DATENSCHUTZ. Über IT-Sicherheit in Steuerberatungskanzleien. Von Christian Gerstgrasser
Am Thema Daten- und IT-Sicherheit kommt niemand mehr vorbei. Nicht erst seit dem Facebook-Datenskandal, verschiedenen Cyber-Angriffen sowie den Anforderungen der DSGVO an die Sicherheit der elektronisch gespeicherten Daten ist das Thema sehr präsent. Steuerberater und Wirtschaftsprüfer haben aufgrund der berufsrechtlichen Verschwiegenheitspflichten höchsten Wert auf ein funktionierendes IT-Sicherheitskonzept zu legen. Denn die stetig zunehmende Digitalisierung im Kanzleialltag bietet nicht nur Chancen, sondern auch neue Risiken, die erkannt und vor denen geschützt werden muss. Vielen kleinen und mittelständischen Unternehmen und Kanzleien ist jedoch der finanzielle und personelle Aufwand oft zu hoch, um für IT-Sicherheit zu sorgen. Doch können der Verlust von Daten oder der Ausfall von IT-Systemen schnell geschäftskritische Ausmaße annehmen. Oft hört man in diesem Zusammenhang: „Das passiert mir nicht“ oder „Wir sind zu klein und darum kein Angriffsziel“. Angesichts dieser Haltung ist nicht die Frage, „ob“ Probleme mit der ITSicherheit auftreten werden, sondern vielmehr „wann“ dies passieren wird. Besonders Klein- und Mittelunternehmen sind ein beliebtes Ziel aufgrund der meist schwachen Sicherheitsmaßnahmen.
Welche Gefahren drohen?
Infolge schwacher oder fehlender ITSicherheit können beispielsweise Krypto- Trojaner (eine solche Schadsoftware verschlüsselt die Daten und gibt diese erst nach Zahlung eines Lösegeldes frei), Datenverlust oder ein längerfristiger Ausfall der eigenen IT sowie Angriffe auf Online Banking (eventuell hat man sogar noch Zeichnungsberechtigungen auf Mandantenkonten im Kanzlei-Telebanking eingerichtet) sein. Auch droht ein möglicher Imageverlust gegenüber Öffentlichkeit und Kunden. Hier verschärfen sich mit Geltung der DSGVO auch die Vorschriften bei einem (auch nur möglichen) Datenverlust: Details und Auswirkungen der Datenpanne müssen an die Datenschutzbehörde binnen 72 Stunden und daneben oftmals auch umgehend an Betroffene (Mandanten) kommuniziert werden. Diesbezüglich sei erwähnt, dass in Deutschland jedes zehnte mobile Gerät entweder verloren geht, defekt oder gestohlen wird. Ohne Verschlüsselung oder Fern-Löschmöglichkeiten des Geräts eine sehr reale Gefahr mit unangenehmen Konsequenzen. Wer hat nicht schon einmal sein Handy verlegt?
IT-Sicherheit ist Chefsache
Für die IT-Sicherheit rechtlich in der Verantwortung ist in jedem Fall die Geschäftsführung. Diese muss die Leitlinie und Rahmenbedingungen vorgeben. Es ist jedoch nicht mit der technischen Umsetzung allein getan. Mindestens genauso wichtig ist die Erarbeitung und Umsetzung von internen Vorgaben für die Mitarbeiter. Dies umfasst unter anderem die Vorgaben
- für die Benutzung von Passwörtern
- zum Umgang mit externen Datenträgern (USB-Sticks etc.)
- zum (privaten) Surfen im Internet inklusive Nutzung der sozialen Medien
- zum Umgang mit Spam- bzw. Phishing- Mails
- zur Handhabung mobiler Geräte (Smartphones, Tablets etc.)
Der Weg zur gewünschten Sicherheit in der IT
Der IT-Sicherheitsprozess muss von der Geschäftsleitung angestoßen werden. Unter Einbeziehung von internen oder externen IT-Spezialisten ist ein Sicherheitskonzept zu erstellen und umzusetzen. Den ersten Schritt stellt dabei eine Bestandsaufnahme der IT-Systeme und Anwendungen in Form einer Strukturanalyse dar. Darauf aufbauend werden der Schutzbedarf und die maximal tolerierbaren Ausfallzeiten bestimmt. Es folgen die Modellierung der IT-Landschaft, das Durchführen von Risikoanalysen und die Festlegung von Maßnahmen zum Schutz der IT. Als letzter Umsetzungsschritt müssen die Maßnahmen realisiert und ein Notfallmanagement aufgebaut werden. IT-Sicherheit ist jedoch keine einmalige Sache. Der Sicherheitsprozess muss aufrechterhalten und stetig verbessert werden. Bei aller Komplexität des Themas hilft auch der Rückgriff auf das Pareto- Prinzip: mit 20% des Aufwands erreicht man 80%ige Sicherheit (80/20-Regel). Häufig ist damit ein ausreichendes IT-Sicherheitsniveau zu erreichen und die Restrisiken sind für kleinere und mittlere Kanzleien akzeptabel.
Erscheinungsdatum: