Kanzleien hantieren mit sensiblen Daten ihrer Mandanten. Mit der Digitalisierungswelle kommen immer mehr Szenarien hinzu, in denen Datensicherheit eine große Rolle spielt. Aktuell fordert die Grundsteuerreform viele Kanzleien bei der Zusammenarbeit mit ihren Mandanten heraus. Ständig werden wichtige Dokumente hin und her geschickt. Für einzelne Projekte werden nicht selten sensible Daten in der Cloud gespeichert. Doch wie sicher sind solche Lösungen? Wie kann eine Kanzlei – auch gegenüber ihren Mandanten – die Sicherheit ihrer Daten garantieren? Darüber sprechen wir mit unserem Gast Carsten Köhn, Vertriebsleiter bei C&P Capeletti & Perl Gesellschaft für Datentechnik mbH.
Der Hamburger EDV-Spezialist C&P bietet IT-Leistungen an, etwa Hardware oder Softwareberatung. Seit 15 Jahren ist das Unternehmen als Cloudanbieter unterwegs. Das größte Standbein des Unternehmens bilden Kanzleien. Darüber hinaus werden viele Mandanten dieser Kanzleien mit betreut.
Aktuell befindet sich die IT im Wandel. Bisher liefen Softwareprogramme beispielsweise von Kanzleien auf eigenen Servern. Diese standen bzw. stehen in den eigenen vier Bürowänden oder irgendwo bei einem Dienstleister. Der Trend geht allerdings zu immer mehr Programmen, die im Browser laufen. Somit liegen diese nicht mehr auf einem einzigen Server, sondern werden von unterschiedlichen Quellen abgerufen. Hier kommt die Frage auf: Wie werden diese unterschiedlichen Programme miteinander verknüpft, damit die Arbeit reibungslos über alle Anwendungen hinweg funktioniert? Dort sieht Carsten eine Aufgabe für sich und sein Unternehmen, die notwendigen Schnittstellen zu schaffen und die Nutzenden an die Hand zu nehmen.
Sie sehen gerade einen Platzhalterinhalt von Standard. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf den Button unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Für viele wichtig: der Serverstandort
2007 begann C&P, ihren Kunden Server-Hosting-Leistungen bereitzustellen. Zu Beginn gab es noch Schwierigkeiten mit geringen Bandbreiten. Mittlerweile sind die Geschwindigkeiten durchgehend hoch genug, um einen zuverlässigen Trend zum Outsourcing festzustellen. Den Hauptgrund sieht Carsten in dem Vorteil, sich als Kanzlei die IT zu sparen. Unternehmen möchten sich mit ihrem eigenen Business beschäftigen, nicht mit der Wartung und dem Betreiben eines Servers oder dergleichen. Die dbc (Deutschlands Business Cloud) von C&P vereint dabei mehr als 40 Anbieter, die oftmals aufgrund ihrer geringen Größe aus eigener Kraft kein Outsourcing anbieten könnten. Im Zusammenschluss profitieren alle voneinander, indem Know-how und Ressourcen geteilt werden.
Zudem wird sichergestellt, dass alle Anbieter ihre Server in Deutschland betreiben. Denn dies wird gerade von Steuerkanzleien verlangt, die ständig mit sensiblen Daten hantieren. Für die Belegung gewisser Sicherheitsstandards existieren diverse Zertifizierungen und Siegel. Aber interessieren sich Kanzleien überhaupt dafür? Wissen Kanzleien, was genau hinter jedem Zertifikat steckt? Carsten weiß aus Erfahrung, dass sich die meisten Kunden nicht besonders intensiv mit den Zertifikaten beschäftigen. Allerdings hat sich C&P nach ISO 27001 zertifizieren lassen, da einige Kunden danach gefragt hatten. Die Auswirkungen einer solchen Zertifizierung kann Carsten im Kundengespräch nutzen, um diese mit den Sicherheitsmaßnahmen vom Produkt zu überzeugen.
Mehr Leistung, mehr Kosten
An der Stelle wirft Paul ein, dass bei der Suche nach dem passenden Server für die Opti.Tax Cloud ein enormer Aufwand betrieben wurde. Beispielsweise wurde ein Anwalt zu Rate gezogen, der den Datenschutz und dergleichen unter die Lupe nahm. Letztendlich hat sich die hsp für einen deutschen Anbieter entschieden, dessen Server in München stehen. Doch je mehr Anforderungen ein Anbieter erfüllt, desto teurer wird es für den Kunden. Welche Erfahrung hat Carsten beim Thema Preis gemacht? Sind Kanzleien bereit, mehr Geld für mehr Leistung auszugeben?
Im Großen und Ganzen verstehen Kanzleien, dass eine höhere Datensicherheit Mehrkosten verursacht. Gerade wenn Carsten in die konkrete Diskussion einsteigt und Beispiele nennt, verstehen die Kunden schnell, dass sich bestimmte Ausgaben langfristig lohnen. Gibt es eine Datensicherung für wenige Tage, für einige Wochen oder gleich ein ganzes Jahr? Je nach Zeitraum sind die erforderlichen Speicherkapazitäten unterschiedlich hoch – und somit auch die Kosten. Wer mehr will, zahlt am Ende mehr und weiß genau, wofür.
Was viele nicht wissen, so die Gesprächspartner: Microsoft 365 bietet bis heute keine Datensicherung an. Da kann es sogar bei einfachsten Dingen wie einem Lizenzwechsel passieren, dass alle Daten verloren gehen. Deshalb bietet C&P auch für Microsoft 365 eine Datensicherung an. Eine weitere Baustelle, die häufig vergessen wird: der eigene Rechner. Einzelne Punkte wie die Datensicherung werden häufig noch berücksichtigt. Wenn es aber an Schutzmechanismen geht, wird vieles vernachlässigt. Dabei kann die nächste E-Mail oder der nächste angesteckte USB-Stick unbemerkt eine Schadsoftware auf dem Rechner hinterlassen. Daher führt Carsten monatlich einen Rechnercheck durch, der verpflichtend ist. Bei dem Check werden alle Sicherheitsmaßnahmen des Rechners geprüft.
Ein sicherer Anbieter allein reicht nicht
Alle Maßnahmen eines Anbieters helfen der Kanzlei aber nicht, wenn die Mitarbeitenden nicht mitmachen. Dies gilt für Backups und dergleichen ebenso wie für Kleinigkeiten im Alltag. Etwa, dass man nicht einfach auf jeden Link und jeden Anhang klickt, der einem geschickt wird. Mittlerweile sind Spam- und Phishing-Mails derart täuschend echt gestaltet und formuliert, dass bei Links und Anhängen große Vorsicht geboten ist. Wurde so eine Mail nicht vorab angekündigt, lohnt es sich immer, sicherheitshalber bei der angeblichen absendenden Person nachzufragen.
Hilfreich, so Paul, sei auch eine jährliche Datenschutzschulung für die Mitarbeitenden. Bei der hsp fand diese vor wenigen Tagen statt. Dabei frischte das hsp-Team nicht nur sein Wissen auf, sondern konnte einige Prozesse hinterfragen, beispielsweise bei der Datenspeicherung. Eine solche Veranstaltung kostet weder viel Zeit noch viel Geld, kann aber letzten Endes viel Ärger und Schaden ersparen.
Paul ist Geschäftsführer der hsp und derjenige, der die Klappe hält. Seine Top-Themen: Medienbrüche mittels Software abschaffen. Verfahrensdokumentation, IKS, TCMS und weitere Compliance Themen. Sein aktuelles Projekt: Verrechnungspreisdokumentationen ohne Medienbrüche erstellen. Mittels Taxonomie.