Bevor wir uns mit den beiden Themen näher beschäftigen, vielleicht eine kurze Erläuterung der Begrifflichkeiten. Unter ‚Cyber-Crime‘ versteht man Straftaten, die unter Ausnutzung der Informations- und Kommunikationstechnik bzw. der Netze oder gegen diese begangen werden. Unter ‚Cyber-Security‘ versteht man die Gegenmaßnahmen dazu. Mit diesen wollen wir uns beschäftigen, bzw. etwas mehr Licht ins Dunkel bringen, welche Gegenmaßnahmen überhaupt ergriffen werden müssten. Denn wenn ich nicht weiß, vor was ich mich schützen soll oder muss, sind die Maßnahmen weder effektiv noch effizient.
Fangen wir mit dem beliebtesten Datenträger für den Austausch von Dateien und Daten an. Dem USB-Stick. Entweder von zu Hause, von einer Veranstaltung oder vom Mandanten mit in die Kanzlei gebracht, wird dieser USB-Stick einfach an den PC angesteckt und die Daten verarbeitet. Was im Hintergrund passiert, kann niemand ahnen, aber genau das ist das Problem. Im Hintergrund werden fremde Programme gestartet, Tastaturcodes ausgeführt und schlicht und ergreifend der PC gekapert. Damit haben ggf. Dritte vollen Zugang zum PC und damit auch zum Netzwerk mit allen Informationen. Kein schöner Zustand. Jetzt passieren zwei Punkte. Sie werden ausspioniert, Kennwörter weitergeleitet, Dokumente mitgelesen, usw. oder es wird Ihnen ein Verschlüsselungstrojaner untergeschoben. Schützen kann man sich davor, indem man den USB-Stick verbietet und an allen PC’s die USB-Technik abschaltet oder zumindest den USB-Stick vorher in einem extra PC prüft. Der USB-Stick, der so etwas tut, wird Rubber Ducky genannt und steht im Internet frei zur Verfügung.
Die meisten Virenscanner werden nicht anschlagen, wenn so etwas passiert. Also läuft die Spionagesoftware weiter auf dem PC und die Informationen werden über das Internet an Dritte weitergegeben, die dann mit dem Thema Erpressung und Verschlüsselung versuchen Geld zu verdienen. Die Erfolgsquote ist hoch.
Das zweite Massenthema sind getarnte oder gefälschte E-Mails. SPAM E-Mails erreichen uns täglich in Massen. Die meisten lassen sich technisch sehr gut erkennen und filtern, bzw. von den „wichtigen E-Mails“ automatisch trennen. Aber hierfür muss bei Ihnen ebenfalls etwas getan werden.
Zuerst sollten Sie bei Ihrem Provider prüfen, ob dort für die Postfächer ein SPAM Filter aktiviert ist. Wenn nicht, sollten Sie diesen aktivieren und auf eine niedrige Erkennung stellen lassen, damit wirklich nur Unbrauchbares gefiltert wird. Auch mögliche Suchbegriffe oder eindeutige Wörter sollten damit gefiltert werden. Dies gilt ebenso für einen Virenscanner, der alle E-Mails und Anhänge auf Viren prüft. Auch nicht gewünschte Absender aus fremden Ländern oder mit fremden Zeichensätzen sollten hier gleich mit aussortiert werden.
Der zweite E-Mailfilter sollte in ihrem lokalen Mailsystem liegen, das die ankommenden E-Mails nach weiteren Regeln automatisch prüft und filtert. Mögliche E-Mails mit Bedrohungen oder weiteren Einschränkungen sollten hier gefunden und in einem extra Ordner abgelegt werden.
Sind dann alle restlichen E-Mails sicher? Nein, leider nicht. Denn die Spammer und Betrüger arbeiten mit immer besser getarnten E-Mails und möchten dem Empfänger glauben machen, dass die E-Mail täuschend echt aussieht, damit dieser die Nachricht öffnet. Hier helfen dann fast keine Techniken mehr, sondern nur gesunder Menschenverstand und weitere Sicherheitsfeatures. Sie bekommen Rechnungen per E-Mail von Vodafone, sind aber Telekomkunde. E-Mails von PayPal, wo Sie gar kein Konto haben, usw. Schwieriger wird es, wenn E-Mails von z.B. Finanzämter, Behörden, Versicherungen, Amazon, Ebay, usw. kommen. Und den meisten Erfolg haben Spammer derzeit mit Bewerbungen, die als Anhang der E-Mail eine Word- oder Excel Anlage haben. Hier ist besonders darauf zu achten, bevor eine solche E-Mail geöffnet wird.
Auch das Thema Internetsicherheit beim Surfen sollte nicht ganz außer Acht gelassen werden. Hier müssen Virenscanner und Firewalls mit sogenannten „Verhaltensfiltern“ diese Arbeit übernehmen. Eine manuelle Einstellung, welche Seiten „gut“ und „böse“ sind, halte ich für nicht umsetzbar.
Vorschläge und verschiedene Lösungsansätze:
Also was können Sie schrittweise umsetzen, um die Kanzleisicherheit signifikant zu erhöhen und das Risiko eines potenziellen Schadens vorzubeugen. Ich bin zuerst für die Aufklärung der Mitarbeiter, welche Schäden von USB-Sticks oder E-Mails ausgelöst werden können. Das Thema „Erläuterung der Gefahren“ sollte auch in jedem Datenschutzgespräch bzw. jeder Schulung regelmäßig stattfinden.
Es gibt Sicherheitslösungen, die das Thema USB-Sicherheit aufgreifen und sehr zufriedenstellend umsetzen können. Auch hier sollten Sie zweigleisig fahren und sich nicht komplett auf die Technik verlassen, sondern mit den Mitarbeitern und den Mandanten besprechen, dass USB ein hohes Sicherheitsrisiko darstellt und aus der Steuerkanzlei kurzfristig verschwinden wird. Es gibt genug Transportalternativen der Softwareanbieter für Steuerberater, die E-Mail und USB-Stick als Datenmedium viel besser und sicherer ersetzen können. Und das Ganze auch noch Datenschutzkonform.
Als Grundregeln für den Datenverkehr mit dem Internet sollte eine Firewall in der Kanzlei installiert werden, die kein Produkt von der Stange ist und mit dem Vertrag eines Telekommunikationsanbieters kostenfrei angeboten wird. Diese Produkte sind für den Businessbetrieb in einer Steuerkanzlei nicht sicher genug.
Außerdem sollten Sie zwingend darauf achten, dass Mitarbeiter am PC oder Server nicht über „administrative Rechte“ verfügen. Dies erhöht das Risiko im Falle eines Ausbruches enorm und bietet dem Trojaner noch mehr Möglichkeiten der Verbreitung.
Ebenso sollten Sie schnellstmöglich umsetzen, dass Anhänge an E-Mails keine Microsoft Office Dateien wie Word, Excel, Power- Point, usw. mehr enthalten dürfen. Dies sollte sowohl für den externen als auch internen E-Mailverkehr dienen. Es gibt Anbieter an Steuerberatungssoftwaresystemen, die ein integriertes DMS haben, wo diese Office Dateien revisionssicher abgelegt und als LINK in E-Mails eingebettet werden können.
Dies gilt ebenso für den Mandantenbereich. Lassen Sie sich einfach
PDF-Dateien per E-Mail schicken, wenn es nicht anders geht. Auch hier gibt es bereits jede Menge Softwarelösungen der Anbieter bzw. Drittlösungen, um den Transfer von Dateien nicht mehr per E-Mail umsetzen zu müssen.
Stellen Sie Kanzleiregeln für alle Themen auf und schulen Sie die Mitarbeiter regelmäßig darauf und auf deren Umsetzung bzw. Einhaltung. Nur gut informierte Mitarbeiter werden sich nicht von täuschend echten Informationen falsch leiten lassen. Denn wer nicht weiß, was es alles gibt, kann auch nicht darauf reagieren.
Nichts oder zu wenig zu tun, bedeutet irgendwann Schaden zu nehmen. Die Aufwände für eine Sicherheitslösung, die zu investieren sind, sind im Verhältnis zum Schaden, der in Form von Zeitverlust, Mandatsverlust, Datenverlust, Imageverlust, usw. entsteht, so minimal, dass darüber fast nicht zu diskutieren ist.
Über den Autor:
Christian Heidler
Vorstand der hmd-software AG
Quelle DStR 20/2020