A
m Thema Daten- und IT-Sicher-
heit kommt niemand mehr vorbei.
Nicht erst seit dem Facebook-Daten-
skandal, verschiedenen Cyber-Angriffen
sowie den Anforderungen der DSGVO
an die Sicherheit der elektronisch gespei-
cherten Daten ist das Thema sehr prä-
sent. Steuerberater und Wirtschaftsprü-
fer haben aufgrund der berufsrechtlichen
Verschwiegenheitspflichten
höchsten
Wert auf ein funktionierendes IT-Sicher-
heitskonzept zu legen.
Denn die stetig zunehmende Digitali-
sierung im Kanzleialltag bietet nicht nur
Chancen, sondern auch neue Risiken,
die erkannt und vor denen geschützt
werden muss. Vielen kleinen und mit-
telständischen Unternehmen und Kanz-
leien ist jedoch der finanzielle und per-
sonelle Aufwand oft zu hoch, um für
IT-Sicherheit zu sorgen. Doch können
der Verlust von Daten oder der Ausfall
von IT-Systemen schnell geschäftskri-
tische Ausmaße annehmen.
Oft hört man in diesem Zusammen-
hang: „Das passiert mir nicht“ oder „Wir
sind zu klein und darum kein Angriffs-
ziel“. Angesichts dieser Haltung ist nicht
die Frage, „ob“ Probleme mit der IT-
Sicherheit auftreten werden, sondern viel-
mehr „wann“ dies passieren wird. Beson-
ders Klein- und Mittelunternehmen sind
ein beliebtes Ziel aufgrund der meist
schwachen Sicherheitsmaßnahmen.
Welche Gefahren drohen?
Infolge schwacher oder fehlender IT-
Sicherheit können beispielsweise Krypto-
Trojaner (eine solche Schadsoftware ver-
schlüsselt die Daten und gibt diese erst
nach Zahlung eines Lösegeldes frei),
Datenverlust oder ein längerfristiger
Ausfall der eigenen IT sowie Angriffe
auf Online Banking (eventuell hat man
sogar noch Zeichnungsberechtigungen
auf Mandantenkonten im Kanzlei-Tele-
banking eingerichtet) sein.
Auch droht ein möglicher Imagever-
lust gegenüber Öffentlichkeit und Kun-
den. Hier verschärfen sich mit Geltung
der DSGVO auch die Vorschriften bei
einem (auch nur möglichen) Daten-
verlust: Details und Auswirkungen
der Datenpanne müssen an die Daten-
schutzbehörde binnen 72 Stunden und
daneben oftmals auch umgehend an
Betroffene (Mandanten) kommuniziert
werden. Diesbezüglich sei erwähnt, dass
in Deutschland jedes zehnte mobile
Gerät entweder verloren geht, defekt
oder gestohlen wird. Ohne Verschlüsse-
lung oder Fern-Löschmöglichkeiten des
Geräts eine sehr reale Gefahr mit unan-
genehmen Konsequenzen. Wer hat nicht
schon einmal sein Handy verlegt?
IT-Sicherheit ist Chefsache
Für die IT-Sicherheit rechtlich
in der Verantwortung
ist in jedem Fall die
Geschäftsführung.
Diese muss die Leit-
linie und Rahmen-
bedingungen vor-
geben. Es ist jedoch
nicht mit der tech-
nischen Umsetzung allein
getan. Mindestens genauso
wichtig ist die Erarbeitung
und Umsetzung von internen
Vorgaben für die Mitarbeiter. Dies
umfasst unter anderem die Vorgaben
für die Benutzung von Passwörtern
zumUmgang mit externen Datenträ-
gern (USB-Sticks etc.)
zum (privaten) Surfen im Inter-
net inklusive Nutzung der sozialen
Medien
zum Umgang mit Spam- bzw.
Phishing-Mails
zur Handhabung mobiler
Geräte (Smartphones, Tablets etc.)
Der Weg zur gewünschten Sicherheit
in der IT
Der IT-Sicherheitsprozess muss von der
Geschäftsleitung angestoßen werden.
Unter Einbeziehung von internen oder
externen IT-Spezialisten ist ein Sicher-
heitskonzept zu erstellen und umzuset-
zen.
Den ersten Schritt stellt dabei eine
Bestandsaufnahme der IT-Systeme und
Anwendungen in Form einer Struktura-
nalyse dar. Darauf aufbauend werden der
Schutzbedarf und die maximal tolerier-
baren Ausfallzeiten bestimmt. Es folgen
die Modellierung der IT-Landschaft, das
Durchführen von Risikoanalysen und
die Festlegung von Maßnahmen zum
Schutz der IT. Als letzter Umsetzungs-
schritt müssen die Maßnahmen
realisiert und ein Notfallma-
nagement aufgebaut werden.
IT-Sicherheit ist jedoch
keine einmalige Sache. Der
Sicherheitsprozess muss auf-
rechterhalten und stetig ver-
bessert werden.
Bei aller Komple-
xität des Themas hilft
auch der Rückgriff
auf das Pareto-
Prinzip: mit 20%
des Aufwands erreicht
man 80%ige Sicher-
heit (80/20-Regel).
Häufig ist damit ein
ausreichendes IT-Sicherheits-
niveau zu erreichen und die Restrisiken
sind für kleinere und mittlere Kanzleien
akzeptabel.
n
Rechtzeitig vorsorgen
DATENSCHUTZ.
Über IT-Sicherheit in Steuerberatungskanzleien.
Von Christian Gerstgrasser
junge
ögsw
ZUM AUTOR
Mag. Christian
Gerstgrasser,
MBA ist Steuer-
und Unterneh-
mensberater
c.gerstgrasser@
gerstgrasser.at
© MICROSTOCKHUB/ISTOCK
Ohne Vor-
sorge treten
mit Sicherheit
irgendwann
IT-Probleme auf.
28
2/2018