Erpressung mit Mandantendaten - Wie sicher ist Ihre Kanzlei-IT?

| Dass Botnetze inzwischen vermietet werden, dass Software zur Dekodierung selbst langer Passwörter frei und legal erhältlich ist und dass das Internet Trojaner-Bausätze nebst 24h-Stunden-Support-Hotline bereithält - sind Tatsachen, die erschrecken. Die Cyber-Kriminalität hat mittlerweile einen eigenen Markt herausgebildet. Dadurch können selbst technisch nicht sonderlich Versierte schnell großen Schaden anrichten. Noch gefährlicher allerdings sind für Kanzleien die gezielten konfektionierten Angriffe - Mandantendaten werden gestohlen, Steuerberater damit erpresst. Doch Sie können sich schützen. |

Wie sicher ist die IT-Infrastruktur in Kanzleien?

Beantworten kann dies Götz Schartner, Geschäftsführer der 8com GmbH & Co. KG aus Neustadt an der Weinstraße. Seine Firma wird von Kanzleien, Unternehmen und Behörden damit beauftragt, den Versuch zu starten, sich ins Unternehmensnetz einzuhacken. Bei Steuerberatungskanzleien gebe es ein zweigeteiltes Bild: Diejenigen, die komplett DATEV einsetzen, also auch für den Internetzugang, hätten ein sinnvolles Maß an Sicherheit - nach DATEV-Angaben sind dies weniger als die Hälfte aller Steuerberater. „Bei allen anderen ist es eine mittlere Katastrophe. Da haben wir nie lang gebraucht und waren überall drin“, berichtet Schartner (siehe Interview auf S. 220).

WLAN gehört nicht in die Steuerberatungskanzlei

Möglich ist dies deshalb, weil diejenigen Kanzleien, die ihren Internetzugang nicht über DATEV regeln, häufig einfache DSL-Router einsetzen, an die das Firmennetzwerk angeschlossen ist. Deutlich sicherer wird diese Konstruktion schon, wenn eine gute Firewall, die etwa zwischen 800 und 1.000 EUR kostet, zwischengeschaltet wird. „Ein WLAN gehört ohnehin nicht in die Steuerkanzlei“, erklärt Schartner, denn Funk lässt sich nicht durch Mauern eingrenzen.

Wer dennoch ein WLAN im Einsatz hat, sollte darauf achten, bei der Verschlüsselung ein Kennwort zu benutzen, das länger als 20 Zeichen ist, denn aktuelle Software zum Dekodieren schafft etwa 16 bis 17 ohne Probleme. Außerdem ließe sich der Zugriff der Arbeitsplätze über VPN-Tunnel absichern - aber das bedeutet Aufwand und Kosten und wird daher in der Praxis nicht gemacht.

Angriffsziel Kanzlei - Risiken durch Datenklau

Was bedeutet es nun, wenn Dritte so leicht an sämtliche sensiblen Mandantendaten gelangen können - bei einem Angriff übernimmt der Hacker die vollständige Kontrolle über die Systeme, ist also in der Lage, sich mit den entsprechenden korrekten Zugangsdaten die jeweiligen Informationen zu verschaffen, ohne dass dies jemand bemerkt. In einem bekannt gewordenen Fall aus Hessen führte dies dazu, dass der Steuerberater mit den gestohlenen Daten erpresst wurde. Er bezahlte, um zu verhindern, dass diese Daten ins Internet gestellt wurden. Dies hätte den Ruin der Kanzlei bedeutet und mag daher verständlich sein, wenngleich es selbstverständlich dazu führt, neuer Kriminalität den Weg zu bereiten.

„Es passiert sehr viel in den Kanzleien“, berichtet Schartner, „gerade größere Kanzleien sind ein prädestiniertes Ziel.“ Bei diesen sogenannten konfektionierten Angriffen werden hochprofessionell bislang unentdeckte Schwachstellen gezielt ausgenutzt. Firewalls lassen sich problemlos umgehen.

Bekanntes Problem: fehlende E-Mail-Verschlüsselung

Doch nicht erst Erpresser können dafür sorgen, dass der sorglose Umgang mit Mandantendaten an die Öffentlichkeit kommt und damit der Ruf der Kanzlei irreparabel beschädigt wird. Es reicht bereits, wenn der Datenschutzbeauftragte des betreffenden Bundeslandes eines Tages Rechenschaft darüber verlangt, ob E-Mails verschlüsselt übertragen wurden. Dieses Recht steht ihm theoretisch zu und wird möglicherweise in der Zukunft auch verstärkt ausgeübt werden. Die Konsequenz für einen Steuerberater, der in der Vergangenheit unverschlüsselte Mails etwa mit betriebswirtschaftlichen Auswertungen an Mandanten verschickt hatte, wäre, dies in der Zeitung veröffentlichen zu müssen - das Aus für jede kleinere Kanzlei.

Und dass auch gehaltvolle E-Mails unverschlüsselt verschickt werden, ist tatsächlich die Regel. So erklärte die Hälfte aller befragten Unternehmen laut Studie „IT-Sicherheitslage im Mittelstand 2011“ der Initiative „Deutschland sicher im Netz e.V.“, dass sie bislang noch keinerlei Sicherungsvorkehrungen getroffen hätte, die den Schutz von E-Mails betreffen - obwohl schützenswerte Daten auf diese Weise übertragen werden. Das ist gefährlich, denn um eine unverschlüsselte E-Mail mitzulesen, braucht man nicht zu hacken.

Obwohl die Studie Unternehmen zum Gegenstand hatte, bestätigen Experten, dass auch viele Steuerberater mit ihrem E-Mail-Verkehr heute äußerst sorglos verfahren.

Neues Problem: Angriff auf mobile Geräte

Wer beim Thema „E-Mail“ an seinem PC noch die gebotene Sorgfalt walten lässt, wird dies möglicherweise mit seinem iPhone oder BlackBerry vernachlässigen - oder er kann sich derzeit gar nicht adäquat schützen. Doch nicht nur die neuen Geräte, sondern auch alte Mobiltelefone, immer noch sehr verbreitet, haben Lücken, die durch Fehler bei der Programmierung entstanden sind. So fehlt beim Nokia 6310i etwa die Sicherheitsabfrage, wenn eine Bluetooth-Verbindung aufgebaut werden soll.

Das bedeutet, dass der Besitzer überhaupt nicht mitbekommt, wenn jemand sein Handy ganz einfach via Bluetooth anzapft. Einfache Abhilfe gibt es hier aber: Zum einen sollte Bluetooth ausgeschaltet werden, wenn es nicht benötigt wird. Zum anderen sollten für alle mobilen Geräte - genauso wie für den PC - immer die aktuellen Sicherheitsupdates auf den Herstellerseiten heruntergeladen werden. Sie schließen die bislang bekannten Lücken.

Richtig sicher - aber ohne liebgewonnene Apps?

Wer ein Smartphone besitzt, möchte es auch als solches benutzen, und nicht nur damit telefonieren oder E-Mails versenden. Apps machen die neuen Geräte attraktiv, sind aber nicht risikolos. Denn dabei wird bisweilen umfangreicher Zugriff etwa auf die Kontaktdaten eingeräumt. Das macht die Geräte angreifbar. Die DATEV eG arbeitet deshalb derzeit mit Hochdruck an einer Lösung - zunächst für das Apple-Betriebssystem iOS - um Steuerberatern den sicheren Einsatz von Smartphones, iPads usw. zu ermöglichen. Diese muss, um möglichst sicher zu sein, dann allerdings wiederum einige Einsatzmöglichkeiten, die für den Benutzer attraktiv sind, beschränken. Das ist für den geschäftlichen Einsatz kein Problem, schmälert aber den Privatnutzen.

Die Lösung sind dann entweder zwei Geräte oder aber eine Datenisolierung, die die geschäftlichen Daten, Applikationen und auch die geschäftliche Verbindung mit dem Internet strikt von einem privaten Bereich trennt. Etwas Derartiges hat gerade das Fraunhofer-Institut Sichere Informationstechnologie entwickelt und auf der gerade zu Ende gegangenen IT Security-Messe itsa in Nürnberg präsentiert. Dabei werden mehrere getrennte Anwendungsbereiche auf dem Smartphone bereitgestellt, die über eigene Datensätze und Zugriffsberechtigungen verfügen. Für den Nutzer ist dies einfach visualisiert - er wählt zwischen rot und grün.

Dadurch können private Anwendungen ohne Einschränkungen parallel und unabhängig von geschäftlichen Anwendungen ausgeführt werden. Weiterhin erlauben die erweiterten Fernwartungsprotokolle im geschäftlich genutzten Bereich, den Gerätezustand aus der Ferne festzustellen, automatisch Software-Updates einzuspielen und das Gerät vollständig in die zentrale Infrastruktur des Unternehmens zu integrieren. Noch wird diese Technik allerdings nicht kommerziell genutzt. Deshalb empfiehlt Reinhard Karst aus dem Bereich IT Research der DATEV: „Steuerberater sollten beim Einsatz ihres Smartphones insbesondere bei Apps derzeit Vorsicht walten lassen und ihre Geräte mit einer alphanumerischen PIN schützen.“

Die Kanzlei-IT schützen

Für die IT in der Kanzlei gilt: Die meisten Sicherheitslücken entstehen durch eine schlechte Konfiguration der Systeme, Softwarefehler sind viel seltener die Ursache. In der Praxis bedeutet dies, dass die in Standardsoftware vorhandenen Sicherheitsfunktionalitäten vollständig und richtig ausgenutzt werden müssen. Dazu ist es notwendig, dem Thema „IT Sicherheit“ in der Kanzlei eine höhere Priorität einzuräumen, als dies bislang der Fall ist.

Außerdem ist es absolut unerlässlich, wirklich alle Updates regelmäßig einzuspielen, etwa auch das für den Acrobat Reader, das oft nicht nützlich erscheint und daher unterlassen wird. /„Sie müssen wirklich alles installieren - das ist das Wichtigste“, sagt Schartner, „das ist nicht zuletzt auch ein rechtliches Problem. Denn Sie sind dazu verpflichtet, alles dafür zu tun, um größtmögliche Sicherheit herzustellen.“ Dazu zählt auch ein aktuelles Betriebssystem. Hinzu kommen eine gute Firewall und an dritter Stelle der Einsatz einer geeigneten Antivirensoftware.

Ein Punkt, der eigentlich klar ist, aber doch häufig vergessen wird: Kein Surfen mit Administratorrechten im Internet. Jeder Zugriff auf das Internet sollte von einem Benutzerkonto mit einfachen Benutzerrechten aus erfolgen. Das verhindert vielfach den versteckten Zugriff aus dem Hintergrund, da die entsprechenden Rechte etwa zur Installation schädlicher Software nicht vorhanden sind.

Zur ersten Einschätzung: Online-Sicherheitscheck

Zur Klärung des individuellen Sicherheitsstatus‘ bietet die DATEV eG auf ihrer Internetseite einen anonymen Online-Check für Steuerberater an. Anhand gezielter Fragen erhält der Nutzer eine Einschätzung und Empfehlung. Abgefragt werden die kritischen Faktoren aus den Bereichen IT-Infrastruktur/Management, Internet- und E-Mail-Nutzung, Mobile Business sowie Datenschutz-/IT-Sicherheits-Management. Anschließend wird der Ist-Zustand bewertet. Erläuternde Einschätzungen zu den behandelten Gefährdungsschwerpunkten zeigen zudem auf, ob und welche Verbesserungsmöglichkeiten bestehen.

Weitere Orientierung bieten zudem die kostenlosen Leitfäden des Bundesamts für Sicherheit in der Informationstechnik auf www.bsi.bund.de. Sie erläutern ausführlich kritische Bereiche und geben Handlungsempfehlungen für Unternehmen.

Last but not least: Facebook, XING & Co.

Da auch soziale Netzwerke im Geschäftsleben immer mehr eine Rolle spielen, sollten Nutzer beachten, dass bei Facebook etwa eine automatische Gesichtserkennung ohne Information bzw. Zustimmung der Nutzer eingefügt wurde. Das führt dazu, dass jedes Foto einer Person im Internet nunmehr gefunden werden kann, ohne dass es eine weitere Verbindung oder einen Namen gibt - also auch jedes Foto, auf dem man zum Beispiel im Hintergrund am Strand zu sehen ist, und das ein anderer ins Netz gestellt hat. Das kann im Zweifel peinlich werden.

Darüber hinaus sollten Nutzer sozialer Netzwerke wählerisch bei Kontaktanfragen sein, Cyberstalker, die unaufgefordert und dauerhaft Mails schicken, dem Betreiber gemeldet werden und zweifelhafte Anfragen von Bekannten außerhalb des Netzes verifiziert werden. Außerdem sollte nicht wahllos auf Links geklickt werden, da soziale Netzwerke derzeit verstärkt dazu genutzt werden, Phishing zu betreiben.

Weniger Viren - neue Gefahren

Letzteres hat sich etwas verlagert, spielt in Form von Spam-Mails nicht mehr die große Rolle, wenngleich natürlich immer noch derartige Mails versendet werden, die mittlerweile in ordentlichem Deutsch verfasst sind. Weitaus gefährlicher sind dagegen E-Mails, die vermeintlich von Bekannten stammen. Sie enthalten häufig manipulierte pdf-Dokumente, die wiederum mit Schadsoftware versehen sind.

Grundsätzlich lässt sich mit Blick auf den DATEVnet-Sicherheitsreport konstatieren, dass das Aufkommen an Viren deutlich abgenommen hat. Sie werden mittlerweile weniger in Massen als vielmehr immer gezielter eingesetzt. Auch dies verdeutlicht noch einmal, dass allein der Einsatz einer Virensoftware beileibe nicht ausreicht, um IT abzusichern - wenngleich die landläufige Wahrnehmung immer noch eine andere ist.