Hackerangriffe offenbaren Sicherheitslücken in der IT
Es ist Montagmorgen, die ersten Mitarbeiterinnen oder Mitarbeiter sind im Büro oder im Homeoffice und loggen sich in das System ein. „Sehr zäh heute Morgen alles“, denken sich einige, „gerade heute, wo so viel erledigt werden muss“. Starten der Anwendungssoftware – Fehlermeldung – System kann die angeforderten Dateien nicht finden. Wenigstens das Mail-System funktioniert. Telefon – Kollegin anrufen, sie hat das gleiche Problem.
So oder so ähnlich spielt es sich ab, wenn ein Unternehmen oder eine Steuerkanzlei von einem Trojaner oder Verschlüsselungsvirus betroffen ist und dieser bereits voll am Werk ist bzw. sein Werk schon verrichtet hat. Alle Datenbestände – Verzeichnisse und Laufwerke – sind verschlüsselt und nicht mehr zu benutzen. Es ist Chaos angesagt. Dies ist ein Szenario, das es schon seit ein paar Jahren gibt und das immer öfter vorkommt. Die Meldungen dazu häufen sich und der Aufwand, das Problem wieder in den Griff zu bekommen, ist riesig. Der Schaden ist enorm, die Auswirkungen meistens katastrophal. Ein betroffenes Unternehmen oder eine Steuerkanzlei können meist über Wochen nur sehr eingeschränkt bzw. gar nicht arbeiten – je nach Umstand und Zustand der IT.
Die Frage, die sich stellt, lautet: Warum wird es Hackern so einfach gemacht, bzw. warum haben diese so einen Erfolg? Die Antworten, Erklärungen sowie auch die Lösungen sind relativ einfach, zumindest aus pragmatischer Sicht: Dem sicheren Umgang mit der IT wird nicht genug Aufmerksamkeit geschenkt. IT hat zu funktionieren, möglichst schnell, am besten reibungslos und ohne große Investitionen oder sonstige Bedürfnisse. Denn dies kostet ja alles Zeit, die nicht vorhanden ist.
Unentbehrliche Datensicherung in der Steuerkanzlei
Doch wie kann man solch ein Szenario in der Steuerkanzlei verhindern? Datensicherung – Personal – Softwareschutz – Firewall. Genau in dieser Reihenfolge sollten die Ursachen angegangen und umgesetzt werden. Ja, mir ist bewusst, dass es keinen hundertprozentigen Schutz gibt, aber der ist auch in vielen Umgebungen gar nicht notwendig, umsetzbar und machbar. Die IT soll uns unterstützen und, wenn es gerade geht, nicht mit unnötigen Meldungen und Prozessen nerven.
Die Grundlage mit dem absoluten Alleinstellungs- und Killermerkmal ist die Datensicherung. Daran gibt es nichts zu rütteln oder zu deuten. Die Datensicherung und vor allem der Prozess der Wiederherstellung sind entscheidend. Warum? Weil dieser Prozess in aller Regel nicht dokumentiert und regelmäßig geprüft bzw. ausgeführt wird. Aber eines nach dem anderen. Grundlage ist eine sogenannte „3-2-1“-Datensicherung oder ein Backup. Fast alle kennen diese, nur an der Umsetzung hapert der Prozess häufig. „3-2-1“ bedeutet drei Datensicherungen, davon zwei auf verschiedene Medien und eine externe. Läuft das bei Ihnen so? Dies hier im Detail auszuführen, würde die Grenzen sprengen, aber Ihr IT-Betreuer sollte das wissen. Der regelmäßige Test der Wiederherstellung von Datenbeständen gehört auch zu diesem Prozess, ebenso die Dokumentation und Benachrichtigung zur Datensicherung.
Mitarbeiterschulung im sicheren Datenumgang
Wichtig ist außerdem die Schulung des Personals beim Prozess im Umgang mit tragbaren Datenträgern, eingehenden E-Mails, telefonischen Anfragen und vor allem die Sensibilisierung der Themen im täglichen Arbeitsumfeld. Steuerkanzleien sollten hierauf besonderen Wert legen, da sie Mandatsträger und Verwalter bzw. Treuhänder anderer sensibler Datenbestände sind. Nicht auszudenken, wenn diese Daten in fremde Hände geraten und später durch Erpressung und Veröffentlichung noch mehr Schaden anrichten. Noch ein Tipp im Umgang mit Dateianhängen in E-Mails: Verbieten Sie einfach den Transport von Office-Dokumenten per E-Mail. Hier liegt das größte Gefahrenpotenzial, denn hier gibt es die meisten erfolgreichen Angriffsversuche und Einbrüche.
Angepasstes Softwareschutzprogramm – Korrekt eingestellt statt nur installiert
Ebenso Standard muss heute ein Softwareschutzprogramm sein, das lautlos im Hintergrund seinen Dienst verrichtet, ohne groß aufzufallen bzw. die Leistung des PC oder Servers zu beeinträchtigen – nicht ganz trivial, aber durchaus machbar. Warum läuft es dann in vielen IT-Umgebungen nicht so? Ganz einfach, weil der Virenschutz nur installiert worden ist und nicht auf die Bedürfnisse oder Prozesse des Arbeitsumfeldes eingestellt wurde. Softwareschutzprogramme sollten vor allem Folgendes können: automatische Updates, Blockieren von neuer Software bis diese automatisch verifiziert wurde sowie technische Verhaltensüberwachung. Insbesondere sind korrekte Hinweise der Schutzsoftware nötig, was gerade blockiert oder nicht zugelassen wird. Natürlich muss das Personal darauf in den Grundmeldungen geschult werden, das System muss aber auch automatisch lernen. Ja, ab und an gibt es Fehlalarm und auch unnötige Hinweise, aber dies gehört dazu. Man muss nur damit umzugehen wissen.
Eine Firewall, die den Datenverkehr zwischen Internet und Kanzlei permanent prüft, ist Pflicht. Korrekt eingestellt und nicht im Auslieferungszustand einfach angeschlossen, wäre der erste Schritt. Hinzu kommt auch das Sperren aller Verbindungen und TCP-Ports. Es wird nur das geöffnet, was gebraucht wird, nicht andersherum. Geolocation, Proxy-Filter für POP, IMAP, HTTPS müssen Standard sein. Auch hier gibt es noch viele weitere Punkte, die Ihrem IT-Betreuer sicher bestens bekannt sind.
IT-Sicherheit hat ihren Preis – Eindeutige Kosten-Nutzen-Rechnung?
Sicherheit ist nicht kostenlos, manchmal auch nicht günstig. Das kommt auf den IST-Zustand an, natürlich auf die eingesetzte lokale IT-Umgebung oder darauf, ob man seine IT bereits in ein Rechenzentrum ausgelagert hat. Einen Preis hier und heute zu nennen, wäre völlig unseriös, aber ich versuche es mal anders: Stellen Sie sich vor, Ihr Unternehmen oder Ihre Steuerkanzlei beschäftigt ca. 10 Mitarbeiterinnen und Mitarbeiter, Durchschnittstundenlohn intern zwischen 40 € und 60 €. Gehen wir davon aus, dass Sie aufgrund eines Hackerangriffs zwischen zwei und vier Wochen nicht voll arbeiten können. Die unproduktiven Kosten nur für das Personal belaufen sich auf über 40.000 €, wenn Sie 10 Arbeitstage mit 8 Stunden, 10 Mitarbeitern und 50 € Stundensatz annehmen. Vom Imageschaden, den Sie erleiden bzw. vom Schaden durch die Veröffentlichung bei der Landesdatenschutzbehörde, im Falle vom Abfluss von Datenbeständen, will ich gar nicht erst sprechen.
Mehr Ermunterungen, sich damit zu beschäftigen, braucht es meiner Meinung nach nicht. Im Gegensatz dazu machen die anfallenden Kosten für die Sicherheit nur einen kleinen Bruchteil dessen aus.
Sie wollen mehr über den Beruf als Steuerberaterin oder Steuerberater oder die Erfolgskriterien für die Steuerberaterprüfung erfahren? Informieren Sie sich in unseren Beiträge im Karriere-Ratgeber!
Entdecken Sie außerdem unsere Stellenangebote für Steuerberaterinnen und Steuerberater. Jetzt schnell und einfach bewerben auf beck-stellenmarkt.de!
Zu den Jobs für Steuerberater*innen
Über den Autor:
Christian Heidler
ist Vorstand der hmd-software AG. Kontaktdaten: Tel.: 08152/988-200 E-Mail: info@hmd-software.com
Besuchen Sie auch die Social-Media-Kanäle von C.H.BECK. Sie finden uns auf:
Der Beitrag ist erstmals in der DStR 40/23 erschienen.