[Intro]

Hallo und herzlich willkommen zu #sogehtsicher, dem Podcast für Datenschutz, IT-Sicherheit und KI-Compliance in der Steuerkanzlei.

Mein Name ist Christine Munker und ich freue mich, heute in die zweite Folge unserer Mini-Podcast-Serie zur Cybersicherheit in Steuerkanzleien zu starten. Wir reden weiter über das Thema Cyberangriffe, genau genommen über die Methoden, die Sie als Steuerberater kennen sollten, um zu wissen, worauf Sie sich und Ihre Kanzlei vorbereiten sollten. Oder besser: wovor Sie sich schützen sollten.

Starten wir direkt mit einer Angriffsform, die Sie bestimmt auch schon einmal gehört haben, nämlich Brute-Force-Angriffen.

Der Name bedeutet wörtlich „rohe Gewalt“und beschreibt genau das:Angreifer probieren automatisiert, also mit Hilfe von Softwaretools, unzählige Passwortkombinationen aus,bis eine Kombination passt.

Betroffen sind vor allem externe Zugänge,die aus dem Internet erreichbar sind.Zum Beispiel schlecht gesicherte VPN-Lösungen, Zugänge zu Routern, zu Online-Office-Konten, zu sozialen Netzwerken, Zugänge zu E-Mail-Konten oder Administrations-Oberflächen, beispielsweise von Websites. Schlicht: zu allem, was eben so aus dem Internet zu erreichen ist. In diesen Softwaretools werden also eine Unmenge von E-Mail-Adressen, die ja ganz oft als Benutzernamen hergenommen werden, mit einer Unmenge an „wahrscheinlichen“ Passwörtern mit kaum Aufwand und schnellen Abläufen ausprobiert.

Und das hat Erfolg, und zwar immer dann, wenn dort einfache, naheliegende Passwörter verwendet werden –klassische Beispiele sind „Kanzlei2024!“ oder „Sommer2024!“ –sind diese Zugänge oft in kurzer Zeit geknackt.

Besonders gefährlich ist das,wenn Kanzlei-Server direkt aus dem Internet erreichbar sind,wenn Standardpasswörter nie geändert wurdenoder wenn es zwar eine Passwortrichtlinie gibt,die aber niemand ernst nimmt.

Der wirksamste Schutz ist eine Kombination:lange, komplexe Passwörter,Mehr-Faktor-Authentisierungund technische Schutzmechanismen wie Account-Sperren nach mehreren Fehlversuchen.

Wie interessant das Hacken von E-Mail-Postfächern ist, habe ich in der ersten Folge unserer kleinen Serie schon kurz erwähnt, dabei ging es um die Möglichkeit, Phishing-Mails oder E-Mails mit Schadsoftware im Anhang von einer „Echten“ E-Mail-Adresse aus zu verschicken. Spannend ist der Zugriff auf Ihr E-Mail-Konto aber noch aus einem anderen Grund: darin ist recht schnell zu erkennen, zu welchen Plattformen, also Onlinediensten, Sie Zugänge haben, weil sie dann häufig Newsletter von diesen Plattformen bekommen, oder aber Uploadbenachrichtigungen, einen Kontostatus, Bestellbestätigungen oder ähnliches. Und auf vielen dieser Onlinedienste kann man das Passwort ändern, indem man auf „Passwort vergessen“ klickt. Was dann passiert, kennen Sie alle. Der Link zum Ändern des Passworts landet – genau – in Ihrem E-Mail-Postfach. Wer dazu Zugang hat, kann also wirklich viel Unfug anstellen. Ganz abgesehen davon, dass der Inhalt der E-Mails, wenn sich denn jemand die Zeit nimmt diese zu lesen, natürlich auch recht spannend sein wird.

Ein verwandter, mindestens genauso gefährlicher Ansatz für Cyberangriffe ist das Credential Stuffing.

Hier geht es nicht darum, Passwörter zu erraten,sondern darum, bereits gestohlene Zugangsdaten wiederzuverwenden.

Vielleicht haben Sie schon von großen Datenlecks gehört –bei E-Mail-Anbietern, Online-Shops oder sozialen Netzwerken.Aus solchen Vorfällen stammen Listen mit Millionen von Benutzernamen und Passwörtern.Diese Listen kursieren im Untergrundund werden von Angreifern automatisiertgegen viele andere Dienste getestet.

Die große Schwachstelle ist dabei ein sehr menschliches Verhalten:Viele Menschen benutzen für ganz unterschiedliche Dienstedieselben oder sehr ähnliche Passwörter.

Für Steuerkanzleien ergibt sich daraus ein erhebliches Risiko:Wenn jemand z.B. privat bei einem Online-Shop betroffen istund dasselbe Passwort auch beruflich verwendet,kann ein privates Datenleck dazu führen,dass auf einmal berufliche Konten betroffen sind.

Und wenn dieses berufliche Konto dann ein Schlüsselins Kanzleinetz oder in die Kanzlei-Cloud ist,steht der Angreifer plötzlich mitten im System.

Die Wiederverwendung von Passwörtern ist leider nicht so selten, wie man glauben mag. Man kann sich das Ganze dann natürlich viel leichter merken.

Die notwendige Konsequenz ist klar:Passwort-Manager einsetzen,klare Passwortrichtlinien in der Kanzleiund eine strikte Trennung von privaten und beruflichen Zugangsdaten.Und auch hier wieder:Mehr-Faktor-Authentisierung überall,wo es technisch möglich ist.

Nicht jeder Angriff braucht den berühmten Klick auf den falschen Anhang.Viele Hacker suchen gezielt nach technischen Sicherheitslücken.

Das können veraltete Betriebssysteme sein,nicht aktualisierte Anwendungen,schlecht konfigurierte Firewalls oder Router,NAS-Systeme, Drucker, Scanner, Telefonanlagenoder „smarte“ Geräte wie Kameras oder Konferenztechnik.

Besonders gefährlich sind sogenannte Zero-Day-Lücken –also Sicherheitslücken,für die es noch gar keine veröffentlichten Updates gibt.Informationen über solche Lücken sind in der kriminellen Szene viel wert. Hier spielt heutzutage auch die KI eine große Rolle, denn die tut sich noch viel leichter dabei, solche Sicherheitslücken zu erkennen, als wir Menschen. Ein aktuell brandheißes Beispiel ist das neueste KI-Modell von Anthropic Namens Mythos. Da dieses Model wohl absolute Spitzenklasse darin ist, Sicherheitslücken wie die vorhin genannten Zero-Day-Lücken zu entdecken und – praktischerweise – auch direkt die Tools zu generieren, mit denen diese Lücken ausgenutzt werden können, hat der Hersteller Anthropic das Modell aktuell nicht für die Öffentlichkeit ausgerollt. Ob Mythos nun schon zur Verfügung steht oder nicht ändert nichts an der Tatsache, dass KI auch jetzt schon Cyberangriffe deutlich leichter macht als noch vor 5 Jahren, und sich deutlich mehr Menschen mit deutlich weniger Spezialistenwissen damit bereichern und Schaden anrichten können. Mit ein Grund, warum die Anzahl von Cyberangriffen ständig ansteigt.

In der Praxis von Steuerkanzleiensehen Sicherheitslücken vollkommen unspektakulär aus:

Ein Server läuft seit Jahren, ohne dass jemand konsequent Updates einspielt.Endgeräte arbeiten mit uralten Browser- oder Office-Versionen.Smartphones bekommen längst keine Sicherheitsupdates mehr.

Diese Konstellationen sind für Angreifer wie offene Türen.Man muss niemanden täuschen,niemanden überzeugen –man nutzt einfach vorhandene Schwachstellen.

Ein sauberes Patch- und Update-Managementist deshalb keine „Kür“,sondern Pflichtprogramm.Und zwar idealerweise nicht „auf Zuruf“,sondern im Rahmen eines strukturierten Prozessesgemeinsam mit einem verlässlichen IT-Dienstleister.

Eine Angriffsform, die in den letzten Jahren stark zugenommen hat,sind sogenannte Supply-Chain-Angriffe –also Angriffe über die Lieferkette.

Statt direkt Ihre Kanzlei anzugreifen,suchen sich Hacker einen Dienstleister,der mit vielen Kanzleien verbunden ist. Das Thema Dienstleister hatten wir in der ersten Folge zu Cyberangriffen schon, da allerdings in Verbindung mit den sogenannten Denial-of-Service-Attacken, bei denen Ihre Dienstleister schlicht und ergreifend mit viel zu vielen Anfragen außer Gefecht gesetzt werden.

Hier geht es nun um das grundsätzliche Risiko, dass natürlich auch Ihre Dienstleister Opfer jeglicher Form von Cyberangriff werden können, die Sie selbst auch betreffen kann. Dienstleister wie IT-Systemhäuser, Softwarehersteller oder Cloud-Anbieter für Kanzleien sind natürlich immer ein super Angriffsziel, da man hier viele Daten, Informationen und ggf. Zugänge zu mehreren Kanzleien gleichzeitig abgreifen kann. Der gleiche Multiplikator, den Sie als Kanzlei hinsichtlich der Menge an Mandantendaten darstellen, die bei Ihnen zu ergattern ist, sind also Ihre Kanzleidienstleister, da man mit den dort gespeicherten Informationen unter Umständen gleich einen ganzen Haufen Kanzleien kompromittieren kann.

Der Angriffsweg kann über manipulierte Software-Updates führen,über schlecht geschützte Fernwartungszugängeoder über gemeinsam genutzte Infrastruktur.

Für Sie als Steuerberater bedeutet das:Selbst wenn Sie intern vieles richtig machen,können Sie über einen Dienstleister getroffen werden.

Deshalb ist es so wichtig,die Verträge und Sicherheitskonzepte Ihrer IT- und Cloud-Dienstleister genau anzuschauen,klare Regelungen zur Fernwartung zu vereinbarenund sich die Frage zu stellen:Wie gut ist mein Dienstleister auf Notfälle vorbereitet, wie gut schützt er sich davor?

Zum Schluss noch ein Punkt,der oft unterschätzt wird:Nicht jeder Angriff äußert sich sofort.

Viele professionelle Gruppen –haben gar nicht das Ziel,möglichst schnell möglichst viel kaputt zu machen.

Sie wollen möglichst lange unbemerkt bleiben.

Nach einem ersten erfolgreichen Angriffrichten sie Hintertüren in Form von unbemerkten Benutzern und Zugängen ein,bewegen sich vorsichtig im Netzwerkund beobachten den Datenverkehr.

Dabei filtern sie gezielt interessante Informationen:Listen mit besonders vermögenden Privatmandanten,Unternehmen mit hohen Guthaben,Zahlungsströme,interne Abläufe,Reaktionsmuster der Kanzlei.

Über Wochen oder Monateentsteht so ein sehr detailliertes Bild.Das ist datenschutzrechtlich hochbrisant,kann aber auch zu gezielten Betrugsversuchenbei Ihren Mandanten führen –mit dem Verweis auf angebliche Anweisungen „vom Steuerberater“.

In der Fachwelt spricht man bei solchen langfristigen, gut getarnten Kampagnenhäufig von „Advanced Persistent Threats“, kurz APT.Der Begriff stammt zwar ursprünglich aus dem Umfeld staatlicher Angriffe,beschreibt aber längst auch das Vorgehengut organisierter krimineller Gruppen.

Für Kanzleien ist wichtig:Nicht jeder Angriff ist laut und sichtbar.Deshalb gehören Log- und Monitoring-Konzepte,regelmäßige Überprüfungen von Zugriffsrechtenund die Auswertung von Auffälligkeitenzu einem modernen IT-Sicherheitskonzept –auch und gerade im Mittelstandund in der Steuerkanzlei.

Wenn wir das alles zusammenfassen –Phishing, Malware, Ransomware, DDoS, Man-in-the-Middle,Brute-Force, Credential Stuffing,Schwachstellenausnutzung, Supply-Chain-Angriffeund langfristige Spionagekampagnen –dann wird eines deutlich:

Das sind keine abstrakten IT-Themen,sondern ganz konkrete Risikenfür das Tagesgeschäft einer Steuerkanzlei. Die genannten Beispiele haben Ihnen gezeigt, wie naheliegend die Risiken im Alltag sind. Irgendwie tendiert man ja schon häufig dazu, das Wörtchen „Cyber“ mit Dingen in Verbindung zu bringen, die weit in der Zukunft liegen oder mit einem selbst nichts zu tun haben. Die Bedrohung ist allerdings ziemlich handfest, und genau das wollten wir mit diesen beiden Podcastfolgen zeigen.

Es geht um das Mandatsgeheimnis,um Berufsrecht und Datenschutz.Es geht darum,ob Ihre Kanzlei arbeitsfähig bleibtoder tagelang stillsteht.Und es geht darum,ob Sie am Ende vielleichtmit Haftungs- und Reputationsschäden kämpfen.

Was können Sie als Steuerberaterin oder Steuerberater konkret tun? Darüber sprechen wir in der nächsten Folge auf jeden Fall ausführlicher, aber ich möchte Sie natürlich nicht ohne ein paar Hinweise aus der heutigen Episode entlassen. Vor allem, weil es sich dabei um die Klassiker handelt, von denen wir eh immer und überall sprechen:

Was können Sie tun?

Zum ersten:Ihr Team regelmäßig schulen,vor allem in Bezug auf Phishing und Social Engineering.

Zum zweiten:Konsequent starke Passwörter und Mehr-Faktor-Authentisierung einführenund diese Regeln auch durchsetzen.

Zum dritten:Patch-Management, Backups und Notfallplanungnicht dem Zufall überlassen,sondern professionell organisieren.

Zum vierten:IT- und Cloud-Dienstleister bewusst auswählenund deren Sicherheitskonzepte kritisch prüfen.

Und schließlich:Datenschutz, IT-Sicherheit und Kanzleiorganisationnicht isoliert betrachten,sondern als zusammenhängendes System.

Genau dabei unterstützen wir Kanzleien in unserer täglichen Beratung:mit praxistauglichen Konzepten für Datenschutz, IT-Sicherheitund – immer wichtiger – KI-Compliance.Nicht mit Technik um der Technik willen,sondern mit dem Ziel,den Kanzleibetrieb verlässlich und rechtssicher abzusichern. Wenn Sie mögen folgen Sie uns gerne auf LinkedIn, Facebook oder Instagram, dort posten wir immer mal wieder einen kleinen Wochenrückblick, in dem Sie einen Eindruck davon bekommen, bei welchen Themen wir unsere Kunden regelmäßig unterstützen oder besser gesagt, was wir von den Beraterschreibtischen wegnehmen, denn um die Umsetzung brauchen Sie sich dabei nicht zu kümmern. Dafür gibt es ja schließlich unser Beraterteam.

Was wir uns genau ansehen, um unsere Kunden im Bereich der IT-Sicherheit und der Cybersicherheit gut aufzustellen, darüber sprechen wir in der nächsten Folge. Und damit machen wir Schluss für heute. Wenn Sie Ideen und Anregungen haben, schreiben Sie mir gern an info@munker.info, die Kontaktdaten finden Sie wie immer auch auf unserer Homepage www.munker.info oder hier in den Shownotes dieser Podcastfolge. Ich freue mich auf die nächste Folge, sage herzlichen Dank für Ihre Zeit, und bis bald!