Betrügerische Mails sehen täuschend echt aus und jeder unvorsichtige Klick kann fatale Folgen für Ihre Steuerkanzlei haben. Wie gut kennen Sie die Tricks der Cyberkriminellen? Wir erklären, was Sie jetzt wissen müssen, um wieder auf der sicheren Seite des Internets zu sein.
Phishing, eine Wortschöpfung aus Phreak (Hacker) und Fishing, bezeichnet Betrugsversuche mithilfe von Mails und Websites, die von den Originalen vertrauenswürdiger Anbieter kopiert und mit Schadsoftware versehen werden. Leider hochfunktionale Schadsoftware, die Daten unauffällig im Hintergrund ausspioniert und weitergibt oder ganze Computersysteme in Geiselhaft nimmt, bis von den Geschädigten ein Lösegeld gezahlt wurde, um wieder auf die eigenen Daten zugreifen zu „dürfen“.
Gefälschte Mails und Websites als solche zu erkennen, wird immer schwieriger. Denn auch Cyberkriminelle digitalisieren und professionalisieren sich ständig weiter. Die volkswirtschaftlichen Schäden von Cyber-Delikten, die mit gezielten Phishing-Attacken beginnen, werden in Deutschland pro Jahr mindestens auf einen zweistelligen Millionenbetrag geschätzt. Betroffen sind Personen und Firmen jeder Größenordnung – doch besonders kritisch sind alle Fälle, in denen es um die Gefährdung sensibler Daten geht wie beispielsweise die persönlichen Informationen Ihrer Mandate.
E-Mail nutzen alle – das macht Mail für Angreifer besonders interessant
Gefälschte Websites mit schädlichen Links sehen aus wie das Original – auf solche Fakes sollen Sie in der Regel über eine Mail gelockt werden. Phishing per E-Mail ist besonders tückisch, denn diese Mails sehen täuschend echt genauso wie die von vertrauenswürdigen Absendern aus – es sind aber Fälschungen von Betrügern, die Sie zum unbedachten Klick verführen sollen. Phishing-Mails angeln nach Zahlungsinformationen wie Kreditkartendaten und Bankverbindungen. Auch Fake-Websites zielen darauf ab, Zugangsdaten und persönliche Informationen zu ergattern und Schadsoftware zu installieren.
Mit Virensoftware verseuchte Datei-Anhänge, die sich als Rechnung oder wichtiges Schreiben ausgeben, infizieren Ihre Rechner mit einem Schadprogramm. Die entstandenen Schäden sind in den meisten Fällen finanziell. Aber für Steuerberater:innen steht naturgemäß noch viel mehr auf dem Spiel, wenn eine Kanzlei durch Vorsichtsmangel Zugriff auf Mandantendaten gewährt:
Wenn Sie als Steuerberater:in einem trügerischen Link folgen oder eine virenverseuchte Datei aktivieren, riskieren Sie die Daten Ihrer Mandantinnen und Mandanten sowie finanzielle Schäden für alle, haften schlimmstenfalls für die entstandenen Aufwand und gefährden obendrein die Reputation Ihrer Kanzlei.
Denn wenn Sie unvorsichtig auf diese Links oder Datei-Anhänge in Phishing-Mails klicken, geben Sie persönliche Daten preis oder installieren eine Schadsoftware, die auf Ihre Systeme zugreift und es Angreifern im schlimmsten Fall sogar erlaubt, Mandantendaten abzurufen.
5 Tipps gegen Phishing-Attacken auf Ihre Steuerkanzlei
Sie sind den Angriffen jedoch nicht hilflos ausgesetzt, sondern können wirksame Maßnahmen gegen Phishing-Attacken ergreifen. Das wichtigste Werkzeug ist eine umsichtige Vorgehensweise: Wenn Sie verdächtige Veränderungen feststellen – und am besten schon vorher – sollten Sie wo immer möglich die Zwei-Faktor-Authentifizierung aktivieren und umgehend Ihr Login-Passwort ändern.
1. Informieren Sie sich über Phishing
Wenn Sie die häufigsten Phishing-Methoden und Ziele kennen, fallen Sie nicht so schnell auf gefälschte Mails, Fake-Websites und dringliche Aufforderungen herein. Je mehr Sie über die Taktiken der „Phisher“ wissen, desto besser schützen Sie sich und Ihre Mitarbeiter:innen davor, Ihrer Kanzlei durch unvorsichtige Handlungen zu schaden.
2. Betrachten Sie Mails mit Skepsis und Vorsicht
Verdächtige Mails sind einfach zu erkennen, wenn Sie einmal wissen, worauf Sie achten sollten: Unerwartete, nicht von Ihnen angeforderte Datei-Anhänge und Links im Text, die zu Handlungen auffordern – besonders, wenn persönliche Informationen abgefragt oder bestätigt werden sollen. Prüfen Sie Absenderadressen, klicken Sie nicht auf Links.
3. Starke Passwörter und Zwei-Faktor-Authentifizierung
Aktivieren Sie immer wo vorhanden die Zwei-Faktor-Authentifizierung, um eine zusätzliche Sicherheitsebene hinzuzufügen und den Zugriff auf die eigenen Daten und die der Mandanten zu schützen. Sorgen Sie dafür, dass Passwörter einzigartig und stark sind und regelmäßig aktualisiert werden.
4. Den eigenen Computer fit und sicher halten
Aktualisieren Sie regelmäßig Ihren Browser, Ihr Betriebssystem und Ihr Antivirenprogramm und andere Software, um über die neuesten Sicherheitsfunktionen zu verfügen. Das sorgt dafür, dass zum Beispiel Viren in Dateianhängen sofort entdeckt werden oder so sollte es sein.
5. Wach und aufmerksam bleiben
Achten Sie darauf, ob verdächtige Aktivitäten oder Veränderungen in den Systemen stattfinden, mit denen Sie arbeiten. Wurden zum Beispiel zusätzliche, unbekannte Benutzer angelegt? Gab es Änderungen in den Belegen, Kontakten, Bankkonten? Ändern Sie sofort Ihr Login und informieren Sie den Anbieter, wenn Sie den Eindruck haben, dass ein unbefugter Zugriff stattgefunden hat.
Was Phishing-Mailer von Ihnen erwarten
Ein Link, der Sie zu einem Bestätigungsklick auffordert – eine dringende Ermahnung, Daten zu aktualisieren, um einen Zugriff nicht zu verlieren oder ein Datei-Anhang mit einem angeblich brisanten oder wichtigen Inhalt: Phishing-Mails sehen aus wie von einer vertrauenswürdigen Quelle. Viele enthalten Flüchtigkeitsfehler, einige sehen inzwischen aber fehlerfrei aus.
Ziel und Zweck von Phishing besteht darin, Ihre sensiblen Informationen wie Passwörter, Kreditkartendaten und Informationen von ahnungslosen Mandanten zu stehlen – die Methoden und Mails selbst werden ständig angepasst und weiter verfeinert.
Die besten Mittel gegen Phishing sind daher die 2-Faktor-Authentifizierung, starke Passwörter, aktuelle Informationen für das ganze Kanzlei-Team – und Ihre Aufmerksamkeit.
Weitere Informationen zu Phishing bietet das Bundesamt für Sicherheit in der Informationstechnik.