88 % aller Sicherheitsvorfälle gehen auf menschliche Fehler zurück. In Steuerkanzleien ist das besonders heikel – weil Sie täglich mit Mandantendaten arbeiten, die unter § 57 StBerG und der DSGVO besonders geschützt sind. Ein Datenleck gefährdet nicht nur Ihr Ansehen, sondern kann direkte haftungsrechtliche Konsequenzen haben.
Der Fehler liegt selten beim Team. Er liegt im Ansatz.
Warum eine Einmalschulung in der Kanzlei nicht ausreicht
Die Wirkung einer Schulung lässt nach – messbar. Sicherheitsforscher haben gezeigt, dass das Bewusstsein für Phishing-Risiken bereits nach vier bis sechs Wochen deutlich abnimmt, wenn keine Wiederholung erfolgt.
Eine jährliche Pflichtsitzung zu „IT-Sicherheit im Allgemeinen“ erfüllt formal den Nachweis – schützt Ihr Team aber nicht. Was schützt: kurze, regelmäßige Impulse, die konkret auf den Kanzleialltag zugeschnitten sind.
DATEV-Phishing als abstrakte Gefahr zu erklären, nützt wenig. Wirkungsvoller ist ein konkretes Beispiel: „Diese E-Mail ist letzte Woche bei einer Kanzlei in Hamburg eingegangen – würden Sie den Absender hinterfragen?“
Wie Sie Mitarbeiter einbinden, die keine Zeit haben
Kanzleimitarbeiter sind beschäftigt. Steuerfrist ist Steuerfrist. Das lässt sich nicht wegdiskutieren.
Deshalb funktioniert Security Awareness in Kanzleien nur, wenn drei Bedingungen erfüllt sind:
- Kurz: Schulungsimpulse unter 15 Minuten, nicht als Halbtagsseminar
- Konkret: Beispiele aus dem Kanzleialltag – DATEV, Mandantenpost, Telefonanfragen
- Wiederholend: Monatlich, nicht jährlich
Ein Beispiel aus der Praxis: Eine Kanzlei mit 18 Mitarbeitern in Stuttgart hat monatlich einen Themenbogen eingeführt – jeweils ein konkretes Thema, eine Seite, zehn Minuten in der Teambesprechung. Nach sechs Monaten: kein Klick auf simulierte Phishing-Mails mehr. Davor: drei von acht Mitarbeitern hätten die Test-Mail geöffnet.
Das Muster lässt sich übertragen.
Welche Themen in Steuerkanzleien besonders relevant sind
Nicht jedes Security Awareness Thema ist für Kanzleien gleich wichtig. Diese fünf sind es:
| Thema | Warum es für Kanzleien zählt |
| Phishing-Erkennung | DATEV-E-Mails sind ein beliebtes Angriffsziel |
| Social Engineering | Anrufe als vermeintlicher Mandant oder Behörde |
| Passwortsicherheit | Geteilte Zugänge in kleinen Teams sind riskant |
| Datenpannen melden | DSGVO-Meldefrist: 72 Stunden – viele Teams kennen sie nicht |
| Homeoffice-Sicherheit | Ungesicherte WLAN-Verbindungen, Familienmitglieder am Rechner |
Diese Themen sind kein IT-Luxus. Sie sind Pflichtprogramm für jede Kanzlei, die ihre Mandantendaten schützen will.
Was passiert, wenn es schiefgeht
Ein Cyberangriff auf Kanzlei Kapellmann hat 2021 bundesweit Aufmerksamkeit erregt. Vier Wochen eingeschränkter Betrieb. Fristen in Gefahr. Kosten im sechsstelligen Bereich.
Der durchschnittliche Schaden bei einem Cyberangriff auf ein kleines oder mittleres Unternehmen liegt laut HDI bei rund 95.000 Euro. Für viele Kanzleien ist das existenzbedrohend.
Versicherungen helfen – aber nur bedingt. Wer keine dokumentierten Schulungsnachweise vorweisen kann, riskiert, dass die Cyberversicherung die Zahlung verweigert oder kürzt. Das ist keine Randnotiz. Das ist inzwischen Standardklausel.
Das sollten Sie jetzt konkret tun
Wenn Sie sich nach diesem Artikel fragen, wo Sie anfangen sollen: Starten Sie mit einer ehrlichen Bestandsaufnahme.
- Wann hat Ihr Team zuletzt eine Schulung zu Phishing erhalten?
- Gibt es einen dokumentierten Nachweis für Ihre Cyberversicherung?
- Wissen Ihre Mitarbeiter, an wen sie eine verdächtige E-Mail melden?
Wenn Sie auf eine oder mehrere dieser Fragen keine klare Antwort haben, ist das ein konkreter Handlungsbedarf – kein Grund zur Panik, aber ein Startpunkt.
Die Security Awareness Toolbox enthält fertige Schulungsunterlagen, Phishing-Beispiele, Tests und Vorlagen für alle 12 Monate – speziell für KMU aufbereitet, ohne IT-Kenntnisse einsetzbar. Sie können Ihrem Team morgen das erste Thema in der Teambesprechung präsentieren.
Treffen Sie uns auf der TAXarena Stuttgart
Am 24. März 2026 sind wir auf der TAXarena im Haus der Wirtschaft Stuttgart dabei – der Innovationsmesse für Steuerkanzleien. Sie finden uns in der Galerie im Friedrich-List-Saal an Stand 46.
Bringen Sie Ihre konkrete Frage mit. Wir zeigen Ihnen live, wie die Toolbox in einer Kanzlei Ihrer Größe aussieht – und was realistisch in drei Monaten erreichbar ist.
Alle Standbesucher erhalten einen kostenlosen Security Awareness Quick Check sowie einen 15 % Messerabatt auf eine Jahreslizenz.
Nicht in Stuttgart? Kein Problem. Das unverbindliche Online-Erstgespräch ist jederzeit buchbar – 30 Minuten, ohne weitere Verpflichtungen.
Quellen
HDI Studie „Cyberrisiken im Mittelstand“ | IBM Cost of a Data Breach Report | § 57 StBerG, § 43 WPO | Verizon DBIR (88 % menschliche Fehler)
Weitere Beiträge zum Thema: