auch ein Ergebnis der ansteigenden Cyberkriminalität, denn die Anzahl der gehackten E-Mail-Postfächer steigt konstant. Wird das Postfach eines Ihrer Mandanten gehackt und Sie bzw. Ihr Team hat dann eine ja eigentlich echte E-Mail des Mandanten, aber mit Phishing-Inhalten, im Postfach, ist es richtig schwer hier noch Verdacht zu schöpfen.

Besonders perfide ist der sogenannte CEO-Fraud, auch eine Art des Phishing:Hier gibt sich der Angreifer als Kanzleiinhaber oder als Partner aus –mit einer Nachricht wie: „Bitte diese Rechnung heute noch überweisen, ist sehr dringend.“, die auf den ersten Blick von der E-Mail-Adresse des Chefs oder der Chefin kommt und eben auch oft wahnsinnig echt aussieht.Unter Zeitdruck wird dann nicht lange geprüft, sondern einfach ausgeführt. Beim CEO-

Im Hintergrund steckt fast immer Social Engineering.Das heißt: Die Angreifer sammeln Informationen über Ihre Kanzlei, Ihr Team und Ihre Mandanten.Website, Social-Media-Profile, Impressum, vielleicht sogar Stellenanzeigen –all das liefert ihnen Bausteine, um eine E-Mail zu formulieren,die wirkt, als käme sie direkt aus Ihrem Kanzleialltag. Man braucht ja oft nur die privaten Social Media Accounts der Steuerberater zu verfolgen, um genau zu wissen, dann die Kanzleileitung im Urlaub ist und schnelle Rückfragen schwierig sind. Dann steigt auch die Wahrscheinlichkeit, dass z.B. eine Überweisung aufgrund einer vielleicht unüblich formlosen E-Mail, unter der dann ggf. noch etwas steht wie „Vom Smartphone gesendet“, doch durchgeführt wird.

Warum ist Phishing für Steuerkanzleien so gefährlich?Weil E-Mails mit Anhängen und Links eben vollkommen normal sind.„Bitte öffnen“, „bitte klicken“ – das ist tägliche Routine.Dazu kommt der bekannte Faktor Zeitdruck: Lohnläufe, Fristen, Betriebsprüfungen.Genau das sind die Situationen, in denen jemand schneller klickt,als es ihm lieb ist.

Und schon steht die Tür offen:für gestohlene Zugangsdaten zu Kanzlei-Accounts,zu Mandantenpostfächernoder zu Cloud-Diensten.Mit allen Haftungs- und Vertrauensfolgen, die Sie sich vorstellen können.

Die zweite große Gruppe sind Malware-Angriffe – also Schadsoftware.Unter Malware versteht man Programme, die extra dafür entwickelt wurden,unerwünschte oder schädliche Funktionen auf einem fremden System auszuführen.

Malware gelangt typischerweise über drei Wege in die Kanzlei:

Erstens über geöffnete Mail-Anhänge –die vermeintliche Rechnung, der Scan, die Steuerunterlagen.

Zweitens über manipulierte Webseiten –also Seiten, auf denen Sie sich irgendwo einloggen sollen,die aber in Wirklichkeit präpariert sind und dafür sorgen, dass die Schadsoftware auf Ihrem System installiert wird.

Und drittens über USB-Sticks oder andere Datenträger,die „mal schnell“ in einen Kanzleirechner gesteckt werden.

Eingangstor ist oft eben das Phishing, mit dem eben irgendeine Reaktion auf eine E-Mail hervorgerufen werden soll, die dann unter anderem zur Installation von Schadsoftware führen kann.

Ist die Malware einmal auf einem System,dient sie oft als Türöffner, um weitere Programme nachzuladen.Der Angreifer kann dann Schritt für Schrittweitere Rechner und Server in der Kanzlei übernehmen,Tastatureingaben mitlesen – inklusive Passwörtern und TANs –oder Daten im Hintergrund kopieren und ins Ausland übertragen.

Für eine Steuerkanzlei heißt das ganz konkret:Mandatsdaten können unbemerkt abfließen,Zugangsdaten zu Fachanwendungen können kompromittiert werden,interne Dokumente – von Honorarvereinbarungen bis zur Personalakte –können in fremde Hände geraten.

Das ist nicht nur ein technisches Problem,sondern ein massives datenschutzrechtliches Thema,mit berufsrechtlichen Konsequenzenund gegebenenfalls mit Meldepflichten gegenüber Mandanten und Aufsichtsbehörden.

Eine besonders aggressive Form von Malware ist Ransomware.Ransomware ist im Grunde eine Art digitale Geiselnahme.

Das Prinzip ist einfach:Das Programm verschlüsselt Dateien auf Ihren Systemenund sichert sie mit einem digitalen Schlüssel.Sie selbst haben keinen Zugriff mehr auf Ihre Daten.

Die Angreifer fordern dann Lösegeldund versprechen im Gegenzug,den Schlüssel herauszugebenoder gestohlene Daten zu löschen.Ob sie das wirklich tun, ist völlig ungewiss.

Für Steuerkanzleien hat Ransomware meistens dramatische Folgen:

DATEV, DMS, E-Mail, Fachanwendungen –alles steht still.

Mandatsdaten, Fristen, Lohnabrechnungen, Jahresabschlüsse, all diese Daten und Informationen sind nicht mehr erreichbar.

Es drohen Fristversäumnisse,Mahngebühren und Säumniszuschläge,und damit potenziell Haftungsrisiken. Mal ganz abgesehen vom zum Teil spürbaren finanziellen Schaden, der in der Kanzlei aufgrund des Arbeitsausfalls entsteht, und des potentiellen Imageschadens.

Häufig kombinieren die Angreifer das mit einer zweiten Stufe:Sie drohen, besonders sensible Mandatsdaten zu veröffentlichen,wenn nicht gezahlt wird.Man spricht dann von „Double Extortion“.

Viele Kanzleien unterschätzen,wie lange eine professionelle Wiederherstellung dauern kann –selbst dann, wenn Backups vorhanden sind.Ohne erprobtes Notfallkonzept – also ohne klares Zusammenspiel von IT, Organisation und Kommunikation –kann eine Kanzlei schnell über Wochen handlungsunfähig sein.

Kommen wir zu einer Angriffsart,die man eher von großen Webseiten und Online-Portalen kennt:Denial-of-Service- und Distributed-Denial-of-Service-Angriffe, kurz DoS und DDoS.

Dabei werden Server oder Dienste mit so vielen Anfragen überflutet,dass sie für normale Nutzer praktisch nicht mehr erreichbar sind.Bei DDoS-Angriffen nutzen die Angreifer dafür ganze Botnetze,also tausende vorher infizierte Rechner.

Für die „klassische“ Steuerkanzlei ist ein gezielter DDoS-Angriff eher unwahrscheinlich.Relevant wird dieses Thema trotzdem –nämlich indirekt.

Zum Beispiel dann,wenn Portale von Rechenzentren, von Softwareherstellern oder von Cloud-Dienstleistern angegriffen werden.Wenn DATEV, Fachverlage oder Hosting-Partner nicht erreichbar sind,steht Ihre Kanzlei gegebenenfalls still,auch wenn Sie selbst gar nicht Ziel des Angriffs waren.

In Einzelfällen kann ein DDoS auch als Ablenkung dienen,während an anderer Stelle tatsächlich eingebrochen wird.

Im Gesamtrisiko einer Steuerkanzleispielen DDoS-Angriffe eine Nebenrolle,sind aber wichtig,wenn es um die Auswahl und Bewertung von Dienstleistern geht,die Ihre Kanzlei-IT hosten. Darauf werfen wir ja auch im Rahmen unserer Beratung zum Datenschutz und zur IT-Compliance ein Auge, die Auswahl der Dienstleister reicht wirklich tief in alle drei Compliancebereiche und hat im Ernstfall gravierende Auswirkungen.

Ein weiterer Angriffstyp,den viele unterschätzen,ist der sogenannte Man-in-the-Middle-Angriff.Der Name ist Programm:Der Angreifer setzt sich unbemerkt „in die Mitte“ einer Kommunikation.

Wenn Sie also Daten senden,fängt er diese ab,liest mitoder verändert sie,bevor sie beim eigentlichen Empfänger ankommen.

Ein sehr praxisnahes Szenario für Kanzleien ist das Thema Homeoffice und mobiles Arbeiten.

Ein Mitarbeiter arbeitet im Hotel, im Zug oder im Caféund nutzt dort ein kostenloses WLAN – „Free WiFi“.Der Angreifer hat entweder diesen Access Point unter Kontrolleoder er kann den Datenverkehr in diesem Netz mitlesen.

Meldet sich der Mitarbeiter dann in der Kanzlei-Cloud an,im E-Mail-Kontooder in einer Fachanwendung,kann der Angreifer die Zugangsdaten abgreifen.

Ob daraus ein großer Schaden entsteht,hängt stark von Ihren Schutzmaßnahmen ab:Gibt es einen sicheren VPN-Zugang?Werden Verbindungen ordentlich verschlüsselt?Ist Mehr-Faktor-Authentisierung aktiviert?

Kritisch wird es immer dann,wenn Zugänge nur mit Benutzername und Passwort geschützt sind,wenn keine oder schlechte VPN-Lösungen genutzt werdenund wenn Mitarbeiter nicht geschult sind,wie sie mit öffentlichen Netzen umgehen sollen.

Hierfür sollten Sie Kanzleistandards festlegen und insbesondere Regelungen für die Arbeit von unterwegs gestalten, mit denen Sie das Risiko eindämmen können.

Und damit machen wir Schluss mit dem ersten Teil unserer Mini-Podcastserie zur Cybersicherheit und schauen uns in der nächsten Folge weitere Angriffsszenarien an, auf die Sie sich in Ihrer Kanzlei vorbereiten sollten. Schreiben Sie uns gern, wenn Sie Fragen zum Thema haben, dann können wir das gerne in den kommenden Folgen noch mit ansprechen. Die E-Mail-Adresse lautet info@munker.info, die habe ich selbst immer im Blick und kann mir Anregungen und Themenwünsche direkt anschauen. Für heute sage ich vielen Dank für Ihre Zeit und bis zur nächsten Folge!