IT-Sicherheit – Unternehmen und Steuerkanzleien

Nicht erst seit heute oder gestern spielt die IT-Sicherheit in allen Unternehmen oder Organisationen eine große Rolle. Sie möchten sich nicht vorstellen, wenn Ihr Unternehmen, Ihre Verwaltung oder Ihre Produktion still steht, weil Sie sich einen gegen den Angriff von Außen oder Innen nicht wehren können.

Was bedeutet ein Angriff aus dem Internet von Außen oder ein Verschlüsselungstrojaner von Innen?

Keine schöne Vorstellung, aber genau diese Dinge passieren im Alltag. Unternehmen und Steuerkanzleien stehen im Fokus. Eine einzige Email genügt, ein falscher Klick in dieser Email und ein Trojaner oder ein Virus verschlüsselt alle Informationen auf Ihrem IT-System. Die gute Nachricht: Sie können vorbeugen, damit Sie sich die obenstehenden Fragen gar nicht erst stellen müssen. An dieser Stelle versorgen wir Sie regelmäßig mit wichtigen Informationen rund um das Thema Sicherheit im Unternehmen und in der Steuerkanzlei bzw. Steuerberatung. Gestatten Sie uns noch den Hinweis, dass wir weder auf die Vollständigkeit noch die Details aufgrund der Komplexität bei diesem Thema eingehen können. Dafür wenden Sie sich bitte direkt an uns oder an Ihren IT-Dienstleister.

Themenüberblick:

• Schulung und Aufklärung von Mitarbeiterinnen und Mitarbeitern
• Einfache Regeln im Umgang mit der IT-Sicherheit
• Sicherheitseinstellungen des Netzwerkarbeitsplatzes oder Windows Terminal Servers
• Virenscanner oder Sicherheitslösungen
• E-Mail-Sicherheit
• USB-Sicherheit
• Firewall und Proxy-Server
• WLAN im Unternehmen
• Home Office und mobiles Arbeiten
• Lösungen für Virenscanner bzw. UTM (Unified Threat Management) Lösungen
• Datensicherheit und Backup
• Sicherheitstests für Unternehmen und Steuerkanzleien
• Weitere Aufgaben für Datenschutz und Datensicherheit

Schulung und Aufklärung von Mitarbeiterinnen und Mitarbeitern

Nichts schützt so gut, wie wenn alle Mitarbeiter im Untenehmen gut geschult und regelmässig auf die Gefahren im Umgang mit Email und Internet weitergebildet werden. Die meisten Schadfälle in Unternehmen treten auf, weil Prozesse in Gang gesetzt worden sind, die durch Unwissenheit oder Neugier ausgelöst werden. Hier einige Beispiele.

• Sie bekommen von Ihrem Chef eine Email, in der Sie aufgefordert werden eine Excel- oder Worddatei zu bearbeiten
• Sie bekommen von Ihrem Chef eine Nachricht, dringend Geld zu überweisen, weil Ihr Chef in Schwierigkeiten ist
• Sie bekommen als Unternehmen Bewerbungsunterlagen als ZIP, Word oder Exceldateien
• Sie bekommen Emails mit einem LINK ins Internet, um einen Aktion oder Transaktion auszuführen
• Sie bekommen eine Email mit Rechnung der Telekom, obwohl Sie gar kein Telekom Kunde sind
• Sie bekommen eine Email von der Sparkasse, obwohl Sie gar kein Sparkassen Kunde sind

Einfache Regeln im Umgang mit der IT-Sicherheit

• So wenig Zugriffsrechte wie möglich, bzw. wie nötig für die Benutzer
• Virenscanner mit Verhaltensüberwachung und Ausbruchschutz
• Aktualisierung der Viren-Signaturen alle 60 Minuten
• Zentrale Steuerung des Virenscanners im Unternehmen oder vom Anbieter
• Zentrale Firewall die den gesamten Datenverkehr im Internet regelt und scannt
• Automatisierte und aktuelle Updates aller Windows und Office-Systeme

Sicherheitseinstellungen des Netzwerkarbeitsplatzes oder Windows Terminal Servers

Wir haben Ihnen hier ein paar Standardeinstellungen vorgegeben, die Sie auf alle Fälle berücksichtigen sollten und mit Ihrem IT-Partner gesprechen können.

• Der Benutzer sollte auf dem Arbeitsplatz keine Admin-Rechte mit seinem normalem Benutzerkonto bekommen.
• Die UAC (UserAccountControl) sollte auf dem Arbeitsplatz / Terminalserver immer im Standardmodus, also „aktiv“ sein.
• Die Windows Firewall ist in Kombination mit dem Virenscanner korrekt einzustellen.
• Weitere Sicherheitsmaßnahmen können gerne über Gruppenrichtlinien oder andere Mechanismen ausgerollt werden.
• Windows Update sollten konsequent eingespielt werden. Nutzen Sie dazu den kostenlosen WSUS Server von Microsoft, um die Update im Netzwerk zu verteilen.
• Zwei Virenscanner am Arbeitsplatz oder Server bieten keine Vorteile, sondern eher Nachteile und Programmabstürze sind vorprogrammiert.
• Verwenden Sie keine Programme von Anbietern, die Ihnen Aufräumdienste oder Performanceverbesserungen versprechen.

Virenscanner oder Sicherheitslösungen

Virenscanner und Sicherheitslösungen sind heute eine unabdingbare Sicherheitsfunktion auf allen Geräten im Netzwerk und im Home Office, bzw. beim mobilen Arbeiten.

• Updates von Programmen und Signaturen müssen automatisch erfolgen
• Proxy - und Serverlösungen für die Kontrolle des Internetverkehr
• Scannen und Prüfen von Email-Anhängen
• Ausschluss von Emailanhängen oder Webseiten
• Möglichst wenig Belastung der IT durch die Sicherheits-Tools

E-Mail-Sicherheit

Immer mehr Steuerkanzleien und Unternehmen werden derzeit mit gefälschten E-Mails und Anhängen überschwemmt. Hier ist sofortiges Handeln notwendig. Hier haben wir einige einfache Sofortmaßnahmen für Sie zusammengestellt. Diese sollten Sie schnell umsetzen, um dem Befall mit einem Virus oder Verschlüsselungs-Trojaner vorzubeugen.

• Aufklärung der Mitarbeiter im Umgang mit E-Mails und fremden Datenträgern
• aktueller Virenscanner und Spamfilter für Ihre Emailserver und Clients
• Prüfung der aktuellen Datensicherung und regelmäßige weitere Prüfungen
• Entzug der Admin-Rechte für die Benutzer auf Ihren PCs und Servern
• Aktivieren der Windows UAC (Benutzerkontrolle) auf allen Geräten
• Reduzierung der Dateiablage auf Ihrem File bzw. Dateisystem auf dem Server oder PC

USB-Sicherheit

Schränken Sie in Ihrem Unternehmen den Umgang mit USB-Stick ein.

• Informieren Sie Ihre Mitarbeiter über das Verhalten von USB-Sticks.
• Verwenden Sie nur registrierte USB-Sticks.
• Verbieten Sie den Transfer von Daten zwischen Kanzlei und Mitarbeiter mit USB-Stick.
• Verbieten Sie den Transfer von Daten zwischen Kanzlei und Mandant mit USB-Stick.
• Setzen Sie Sicherheitssoftware ein, die fremde USB Sticks erkennt und blockiert.

Firewall und Proxy-Server

In vielen Unternehmen und Steuerkanzleien steht heute für die Internetverbindung oder den WLAN-Zugang ein Router, der nicht den aktuellen Sicherheitsanforderungen entspricht.

• Informieren Sie Ihre Mitarbeiter, noch mehr auf falsche Internetauftritte zu achten.
• Informieren Sie sich, ob Ihr Router eine Firewall besitzt, die Portfilterung beherrscht.
• Informieren Sie sich, ob Ihr Router einen Proxy-Server mit Filterung beherrscht, damit der eingehende und ausgehende Internetverkehr gescannt werden können.
• Damit lassen sich schon im Vorfeld Schadsoftware und Viren erkennen.
• Zudem kann das Unternehmen oder die Steuerkanzlei Dienste oder Funktionen im Netzwerk einschränken, die Schadsoftware daran hindert, ausgeführt oder verbreitet zu werden.

WLAN im Unternehmen

Ein WLAN ist heute in vielen Unternehmen oder Steuerkanzleien nicht mehr wegzudenken. Ein WLAN kann aber auch ein hohes Sicherheitsrisiko sein. Vorallem wenn es falsch konfiguriert oder nicht ganz klar vom normalen produktiven Netzwerk getrennt ist. Hier ein paar Tipps, wenn Sie schon unbedingt WLAN nutzen müssen oder wollen.

• Klare Abtrennung des WLAN vom Produktivnetz mit VLAN
• Einschränkung der Nutzung im WLAN auf Internet und Email
• Verwendung der immer aktuellsten Sicherheitstechnik
• Zeitliche Einschränkung der Nutzung im Unternehmen (keine Wochenende oder Nachts)
• Sehr gute Kennwörter und hohe Verschlüsselung
• Nur zugelassene Geräte oder reines Gast WLAN für Besucher
• Transferratenbeschränkung oder Übertragungskontingente

Home Office und mobiles Arbeiten

Der Trend bzw. das Arbeiten von zu Hause aus dem Home Office oder das mobile Arbeiten werden in Zukunft noch weiter Einzug in alle Unternehmen oder Steuerkanzleien halten. Damit steigt aber auch die Gefahr, sich über unsichere Geräte wie Notebook oder Tabletts ungebetende Gäste einzuladen, die das "Sicherheitsloch Home Office" ausnutzen. Diese Gefahr besteht und muss ungedingt beachtet werden. Hier ein paar Tipps für das Home Office und das mobile Arbeiten.

• Lassen Sie nur bekannte Geräte in ihr produktives Netzwerk
• Stellen Sie Geräte aus dem Unternehmen für das Personal zur Verfügung
• Lassen Sie "Bring our own Device" nur in wirklichen Ausnahmefällen zu
• Alle Geräte müssen über die aktuellsten Sicherheitsfeatures und Updates verfügen
• Alle Geräte müssen über einen zentralen Virenscanner des Unternehmens verfügen
• Zugänge nur mit VPN oder bekannten und gesicherten Softwarelösungen zulassen
• Zugänge zum produktiven Netzwerk über eine 2FA (Zwei Faktor Authentifizerung) zusätzlich sichern
• Aufklärung der Mitarbeiter die im Home Office arbeiten
• Installation von Fremdsoftware auf den externen Geräten verbieten oder sperren
• Datenschutzregeln ausrollen und immer wieder schulen
• Datensicherheitsregeln ausrollen und immer wieder schulen

Lösungen für Virenscanner bzw. UTM (Unified Threat Management) Lösungen

Uns erreichen immer mehr Anfragen zur Sicherheit und dem Datenschutz in Steuerkanzleien bzw. aus der Steuerberatung. Dabei geht es um die Verbesserung oder Erhöhung der Sicherheit durch die auf dem Markt befindlichen Virenlösungen, die die Steuerkanzlei vor Schad-Software und auch Schad-Emails bewahren sollen. 

Sicher haben Sie aufgrund der aktuellen RANSOM Software auch Ihren IT-Betreuer informiert, um die Sicherheit der Virenschutzsoftware überprüfen, bzw. erhöhen zu lassen. Virenscanner lassen sich über verschiedene Sicherheitsstufen anpassen. Hierbei treten dann aber Folgeprobleme auf, über die wir Sie hier informieren möchten. Laden Sie die PDF Datei herunter und gleichen die Einstellungen bitte mit Ihrer IT-Umgebung ab, um ein optimales Laufzeitverhalten umzusetzen.

Gleichzeitig bieten wir Ihnen auch eine Übersicht an Virenschutz- und Firewalllösungen an, die wir derzeit getestet haben. In einer Übersicht aus 25 Virenschutzlösungen können Sie ersehen, welche derzeit von hmd empfohlen werden und welche bei anderen Steuerkanzlei im Einsatz sind.

Datensicherheit und Backup

Datensicherheit und Backups sind keine Einmalprozesse, sondern permanent wiederkehrende, zu prüfende und kontrollierde Aufgaben, die am Besten durch die Unterstützung von externen Dienstleister durchgeführt werden sollten. Hier ein paar Tipps zum Thema Backup und Datensicherheit.

• Datensicherung und Backups regelmässig durchführen und prüfen
• Backups und spezielle Software für Backups für die Umgebung anpassen (z.B. Virtuelle Umgebungen und Datenbanken)
• Mehrere Backupsicherungen einrichten (Tages-, Wochen-, Monats- oder Jahressicherungen)
• Externe Sicherungsmöglichkeiten in Rechenzentren prüfen
• Externe Backups und Medien sicher lagern (Bankschließfach, Tresor, usw.)
• Wiederherstellung regelmässig prüfen und testen lassen
• Konzept für die Wiederherstellung der IT in 4 Stunden erstellen lassen
• Erstellung Notfallplan für die Datensicherung

• Zugriffsschutz für Backupmedien sicherstellen

Sicherheitstests für Unternehmen und Steuerkanzleien

Viele Unternehmen und Steuerkanzleien lassen das Personal regelmässig schulen und auf die Gefahren im Internet oder einer Email hinweisen. Doch Kontrolle ist besser und schützt.

• Lassen Sie Ihre Mitarbeiterinnen und Mitarbeiter mit Sicherheitstest regelmässig von extern testen
• Sicherheitstest mit fingierten Emails werden Tests durchgeführt, wie gut die Schulungen waren bzw. das Verhalten getestet

• Sicherheitstest mit fingierten Datenträgern oder Anrufen Situationen geschaffen, die zu Problem führen könnten

Weitere Aufgaben für Datenschutz und Datensicherheit

Die IT-seitigen Maßnahmen für mehr Sicherheit in der Steuerkanzlei und im Unternehmen nehmen im Wesentlichen Einfluss auf den richtigen Einsatz der richtigen Technik. Um für umfassende Sicherheit in der Steuerberatung oder im Unternehmen zu sorgen, sind allerdings noch weitere Hausaufgaben zu erledigen. Diese helfen, den Ernstfall zu verhindern, und tragen dazu bei, wenn es doch einmal zum Notfall kommen sollte, schneller und risikofrei wieder handlungsfähig zu sein. Dazu gehören beispielsweise:

• regelmäßige Schulung der Mitarbeiter zum Umgang mit IT und Daten
• Erstellen einer Steuerkanzlei bzw. Unternehmens IT-Richtlinie, die regelt, wie die IT-Umgebung zu nutzen ist, was erlaubt ist, was verboten ist (Thema Privatnutzung und Einbringen privater Geräte) und wer für was verantwortlich ist.
• Erstellen eines Notfallplans für den Datenschutz
• bauliche Prüfung der Sicherheit, z. B. der Gegebenheiten im Serverraum
• und vieles mehr

Weitere Informationen zum Thema Datenschutz für Steuerkanzleien und Unternehmen finden Sie auf der Website der Munker Privacy Consulting, unserem Partner in Sachen Datenschutz.