„Wir freuen uns über den Erfolg der TAXPO17,“ so die Geschäftsführer von dvo Software- Entwicklungs- und Vertriebs-GmbH, Franz Nowotny und Dr. Rainer Haude. „Die Vortragenden haben die wesentlichen Punkte für Steuerberater im Bereich Datensicherheit exakt herausgefiltert,“ so Nowotny. „Am Ende war allen Teilnehmern klar, dass es eine umfassende Strategie in ihren Unternehmen geben muss und das Thema nicht einfach an die IT-Abteilung weitergegeben werden darf,“ ergänzt Haude. Für den Weg zur individuellen „Unternehmensstrategie Datenschutz“, gaben die Vorträge in der Oesterreichischen Nationalbank zahlreiche wertvolle Informationen und Anregungen.
Bundesministerium für Landesverteidigung und Sport
Steuerberater sind ein sehr interessantes Ziel für Cyber-Kriminelle
Gleich zu Beginn der Veranstaltung zeichnete Mag. Walter Unger vom Bundesministerium für Landesverteidigung und Sport (BMLVS) ein Szenario des Schreckens für die anwesenden Steuerberater. „Die Steuerdaten liegen nahezu zu 100 % in digitaler Form vor. Man stelle sich vor, ein Angreifer schleust einen Verschlüsselungstrojaner in das Netz der Kanzlei ein, verschlüsselt alle Daten und verlangt Lösegeld! Oder die Klientendaten werden mit einem Spionageprogramm ausspioniert und veröffentlicht oder dafür verwendet, einen Klienten zu erpressen.“ Mag. Walter Unger ist Oberst des Generalstabdienstes und zuständig für Cyber Defense und die Sicherheit der Informations- und Kommunikationstechnologie (IKT) im BMLVS.
Cyber Defense als Teil der Landesverteidigung Österreichs
Genau diese Szenarien zu entwerfen, anzusprechen und entsprechende Strategien zu entwickeln, ist die Aufgabe von Mag. Walter Unger. Unternehmen, Behörden und öffentliche Einrichtungen sind vom Funktionieren der IKT-Systeme abhängig. Wenn diese angegriffen werden, kann im Extremfall der ganze Staat erpressbar sein. Daher braucht man Cyber Defense nicht nur beim Militär, sondern bei allen kritischen Einrichtungen, wie zum Beispiel Energie- und Wasserversorgung, Telekommunikation, Medien und Banken. „Alles, was für das Leben in Österreich von großer Bedeutung ist, muss man unter Schutz stellen,“ so Unger.
A1 Telekom Austria AG
Wie lautet das beliebteste Passwort Österreichs?
Die Antwort hat DI Aron Molnar von der A1 Telekom Austria AG, zuständig für Information und Data Security: „123456“. Ausgehend von der, oft unterschätzten, Rolle der Passwörter im Bereich Cyber Security, zeigt Molnar die Strategien von Cyber-Kriminellen auf. Ein sogenannter Domain Grabber reserviert beispielsweise eine zum Verwechseln ähnliche Domain und versendet eine falsch adressierte E-Mail mit Rechnung. Schon macht die falsche Rechnung die Runde. Wie der Unterschied zum Original zu erkennen ist, erfuhren die Teilnehmer der TAXPO17 von Molnar.
So rüstet sich A1 gegen Cyber Crime
Spannend für die Teilnehmer der TAXPO17: Die drei Säulen gegen Cyber Crime bei der A1 Telekom Austria AG umfassen Mitarbeiter, Prozesse und die Technik. Wichtige Themen dabei sind Datenschutz- & Compliance Trainings für Mitarbeiter, genau geregelte Standards wie das ISO-zertifizierte ISMS (Information Security Management System) und ein ausgereiftes technisches „Abwehrsystem“ mit Vulnerability Scans, regelmäßigem Patching oder redundanten Datenzentren und Backups. Unter Patch versteht man übrigens die zeitnahe Behebung eines Fehlers in einem Teil eines Programmcodes. Diese Fehler sind in der Anfangsphase eines Softwareprodukts unausweichlich und stellen ein potenzielles Sicherheitsrisiko dar.
Und natürlich vervollständigte Molnar seinen spannenden Vortrag mit Empfehlungen für sichere Passwörter bzw. für eine optimale „Passwort-Strategie“.
Österreichische Nationalbank
„Das Verhalten aller ist essentiell, um Werte zu schützen“
Die Oesterreichische Nationalbank AG (OeNB) ist als Zentralbank Österreichs integraler Bestandteil des Europäischen Systems der Zentralbanken bzw. des Eurosystems. Sie kümmert sich um die Sicherung der Finanzmarktstabilität sowie der Geldversorgung und verwaltet Währungsreserven zur Absicherung des Euro in Krisenzeiten.
Die (Sicherheits-)Kette ist nur so stark wie das schwächste Glied
Der IT-Sicherheitsbeauftragte der OeNB DI Dr. Thomas Toth zeigte in seinem Vortrag deutlich die Cybergefahren auf, die auf dem Weg zwischen der IT-Privatnutzung einer einzelnen Person und einer Institution, wie zB einer Bank, lauern. Diese reichen von Hacking, Phishing, Erpressung, Spionage über Betrug, Social Engineering bis zu Internetsucht, Manipulation durch Werbung oder für Kinder schädliche Inhalte. Sicherheitskonzepte müssen möglichst alle technischen, organisatorischen und personellen Anforderungen erfüllen, da „die Kette bekanntlich nur so stark ist, wie das schwächste Glied“.
ISO27002 – einheitliche Standards für mehr IT-Sicherheit
Besonders interessant für die Teilnehmer der TAXPO17 war seine Zusammenfassung der ISO27002*, die mit international definierten Standards den IT-Grundschutz zum Aufbau und zur Aufrechterhaltung eines Managementsystems für Informationssicherheit (ISMS) beschreibt. Verständlich erläuterte er die wichtigsten Fragen daraus: Wie behandle ich Werte? Wer ist für Informationssicherheit zuständig? Wie gewährleiste ich personelle und physische Sicherheit? Wer hat Zugriff? Wer darf was machen? Welche Vorgänge werden mit welcher Kryptographie gesichert? Wie werden Systeme betrieben und gewartet? Wie kaufe ich richtig ein? Wie bekomme ich die richtigen Lieferanten? Wie gehe ich mit Sicherheitsvorfällen um? u.v.m.
KPMG Advisory GmbH
Cyber-Security für Steuerberater
Was muss ich als Steuerberater nun konkret tun, um meine Daten zu schützen? Welche Maßnahmen sollten jetzt eingeleitet werden, damit ich auch in Zukunft für meine Kunden ein vertrauenswürdiger Partner bin? DI Mag. Christian Frühwirth vom Beratungsunternehmen KPMG Advisory GmbH gibt Antworten auf diese Fragen und stellt einen Maßnahmenkatalog und – in Kooperation mit dvo – ein Lösungspaket vor. Eine Gesetzesänderung gibt dabei den Zeitrahmen für Aktivitäten, die auf Unternehmensseite gesetzt werden müssen, vor:
Bald gelten strengere Pflichten bei Problemen mit Daten
Die ab 25. Mai 2018 EU-weit geltende Datenschutz-Grundverordnung (DSGVO) verschärft die Meldepflichten bei Hackerangriffen und Datenpannen erheblich. Sobald ein Unternehmer oder Privater von der Verletzung des Schutzes der von ihm verarbeiteten (Kunden-)Daten erfährt, muss er in Zukunft sofort handeln. Dies beinhaltet jede Datenpanne, wie zB Verlust, Vernichtung, Zugriff oder – wie bei Wannacry – Veränderung von Daten. Innerhalb 72 Stunden muss an die Datenschutzbehörde gemeldet werden und unverzüglich an Betroffene. Wichtiger Nebensatz: Es ist egal, ob die Ursache ein Hackerangriff oder ein technisches Gebrechen war.
Auch die Sanktionen werden dramatischer: Im Rahmen der DSGVO drohen bei unzureichender Informationserteilung ebenso wie bei mangelnder Datensicherheit, Geldbußen von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes. Außerdem wird zusätzlich zB für materielle Schäden wie Vermögensverluste und immaterielle Schäden wie Rufschädigungen gehaftet.
Das Lösungspaket „Cyber-Security“ für Steuerberater
Dipl.-Ing. Mag. Christian Frühwirth vom Beratungsunternehmen KPMG Advisory GmbH, stellt den Teilnehmern der TAXPO17 das ‚Grundlagenpaket zur Datenschutz-Grundverordnung für Steuerberater‘ vor. Es wurde auf Initiative von dvo gemeinsam mit KPMG entwickelt, um Steuerberatern die Werkzeuge zur Erfüllung der grundlegenden Anforderungen der DSGVO in die Hand zu geben. Ausgehend von einer Ist-Analyse auf Basis eines Fragebogens wird ein Basis Risk- und Responsemanagement erstellt. Dieses enthält zB eine Daten- und Applikationsklassifizierung sowie eine Evaluierung kritischer Ausfallzeiten und persönliche Beratung. Ein grundlegendes Sicherheitskonzept führt in der Folge zum Basis-Leitfaden Cyber-Krisenmanagement. Erhältlich ist dieses Beratungsprodukt ab September 2017 bei dvo.
Alt & Walch Versicherung
Cyber-Crime Versicherungen für Kanzleien
Abschließend brachte Akad. Vkfm. Anton Alt, unabhängiger Versicherungsmakler und Versicherungsberater von Alt & Walch, einen Überblick über die Versicherungsmöglichkeiten gegen Cyber-Crime-Vorfälle, speziell für Steuerberatungskanzleien. „Gerade bei kleinen und mittelständischen Unternehmen kann es sogar überlebenswichtig sein, ein funktionierendes Cyber Risk Management zur Absicherung zu haben,“ so Alt. Versicherungspakete umfassen unter anderem Kostenerstattung zur Wiederherstellung der Daten nach einem Hackerangriff, Kosten für Krisen- und PR-Beratung im Schadensfall oder Cyber-Training und Online-Schulungen für Mitarbeiter. Die praktischen Anwendungsfälle einer Cyber Security Versicherung machen mögliche Ausmaße schnell deutlich:
Versicherungsbeispiele:
“Denial of Service“-Attacke
Hacker blockieren die Homepage eines mittelständischen Online-Shops. Nichts geht mehr. Durch die Betriebsunterbrechung werden mehrere Tage lang alle Bestellungs- und Zahlungsvorgängen unterbunden. Die Folge ist ein spürbarer Ertragsausfall sowie ein drohender Imageschaden. Bezahlt wird das Krisenmanagement, die Kosten für die Wiederherstellung der Website und den Ertragsausfallschaden. Außerdem werden PR-Maßnahmen übernommen, um den Imageschaden gering zu halten. Schadenhöhe insgesamt: EUR 450.000.
Datendiebstahl nach Hackerangriff
Hackern gelingt es, das IT-Netz einer mittelgroßen Hotelkette zu infiltrieren. Über mehrere Monate erhalten sie so unbemerkt Zugang zum streng gesicherten Online-Zahlungssystem der Kette. In dieser Zeit entwenden sie ca. 2. Mio. Kundendaten, komplett mit Adressen, Bankverbindungen, Kreditkarten- und Kontonummern. Schadenhöhe: rund EUR 5.000.000.
Bei Fragen rund um das Thema Datensicherheit wenden Sie sich bitte an vertrieb@dvo.at.