Kanzleien, die mit DATEV arbeiten, tragen eine besondere Verantwortung: Sie verarbeiten hochsensible Finanzdaten ihrer Mandanten – Steuererklärungen, Lohnunterlagen, Jahresabschlüsse. Ein Datenverlust oder ein Angriff durch Cyberkriminelle kann nicht nur die Kanzlei, sondern auch Dutzende von Mandanten in ernste Schwierigkeiten bringen. IT-Sicherheit ist für Steuerberater daher keine Option, sondern eine berufsrechtliche und rechtliche Verpflichtung.

Warum DATEV besondere Anforderungen stellt

DATEV ist mehr als eine Software – es ist ein Ökosystem aus lokalen Anwendungen, Cloud-Diensten und einer hochgesicherten Datenaustauschplattform. Die DATEV-Rechenzentren in Nürnberg gelten als eines der sichersten in Deutschland. Doch die beste Infrastruktur auf DATEV-Seite hilft wenig, wenn der Zugang von der Kanzlei aus ungeschützt ist.

Angreifer nutzen gezielt die Verbindung zwischen Kanzlei-IT und DATEV: Phishing-Mails, die DATEV-Login-Daten abgreifen, Ransomware, die lokale DATEV-Datenbanken verschlüsselt, oder Schwachstellen in nicht aktuell gehaltenen Windows-Systemen. Der Einstiegspunkt ist fast nie DATEV selbst – sondern die Kanzlei-IT.

Basis-Sicherheit: Was jede Kanzlei haben muss

Aktuelles Betriebssystem und Patches: DATEV setzt Windows voraus. Dieses muss stets aktuell sein – alle Sicherheitsupdates sollten zeitnah eingespielt werden. Veraltete Windows-Versionen dürfen in Kanzleien nicht mehr eingesetzt werden.

Endpoint-Schutz: Ein professionelles Antivirenprogramm auf jedem Arbeitsplatz ist Pflicht. Besser noch: eine Endpoint-Detection-and-Response-Lösung (EDR), die nicht nur bekannte Viren, sondern auch verdächtiges Verhalten erkennt.

Firewall: Eine professionelle Firewall – keine einfache Heimrouter-Lösung – schützt das Kanzleinetzwerk vor unerwünschten Zugriffen von außen. Sie sollte regelmäßig auf dem neuesten Stand gehalten werden.

Datensicherung: DATEV-Daten müssen täglich gesichert werden – auf einem externen Medium oder in einem gesicherten Cloud-Speicher. Die 3-2-1-Regel gilt: drei Kopien, zwei verschiedene Medien, eine davon außerhalb der Kanzlei.

DATEV-spezifische Sicherheitsmaßnahmen

DATEV bietet mit der DATEV SmartCard und dem DATEV mIDentity Hardware-Token eine Zwei-Faktor-Authentifizierung. Diese sollte in jeder Kanzlei aktiviert sein. Der Zugang zu DATEV ohne zweiten Faktor ist ein erhebliches Sicherheitsrisiko.

Die Benutzerrechteverwaltung in DATEV ist ein oft unterschätztes Sicherheitswerkzeug. Nicht jeder Mitarbeiter muss Zugang zu allen Mandantendaten haben. Das Prinzip der minimalen Rechte reduziert den Schaden im Falle eines kompromittierten Accounts erheblich.

Regelmäßige Zugriffsprotokoll-Auswertungen helfen dabei, ungewöhnliche Aktivitäten frühzeitig zu erkennen. DATEV bietet entsprechende Auswertungsmöglichkeiten, die jedoch aktiv genutzt werden müssen.

Homeoffice und mobiles Arbeiten absichern

DATEV Unternehmen online und andere Cloud-Dienste von DATEV ermöglichen mobiles Arbeiten – was praktisch, aber auch riskant ist. Wer von zuhause oder unterwegs auf Mandantendaten zugreift, sollte dies ausschließlich über ein VPN tun. Öffentliche WLAN-Netze ohne VPN sind für die Arbeit mit sensiblen Daten tabu.

Auch private Geräte sind problematisch: Sie unterliegen nicht den Sicherheitsrichtlinien der Kanzlei. Eine klare BYOD-Richtlinie (Bring Your Own Device) sollte regeln, welche Geräte für die DATEV-Arbeit zugelassen sind.

Datenschutz und berufsrechtliche Pflichten

Steuerberater unterliegen dem Steuerberatungsgesetz und der Berufsordnung – und damit strengen Verschwiegenheitspflichten. Die DSGVO verpflichtet zusätzlich zu technischen und organisatorischen Maßnahmen (TOMs) zum Schutz personenbezogener Daten. Ein Datenschutzbeauftragter und ein Verarbeitungsverzeichnis sind für Kanzleien ab einer bestimmten Größe Pflicht.

Im Schadensfall kann fehlender Nachweis angemessener Sicherheitsmaßnahmen zu empfindlichen Bußgeldern führen – zusätzlich zu dem Reputationsschaden, der durch einen Datenverlust entsteht.