logo logo
Meine Produkte: Bitte melden Sie sich an, um Ihre Produkte zu sehen. Anmelden
Menu Menu
MyIww MyIww
Jetzt testen

·Fachbeitrag ·Kanzleimanagement

Sicher in die Cloud - So holen Steuerberater ihre Mandanten mit an Bord der Datenwolke

von Tobias Täuber, Abteilungsleiter Produktmanagement IT-Lösungen bei Agenda Informationssysteme GmbH & Co. KG, Rosenheim

| Mit der digitalen Transformation stehen Steuerberater unweigerlich vor der Entscheidung: „Cloud-Anwendungen einsetzen r- ja oder nein?“. Denn letztlich ist es nur eine Frage der Zeit, bis analoge von digitalen Prozessen in der Steuerberatung überholt werden. Immer mehr Steuerberater erkennen dies und nutzen die Cloud, um sich für den digitalen Wandel zu rüsten und wettbewerbsfähig zu bleiben. Wie können Steuerberater Klienten mit an Bord holen, die um den Schutz ihrer personenbezogenen Daten besorgt sind? |

Vorteile nutzen durch kompetente Beratung

Im Zeitalter der Digitalisierung profitieren Steuerberater und ihre Mandanten auf vielfache Weise von den Vorteilen der Cloud. Neben der Zeitersparnis durch die digitale Bereitstellung von Dokumenten oder Zahlungen per Knopfdruck und die Automatisierung von Vorgängen entfallen Kosten für den Dokumentenversand und den Personalaufwand. Gleichzeitig können Steuerberater die gewonnene Zeit verstärkt in ihr Kerngeschäft investieren und unter anderem den persönlichen Kontakt zu ihren Mandanten pflegen.

 

Um die Sicherheit und den Nutzen von Cloud-Lösungen realistisch einschätzen zu können, fehlt vielen Mandanten das nötige Hintergrundwissen. Dies trägt dazu bei, dass Angst vor dem Zugriff Unbefugter auf private Daten oder dem Verlust derselben entsteht. Eine ablehnende Haltung gegenüber der Cloud ist die Folge. Die aktuelle Metastudie (vgl. Demary, Vera, et.al., „Digitalisierung und Mittelstand“, Institut der deutschen Wirtschaft Köln [Hrsg.], 2016, S. 35 ff.) des Instituts der deutschen Wirtschaft Köln beweist, dass gerade die Herausforderungen rund um die IT-Sicherheit die Vorbehalte seitens mittelständischer Unternehmen begründen. Um diese auszuräumen, gilt es für Steuerberater, ihre Mandanten kompetent zu beraten und sie aktiv über das Thema Cloud-Sicherheit zu informieren. Dafür ist es allerdings wichtig, dass der Steuerberater selbst ausreichend über Sicherheitsmaßnahmen des Cloud-Anbieters informiert ist, mit dem er arbeitet. Nur mit diesem Wissen kann der Berater die Skepsis seines Mandanten ausräumen und digitale Lösungen bei der Zusammenarbeit einsetzen.

Sicherheitskriterium Rechenzentrum

Grundsätzlich sollten sich Steuerberater im Vorfeld die Frage stellen: „Welche Daten möchte ich in der Cloud zur Verfügung stellen?“. Handelt es sich um sensible Informationen wie Personal- oder Lohndaten, müssen in jedem Fall die höchstmöglichen Schutzmaßnahmen greifen. Dabei gilt: Die hundertprozentige Datensicherheit gibt es nie - weder in der Cloud noch auf Papier. Dennoch können erfahrene Software-Anbieter diese in hohem Maße gewährleisten. Bei der Wahl ist es deshalb wichtig, eine Reihe von Kriterien zu prüfen.

 

Vor allem bei steuerbezogenen Daten ist der Standort des Rechenzentrums - Herzstück aller Cloud-Anwendungen - entscheidend. Von der deutschen Abgabenordnung gesetzlich vorgeschrieben, müssen Steuerdaten in Deutschland verbleiben. Dies kann nur sichergestellt werden, wenn sich die Cloud-Server in Deutschland befinden. Hier unterliegen die Daten deutschem Datenschutz und damit den höchsten Sicherheitsstandards weltweit.

 

Im Idealfall ist das Rechenzentrum des Cloud-Anbieters mit einem mehrstufigen Sicherheitssystem ausgestattet und verhindert so den Zutritt Unbefugter. Bei einem Stromausfall ist außerdem gewährleistet, dass die Server durchgehend mit Strom versorgt werden. Ebenso ist eine redundante Internetverbindung vorhanden, die garantiert, dass die Daten für Steuerberater und Mandant jederzeit abrufbar sind. Ein sicheres Rechenzentrum bietet zudem maximalen Brandschutz und die Server arbeiten durch eine optimale Serverumgebung auf höchster Energieeffizienzstufe. Nur wenn diese Punkte erfüllt sind, kann der Verlust von Daten aufgrund technischen Versagens seitens des Cloud-Anbieters ausgeschlossen werden.

Auf Zertifizierungen und Verschlüsselungen achten

Weiteres Kriterium für die Wahl eines Cloud-Anbieters sind Zertifizierungen. Rechenzentren, die die Maßgaben des Bundesamtes für Sicherheit in der Informationstechnik mit erhöhtem Schutzbedarf erfüllen, erhalten von der Deutschen Gesellschaft zur Zertifizierung von Managementsystemen (DQS) das ISO/IEC 27001-Zertifikat. Weitere verlässliche Zertifizierungen sind das ISO/IEC 20000-Zertifikat oder die eco Datacenter Star Audit-Zertifizierung. Sie bestätigen unter anderem, dass das Personal auf Datensicherheit geschult ist, regelmäßige Back-ups durchgeführt werden, Notfallpläne bestehen und das Rechenzentrum physisch und virtuell gesichert ist.

 

Der gewählte Cloud-Anbieter sollte zudem ein modernes und anerkanntes Verschlüsselungsverfahren anwenden, das regelmäßig überarbeitet wird. Dabei ist es wichtig, dass nicht nur die Daten verschlüsselt werden, die im Rechenzentrum gespeichert sind. Die Codierung sollte bereits während der Übertragung der Informationen stattfinden. Oft genutzte Verfahren sind dabei etwa die Verschlüsselung durch AES (für symmetrische Verschlüsselungen) oder RSA (für asymmetrische Verschlüsselungen). Oftmals werden beide Verfahren kombiniert, um die jeweiligen Vorteile zu nutzen und die Nachteile auszugleichen. Welche Methode der Cloud-Anbieter verwendet, können Steuerberater in den Vertragsdaten einsehen.

Was Steuerberater sonst noch tun können

Erfüllt der Cloud-Anbieter alle wesentlichen Punkte, sollten Steuerberater sich zusätzlich darüber informieren, wem die Daten nach der Übertragung in die Cloud gehören. Die Frage, was mit den Daten bei Vertragskündigung passiert, sollten sie ebenfalls beantworten können. Auch hierzu finden sie Informationen in den Vertragsunterlagen. Gleichwohl gilt es, Mandanten über die Allgemeine Auftragsdatenverarbeitung (ADV) zu informieren und eine Unterschrift von ihnen einzuholen, mit der sie die Zustimmung zur Weitergabe ihrer Daten an den Cloud-Anbieter geben.

 

Steuerberater sollten ihre Mandanten zudem auf die Sicherheitsvorkehrungen in ihrer Kanzlei hinweisen. Das schafft Vertrauen und zeigt, dass sie sich intensiv mit dem Thema Datensicherheit beschäftigen. Hierzu zählt neben dem Einsatz eines zuverlässigen Virenprogramms die Nutzung einer professionellen Firewall. Eine redundante Datenverbindung und der Einsatz von IT-Produkten, die darauf ausgelegt sind, rund um die Uhr zu arbeiten, sind ebenfalls erwähnenswert. Mandanten sollten außerdem darüber informiert werden, dass regelmäßige Prüfungen durchgeführt werden, wer in der Kanzlei wann und mit welchen Rechten auf bestimmte Daten zugreifen kann.

 

Überdies sollten Steuerberater ihren Mandanten Hinweise zu manuellen Sicherheitskriterien zukommen lassen, um Sicherheitslücken durch das eigene Zutun auszuschließen. Dazu zählt vor allem, dass Mandanten sich über eine ausreichende Zugangssicherung ihrer Daten vor Ort kümmern und unbefugten Personen keinen Zugriff auf ihre Daten geben. Gleichzeitig sollten Steuerberater ihre Mandanten auf die Vergabe eines sicheren Passworts hinweisen.

Aktiv informieren

Um Mandanten von der Sicherheit ihrer Daten in der Cloud zu überzeugen, gilt für Steuerberater in erster Linie, sich intensiv mit dem Cloud-Anbieter und dessen Leistungen auseinanderzusetzen. Nur so ist die IT-Sicherheit auch von Kanzleiseite aus zu gewährleisten. Diese Informationen sowie allgemeine Hinweise zum Schutz sensibler Daten sollten aktiv an den Mandanten kommuniziert werden. Auf diese Weise nehmen Steuerberater ihren Mandanten die Sorgen und machen die Vorteile der Digitalisierung für beide Seiten nutzbar.

 

Checkliste / zur Wahl eines Cloud-Anbieters

Ausschlaggebend für die Sicherheit von Daten sind vor allem die Punkte Sicherheit, Redundanz und Know-how.

 

Steuerberater sollten bei der Entscheidung für einen Cloud-Anbieter demnach folgende Fragen mit „Ja“ beantworten können:

 

  • Ist der Anbieter seit mehreren Jahren am Markt etabliert beziehungsweise kann ausgeschlossen werden, dass es sich um ein Start-up-Unternehmen handelt?
  • Befindet sich das zugrunde liegende Rechenzentrum in Deutschland?
  • Kann der Anbieter Zertifizierungen vorweisen?
  • Hat das Sicherheitssystem im Rechenzentrum mehrere Stufen und verhindert so den Zutritt von Unbefugten?
  • Verfügt der Anbieter über redundante Daten- und Stromleitungen, die bei einem Ausfall der Hauptleitung greifen?
  • Werden die Daten während und nach der Übertragung mit einem anerkannten Verschlüsselungsverfahren gesichert?

 

Idealerweise leistet das Rechenzentrum außerdem diese Schutzmaßnahmen:

 

  • Im Brandfall ist das Rechenzentrum mit einem Sauerstoffreduzierungssystem und Löschanlagen ausgestattet.
  • Die Server im Rechenzentrum sind optimal klimatisiert.
 
Quelle: Ausgabe 03 / 2017 | Seite 48 | ID 44448242