Termin buchen

Mandantendaten schützen: Was Steuerkanzleien 2026 wirklich tun müssen

Eine Steuerkanzlei, die täglich mit den Finanzdaten von Mandanten arbeitet, ist für Cyberkriminelle ein attraktiveres Ziel als der durchschnittliche Mittelständler. Die Gründe liegen auf der Hand: Mandantendaten, Kontoinformationen und Steuerakten sind für einen Cyberkriminellen weitaus lukrativer.

🕒 3 Min. Lesezeit

Inhaltsverzeichnis

Das Problem: Viele Kanzleien wissen das. Die wenigsten haben ihre Schutzmaßnahmen so aufgestellt, dass sie im Ernstfall halten.

Warum Steuerkanzleien ein besonderes Risikoprofil haben

Der Unterschied zu anderen Branchen liegt in der Kombination aus drei Faktoren, die zusammen ein hohes Risiko ergeben.

Erstens die Datentiefe: Steuerkanzleien verarbeiten Einkommensnachweise, Vermögensübersichten, Kontodaten und Sozialversicherungsnummern – also genau die Daten, die Betrüger für Identitätsdiebstahl oder gezielte Erpressung brauchen.

Zweitens die DATEV-Infrastruktur: Sie ist technisch sicher, aber kein Schutz gegen Phishing. Gefälschte DATEV-Rechnungen, nachgebaute Login-Seiten und manipulierte Anhänge sind 2026 so überzeugend, dass selbst erfahrene Mitarbeiter sie nicht auf den ersten Blick erkennen. Die BSI-Lageberichte der letzten zwei Jahre belegen, dass DATEV-Lookalike-Domains zu den häufigsten Angriffsvektoren auf Kanzleien zählen. Wie solche Angriffe konkret aussehen – mit echten Beispielen und Erkennungsmerkmalen – haben wir in einem eigenen Artikel dokumentiert: DATEV-Phishing: So schützen Sie Ihre Kanzlei

Drittens die Haftungssituation: Ein Datenleck gefährdet nicht nur das Vertrauen der Mandanten, sondern auch die berufsrechtliche Stellung. Die Verschwiegenheitspflicht nach § 57 Abs. 1 StBerG gilt auch für digital gespeicherte Daten. Wer nachweislich keine angemessenen Schutzmaßnahmen getroffen hat, riskiert neben DSGVO-Bußgeldern auch berufsrechtliche Konsequenzen nach §§ 89 ff. StBerG.

Die drei häufigsten Schwachstellen in Kanzleien

In der Praxis zeigen sich immer wieder die gleichen Lücken – und sie haben fast alle eins gemeinsam: Sie entstehen nicht durch schlechte Technik, sondern durch unvorbereitete Mitarbeiter.

DATEV-Phishing wird unterschätzt. Mitarbeiter, die nie ein Beispiel einer gefälschten DATEV-E-Mail gesehen haben, klicken. Das ist keine Frage der Intelligenz, sondern der Vorbereitung. Eine Kanzlei in München verlor 2024 nach einem einzigen Phishing-Klick für drei Wochen den Zugang zu ihren DATEV-Daten – mitten in der Hauptabgabezeit.

CEO-Fraud trifft auch kleine Kanzleien. Angreifer geben sich per E-Mail als Partner oder Geschäftsführer aus und fordern Überweisungen. Ohne klar definierten Rückrufprozess passiert das schneller, als man denkt. Die durchschnittliche Schadenssumme bei erfolgreichen BEC-Angriffen (Business Email Compromise) auf Kanzleien liegt laut HDI-Studie 2024 bei über 50.000 Euro.

Die 72-Stunden-Frist ist vielen nicht bekannt. Bei einer Datenpanne muss die zuständige Datenschutzbehörde innerhalb von 72 Stunden informiert werden (Art. 33 DSGVO). Viele Kanzleien haben dafür keinen Ablauf definiert – was bei einer Prüfung zum Problem wird, unabhängig davon, ob ein tatsächlicher Schaden entstanden ist.

Was konkret hilft – und was nicht

Eine Firewall und ein Antivirus-Programm reichen nicht. Das sind notwendige Grundlagen, aber sie schützen nicht vor dem Hauptrisiko: dem Menschen, der auf den falschen Link klickt oder auf die falsche E-Mail antwortet.

Was tatsächlich hilft, ist strukturierte, regelmäßige Vorbereitung der Mitarbeiter – keine einmalige Schulung im Jahr, sondern ein kontinuierlicher Prozess mit konkreten Beispielen aus dem Kanzleialltag.

Das bedeutet konkret:

  • Monatliche Kurzimpulse zu aktuellen Angriffsmustern (10–15 Minuten, keine ganztägigen Seminare)
  • Regelmäßige Phishing-Simulationen, damit Mitarbeiter den Ernstfall kennen, bevor er eintritt
  • Klare Prozesse für den Ernstfall: Wer wird informiert, wer entscheidet, wer meldet an die Behörde?
  • Dokumentation der Maßnahmen – für Cyberversicherungen, für Mandanten, für Behörden

Der letzte Punkt wird häufig unterschätzt: Cyberversicherungen verlangen zunehmend den Nachweis, dass Mitarbeiter regelmäßig geschult wurden. Wer das nicht dokumentieren kann, riskiert im Schadensfall eine Leistungskürzung oder Ablehnung.

Das Versprechen

Kanzleien, die ihre Mitarbeiter strukturiert und kontinuierlich vorbereiten, sind nicht unverwundbar – aber sie machen es Angreifern deutlich schwerer. Und sie stehen im Ernstfall besser da: gegenüber Mandanten, gegenüber Versicherungen, gegenüber Behörden.

Das braucht keine eigene IT-Abteilung und kein großes Budget. Es braucht ein System, das funktioniert, ohne den Kanzleibetrieb zu belasten.

Nächster Schritt: Wo steht Ihre Kanzlei?

Wir haben eine kostenlose 30-Punkte-Checkliste zusammengestellt, mit der Sie in 15 Minuten prüfen können, wo Ihre Kanzlei konkret steht – von der technischen Grundsicherung bis zum Notfallplan.

Checkliste kostenlos herunterladen

Wenn Sie die Ergebnisse besprechen möchten oder wissen wollen, wie ein strukturiertes Security-Awareness-Programm für Ihre Kanzlei aussehen könnte: Wir sind auf der TAXarena in Stuttgart am 24. März 2026 vor Ort und nehmen uns gerne Zeit für ein persönliches Gespräch an unserem Stand.

Jetzt kostenloses Erstgespräch vereinbaren

Quellen:

  • BSI Lagebericht zur IT-Sicherheit in Deutschland 2024
  • HDI Cyber-Studie: Schäden und Ursachen bei KMU 2024
  • § 57 Abs. 1 StBerG (Verschwiegenheitspflicht)
  • §§ 89 ff. StBerG (Berufsrechtliche Maßnahmen)
  • Art. 33 DSGVO (Meldepflicht bei Datenpannen)

Sie möchten mehr darüber erfahren, wie Sie die Beschäftigten Ihres Unternehmensvom Risikofaktor in eine "Human Firewall" verwandeln?

Kein Problem! In einem kostenlosen Erstgespräch vermitteln wir Ihnen einen Überblick, welche Maßnahmen dafür erforderlich sind und wie Ihnen die Security Awareness Toolbox dabei hilft, diese Maßnahmen mit minimalem Zeit- und Kostenaufwand umzusetzen.
Termin vereinbaren

📋 Nächste Schritte

Security Quick Check starten
Kostenloses Beratungsgespräch vereinbaren
Newsletter abonnieren

📚 Ähnliche Artikel

Ohne Bewusstsein keine Sicherheit

Alles was Sie für ein nachhaltiges Security Awareness-Programm im Unternehmen benötigen
Security Awareness Toolbox kennenlernen
Bild von Werner Grohmann

Werner Grohmann

Werner Grohmann ist Gründer und Geschäftsführer der SecaSkill GmbH und maßgeblich für die Entwicklung der Security Awareness Toolbox verantwortlich. Mit über 20 Jahren Erfahrung in der IT-Branche unterstützt er kleine und mittlere Unternehmen dabei, die steigenden Anforderungen in den Bereichen Datenschutz und Datensicherheit zu meistern. Ausgangspunkt für seine Spezialisierung auf Security Awareness waren die schmerzhaften Erfahrungen als Opfer einer Ransomware-Attacke im Jahr 2019, die sein Unternehmen 28.000 Euro kostete. Um andere Unternehmen vor einem ähnlichen Schicksal zu bewahren, entwickelte er die Idee für die Security Awareness Toolbox. Die Lösung selbst entstand in Zusammenarbeit mit einem interdisziplinären Team aus Datenschutz- und Datensicherheitsexperten, Fachleuten aus der Erwachsenenbildung und erfahrenen Fachredakteuren.

📚 Weitere Beiträge zum Thema:

Nur 166,- € pro Monat *)

Jahreslizenz pro Unternehmen

  • Alle Module und Updates
  • Unbegrenzte Mitarbeiterlizenzen
  • Persönliches On-Boarding
  • Support per Telefon & E-Mail
  • Sofort einsatzbereit
Jetzt Angebot anfordern

*) = 1.992,- € zzgl. MwSt. bei jährlicher Zahlung