00:00:10: Und herzlich willkommen zu So geht sicher, dem Podcast für Datenschutz, Altisicherheit und KI Compliance in der Steuerkanzlei.

00:00:18: Mein Name ist Christine Munker und ich möchte heute mit Ihnen unsere Minipodcast-Serie zur Cybersicherheit in der Steuerkanzlei abschließen.

00:00:27: Teil drei zeigt Ihnen heute wie Sie sich gegen die Angriffsmethoden über, die wir schon in den letzten beiden Folgen gesprochen haben effektiv schützen können – so gut es eben im Bereich der Altisicherung geht!

00:00:40: Lassen Sie mich darüber gleich einen Satz oder vielleicht auch zwei oder drei verlieren, denn hier haben wir tatsächlich so ein Killerargument das wir ganz oft hören.

00:00:49: Das bringt ja alles eh nichts!

00:00:53: Klar wer wirklich ernsthaft in ihre Kanzlei auf digitalem Wege einbrechen will der wird es früher oder später schaffen da sind wir uns einig sondern deshalb bei allen Maßnahmen die sie heute nach dem Stand der Technik treffen irgendwo auf dieser Erde bereits überholt und ausgetrickst wurden.

00:01:10: Es gibt aber drei ganz große Argumente, warum sie sich trotzdem unbedingt um einen guten und aktuellen Basisschutz für ihre Kanzlei kümmern sollten.

00:01:18: Und damit möchte ich heute einmal kurz anfangen!

00:01:22: Erstens Sie müssen ja nicht unbedingt direkt hier schreien wenn jemand ein Cyberopfer sucht.

00:01:29: Das tun Sie definitiv.

00:01:31: Wenn Sie Ihre Kanzai mit ein bisschen Sicherheit hier und da, ein paar Updates oder Backup machen wir auch mehr oder weniger freie Schnauze durch die digitale Welt navigieren.

00:01:43: Denken Sie dran, KI kann heute fast jedem der halbwegs weiß wie Netzwerke funktionieren erklären welche Schwachstellen es gerade so gibt und wie er die ausnutzen kann.

00:01:54: Und es wird unglaublich viele Menschen geben, die das auch ausprobieren.

00:01:58: Die stark angestiegenen Angriffszahlen in den letzten Jahren zeigen uns dass ja das Hacking zum Trend fährt eben weil es immer einfacher wird.

00:02:06: also Lassen Sie an der Stelle bitte anderen den Platz in der ersten Reihe und bringen sie sich in Ihre Kanzlei hinter ein Schutzschild, das schon mal so gut gebaut ist.

00:02:17: Dass die Nullacht vorzum Methoden und alle einfachen Angriffsmethoden daran gut abprallen.

00:02:24: Zweitens!

00:02:28: Schlussiges Sicherheitskonzept, definitiv ihren Mandanten schuldig.

00:02:33: Und ich spreche hier nicht einmal von den rechtlichen Anforderungen aus der DSGVO heraus oder aus ihrem Berufsrecht sondern davon dass man von einem Steuerberater auch ein hohes Maß an Integrität erwarten kann.

00:02:46: und darauf und das erfüllen sie persönlich mit Sicherheit auch daran möchte ich überhaupt nicht kratzen Diese Integrität und das Vertrauen, dass Ihre Mandanten Ihnen Tag für Tag aussprechen.

00:02:58: Dann aber gerade bei so etwas essentiellem wie einem Sicherheitskonzept nicht in den Vordergrund zu stellen.

00:03:05: Das macht keinen Sinn und ist inkonsequent!

00:03:08: Ja, Sauber-Sicherheit war wahrscheinlich noch gar kein so großes Thema als sie sich für diesen Beruf entschieden haben.

00:03:14: Ich möchte ihn jetzt nicht zu nahe treten aber es ist nur ein Phänomen der letzten Jahre in denen es wirklich relevant geworden ist.

00:03:21: Heute ist das ein Thema und es ist wichtig dass ins Herz ihrer Kanzlei Werte mit aufzunehmen und wirklich im Alltag zu leben!

00:03:32: Das dritte Argument für Saubersicherheitsmaßnahmen.

00:03:37: Last but not least können Sie ohne Maßnahmen zur Sicherheit, zur Cyber-Sicherheit auch ganz bestimmt nicht darauf hoffen dass Ihnen eine Cyberversicherung aus der Patsche hilft wenn ein Angriff funktioniert hat.

00:03:49: Die Versicherung ist nämlich genau dafür da ihnen zu helfen wenn sie sich im Grunde nichts zu Schulden kommen lassen aber dann doch technisch unterlegen sind was eben passieren kann haben wir ja vorhin schon drüber gesprochen wer das Thema Cyber-sicherheit aber links fliegen lässt mit Sicherheit, Schwierigkeiten ernstfall auf Versicherungsleistungen zurückgreifen zu können.

00:04:13: So das musste einmal raus.

00:04:15: nachdem wir in den letzten beiden Folgen über die Methoden der Angreifer gesprochen haben also darüber wie Hacker arbeiten und warum das für Steuerkanzleien so gefährlich ist drehen wir heute den Spieß einmal um.

00:04:28: Wir sprechen darüber wie sie ihre Kanzlei ganz praktisch vor diesen Hackern schützen können ohne Informatikstudium, aber mit klaren, machbaren Maßnahmen.

00:04:39: Und dafür schauen wir im Wesentlichen mal auf einen Standard den wir in unserer Beratung wahnsinnig gerne nutzen und wir erklären ihnen auch dann warum.

00:04:51: Und zwar ist das die Deanspec-Siemundzwanzig Nullsechsundvierzig.

00:04:56: Vielleicht haben Sie das noch nie so gehört.

00:04:58: was ist eine Deansspec?

00:05:04: Eine Dienstback ist so was wie eine Vornorm.

00:05:10: Also ein zwar anerkanter Praxisner Standard, der von Fachleuten gemeinsam erarbeitet wurde aber eben noch keine voll ausgeformte Norm ist.

00:05:20: Und es ist auch gar nicht zwingend notwendig, dass daraus eines Tages eine richtige Isonorm wird, denn das ist natürlich auch mit vielen Vorgaben verbunden die dann eingehalten werden müssen und das macht die Dinge nicht immer einfacher.

00:05:33: aber genau diese Einfachheit ist es womit die Deanspec seven zero sechs und siebzig unserer Meinung nach im Moment wirklich überzeugen kann.

00:05:45: Sie Wichtet sich speziell an kleine und kleinste Unternehmen, also genau die Größenordnung in der viele Steuerkanzleien eben zu finden sind.

00:05:54: Sie beschreibt sechs Themenfelder der IT-Sicherheit stellt sehr verständliche Fragen dazu, die für Geschäftsführer, für Kanzleileiter gedacht sind und sie hilft ein realistisches Bild zu bekommen wo sie gerade stehen, wo sie Lücken haben und welche Maßnahmen als erstes angegangen werden sollten.

00:06:14: Wir finden die Deansback, siebenundzwanzig, nur siebzig für Kleine kann es langsichtig super weil sie eben praxisnah ist.

00:06:20: Das sind genau die Themen über die wir schon immer gesprochen haben wenn wir über die Basics der IT-Sicherheit sprechen.

00:06:27: Sie setzt keine Fachsprache voraus und es handelt sich dort um einfache Infrastrukturen die behandelt werden und keine wahnsinnig komplexen Konzernsysteme die sowieso wieder andere Voraussetzungen mit sich bringen.

00:06:42: Die Deanspec SIEMUNZWANZICH NULSSECHS UNZSIBTSICH lässt sich sehr gut nutzen, um strukturiert über die alte Sicherheit zu sprechen.

00:06:48: Und gerade mit Kanzleien, die eben kein eigenes IT-Team oder eine ganze Abteilung haben das die Aufgaben dann komplett übernehmen könnte.

00:06:57: Die Maßnahmen, über die wir heute sprechen orientieren sich ziemlich genau an diesen sechs Themenfeldern der Deansspec Siemonzwanzich Nullssechs und Siebzig.

00:07:09: Einmal ganz kurz aufgezählt, das ist die Organisation der Informationssicherheit.

00:07:14: Es geht um Mitarbeiter sensibilisierung, um Identitäts- und Zugangsmanagement, um Datensicherung und Wiederherstellung, um Geräte & Patch Management und um das Thema Notfallmanagement und den Umgang mit ihren IT-Dienstleisern.

00:07:32: Diese Punkte gehen wir jetzt einmal durch wie immer ohne zu viel Tech Talk und ganz einfach für sie erklärt.

00:07:38: Und Sie werden dabei feststellen, dass wir jetzt nicht einfach hier anlasslos quasi über diese Deanspec-Siemenundzwanzighundertsechsenzig sprechen sondern wenn wir die einzelnen Maßnahmen durchgehen und Sie haben sich den letzten beiden Folgen angehört in denen wir die Angriffsmethoden beschrieben haben das das ziemlich genau zusammenpasst was die Maßnahme über die wir gleich sprechen die eben in dieser Deans spec beschrieben sind schon einen riesen Beitrag dazu leisten, den einfachen, den Basics der Eingriffsmethoden ein Schnippchen zu schlagen und da waren wir hin.

00:08:11: Der erste Punkt ist die Organisation der Informationssicherheit also an dieser Stelle noch überhaupt nichts technisches übersetzt heißt das im Grunde wer es in ihrer Kanzlei für welche Aspekte der IT-Sicherheit verantwortlich.

00:08:24: welche Regeln gibt es?

00:08:26: kennt ihr Team?

00:08:27: diese Regeln wäre ja vielleicht nicht schlecht.

00:08:30: Wichtig ist hier herauszustellen, dass IT-Sicherheit eben keine rein technische Fragestellung ist.

00:08:35: Sondern in erster Linie eine Führungsaufgabe und da will die Dienstbag auch hin – und wir im Übrigen auch!

00:08:42: Das ist auch ganz wichtig für das Verständnis in der Kanzlei.

00:08:45: Man kann das Thema nicht einfach delegieren sondern man muss in Sachen IT Sicherheit auf Ebene der Kanslei Leitung den Takt angeben und das Ganze auch vorleben.

00:08:57: Das heißt konkret, die Kanzlei-Leitung legt fest wie mit Themen wie Passwörtern, Homeoffice, E-Mailanhängen oder Datenträgern und vielen anderen umgegangen wird.

00:09:09: Diese Regeln werden schriftlich festgehalten zum Beispiel in Kanzleirichtlinien, die deswegen nicht kompliziert sein müssen – die können ganz einfach sein!

00:09:18: Und das Team wird darüber informiert und vor allem regelmäßig daran erinnert.

00:09:23: Ohne diesen organisatorischen Rahmen bleiben alle technischen Maßnahmen ein Stückwerk, das am Ende des Tages nicht ineinander greift.

00:09:32: Ihnen nicht hilft um Selberangriffe abzuwerden, zumindest nicht um sie strukturiert abzuwähren und im schlimmsten Fall einfach nur Geld verbrennt und Zeit.

00:09:41: aber Zeit ist ja bekanntlich Geld.

00:09:44: Das zweite Themenfeld der Dienstbeck ist die Sensibilisierung der Mitarbeiter.

00:09:51: Das haben wir gerade schon angesprochen, die Mitarbeiter müssen natürlich wissen was sie geregelt haben und das auch für den Alltag verstanden und umsetzen können.

00:10:01: Das ist das Herzstück jeder Sicherheitsstrategie.

00:10:05: Die Dienstbeck fragt hier ganz konkret werden die Mitarbeiter aktuell geschult?

00:10:10: wie oft zu welchen Themen?

00:10:12: Das heißt für Steuerkanzlei zum Beispiel zwei bis vier Mal pro Jahr kurze, praxisnahe Einheiten gerne im Rahmen von sowieso bestehenden Team-Meetings, Kanzleifrühstücken wie auch immer.

00:10:24: Zwanzig bis dreißig Minuten in denen sie zum Beispiel konkrete Fishingfälle aus dem Kanzlei-Anhaltag durchgehen die Sie wirklich erlebt haben beziehungsweise eben gefälschte E-Mails, die Sie bekommen haben.

00:10:36: Gefälschten Dativ-E-Mail, vermeintliche Älstehinweise und Angebliche Mandanten-Emails mit Unterlagen im Anhang, was es da so alles gibt.

00:10:45: Sie kennen diese E-Mails alle selber und die aktuellen davon, die Themen, die da gerade so verschickt werden, die sollten ihre Mitarbeiter erkennen.

00:10:53: Und sie sollten auch über andere Themen sprechen, dies rund um den Einsatz von IT und Software in ihrer Kanzlei eben zu beachten gibt zum Beispiel Die Richtlinien für die Arbeit im Homeoffice besprechen, erklären diskutieren ihren Notfallplan und dergleichen.

00:11:09: Die Dienstback legt tatsächlich auch wirklich Wert darauf, dass ihre Mitarbeiter aktiv an dem Thema teilnehmen und in die Gestaltung mit einbezogen werden.

00:11:17: Wenn die Prozesse eben deren Arbeitsablauf betreffen.

00:11:21: Teamwork ist an der Stelle gefragt, denn damit stellen sie von Anfang an sicher, das die erstellten Prozessen und Regeln auch wirklich im Alltag ungesetzt und verbessert werden weil Sie verstanden und diskutiert worden sind und somit auch so gestaltet sind, Das nächste große Themenfeld ist das Identitäts- und Zugangsmenagement.

00:11:44: Also einfach gesagt, wer darf was?

00:11:48: Und mit welchen Zugangsdaten?

00:11:50: Ein Großthema ist hierbei die Passwortorganisation.

00:11:53: Gibt es zum Beispiel Vorgaben für die Passwordqualität?

00:11:57: Gibtes Regeln gegen Passwortwiederverwendung?

00:12:01: wird ein Passwordmanager eingesetzt um sich die ganz komplexen Varianten merken zu können oder nicht merken?

00:12:08: Was darf als Benutzernahme in Kombination mit Passwörtern genutzt werden?

00:12:13: Passwerter sollten, das wissen wir alle lang und komplex sein.

00:12:17: Und deswegen empfehlen wir eben auch die Nutzung eines Passwortmanagers als wirklich hilfreiches Werkzeug weil er dafür sorgt dass sie nicht dreißig komplexe lange Passwürter im Kopf behalten müssen.

00:12:30: Wichtig auch ein Passwort gehört immer nur zu einem Zugang.

00:12:34: Mehrfachverwendungen eines Passwords sollte auf jeden Fall tabu sein.

00:12:39: Die Mehrfaktor-Authentifizierung ist in dem Zusammenhang ebenfalls zu erwähnen.

00:12:44: Und die Deanspecs, die im Jahr siebenundzwanzigundsechsiebzig hält ausdrücklich fest, dass die Mehrfaktor-Aauthentifozierung ein ganz zentrales Schutzelement ist und das sehen wir ganz genauso.

00:12:57: Wo auch immer eine Lösung die Möglichkeit anbietet sollten Sie auf die Mehr Faktor Authentifizin setzen um vor allem sensible Zugänge wie E-Mailkonten, Paymentdienstleistungen oder Remote Zugänge zur Kanzlei immer mit einem zweiten Faktor abzusichern.

00:13:13: Zum Beispiel mit Passwort plus einem Code aus einer App, oder Passwort Plus SMS-Tan, Code der per E-Mail geschickt wird – da gibt es ganz verschiedene Möglichkeiten!

00:13:24: Damit entschärfen Sie viele Angriffe wie zum Beispiel Brute Force Attacken oder Credential Stuffing bereits im Ansatz und wenn Sie nicht mehr genau wissen was das jetzt gewesen ist dann können Sie sich die ersten beiden folgen unserer kleinen Serie nochmal anhören, da haben wir das nämlich ganz im Detail erklärt.

00:13:42: Ein weiterer, ganz zentraler Punkt der Deansback ist die Datensicherung oft.

00:13:47: Die weisen wir ja auch regelmäßig in unserem Podcast und in unseren Beratungen vor allem hin.

00:13:54: Die Frage lautet an dieser Stelle nicht nur machen Sie denn auch brav Backups sondern natürlich wie oft machen sie diese Backups?

00:14:01: Wo werden Sie gespeichert?

00:14:02: und ganz wichtig haben Sie die Wiederherstellung eigentlich schon einmal getestet.

00:14:08: Ja, das ist nicht ganz trivial!

00:14:10: Das ist auch ein bisschen Aufwand verbunden.

00:14:13: aber ganz ehrlich genau deswegen machen Sie doch Backups damit sie im Ernstfall die Daten auch wieder herstellen können und arbeitsfähig bleiben.

00:14:19: Und wenn Sie das nie ausprobieren dann sind Sie quasi immer in so einem Demo-Lauf der nicht für den Ernst Fall gerüstet ist.

00:14:25: also Den Aufwand sollten Sie regelmäßig auf sich nehmen.

00:14:31: wie regelmäßig müssen Sie natürlich entscheiden.

00:14:33: Aber ich denke Da sollte man mindestens einmal im Jahr testen, was sich auch die Systeme ändern und dann eben auch getestet werden muss ob der Backup der gemacht wird entsprechend wieder auf diese geänderten Systeme angepasst zurückgespielt werden kann.

00:14:49: Genau!

00:14:49: Backups müssen auf jeden Fall regelmäßig laufen und automatisiert wenn es geht damit da niemand dran denken muss.

00:14:57: Und dabei sollten sie auch daran denken dass mindestens eine Sicherung so aufbewahrt werden sollte das Sie Ransomware-Fall nicht einfach mitverschlüsselt wird.

00:15:08: Zum Beispiel eben Offline oder ein extern gelagertes Backup, oder ein professionelles Backup in einem Rechenzentrum zusätzlich zu den Daten die sie in der Kanzlei oder bei ihrem IT-Dienstleister haben.

00:15:19: Genau und das ist auch insbesondere wichtig weil nämlich ansonsten wenn die Backup-Parteien alle in ihrer Kanzler liegen und dann eben auch mit verschlüsseld werden Ganz, ganz schnell zur Existenzfrage werden.

00:15:36: Sie haben dann nämlich einfach kein Backup mehr an das hier herankommen mit dem sie den Betrieb wiederherstellen könnten.

00:15:43: So die Dienstback-Simon-Zwanzig-Null-Sechsund-Siebzig behandelt außerdem die Themen Gerätemanagement und Patchmanagement.

00:15:52: ich schnaufe schon ein bisschen denn es ist heute eine bisschen anstrengende Folge für Sie.

00:15:56: Es sind viele Themen Mit sehr vielen Informationen dazu aber wir müssen das einmal durchgehen.

00:16:01: Sie können sich ja auch gerne nochmal anhören oder sich zum Beispiel einfach bei uns auf LinkedIn, Instagram, Facebook immer wieder informieren.

00:16:10: Denn wir bieten auch Webinar zu diesen Themenbereichen an, an denen sie immer mal wieder kostenlos teilnehmen können und sich das Ganze nochmal in Ruhe auch anschauen können.

00:16:21: Ja, Gerede-Management und Patchmanagement.

00:16:26: Zwei Management kommt mir heute nicht so gut über die Lippen!

00:16:30: Die Kernfragen hier sind ob Ihre Systeme technisch, also physisch körperlich aktuell sind und ob es einen klaren Prozess für Updates gibt.

00:16:45: Server, Arbeitsplatzrechner, Laptops, Router, Firewalls, VPN, Gateways aber auch Smartphones und Tablets sollten regelmäßig aktualisiert werden nicht nur updatetechnisch sondern eben auch physisch.

00:17:00: nicht weil die alte Technik nicht mehr funktioniert.

00:17:04: Das würde wahrscheinlich noch eine Ewigkeit lang funktionieren, wenn nicht gerade die Betriebssysteme auf diesen Komponenten dann nicht mehr laufen oder keine Sicherheits-Updates mehr zur Verfügung stehen.

00:17:15: Nein!

00:17:15: Der Grund ist ein anderer, denn aktuelle Geräte haben auch immer technische Sicherheitsfeatures an Bord, die eben dem Stand der Technik entsprechend aktuell sind und nicht schon mehrere Jahre alt.

00:17:31: Es gibt zum Beispiel für Laptops aktuell ganz andere Möglichkeiten zur Benutzererkennung, mit viel biometrischer Merkmale als das noch vor fünf Jahren der Fall war.

00:17:40: Und was zum Beispiel Server oder Arbeitsplatzrechner und Laptop genauso angeht kommt man auch irgendwann an den Punkt, an dem aktuellste Sicherheitslösungen auf diesen alten Geräten einfach nicht mehr funktionieren, auch wenn die Betriebssysteme vielleicht noch laufen.

00:17:55: Moderne Software erwartet immer auch moderne Technik.

00:17:58: Die Lücke darf hier nicht zu weit auseinanderklaffen.

00:18:01: Auch hier müssen die Systeme einfach ineinandergreifen.

00:18:06: Mir ist bewusst, dass insbesondere aus Nachhaltigkeitsgründen Geräte oft so lange es irgendwie geht genutzt werden – das ist auch nicht schlecht!

00:18:13: Aber überlegen Sie sich wirklich ganz genau für welche Geräthe das vielleicht Sinn macht und ob sie das nicht eher auf die Kaffeemaschine beschränken oder ähnliche Gerähte Themen auf die Geräte mit denen sie und ihre Kanzlei angreifbar werden, denn das wäre nicht besonders nachhaltig und kontraproduktiv.

00:18:33: Ja und auf dieses Thema Gerätenmanagement.

00:18:35: oben drauf kommt das Thema Patchmanagement also die Regelungen für die Installation von Updates.

00:18:42: Es sollte eben klar geregelt sein ob das die Kanzleiselbst macht oder ob der IT-Dienstleister hier tätig wird, was in der Regel wahrscheinlich der Fall ist.

00:18:53: Beziehungsweise wenn ihr IT-dienstleisters nicht alle Lösungen wartet und supportet die sie installiert haben dann müssen Sie regeln wer für welche Lösungen zuständig ist.

00:19:04: Am besten es immer die Updates automatisiert einzuspielen sofern das möglich ist.

00:19:09: Dann kann natürlich nichts vergessen werden und so schließen sie bekannte Fehler und Sicherheitslücken schnellstmöglich und sind damit auch Angreifbar.

00:19:19: Wichtig ist hier auch, dass Sie an sogenannte Firmware Updates denken also an die Aktualisierung der Betriebssysteme von Geräten wie zum Beispiel von WLAN-Routern.

00:19:31: Wir haben oft Kanzle ein die in der Kanzlei recht einfache handelsügliche Router nutzen, was auch gar nicht verwerflich ist.

00:19:38: Die tun ihren Dienst in wirklich vielen Fällen aber auf diesen Routern läuft eine Software und die muss abgedatet werden Denn Sicherheitslücken bedeuten an dieser Stelle eben die Möglichkeit ihr WLAN zu kompromittieren.

00:19:52: Denken Sie dabei zum Beispiel auch an das Homeoffice ganz wichtiges Thema.

00:19:56: Hier wählen sich die Mitarbeiter ja in den meisten Fällen über private WLAN-Router in ihrer Kanzlei Systemen ein.

00:20:04: Regeln Sie deswegen unbedingt, wie komplex das Passwort auch der privaten Geräte zu Hause sein muss und dass eben auch die entsprechenden Updates sichergestellt werden?

00:20:16: Das Thema Homeoffice und mobiles Arbeiten fällt noch aus anderen Gesichtspunkten in diesen Bereich hinein.

00:20:24: Kanzlei-Geräte, die sich im wesentlichen außerhalb der Kanzlei befinden sollten entweder remote oder durch regelmäßiges Mitbringen in die Kanzlei auch entsprechend betreut werden, so wie die Kanslei-Geräte.

00:20:37: Da müssten die gleichen Standards wenn nicht sogar noch höhere Standards denn diese Geräte sind ja regelmäßig mobil unterwegs.

00:20:46: außer der Kanzlei gelten wir für Geräthe innerkanzlei.

00:20:52: Der Zugriff auf die kanzlei IT sollte nur über gregelte und sichere Bahnen funktionieren zum Beispiel eben über einen sicheren VPN Tunnel.

00:21:00: Arbeiten im öffentlichen WLAN darf nur mit klaren Regeln und Schutzmaßnahmen stattfinden, sonst drohen die schonmal beschriebenen Man-in-the-Middle-Angriffe.

00:21:12: Die Deanspec'C'CiVe'Nu-Sechsundsechsundsetzig zielt hier ganz genau darauf ab solche alltäglichen Risiken eben strukturiert abzufragen und den Status quo Schritt für Schritt zu verbessern.

00:21:27: Zwei weitere wichtige Punkte möchte ich jetzt zum Schluss... auch noch kurz ansprechen, weil sie eben unbedingt mit dazu gehört.

00:21:33: Das Thema Notfallmanagement und die Zusammenarbeit mit IT-Dienstleistern.

00:21:40: gibt es in ihrer Kanzlei einen konkreten Plan für den Umgang mit IT Sicherheitsvorfällen also zum Beispiel mit verschlüsselten Daten durch Hacker, mit Stromausfällen, dem Umgang bei Serverstörungen, Internetausfellen sprich mit jeder Form von Ausnahmezustand sind die Zuständigkeiten geregelt.

00:22:03: Es sollte klar sein, wer im Ernstfall entscheidet ob Systeme vom Netz genommen werden, wer den IT-Dienstleister informiert und wer sich um die Kommunikation mit dem Team, mit den Mandanten, mit Finanzbehörden Aufsichtsbehörde usw.

00:22:20: kümmert.

00:22:21: und vor allem womit denn je nach Ausnahmezustand stehen Daten oder das Internet nicht zur Verfügung.

00:22:35: Ein Notfallplan für Erika sein muss kein Roman sein, auf gar keinen Fall – den liest man im Ernstfall sowieso nicht!

00:22:42: Aber die wichtigsten Schritte sollten auf jeden Fall schriftlich festgehalten sein.

00:22:46: Den verantwortlichen Bekannt und vor allem technisch umgesetzt sein wie zum Beispiel eben ein immer-aufgeladenes Notfallnotbog natürlich auch ein aktualisiertes Notfallenotbog mit eigener SIM-Karte und mandanten Kommunikationsdaten für die Kommunikation im Ernstfall.

00:23:08: Um zu vermeiden, dass Ihre Kanzlei unter Fehlern leiden muss – die andere machen – legt die Dienstbeck auch großen Wert darauf das kleine Unternehmen ihre IT-Dienstleister nicht blind beauftragen sondern kritische Fragen stellen.

00:23:25: Solche Fragen lauten beispielsweise wie sichern Ihre Dienstleister die Fernwartungszugänge auf Kanzlei-Systeme ab.

00:23:34: Welcher Personenkreis hat denn darauf Zugriff?

00:23:38: Wie und wo werden Ihre Daten gespeichert und verschlüsselt, wie sieht das eigene Notfallkonzept Ihrer Dienstleister aus wenn es bei Ihnen zu einem Sicherheitsvorfall kommt?

00:23:51: Ein Diensteiser der solide und professionell arbeitet kann diese Fragen selbstverständlich beantworten und das ist ein ganz wichtiger Baustein im Gesamtschutz ihrer Kanzlei.

00:24:03: Hier haben wir insbesondere was KI-Lösungen angeht in letzter Zeit schon sehr viel erlebt, denn es gibt natürlich im Moment sehr viele KI Lösungen die aus dem Boden schießen und wo man aber das Gefühl hat dass der technische, der administrative Unterbau noch absolut nicht mitgekommen ist.

00:24:22: Wir haben beispielsweise letztens einen KI-Hersteller gehabt, den wir befragt haben nach einem Vertrag zur Auftragsverarbeitung und zusätzlichen Informationen eben zum Datenschutz und zur IT-Sicherheit.

00:24:33: Und das sollte uns nur im Rahmen eines Teams Meetings dann kommuniziert werden.

00:24:39: also es gab noch keinerlei Standarddokumente dazu und bevor die Informationen dann schriftlich an uns herausgegeben werden sollten, hätten wir ein non-disclosure agreement also eine Verschwiegenheitserklärung unterschreiben müssen.

00:24:52: Das haben wir natürlich nicht gemacht und unseren Kunden ganz definitiv empfohlen diesen Anbietern nicht zu nutzen denn hier merkt man das einfach die ganzen Sicherheitsprozesse noch überhaupt nicht standardisiert fahren und da sollte man lieber die Finger davon lassen.

00:25:04: aber das nur als Beispiel.

00:25:07: Ja, zum Abschluss dieser Folge möchte ich Ihnen angelehnt an die Dinspec-Cyber-Security-Null-Sex und natürlich sind wir absolut der Fan davon.

00:25:15: Das sollten Sie mittlerweile gemerkt haben!

00:25:17: Noch ein paar kurze Fragen mitgeben, mit denen sie Ihren aktuellen Stand in Sachen Cyber Security ganz grob einschätzen können.

00:25:25: Also nehmen Sie jetzt wenn Sie können einfach einen Blatt unter den Stift zur Hand und schreiben Sie kurz die nächsten Fragen mit, die ich Ihnen gleich stelle.

00:25:34: also es geht los.

00:25:35: Gibt es in ihrer ganz leifeste, bekannte Regeln für Passwörter?

00:25:41: Für die Arbeit im Homeoffice und für den Umgang mit Emails.

00:25:46: Hier ist das Thema Fishing vor allem gemeint!

00:25:49: Und kennt ihr Team diese Regeln?

00:25:51: Haben sie das irgendwo fixiert?

00:25:52: Haben Sie da schon mal darüber gesprochen?

00:25:55: Werden ihre Mitarbeiter denn regelmäßig zu dem Thema FISHING & SOCIAL ENGINEERING und ähnlichen Themen geschult?

00:26:03: also wirklich regelmäßig?

00:26:04: nicht nur einmalig bei der Einstellung in Form eines e-Learnings oder so zwischendrin, indem Sie einen Newsletter weiterleiten, den sie von irgendwem bekommen haben.

00:26:14: Sondern regelmäßig weil ich dazu sagen muss das Thema Newsletter ist nicht unbedingt schlecht wenn Ihre Mitarbeiter das ganze nachlesen können.

00:26:20: auch wir verschicken alle sechs bis acht Wochen ein Newsletter unsere Kunden mit wichtigen aktuellen Themen die eben der zur Sensibilisierung und Schulung der Mitarbeiter auch gedacht ist.

00:26:31: aber wichtig es eben regelmäßig und aktuelle Themen nicht einmalig sind die wichtigsten Zugänge ihrer Kanzlei, also zu E-Mailkonten, zu Clouddienstleistern, zu Fernzugängen mit sicheren Passwörtern ausgestattet und wenn möglich mit mehr Faktorauthentifizierung geschützt.

00:26:53: Haben Sie mit Ihrem IT Dienstreister ein klares Konzept für Backups und deren Wiederherstellung besprochen?

00:27:00: Und wurde die Wiederherstellung – Killerfrage schon einmal getestet!

00:27:07: Wissen Sie, wie Ihr Systemhaus die Fernwartung absichert?

00:27:10: Haben sie da mal darüber gesprochen.

00:27:13: Und was Ihre Cloud-Dienstleister, Rechenzentrums-Diensteister im Notfall wenn deren Rechencentrum still steht aus welchem Grund auch immer tun um ihre Arbeitsfähigkeit wiederherzustellen?

00:27:25: haben Sie zum Beispiel Dienstleistungsverträge in dem bestimmte Reaktionszeiten festgehalten sind und sich hergestellt werden sollen?

00:27:33: gibt es dafür irgendwelche Regelungen?

00:27:36: Wenn Sie jetzt Bei mehreren dieser Punkte zögern und spontan sagen, da müsste ich jetzt nicht sofort eine Antwort drauf.

00:27:46: Dann ist das zwar kein Grund zur Panik aber eben ein ganz klares Signal.

00:27:51: hier lohnt es sich einmal strukturiert nachzusteuern und die Sicherheit ihrer Kanzlei noch mal ein bisschen zu optimieren.

00:27:58: Und genau dafür ist die Dienstberg siebenundzwanzig-nullsechsundsiebzig gemacht und genau dabei begleiten wir natürlich auch Kanzleinen unserer Beratung.

00:28:09: Ja, ich komme nochmal zurück auf die Angriffsmethoden, die wir in den ersten beiden Podcastfolgen unserer kleinen Serie zur Cyber-Sicherheit besprochen haben.

00:28:19: Sie werden mir jetzt am Ende dieser Podcastfolge so wie ich Ihnen das am Anfang schon angedroht habe bestimmt zustimmen wenn ich behaupte dass die Maßnahmen über die wir heute gesprochen haben diese Einfachen und wenn wir ehrlich sind auch sehr logischen Tudus für ihre Kanzlei schon wirklich viel dazu beitragen können, dass sie mit ihrer Kanzlei eben nicht in der ersten Reihe stehen werden.

00:28:40: Wenn Hacker nach einfachen Opfern suchen!

00:28:44: Und damit haben Sie den ersten und wichtigsten Schritt in Sachen Sicherheit, Cyber-Sicherheit, IT-Sichheit schon geschafft.

00:28:53: Nachsteuern verfeinern, optimieren und vor allem auf dem Stand der Technik bleiben.

00:29:00: Das alles kann und muss dann regelmäßig auf Ihrem Sicherheitsplan stehen.

00:29:06: Mit der Umsetzung, der Deanspec-Siemen-Zwanzig-Nohl-Sechsen-Sebzig haben Sie aber den Einstieg eben schon geschafft und damit tatsächlich die allergrößte Hürde überwunden, den ersten Schritt zu machen!

00:29:19: Was uns an dieser Deanspac so gut gefällt ist eben dass sie eine relativ geringe Hürda darstellt für den einstieg in das Thema Cyber Security.

00:29:28: Mein Mann nennt die Dienstbag immer das Seepferdchen in der IT-Sicherheit und es soll auf gar keinen Fall despektierlich klingen.

00:29:37: Unsere Kinder lassen wir das Seedpferdchern ja auch machen, damit sie nicht mit fliegenden Fahnen untergehen wenn sie das nächste Mal im See schwimmen gehen.

00:29:44: Und genau das wollen wir hier auch in Sachen Zeibersicherheit für ihre Kanzlei erreichen!

00:29:49: Und auch Olympiasieger fangen schließlich irgendwann mal mit dem Seedperdchen an.

00:29:54: also da kann eine richtig gute Geschichte für Ihre Kanzlerin raus werden.

00:29:57: Wenn Sie mit den Basics anfangen und jetzt Ihr Team sensibilisieren, das Thema Passwörter mehr Faktor-Authentifizierung angehen.

00:30:05: Updates organisieren, Backups planen die Wiederherstellung, checken Notfallplanung als einen festen Prozess auch etablieren und sich ein bisschen mehr mit Ihren IT-Diensteistern beschäftigen und paar ganz konkrete Fragen stellen dann sind sie schon ein wirklich gutes Stück weiter weiter als ganz viele andere Kanzleien.

00:30:28: Und darauf können Sie aufbauen und das Sicherheitsniveau gestalten, mit dem sie beruhigt schlafen können – und das ist ja eines der Ziele die wir mit allen unseren Sicherheitsmaßnahmen auch verfolgen!

00:30:40: Wenn Sie Unterstützung dabei brauchen?

00:30:42: Die Anforderungen der Deanspec-SYMMON-ZWR-SICH-NUL-SEX-UN-SIPSCH und andere Sicherheitsstandards eben praxisnah in Ihrer Kanzlei umzusetzen, dann melden Sie sich gerne bei uns unter der E-Mail Adresse Info at munkapunktinfo.

00:30:56: schreiben Sie uns oder schauen sie auf unsere Internetseite www.munkapuntinfo, da finden Sie auch unser Telefonnummer und weitere Kontaktdaten.

00:31:04: Denn einige unserer Berater sind vom BSI zertifiziert für die Durchführung des offiziellen Cyberrisiko-Tags.

00:31:13: Das ist nämlich genau der Check Prüfung in der Kanzlei, die auf dem Dienstbag, siebenundzwanzig, neunzechsundsechzig basiert.

00:31:20: Den darf nicht jeder machen, sondern da muss man sich dafür zertifizieren lassen.

00:31:23: und dann gibt es auch eine spezielle Software, wo die ganzen Fragen sind, wo dann hinterher auch eine schöne Auswertung rauskommt und eben auch ein offizielles Ergebnisdokument mit dem Sie erst ganz leider noch was anfangen können weil Sie eben konkret etwas in der Hand haben.

00:31:36: Wir führen diesen Check sehr gerne einmal mit Ihnen durch.

00:31:40: das ist auch anders als man sich das oft denkt wenn man von Cyber Security spricht.

00:31:45: keine Sache von Tagen, sondern eigentlich eher von Stunden.

00:31:48: Damit Sie wissen wo sie stehen und wo Sie gerne noch nachbessern dürfen.

00:31:53: Ja damit sind wir am Ende dieser Folge in unserer Miniserie zur Cyber-Sicherheit in Steuermannslein angelangt!

00:32:01: Wenn Sie Fragen oder Anregungen haben dann melden Sie sich gerne und schreiben Sie uns an infoatmunker.info.

00:32:09: wenn Sie weiter informiert bleiben wollen dann abonnieren Sie gerne unseren Podcast, wo auch immer sie mir gerade zuhören.

00:32:17: Und wenn unsere Tipps für Sie wichtig sind und interessant dann freuen wir uns über eine Bewertung des Podcastes denn damit helfen sie uns noch ein bisschen bekannter zu werden um mehr Kanzleien auf ihrem Weg zur Mehr Sicherheit und Compliance unterstützen zu können.

00:32:32: Ich packe Ihnen noch den einen oder anderen Link in die Show-Noten dieser Folge nämlich zum Beispiel zum BSI wo sie nochmal Informationen den Cyber-Risiko-Check nachlesen können.

00:32:45: Und dann bleibt mir nur noch nicht ganz herzlich dafür zu bedanken, dass Sie sich auch heute wieder die Zeit genommen haben zuzuhören und ich freue mich schon aufs nächste Mal!

00:32:55: Wenn sie in dieser Woche – ganz aktuell am Donnerstag – auf die Tagserena im Buchum kommen, dann besuchen wir uns doch gerne an unserem Messestand.

00:33:03: Wir haben auch diesmal wieder ein kleines Messegudi dabei und schenken geben Besucher der seine Visitenkarte da lässt eine kostenlose DSGVO-Webseitanalyse.

00:33:14: Bis dann!