Praxiswissen auf den Punkt gebracht.
Kundenservice: 0931 4170-472 | Hilfe
logo
  • Meine Produkte
    Bitte melden Sie sich an, um Ihre Produkte zu sehen.
Menu Menu
MyIww MyIww

· Fachbeitrag · Kanzlei-IT

Die Server-Umstellung professionell gestalten

von StB WP Dr. Claus Koss, Regensburg, www.claus-koss.de, www.numera.de und Heinrich Penner, Bielefeld, www.stueckmann.de

| „Bitte beachten Sie! Windows 7, Windows Server 2008, Windows Server 2008 R2, Exchange 2010 und Small Business Server 2011 werden zukünftig nicht mehr unterstützt.“ Also ran an den längst überfälligen Systemwechsel! Da die bisher vorhandene Server-Architektur nicht mehr zu dem neuen Betriebssystem passt, steht mit dem Wechsel des Betriebssystems oft ein Hardware-Wechsel in der Kanzlei an. Dieser Beitrag zeigt Ihnen, wie Sie bei Beachtung von fünf einfachen Grundsätzen erfolgreich wechseln. Denn ohne eine vernünftige IT-Infrastruktur kann heute keine Kanzlei mehr arbeiten. |

Grundsatz 1: Fangen Sie frühzeitig an!

„Es ist nie zu früh, aber manchmal zu spät“, lässt sich in Anlehnung an das „Zottelmonster“ Alf formulieren. Oder: „Wer zu spät kommt, den bestrafen die nicht mehr verfügbaren Ressourcen.“ Gerade bei grundlegenden Umstellungen wie der Abkündigung von Betriebssystemen oder dem Fehlen von Hardwarekomponenten ist die Nachfrage nach IT-Spezialisten zu einem bestimmten Zeitpunkt hoch. Da funktioniert dann manchmal Marktwirtschaft: Wenn alle zum gleichen Zeitpunkt die knappen Ressourcen in Anspruch nehmen wollen, steigen die Preise. Alternativ: Bei fehlenden Ressourcen kommen möglicherweise auch weniger geeignete Spezialisten zum Einsatz.

 

  • Vorschlag für einen Zeitplan
  • Drei Monate vor dem geplanten Umstellungstermin ist ein guter Zeitpunkt, mit den ersten Planungen zu beginnen.
  • Zwei Monate vorher sollten die Planungen schon so weit sein, dass Angebote eingeholt werden können.
  • Einen Monat vor der Umstellung sollten ‒ spätestens ‒ in kleinen und mittleren Kanzleien die internen Arbeiten auf Hochtouren laufen und Termine mit externen Spezialisten fixiert werden.
 

Gerade die Server sind ein wichtiger Bestandteil der Infrastruktur. Wenn der Server die Arbeitsplätze nicht mehr bedienen kann, ist die Kaffeemaschine oft das einzige wirklich funktionierende wichtige Gerät in der Kanzlei. Außerdem: In den neuen GoBD (BMF 28.11.19, IV A 4 ‒ S 0316/19/10003 :001, DOK2019/0962810, Rz. 142 bis 144) wird ausdrücklich auf Systemwechsel und Systemänderung eingegangen. Das kann auf mögliche Nachfragen im Rahmen von Betriebsprüfungen hindeuten. Damit die Finanzverwaltung die Ordnungsmäßigkeit der eigenen wie der Buchhaltungen von Mandanten nicht infrage stellt, sollte der Nachweis geführt werden, dass die aufzeichnungs- und aufbewahrungspflichtigen Daten vollständig und unverändert in die neue Struktur überführt wurden.

Grundsatz 2: Inventur, Stammdatenpflege und Aufräumen

Das Inventarisieren und Aufräumen von Hard- und Software sowie die Pflege der Stammdaten sollten am Anfang des Umstellungsprozesses stehen. Die Hoffnung, auf dem neuen System werde schon für Ordnung gesorgt, erfüllt sich meist nicht. Wer vor der Migration nicht aufräumt, zieht Chaos um und hat dann Chaos in einer hoffentlich (besseren) IT-Ausstattung.

 

Inventarisierung der vorhandenen Hard- und Software

Ein guter Anfangspunkt ist eine Inventarisierung der vorhandenen Hard- und Software. Dabei sollte überprüft werden, welches Betriebssystem und welche Programme auf welchem Arbeitsplatz (Workstation oder Laptop) installiert ist. Nicht mehr benötigte Programme oder veraltete Versionen sollten gelöscht oder aktualisiert werden. Denn eine sichere Nutzung von Rechnern mit einem veralteten Betriebssystem ist praktisch kaum möglich.

 

  • Risiken durch Einsatz veralteter Software

Besonders riskant ist der Einsatz von veralteter Software in Unternehmens-Netzwerken. Selbst wenn nur ein einziger von vielen Rechnern mit einem alten Betriebssystem läuft, genügt diese Schwachstelle, um das gesamte IT Netzwerk zu gefährden:

 

  • Wenn Betriebssystemhersteller den Support für ihre Software einstellen, werden sicherheitskritische Lücken und Fehler nicht mehr behoben.
  • Dies hat häufig zur Folge, dass auch Anbieter anderer Hard- und Softwareprodukte die Aktualisierung ihrer Produkte einstellen, soweit diese auf dem veralteten Betriebssystem basieren.
  • Die Daten der betroffenen Computer und Netzwerke sind vor Angriffen und somit vor Missbrauch nicht mehr ausreichend geschützt.
  • Jeder Außenkontakt dieser Rechner, sei es durch die Verwendung externer Datenträger, Empfang und Versenden von E-Mails oder andere Anbindungen an das Internet stellen eine Gefährdung für die eigene Kunden-IT-Infrastruktur und die der Mandanten-/dar.
  • Alte Versionen führen zu Zugriffskonflikten und damit zu Problemen in der Lauffähigkeit der neuen Version. Die Überprüfung der Einträge in die „Registry“ sollte allerdings dem Spezialisten bei der Installation der neuen Hard- und Software überlassen werden. Gut programmierte Anwendungssoftware aktualisiert sich in der Regel automatisch.
 

Inventarisierung der dezentral gespeicherten Datenbestände

Ebenfalls sollte bei den dezentral gespeicherten Datenbeständen Inventur gemacht werden. Es sollte überprüft werden, ob diese nicht besser in der zentralen Datenbank abgelegt werden. Vorsicht ist beim Löschen von Daten geboten. Manche vermeintlich überholte Version der Datensicherung auf einem Arbeitsplatzgerät stellte sich nach dem Löschen als die aktuelle heraus. Auch unterliegen die meisten Daten in der Kanzlei einer Aufbewahrungspflicht, so dass das unkontrollierte Löschen ein Verstoß hiergegen darstellt. Im Gegensatz zu früheren Zeiten kostet Speicherkapazität auch nicht mehr viel.

 

Alle nicht mehr benötigten Dateien werden auf einer externen Festplatte gespeichert. Die externe Festplatte sollte nach Möglichkeit eine SSD-Festplatte sein, da diese Festplatten-Modelle wesentlich stabiler laufen, was Stöße und Rüttler betrifft. Außerdem bieten sie enorme Lese- und Schreibgeschwindigkeiten. Wenn das System läuft und eine angemessene Aufbewahrungsfrist verstrichen ist, kann sie gelöscht werden.

 

Den größten Aufwand macht jedoch erfahrungsgemäß das Aufräumen auf den Festplatten der Geräte und den Speichermedien. Manche „horten“ Vorlagen und wichtige Dokumente auf eigenen USB-Sticks. Abgesehen davon, dass dezentral gespeicherte Informationen anderen nicht zur Verfügung stehen, stellt dies regelmäßig ein Sicherheitsrisiko dar. Ein USB-Stick bekommt leicht „Füße“ und wandert in die falschen Hände. Ein zentraler Server kann einfacher gesichert werden. Auch ein Server kann gestohlen werden, passt aber ‒ anders als ein USB-Stick ‒ nicht in eine Hosentasche.

 

Pflege der Stammdatenbestände

Auch für die Pflege der Stammdaten sind solche großen Umstellungsaktionen ein guter Zeitpunkt. Wer Stammdaten nicht konsequent nutzt und fortlaufend pflegt, verzichtet auf viel Effizienzpotenzial.

 

  • Beispiel

Natürlich lässt sich das Anschreiben an den Mandanten auch kopieren. Wer aber eine Vorlage einsetzt, die sich Name und Anschrift jeweils aus den Stammdaten zieht und auf Textbausteine zugreift, hat einmal den Einrichtungsaufwand, dann aber immer die Gewähr, dass die Daten aktuell sind und nicht mehr jeder Einzelfall geprüft werden muss. Das beginnt bei der Berufsbezeichnung des Unterschreibenden und kann zu fehlerhaften Zustellungen von Briefen führen, wenn der Umzug des Adressaten nicht berücksichtigt wurde. Natürlich lässt sich die abzuführende Lohnsteuer im Anschreiben der Lohnabrechnungen monatlich manuell nachtragen. Durch das Setzen entsprechender Variablen entsteht einmal ein Einrichtungsaufwand, danach braucht es im Regelfall „nur einen Knopfdruck“.

 

Überprüfung der eigenen IT-Sicherheitsstruktur

Auch für die Überprüfung der eigenen IT-Sicherheitsstruktur ist die Umstellung des Servers ein guter Anlass. Manche/r, bereits ausgeschiedene Mitarbeiter/in hat noch ein aktives Benutzerkonto. Zuweilen haben aktive Mitarbeiter (noch) mehr Rechte und Zugriffsmöglichkeiten, als sie eigentlich haben sollten. Natürlich dürfen auch Berufsträger/innen darauf vertrauen, dass ausgeschiedene Mitarbeiter/innen oder gar noch Beschäftigte mögliche Hintertüren nicht nutzen. Warum sollte man aber solche Hintertüren nicht regelmäßig schließen? Die Umstellung des Servers bietet einen guten Anlass, das IT-Sicherheitskonzept in der Kanzlei grundsätzlich zu überprüfen.

Grundsatz 3: Ausreichend Übergangsphase einplanen

Nicht wenige Kanzleien lassen den IT-Spezialisten am Freitagnachmittag mit der Neuinstallation anfangen, dann bleiben noch Samstag und Sonntag ‒ und am Montag soll morgens wieder alles reibungslos funktionieren. Gerade bei grundsätzlichen Umstellungen steckt aber das Problem im Detail. Eine Umstellung sollte daher so terminiert werden, dass auch für mögliche Reibungsverluste Freiräume bestehen.

 

PRAXISTIPP | Eine gute Idee ist es daher, Brückentage mit in die Umstellung einzubeziehen, kritische Arbeiten bereits vor der Umstellung abzuschließen, beispielsweise Voranmeldungen, oder einen Testlauf mit ausgewählten Mitarbeitern und der Kanzleileitung für das Wochenende anzusetzen. Es empfiehlt sich außerdem, für die ersten Tage nach der Umstellung Kapazitäten beim externen IT-Dienstleister reservieren zu lassen.

 

Grundsatz 4: Sicherheit, Sicherheit und nochmals Sicherheit

Manchmal lässt es sich aber nicht verhindern, dass der externe IT-Spezialist alleine am Server arbeitet. Wenn beispielsweise das neue Betriebssystem aufgespielt wird oder die neue Software installiert wird, macht es keinen Sinn, dem IT-Spezialist beim Arbeiten zuzuschauen. Oft erfolgt die Installation auch per Fernwartung, so dass eine Kontrolle praktisch nicht möglich ist. Die meisten IT-Spezialisten verweisen darauf, dass ihre Mitarbeiter/innen auch auf den Datenschutz verpflichtet wurden, bieten auch entsprechende Verpflichtungserklärungen gegenüber der Kanzlei an. Rechtlich ist es grundsätzlich auch zulässig, externe Dienstleister einzubeziehen, wenn diese auf das Berufsgeheimnis verpflichtet wurden (Hinweis auf § 57 Abs. 1 StBerG, § 5 BOStB, § 43 Abs. 1 WPO und § 203 Abs. 1 Nr. 3 StGB). Nur so wie in diesem Beispiel sollte es nicht laufen.

 

  • Erfahrungsbericht

Als der Berufsträger gerade nach dem Berufsexamen in einer kleinen Steuerkanzlei angefangen hatte, brachte er am 20.12. kurz vor Mitternacht noch die Akten vom Termin beim Mandanten in die Kanzlei und wunderte sich, dass dort noch Licht im Serverraum brannte. Als er nachsah, kam ihm ein bisher vollkommen unbekannter Mann mit einem Aluminium-Köfferchen entgegen. Ältere Berufskollegen werden sich erinnern, dass ein großer Softwareanbieter jedem Neukunden ein solches Köfferchen schenkte. In diesem wurden die CDs mit der Software aufbewahrt. Ja, der Sepp (Spitzname des Kanzleiinhabers) habe ihn gebeten, so der Anonymus aus dem Serverraum, das neue Update zum Jahreswechsel alleine aufzuspielen und die Datenanpassung zu überprüfen. Innerlich dachte sich der damals junge Steuerberater, damit hatte der IT-Spezialist Zugriff auf alle Mandantendaten, vielleicht sogar die Gehaltsabrechnungen der Mitarbeiter/innen ‒ und vor allem auf die BWA für die Kanzlei selbst. Das sind doch Informationen, die jede/r gerne für sich selbst aufbewahrt.

 

Unserer Auffassung nach gilt die „kritische Grundhaltung“ (§ 43 Abs. 4 WPO) vor allem bei der eigenen IT. Bei großen IT-Projekten weigern sich Berater/innen in der Regel, selbst auf das Produktivsystem zuzugreifen. Vielmehr setzen sie als erstes ein Test-/Probesystem auf, führen dort die Veränderungen durch und migrieren dieses erst nach erfolgreichem Test auf das Produktivsystem. Eine solche Trennung lässt sich in kleineren und mittleren Kanzleien praktisch nicht durchführen. Auch sind die Systeme in der Regel nicht so umfangreich, dass ein Parallelbetrieb von Test- und Produktivsystem erforderlich ist.

 

Trotzdem sollte der Zugriff Externer auf ein Minimum beschränkt werden. So empfiehlt es sich, dem externen IT-Dienstleister einen eigenen Haupt-Administrator einzurichten. Zwar lassen sich auf Ebene des Betriebssystems, der Firmware oder der allgemeinen Programme (Textverarbeitung Tabellenkalkulation und Ähnliches) auch Hintertüren einbauen. Doch solches lässt sich für einen Nicht-IT-Spezialisten nur sehr schwer verhindern und bedarf nach hier vertretener Einschätzung einer gewissen kriminellen Energie, mit der bei sorgfältiger Auswahl externer Spezialisten nicht gerechnet werden muss. Auf Ebene der Produktivsysteme (Buchhaltung, Lohnabrechnung, Steuerprogramme und Dokumentenablage) empfiehlt es sich jedoch, einen eigenen Mandanten für den IT-Spezialisten einzurichten. Dann kann dieser auch das Produktivsystem testen, aber nicht auf die Daten anderer Mandanten zugreifen. Wenn beispielsweise das Buchhaltungssystem getestet werden muss, lassen sich Musterfälle oder anonymisierte Daten einspielen. Solche Testszenarien können erforderlich werden, wenn beispielsweise besondere Umsatzsteuer- oder Verrechnungssätze verwendet werden.

 

PRAXISTIPP | Grundsätzlich gilt: Vor jeder wesentlichen Umstellungsmaßnahme muss eine Sicherung der Daten laufen. Denn Software kann ein zweites Mal aufgespielt werden, wenn es nicht funktioniert, auch ein drittes Mal. Wenn Daten aber gelöscht oder überschrieben sind, sind diese nicht mehr vorhanden. Für eine Steuerkanzlei sind aber die Daten der entscheidende Vermögenswert, denn die Standard-Software haben auch andere.

 

Grundsatz 5: IT ist Chefsache!

Das Sprichwort „Wie der Herr, so‘s Gescherr“ reimt sich nicht nur im Deutschen, sondern auch im Slowakischen („Aký pán, taký krám“) oder in der tschechischen Sprache („Jaký pán, takový krám“). Ganz besonders gut reimt es sich auf „IT“. Wenn der Chef oder die Chefin ihre Dateien irgendwie abgelegt, verwundert es nicht, wenn die Mitarbeiter/innen ihre Dateien auch nicht wiederfinden. Wenn die leitenden Mitarbeiter/innen in die Mittagspause gehen, aber den Bildschirmschoner nicht oder nicht mit Passwort-Schutz einschalten, findet sich immer jemand, der interessiert einen Blick ‒ im Zweifel ‒ auf die Gehaltsabrechnung der Vorgesetzten wirft. Berühmt wurde eine Berichterstattung von der New Yorker Börse im amerikanischen Fernsehen. Während der Reporter vorne von den aktuellen Entwicklungen berichtet, ist auf einem der Bildschirme der Händler im Hintergrund zu erkennen, was diesen wirklich interessierte. Der Zoom-Funktion sei Dank ‒ es waren mehr als leicht bekleidete Mädchen in eindeutig zweideutigen Positionen.

 

PRAXISTIPP | IT-Sicherheit beginnt in der Chef-Etage und endet im Server-Raum. Ein/e Berufsträger/in muss nicht selbst programmieren können. Aber diese müssen festlegen, wem welche Zugriffsrechte zugestanden werden. Sie müssen zumindest (mit-)entscheiden, welcher externe IT-Dienstleister ausgewählt wird und müssen dessen Arbeit überwachen. Natürlich dürfen die Berufsträger/innen auch die Auswahl der Weihnachtskarten zur Vorbehaltsaufgabe machen, die IT ist es aber auf jeden Fall. Denn mit der IT steht (und fällt) im 21. Jahrhundert die gesamte Kanzlei.

 
Quelle: Seite 85 | ID 46340795
print print print print email email email_comp email_comp twitter twitter facebook facebook xing xing

Mehr zum Thema