IT-Sicherheit in Steuerkanzleien – Vertrauen beginnt beim Datenschutz

Steuerberater:innen sind mehr als nur Zahlenverwalter – sie sind Vertraute, Datenverwalter und digitale Schnittstelle zu Finanzämtern, Unternehmen und Mandanten. Gerade kleine und mittlere Kanzleien (KMU) arbeiten heute nahezu vollständig digital: von der Finanzbuchhaltung über die Einkommensteuererklärung bis hin zur Lohnabrechnung. Dabei entsteht eine enorme Verantwortung für den Schutz der verarbeiteten Daten.

Doch mit der Digitalisierung steigen auch die Risiken: Hackerangriffe, Ransomware, Phishing und Datenlecks betreffen zunehmend Kanzleien jeder Größe. Die Kombination aus hochsensiblen personenbezogenen und unternehmerischen Daten macht Steuerberatungskanzleien zu einem attraktiven Ziel. In diesem Beitrag zeigen wir, wie typische Schwachstellen entstehen, welche gesetzlichen Anforderungen bestehen und wie sich kleine Kanzleien mit überschaubarem Aufwand wirkungsvoll absichern können – auch ohne eigene IT-Abteilung

1. Warum Steuerkanzleien im Visier von Cyberkriminellen stehen

Die Digitalisierung in der Steuerberatung ist weit fortgeschritten: Elektronische Belege, DATEV-Cloud, Mandantenportale, Online-Lohnabrechnungen – der Datenaustausch findet fast ausschließlich digital statt. Doch während Kanzleien mit digitalen Tools effizienter werden, vergrößert sich auch die potenzielle Angriffsfläche.

Typische Gründe, warum Steuerkanzleien attraktive Ziele sind:

• Vertrauliche Daten: Einkommen, Vermögen, Gesundheitskosten, Steuererklärungen – ein wahres Goldmine für Cyberkriminelle.
• Digitale Prozesse: Fast alle Kanzleien sind heute digital aufgestellt – viele ohne ausreichende Sicherheitskonzepte.
• Geringe IT-Ressourcen: Kleine Kanzleien (1–10 MA) haben oft keinen festen IT-Support und wenig IT-Fachwissen.
• Hoher Vertrauensfaktor: Mandanten erwarten Vertraulichkeit – ein Datenleck hätte schwere Reputationsschäden zur Folge.

Ein Datenvorfall ist nicht nur unangenehm – er kann gravierende rechtliche und finanzielle Folgen haben. Laut Bitkom lag der durchschnittliche Schaden durch Cyberangriffe 2024 bei rund 56.000 € – Tendenz steigend.

2. Gesetzliche Anforderungen: DSGVO, GoBD & Berufspflichten

Steuerberatungskanzleien unterliegen gleich mehreren Regelwerken, die hohe Anforderungen an den Schutz der verarbeiteten Daten stellen:

DSGVO (Datenschutz-Grundverordnung)

Als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO tragen Kanzleien eine hohe Verantwortung für Mandantendaten. Nach Art. 32 DSGVO sind sie verpflichtet, technische und organisatorische Maßnahmen (TOMs) zu implementieren, um ein angemessenes Schutzniveau zu gewährleisten. Dazu gehören:

• Zugriffsschutz (z. B. Passwortrichtlinien, 2FA)
• Verschlüsselung von Übertragungen und Speichermedien
• Backup- und Wiederherstellungskonzepte
• Dokumentation & Risikobewertung

GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern)

Die GoBD verlangen nachvollziehbare, prüfbare und unveränderbare Aufzeichnungen. Ein Datenverlust oder eine unvollständige Backup-Strategie kann zu Verfahrensverstößen und steuerlichen Nachteilen führen.

Berufsrechtliche Pflichten

Die Bundessteuerberaterkammer (BStBK) formuliert in § 57 Abs. 1 StBerG eine besondere Verschwiegenheitspflicht. Wer Mandantendaten nicht ausreichend schützt, verletzt nicht nur die DSGVO, sondern auch berufsrechtliche Vorgaben – mit potenziellen Folgen bis zum Lizenzentzug.

3. Die häufigsten Schwachstellen in der Kanzlei-IT

Viele Risiken entstehen nicht durch gezielte High-Tech-Angriffe, sondern durch einfache Versäumnisse im Alltag. Typische Schwachstellen sind:

• Kein 2-Faktor-Login für Cloud-Systeme wie DATEV Unternehmen Online oder Lexoffice
• Unzureichende Passwortrichtlinien – z. B. „123456“ als Admin-Zugang
• Fehlende Segmentierung im Netzwerk – z. B. Mandantendaten auf dem gleichen NAS wie private Urlaubsfotos
• Veraltete Software ohne Sicherheitsupdates (z. B. veraltetes Windows, nicht gepatchte PDF-Viewer)
• Kein getestetes Backup – Sicherung wird durchgeführt, aber nie auf Wiederherstellung geprüft
• Unverschlüsselte E-Mail-Kommunikation mit Mandanten
• Fehlende Schulung von Mitarbeitenden in Bezug auf Phishing und Social Engineering

Besonders gefährlich ist die Kombination mehrerer dieser Punkte. Schon ein Klick auf eine gefälschte Mail kann reichen, um Schadsoftware einzuschleusen und sämtliche Daten zu verschlüsseln.

4. Reale Vorfälle aus der Praxis

Einige Beispiele zeigen, wie schnell es gehen kann – und wie gravierend die Folgen sind:

Ransomware legt komplette Kanzlei lahm

Eine kleine Steuerkanzlei in Niedersachsen öffnete eine Mail mit angeblich eingereichten Belegen – im Anhang: ein verschlüsselter Trojaner. Innerhalb von Minuten wurden alle Datev-Verzeichnisse verschlüsselt. Die Kanzlei war eine Woche lang nicht arbeitsfähig, verlor drei Mandanten und zahlte 1.500 € an einen zweifelhaften „Datenretter“ – das Backup war defekt.

Mandanten-E-Mail geleakt durch falschen Empfänger

Ein Mitarbeiter klickte in Eile den falschen Kontakt in Outlook an – eine betriebliche Steuererklärung ging an eine fremde Firma. Die Mandantin verlangte vollständige Offenlegung, meldete den Vorfall an die Datenschutzbehörde. Ergebnis: offizieller Rüffel, interne Aufarbeitung, Imageverlust.

5. Was Steuerkanzleien konkret tun können

Auch ohne eigenes IT-Team lassen sich viele Sicherheitsmaßnahmen zuverlässig umsetzen – mit System, Struktur und einem klaren Blick für Risiken.

5.1 Zugang & Identitätsmanagement

• 2FA aktivieren bei allen Logins: DATEV, Kanzleiportal, E-Mail, Cloudsysteme
• Starke Passwortrichtlinien durchsetzen (z. B. min. 12 Zeichen, Passwortmanager erlauben)
• Jeder Mitarbeiter erhält ein eigenes Benutzerkonto – keine geteilten Logins
• Zugriffsrechte regelmäßig überprüfen & dokumentieren

5.2 Backup & Wiederherstellung

• 3-2-1-Regel: 3 Backups auf 2 Medien, 1 außerhalb des Büros (z. B. Cloud + lokale Festplatte)
• Regelmäßige Test-Wiederherstellungen: Funktionieren die Backups wirklich?
• Verschlüsselung der Backup-Medien
• Dokumentierter Notfallplan (z. B. Vorlage BStBK oder CyberRisikoCheck-Vorlage)

5.3 E-Mail- und Kommunikation absichern

• Verschlüsselte Kommunikation (S/MIME, Mailverschlüsselung mit Mandanten vereinbaren)
• Spamfilter regelmäßig prüfen und konfigurieren
• Feste Upload-Portale für Belege statt Mailanhänge (z. B. DATEV SmartTransfer)

5.4 Schulung & Awareness

• Mindestens jährliche Schulung zu IT-Sicherheit und Datenschutz
• Phishing-Simulationen: Wie reagieren Mitarbeiter:innen auf täuschend echte Angriffe?
• Checkliste im Büro aushängen: „Verdächtige Mails erkennen“

6. Wie hilft ein CyberRisikoCheck speziell Kanzleien?

Der CyberRisikoCheck analysiert gezielt typische Risiken in Steuerkanzleien – mit Fokus auf:

• Mandantendaten, DATEV/Cloud-Systeme, E-Mail, Backup & Berechtigungssysteme
• individuelle Schwachstellen (z. B. ungeschützte Admin-Konten, fehlendes Patch-Management)
• Empfehlungen, die realistisch umsetzbar sind – auch ohne IT-Abteilung

Ein Beispiel: Eine 6-Personen-Kanzlei in Bayern hatte zwar ein funktionierendes Datev-System, aber kein aktives Backup, keine 2FA und unverschlüsselte Kommunikation. Nach dem CyberRisikoCheck wurde ein Cloud-Backup aktiviert, eine Backup-Wiederherstellung getestet, die E-Mail-Verschlüsselung eingeführt – alles innerhalb eines Monats mit überschaubarem Aufwand.

Fazit: IT-Sicherheit ist Mandantenschutz

Digitale Steuerberatung funktioniert nur mit Vertrauen – und Vertrauen basiert auf Sicherheit. Kanzleien, die Daten schützen, schützen ihre Mandanten, ihren Ruf und letztlich ihre Existenz.

Auch kleine Kanzleien können mit überschaubaren Maßnahmen ein hohes Sicherheitsniveau erreichen. Wer Risiken strukturiert identifiziert und gezielt angeht, stärkt nicht nur seine technische Basis, sondern erfüllt auch berufsrechtliche und datenschutzrechtliche Anforderungen.

Ein strukturierter CyberRisikoCheck zeigt praxisnah, wo Ihre Kanzlei steht – und wie Sie ohne Panik, aber mit Plan zu mehr Sicherheit kommen.

📞 Telefon: +49 (0)30 7478 1308
📩 E-Mail: cyberrisikocheck@itsupport.onl