In der modernen Steuerberatung wird die Cybersicherheit zunehmend zu einer entscheidenden Herausforderung. Hackerangriffe und Cyberkriminalität bedrohen den Schutz sensibler Mandantendaten, die Reputation der Kanzlei und die Existenzgrundlage vieler Steuerberater.
In einem aufschlussreichen Interview mit Cybersecurity-Experten Steffen Müller, dem Gründer von Bridge Enterprises, werden nicht nur Mythen und Missverständnisse zu IT-Sicherheit und Datenschutz entlarvt, sondern auch wichtige Schritte erläutert, die Steuerberater ergreifen können, um ihre Kanzleien proaktiv abzusichern.
Wichtige Themen und Kernpunkte im Bereich Cybersecurity für Steuerberater
- Missverständnisse und gängige Mythen in der IT-Sicherheit für Steuerberater
Viele Steuerberater fühlen sich durch IT-Dienstleister oder regelmäßige Backups in falscher Sicherheit gewogen. Laut Steffen Müller sind typische Sicherheitsmaßnahmen oft unzureichend gegen die zunehmende Komplexität moderner Angriffe. Diese Maßnahmen, wie zum Beispiel das Vertrauen auf Backups oder Antivirenprogramme, können leicht umgangen werden. Kanzleien müssen ein ganzheitliches Risikomanagement integrieren, das neben technischen auch menschliche Schwachstellen abdeckt. Denn gerade die "Flucht ins Tooling", also die Vermehrung von Sicherheits-Tools ohne strategische Absicherung, kann eine trügerische Sicherheit schaffen, die letztlich die eigentlichen Gefahren ignoriert. - Risikomanagement und individuelle Risikoanalyse
Cybersicherheit beginnt mit dem Verstehen individueller Risiken. Jede Steuerberatungskanzlei hat je nach Mitarbeiteranzahl, Datenvolumen und Mandantenstruktur unterschiedliche Risikoprofile. Die Identifikation und Klassifizierung dieser Risiken ist der erste Schritt zu einer umfassenden Cybersecurity-Strategie. Müller hebt hervor, dass Cybersicherheit zunächst mit einer Risikoanalyse beginnt, bei der mögliche Szenarien durchgespielt werden – von Einbruchsszenarien in der Kanzlei über Phishing-Angriffe per E-Mail bis hin zu Hackerangriffen durch getarnte Dienstleister. - Awareness-Training: Die Rolle des Mitarbeiters als Risikofaktor
Mitarbeiter können unbeabsichtigt die größten Schwachstellen in der Cybersicherheit darstellen. Awareness-Trainings, die speziell auf die Bedürfnisse von Steuerberatern zugeschnitten sind, schärfen das Bewusstsein für Cyber-Bedrohungen wie Phishing-E-Mails oder Ransomware. Solche Trainings sollten regelmäßig durchgeführt werden, um Mitarbeiter im Umgang mit verdächtigen Nachrichten und ungewollten Zugriffen zu schulen. Laut Müller kann sogar ein einfacher Klick auf einen falschen Link eine Kanzlei lahmlegen, weshalb die Schulung und Sensibilisierung des Teams unverzichtbar sind. - IT-Infrastruktur: Inhouse-Server oder Cloud?
Die Frage, ob Daten in der Cloud oder auf eigenen Servern gespeichert werden sollen, ist auch unter Steuerberatern ein heiß diskutiertes Thema. Die Cloud bietet gewisse Vorteile, vor allem in Bezug auf die Aktualisierung und Wartung der Sicherheitsmaßnahmen durch externe Anbieter. Allerdings besteht bei einem Cloud-Ausfall ein größeres Risiko des Datenverlusts. Müller empfiehlt daher häufig eine hybride Lösung, bei der kritische Daten lokal gespeichert und weniger sensible Daten in die Cloud ausgelagert werden. Die Entscheidung hängt jedoch stets vom individuellen Sicherheitsbedarf der Kanzlei ab. - Richtige Backup-Strategien und die Illusion der Sicherheit
Der Glaube, dass ein einfaches Backup genügt, ist trügerisch. Müller erklärt, dass es oft vorkommt, dass auch Backup-Systeme bei einem Angriff mitverschlüsselt werden, wenn sie nicht auf einem separaten Netzwerk oder einem isolierten System laufen. Regelmäßige Tests und eine durchdachte Backup-Strategie, die auf mehreren getrennten Ebenen arbeitet, sind essenziell, um im Ernstfall tatsächlich auf eine Wiederherstellungsmöglichkeit zurückgreifen zu können. - Reale Angriffsszenarien und ihre Prävention
Cyberangriffe auf Steuerkanzleien sind keineswegs selten. Ob durch Phishing, gefälschte E-Mails oder durch Manipulation der Mitarbeiter – die häufigsten Angriffe zielen auf den „Schwachpunkt Mensch“ ab. Zero-Trust-Strategien, die Vertrauen nur auf Basis spezifischer Sicherheitsmaßnahmen gewähren, können hier Abhilfe schaffen. Diese Strategie minimiert das Risiko von Angriffen, indem sie die Zugriffsrechte von internen und externen Akteuren strikt regelt. - Zukünftige Bedrohungen: Künstliche Intelligenz und Deepfake-Technologien
Mit der Entwicklung neuer Technologien wie KI-gestütztem Hacking oder Deepfake-Attacken stehen Steuerberater vor zusätzlichen Herausforderungen. Die Fähigkeit von KI-Systemen, Stimmen zu imitieren oder überzeugende Fälschungen zu erstellen, macht gezielte Angriffe immer gefährlicher. Ein prominentes Beispiel ist der Missbrauch von Deepfake-Technologien, bei dem eine Stimme gefälscht wird, um die Assistentin eines Geschäftsführers zur Überweisung großer Summen zu bewegen. - Proaktiver Schutz und kontinuierliche Sicherheitsmaßnahmen
Cybersecurity ist keine einmalige Angelegenheit, sondern ein fortlaufender Prozess. Kanzleien sollten eine regelmäßige Risikobewertung durchführen und ihre Mitarbeiter kontinuierlich schulen, um neue Bedrohungen zu erkennen und darauf zu reagieren. Ein aktiver Schutz ist notwendig, um den wachsenden Bedrohungen durch Cyberkriminelle voraus zu sein und die Datensicherheit zu gewährleisten.
Key Learnings zur Cybersicherheit in der Steuerberatung
- Sensibilisierung ist der erste Schritt – Ohne Awareness-Trainings sind technische Maßnahmen oft wirkungslos, da die größte Schwachstelle weiterhin der Mensch bleibt.
- Individuelle Risiken erkennen – Eine Risikoanalyse, die spezifische Schwachstellen und Angriffsvektoren identifiziert, ist die Grundlage für eine wirksame Cybersicherheits-Strategie.
- Hybrid-Lösungen bei der Datenspeicherung – Die Kombination von Cloud und lokaler Speicherung sorgt für optimierte Sicherheit bei gleichzeitigem Zugriffsschutz.
- Zero-Trust-Strategie umsetzen – Vertrauen ist in der Cybersicherheit ein gefährliches Konzept. Besser ist es, stets von potenziellen Risiken auszugehen.
- Regelmäßige Backup-Tests – Eine vollständige Sicherung der Daten sollte in regelmäßigen Abständen überprüft werden, um im Ernstfall auf eine funktionierende Wiederherstellung vertrauen zu können.
- Fortlaufender Schutz – Die Implementierung einer nachhaltigen und zukunftssicheren Cybersicherheitsstrategie ist ein kontinuierlicher Prozess, der regelmäßige Anpassungen an neue Bedrohungen erfordert.
Ressourcen und weiterführende Links zur Cybersicherheit für Steuerberater
- ISO 27001 und ISO 62443 – Diese Normen bilden eine solide Basis für Sicherheitsstandards in Unternehmen und können auch für Steuerkanzleien adaptierbar sein.
- Awareness-Trainings – Anbieter wie Bridge Enterprises bieten spezialisierte Trainingsprogramme, die Steuerberater und ihre Teams für Cyber-Bedrohungen sensibilisieren.
- Bridge Enterprises – Steffen Müllers Unternehmen ist auf Cybersecurity-Analysen und Risikomanagement spezialisiert und bietet maßgeschneiderte Lösungen für Steuerkanzleien an.
- DATEV Cloud und IT-Dienstleistungen – DATEV bietet für Steuerberater Cloud-Lösungen an, die jedoch in ein umfassendes Sicherheitskonzept integriert werden sollten.
- Bundesamt für Sicherheit in der Informationstechnik (BSI) – Das BSI stellt unter anderem den IT-Grundschutz-Katalog bereit, eine Sammlung von Maßnahmen, die die IT-Sicherheit erhöhen.
Fazit und abschließende Gedanken
Cybersicherheit für Steuerberater ist längst kein Randthema mehr, sondern sollte zu einem festen Bestandteil der Kanzleiorganisation gehören. In einer digitalisierten Arbeitswelt ist das Risiko von Cyberangriffen omnipräsent und fordert von Kanzleien eine proaktive Sicherheitsstrategie. Ein umfassender Ansatz, der neben technischer Absicherung auch die menschliche Komponente berücksichtigt, ist unerlässlich. Indem du kontinuierlich Risiken evaluierst, deine Mitarbeiter schulst und gezielte Schutzmaßnahmen implementierst, kannst du nicht nur sensible Mandantendaten schützen, sondern auch das Vertrauen deiner Mandanten bewahren. Mit der richtigen Cybersicherheitsstrategie stellst du sicher, dass deine Kanzlei auch in einer immer digitaler werdenden Zukunft optimal geschützt ist.
Sebastian Thalhammer: Heute bei mir Steffen Müller, der Inhaber von Bridge Enterprises und seines Zeichens kann man schon sagen eine Koryphäe in den Themen Cyber Security und mehr. Steffen, freut mich, dass du heute dabei bist. Wir sprechen über die Themen und vor allem auch die Mythen, was es mit Cybersicherheit oder Cyberkriminalität auf sich hat, speziell natürlich auch im Kontext von Cyberkriminalität Hochinteressanten Zielen für Hacker und andere Interessenten wo natürlich die Steuerberatungskanzleien dazu fallen und da sprechen wir heute einfach ein bisschen über gängige Irrtümer, über gängige Praktiken auch worauf man achten muss und vieles vieles mehr.
Wir werden sehen, wo uns das Gespräch hinführt. Freut mich auf jeden Fall mal, dass du heute dabei bist und dir die Zeit nimmst, Steffen.
Steffen Müller: Ja, darf ich zurückgeben, ich freue mich auch. Und vor allem auch für dieses Zielpublikum etwas erzählen zu können, vor allem auch mit gewissen Mythen aufzuräumen und einfach auch für eine gewisse Aufklärung zu sorgen.
Sebastian Thalhammer: Ich wollte nur sagen, ich bin ja eigentlich auch ein sehr Enthusiast im Hacken ich kann mich noch erinnern als Teenager, das ist jetzt doch schon ein bisschen länger her, ich weiß noch, da habe ich mir das runtergeladen irgendwo, die Anleitung zum Hacken da war mir ganz wichtig, du musst ein Unix-System haben und alle Linux-Befehle kennen, weil sonst geht das mal gar nicht und dann habe ich das versucht mir irgendwie anzueignen Ich bin dann aber nicht so sehr hängen geblieben.
Aber ich glaube, vielen Steuerberatern oder Kanzleien geht es ja jetzt ähnlich. Man hat viel Zeit und Energie investiert in das Thema IT, Digitalisierung Man möchte fahren.
Steffen Müller: dabei
Sebastian Thalhammer: aber ich denke das thema der risiken und der sicherheitspotenziale die eigentlich immanent sind die sind den meisten nicht klar und die haben da wenig bis gar keine zugänge weiter sitzt auch natürlich nichts ist was man womit man sich tagtäglich beschäftigt du beschäftigt dich ja tagtäglich damit wenn du mit unternehmen arbeitest Was sind denn vielleicht so gängige Irrtümer oder Glaubenssätze, muss man schon fast sagen, zum Thema IT und Cyber Security, die du immer wieder aushebeln darfst
Steffen Müller: Nun fangen wir da ganz vorne an. Ich habe es in der Regel immer auf einer sehr menschlichen Ebene zu tun. Es geht in der Regel immer um Ängste. Um Ängste wie beispielsweise, oh was passiert denn da? Wie kann ich gehackt werden? Oder bin ich mir überhaupt sicher, Dass ich richtige technik implementiert habe und dieses sage ich mal von der angst getriebene verhalten sorgt für viel unsicherheit und öffnet auch bei vielen sage ich mal solche dinge wie beispielsweise ich kaufe mir jetzt zusätzlich noch eine lösung und noch eine lösung und glaube dann ich bin sicherer Hat sowas von einer Vollkasko-Mentalität und da gilt es daran zu arbeiten und die einfachste Annäherung, was mir jeden Tag so passiert in solchen Gesprächen, sind einfach die Ängste zu nehmen, aufzuklären und es geht in der Regel darüber, dass wir über Risiken reden.
Cyber Security ist nichts technisches am Anfang. Es geht darum Risiken zu identifizieren, Risiken zu erkennen und Und die entsprechend dann auch zu mitigieren, wie man das in der Fachsprache nennt Also diese Risiken einfach zu betrachten und Lösungen dafür zu finden. Manchmal ist auch die Lösung einfach, nun es gibt keine, ich muss auch ein Risiko manchmal akzeptieren. Beliebtes Beispiel, Internetzugänge, es kommen Gewitter, Blitz schlägt ein, da kann ich nichts machen, ich kann eine zweite Leitung legen. Aber ich bin dann halt notfalls mit meiner Kanzlei mal eine Stunde oder drei oder fünf offline. Aber das sind Risiken die kann man einfach nicht in den Griff kriegen.
So und worum geht es denn bei der Cyber Security? Wir schauen uns das Risikopotenzial an. dieses Risikopotenzial ist immer individuell. Sprich jede Kanzlei hat irgendwo ein anderes Potenzial, hängt auch ein Stück weit von der Größe ab. Habe ich 1, 2, 3 Mitarbeiter oder habe ich 50 bis 100 Mitarbeiter?
Je nachdem habe ich eine ganz andere Art und Weise wie ich mit Risiken umgehen muss. Und das hat auch nichts damit zu tun, was in der Regel passiert. Man geht als Kanzlei her, hat seinen IT-Dienstleister, kauft dort irgendwelche Lösungen und denkt, ich bin jetzt sicher. Hierbei geht es wirklich nur um die IT-Sicherheit aber nicht um die Cyber Security. Und was machen wir in dem Fall? Bei uns, wir nehmen Risiken auf, schauen uns einfach so kanzlei an und schauen dann, wo sind die individuellen Risiken, wo gibt es spezielle Risiken wie zum Beispiel auch durch die Baulichkeit bedingt, solche Dinge. Und das gibt eine Risikoübersicht und das geht man durch und sucht dafür Lösungen.
Und das fängt wirklich ganz vorne an. Wir gucken uns auch in der Regel die Gebäude an. Wir schauen mensch kann ich da relativ einfach rein schaffen ja einbruch beliebtes szenario ich habe zum beispiel eine kanzlei die ist in einem großen gebäude da wird gebaut und ich habe plötzlich gerüst dran und kann einbrechen so und das ist ein risiko weil dann stehe ich in der kanzlei mit drin und kann unter umständen einen ungesicherten rechner mir nehmen das sind ganz normale dinge das betrachtet man auch in der it sicherheit Ich werfe jetzt mal so ein Stichwort rein, ISO 27000.
Das ist eine Norm, wo es genau um solche Sachen geht. In Deutschland gibt es vom Bundesamt für Sicherheit eine Informationstechnologie, sperriges Wort, ich weiß, gibt solche Hinweise, und das sogenannte Grundschutz. Und das sind so Regeln, was ich tun muss, damit meine Kanzlei zunächst sicher wird, nämlich als Gebäude. Das geht von Alarmanlagen wie Zutrittssicherung, Wenn man zum Beispiel als Kanzlei irgendwo einen Server betreibt, dann muss ich praktisch den Server irgendwo in einen verschlossenen Raum reinbringen. Rauchmelder sind so ein Thema, weil wenn der Schaden mal entsteht dann ist es eh zu spät. Und wenn man das mal die Grundthemen absichert haben wir schon eine größere Baustelle gelöst. Nächste Baustelle, immer der menschliche Faktor. Viele der Angriffe, passieren, passieren durch einen Mensch. So, das geht wirklich von der kriminellen Handlung. Passiert teilweise, mir ist jetzt nichts bekannt im Bereich der Steuerberater, dass es solche Dinge jetzt groß gibt. Ich kenne es an anderen Stellen in der Industriewirtschaft, Wirtschaftsspionage, da wird das gemacht.
Da werden auch Mitarbeiter gezielt bestochen, also da gibt es alles mögliche Ich muss schauen, wer sitzt eigentlich hinter dem Rechner. Oder, Möglichkeit, es gibt natürlich auch Menschen, die klicken bedenkenlos auf jede E-Mail. Auch ein sehr beliebter Angriffsszenario. Das heißt, ich klicke auf was drauf, sieht mir auch vertrauenswürdig aus, ist vielleicht sogar von dem Mandanten Aber in Wirklichkeit steckt eine gefakte Mail dahinter, führt uns irgendwo drauf und installiert ein Stück Software.
Und diese Software wird dann zum Angriffsvektor, sprich legt Rechnerdamen, verschlüsselt was. Das kennt man unter dem Begriff Ransomware-Attacken, hat jeder schon mal gehört. Dort wird praktisch der Angriff genutzt um Geld zu erpressen Davor ist man leider nicht sicher, vor allem wenn es Kunden sind, größere Unternehmen, da kommt es relativ häufig vor, dass irgendwo eine Domain gehostet wird, die so ähnlich aussieht oder so ähnlich hört und dann die E-Mails vom Unternehmen praktisch eins zu eins kopiert werden, der gleiche Footer drin, der gleiche Header, sieht total identisch aus. Ist aber in Wirklichkeit nichts anderes wie ein Angriff. das sind so Sachen, da steckt man nicht drin. Da kann ich sehr viel tun über technische Lösungen, also IT-Security-Lösungen, aber ich Ich muss auch meine Mitarbeiter, mich selber als Steuerberater, entsprechend
auch einstellen Ich brauche das sogenannte Awareness.
Ich muss mir bewusst sein, jede E-Mail, die kommen kann, kann auch eine falsche E-Mail sein. Und das sind die Dinge, die bringt man im Bereich der Cybersecurity einfach als Risiko ins Bewusstsein. Was sind solche Lösungen? Zum Beispiel video-gestützte Trainings. Mit denen kann ich praktisch meine Mitarbeiter jährlich einmal schulen, um das Bewusstsein einfach wieder mal zu erhöhen. Es gibt sogar Anbieter, die machen dann nichts anderes, als genau solche Fake-Mails zu schicken an Unternehmen und zu gucken, wer darauf reagiert.
Sebastian Thalhammer: Ja.
Steffen Müller: dementsprechend einfach zu gucken, ist in der Firma eine Awareness da? Also ist jedem Mitarbeiter bewusst, dass ich praktisch eine falsche E-Mail bekommen habe?
Oder meldet es mir sogar jemand und sagt, hey, ich habe eine falsche E-Mail, was soll ich damit tun? Und das sind solche Schulungen, die findet man in ganzer Breite vor allem sagen wir in den größeren mittelständischen Betrieben, so mehrere hundert Mitarbeiter. Und solche Themen sind natürlich auch in Steuerkanzleien sehr wichtig. Weil der Schaden ist relativ groß, weil wir haben es hier einfach mit sehr sensiblen Daten zu tun. Sehr, sagen wir, Dinge auch, die nicht für die Öffentlichkeit geeignet sind. Es gibt immer einen Unternehmer in der Notlage und wenn der rauskommt, der steht kurz vor der Pleite. Und das kommt aus einer E-Mail die beim Steuerberater abhanden kam, weil sie gehackt wurde. Problematisch für die Kanzlei, unter Umständen für das Unternehmen. Solche Fälle sind durchaus bekannt. Also ich kann mich daran erinnern, dass solche Themen in Deutschland passiert sind. Da ging es um Unternehmen, die dann im Bereich Liquidität Probleme hatten und da gab es dann auch richtig Ärger.
Solche Dinge passieren leider und da kann man sehr viel dagegen tun. Also Stichwort RWS.
Sebastian Thalhammer: Ja, vielleicht an der Stelle darf ich doch da reinhacken weil es ist ganz, ganz wichtig. Da würde ich gerne noch reingreifen in das Thema Awareness weil hier... Und du hast komplett recht, wenn mal der Schaden passiert. Ich sehe eigentlich einen größeren Schaden nicht nur darin dass Daten an die Öffentlichkeit gelangen, die nicht dorthin sollen, aber es ist ja letzten Endes der ultimative Vertrauensverlust und den wirst du nicht mehr reparieren können und dann verlierst du vermutlich die ganze Grundlage deiner Kanzlei weil das ist quasi der...
Der Klebstoff der das alles zusammenhält, dieses Vertrauensverhältnis. Aber weil du sagst Awareness und da kommt bei mir sofort eigentlich Folgendes immer wenn ich mit Steuerberatern das Thema anstreife, zum Beispiel im Leadership Circle oder beim Think Tank, dann höre ich dann so Dinge wie, ja, das ist kein Problem, weil wir haben ja die Server, das wird da top gewartet und wir haben Backups.
Und ich höre da oft einfach so diese Falschigkeit Man wählt sich in einer vermeintlichen Sicherheit und vielleicht erzähl mal du drüber was es denn mit diesen Backups auf sich hat und wie das denn in der Realität oft gespielt wird, weil ich glaube dann relativiert sich bei vielen diese falsche Sicherheit mit, ich habe ja Backups und mir kann nichts passieren.
Wie läuft es denn wirklich ab?
Steffen Müller: Tja, also das hat in der Psychologie sogar einen Begriff, das ist die berühmte Flucht ins Tooling. Das heißt, wenn ich als Mensch nicht weiter weiß, gehe ich her und beschaffe mir ein neues Tool und noch was und noch was Wie eine Versicherung zur Versicherung zur Versicherung. In der Praxis sieht es dann wie aus, wenn mal sowas verschlüsselt wurde, wunderbar, ich habe ein Backup. Nur dummerweise sind oftmals die Backup-Server dann auch mit verschlüsselt weil die nicht in getrennte Netze zum Beispiel sind, also von der technischen Seite her nicht abgesichert. Es müsste eigentlich mehrfach Backups sein. Da gibt es einfach Prozeduren Und das beherrschen nur wenige. Das tun in der Regel Großunternehmen, große Mittelständler die entsprechende IT-Abteilung haben. Der Dienstleister von der grünen Wiese hat solche Kenntnisse in der Regel relativ wenig, beziehungsweise wenn es wirklich gute sind, da können ja auch einige mit denen zusammenarbeiten, denen ist das bewusst. Die bringen solche Dinge auch in Ansatz, nur wird es in der Regel nicht implementiert weil die Kosten zahlt der Kunde nicht.
Und das, was passiert, sind trügerische Sicherheiten. Es geht nicht nur ums Backup, es geht wirklich daran, dass wir heute viele externe Systeme haben. Das heißt, es läuft schon gar nicht mehr in der Kanzlei, es läuft irgendwo in einem Rechenzentrum. Das tun ja moderne Softwareanbieter. Beispielsweise Deutschland hat die DATEV, das ist die Steuerberaterorganisation für die IT.
Dort laufen praktisch alle Viele Kanzlei-Systeme heute, wenn dort was passiert, dann ist es richtig schmerzhaft. Das heißt, ich muss verschiedene Strategien fahren, um praktisch diesen Schadensfall nicht eintreten zu lassen. Und das ist nicht bloß mit Backup gemacht. Da muss erst mal dazu schauen, dass gar keiner rankommt an die Systeme.
Und das war das, was ich eingangs sagte, ich muss Awareness zeigen, was darf ich tun, was darf ich nicht tun. Und das ist in der Praxis das Schwierige, weil man macht es sich einfach, wie soll ich sagen, als Mensch auch mal ganz prozessoptimiert. Jo, ich habe jetzt hier ein neues Tool, mein IT-Leute das Vertrauen sagt, hey, das hilft gegenüber alles und in der Praxis wird es dann eben so nicht passen.
Sebastian Thalhammer: Das heißt, das waren schon mal zwei wichtige Schritte, vielleicht auch da, wie kann man sich denn als Steuerberatungskanzlei da selbst etwas mehr auf den Zahn fühlen und was sind weitere Dinge, auch wie den Prozess, den du angestoßen hast, wie du das durchgehst, eben mal die Sicherheit von außen zu betrachten, dann die Awareness, wie geht es dann weiter?
Steffen Müller: Gut, in der Regel entsteht eine Risikotabelle, diese Risikotabelle hat dann praktisch verschiedene Risikoarten, also zum Beispiel gerade Rufschädigungen Intellectual Property, Financial Damage und so weiter, also alles wie die Schaden entstehen können und vor allem auch in der Regel eine Ziffer wie hoch das Schadensereignis sein kann.
Da gibt es so einheitliche Rechengrößen, das bringt man in Ansatz entweder über einen kleinen Steuerberater, der mit Kanzlei mit drei Mitarbeitern der hat ganz andere Risiken wie jetzt zum Beispiel eine größere Kanzlei mit 50 bis 100 Mitarbeitern Das kann man im Umsatz festmachen und dementsprechend sagen, ein Schadensfall geht von bis. Und wenn man diese Risiken kennt, kann man daran arbeiten. Und genau darum geht es, wie minimiere ich Risiken Das ist Cyber Security. So, das kann eine technische Lösung sein, dass ich zum Beispiel sage, okay, ich schule meine Mitarbeiter, mache solche Lernvideos Das kann eine Lösung sein, wie ich brauche eine andere Antiviren-Software.
Das kann eine Lösung sein, wie ich muss im Haus etwas tun. Aber in der Regel geht es in erster Linie um das Bewusstsein der Mitarbeiter, hey, auch ich bin ein Risiko, obwohl ich es nicht sein will. Deswegen muss ich bewusst etwas tun. Und wie oft in der Praxis klickt man halt auf eine E-Mail und denkt, naja, kenne ich schon den Empfänger, hinterfragt aber nicht. Was wirklich dasteht ob das wirklich eine authentische E-Mail ist. Und das sind so Themen, das ist ein Stück weit ein Kulturwechsel, Kulturwandel. Da geht es hochrangig um Bewusstsein und das sind die Ansatzpunkte wo wir in Regel loslegen. So und dann geht es einfach oftmals in technische, oftmals in Prozesse, oftmals in Trainings und praktisch Eine ganzzeitige betreuung das geht auch nicht von heute auf morgen sondern wir betreuen unsere klienten die wir da haben über längere zeiträume hinweg schauen uns das an was wurde nach einem halben jahr was wurde nach einem jahr einfach um zu gucken hey hat sich der wandel vollzogen gibt es noch baustellen gibt es ganz neue baustellen zum beispiel umzug von der kanzlei in der alten kanzlei war alles sauber eingerichtet In der Neuen hat man was vergessen, dann schaut man sich das Ganze nochmal an stellt dann fest, okay, ihr habt neue Risiken und dann muss man an denen arbeiten. Also so läuft das in der Regel bei uns ab. Wir sind nicht bloß Steuerberater, wir haben es auch sehr viel in der Praxis zu tun mit Automobilern, Zulieferern, Maschinenbauer, teilweise große Handwerksunternehmen. Es sind aber alle Dinge letztendlich Sehr ähnlich gelagert, das Medium ist ein anderes, aber es geht letztendlich auch nicht anders ob ich jetzt Konstruktionszeichnungen von der Elektronik eines Fahrzeugs habe oder Kanzleidaten, das sind Daten und wenn die mal auf die falschen Wege kommen, dann haben wir ein großes Problem.
Sebastian Thalhammer: Wenn du mit den steuerberatern arbeitest wie wie schätzt du da das Risiko-Bewusstsein ein, weil vielfach höre ich ja auch trotzdem, naja, dafür sind wir zu klein oder das passiert uns nicht und ich glaube, das Problem ist ja auch, denen es passiert, die werden ja nicht Werbung damit machen, dass sie gehackt wurden, also ich glaube, die Dunkelziffer ist um einiges höher.
Als das was wir tatsächlich wissen wer opfer einer attacke wurde ich glaube da geht man ja und so also das weiß ich ja auch von einem rechtsanwalt von ernst yang den ich bei der text konferenz der gesprochen hat der bei großen firmen gesagt hat da gibt es ein budget weil wie läuft das ab es wird verschlüsselt man es hat einen mal wieder erwischt dann heißt bitte betrag x in form von crypto oder was auch immer an sowieso und dann bekommst du es wieder zurück transaktion danke erledigt und Das spiel kann weitergehen also das ist ja etwas was man möglichst schnell erledigt haben möchte und dann nicht auf social media postet habe wurden wieder gehackt ich glaube aber da entsteht bei vielen so der eindruck es passiert einem nicht man wäre zu klein so unwichtig zu was auch immer du stehst auf der anderen seite des zauns ich glaube du kannst das etwas praxis nachher beurteilen wie valide ist denn das argument gerade bei steuerberaten dass man zu klein so unwichtig wäre um quasi Gar nicht beachtet zu werden in so einer Hinsicht.
Steffen Müller: Na wie soll ich sagen Aus der Erfahrung mit Steuerberatern und ich tue sie auf verschiedene Ebenen, zum einen habe ich selbst Steuerberater, zum anderen in meinem persönlichen Umfeld kenne ich Steuerberater, die haben in aller Regel ein sehr gutes Risikobewusstsein, allerdings auf einer falschen Ebene.
Die kennen ihre steuerlichen Risiken, Haftungsrisiken, das sind ja auch solche Risiken über die wir praktisch in der IT reden oder in der Cyber Security, aber es gibt dieses zugleich nicht. Das fängt eigentlich schon daheim an, wenn ich daheim arbeite. Homeoffice, ganz klassisch. Wer sitzt da alles im Netzwerk?
Das heißt, ich muss dort anfangen, bereits abzudichten, herzugehen wenn ich praktisch von daheim arbeite, mein Netz daheim etwas abzusichern, bzw. das Notebook das ich da nehme für das Homeoffice, um
Sebastian Thalhammer: Vielen Dank.
Steffen Müller: die Sicherheit dort anzusetzen. Zu klein gibt es nicht. Das merkt man erst, wenn der Schadensfall eingetreten ist. Ich kannte die in der Vergangenheit aus anderer Sicht. Ich hatte früher viel mit Handwerkern auch zu tun. Und da haben die durchaus so, ja ich bin so klein, das ist nicht interessant. Da geht es sogar um so Themen wie, die Tür ist nicht abgeschlossen, da kann jeder rein, die Rechner sind nicht gelockt und solche Dinge. Das kenne ich zuhauf, aber einen zu kleinen gibt es nicht. Jeder ist angreifbar. Und selbst wenn nur ein Wettbewerber sich irgendwo mal reinschlägt und guckt, hey, was macht denn der, hat der andere schon einen Vorteil. Sind auch passiert, also ich habe das selber zufällig gehabt, es war dann wirklich so physikalisch, es passiert leider dass so ein kleiner Bauunternehmer mit fünf Mitarbeitern seinen Rechner nicht abschließt das Büro nicht abschließt und Der Mitbewerber weiß das, wartet bis die anderen draußen sind, geht rein, guckt es sich an, bekommt Kalkulationsgrundlagen.
So Fälle sind mir bekannt, hatte ich sogar. Und in der Regel lernen es die meisten erst über einen Schadensfall. Leider.
Sebastian Thalhammer: Der übersteigt dann meistens auch wirklich vieles also ich sehe wirklich gerade jetzt in dem fall also kalkulationsgrundlagen ist das eine aber natürlich sensible daten sowie du gesagt dass vertrauensverlust reputationsverlust ja und letzten es auch speziell steuerberatung wenn die mühle steht für einen tag 23 mitarbeiter nicht produktiv arbeiten können mandaten nicht Daten liefern können, also sprich die gesamte Geschäftsgrundlage zum Erliegen bekommt, da rennt der Zähler in jeder Minute in unfassbarer Geschwindigkeit.
Das heißt, die Sicherheits-Awareness ist das eine oder den Fokus auch auf diese Dinge zu legen, das ist das. Natürlich auch technologische Grundvoraussetzungen schaffen, da vielleicht an der Stelle würde mich interessieren weil da gibt es auch Ich würde sagen, Glaubenskriege darüber, Server in-house oder Server über einen IT-Dienstleister oder alles in die Cloud, wie würdest du denn diese Frage betrachten, aus welchen Gesichtspunkten siehst du dir denn das an, auch aus dem Aspekt der Cyber Security?
Steffen Müller: Wie soll ich sagen, diese Diskussion mit Cloud-Digitalisierung führe ich seit, wann habe ich angefangen mit Cloud-Systemen zu arbeiten, irgendwann 2010 rum, also knappe 15 Jahre führe solche Diskussionen und da gibt es nicht die Lösung. Lösungsmöglichkeiten sind einfach, ich muss teilweise heute in die Cloud gehen, weil es keine Alternativen gibt. Rein Inhouse, also On-Premise zu haben, ist oftmals auch keine Lösung, weil ich brauche ja letztendlich einen Unterhalt für den Server. Das heißt, Sicherheitslücken tauchen auf. Ich brauche jemanden, der das dann patcht wie man das nennt also sprich Updates installiert Und was da passieren kann, naja, da nenne ich jetzt zwei Beispiele. Neulich stand ja der halbe Luftverkehr, das war eine große Störung, die bei Microsoft angefangen hat. Passiert ist folgendes, die Firma CrowdStrike hat ein Update für ihre Virenscanner ausgeliefert und damit neun Millionen PCs kurz mal stillgelegt und der halbe Luftverkehr in Europa bzw. USA. So, das ist natürlich ein großer Nachteil der Cloud, der große Vorteil Wenn das alles funktioniert und es tut es überwiegend, sagt auch meine Erfahrung, ich mache da sehr viel in solchen Bereichen, dann ist das natürlich von der Security her optimal, weil ich habe keine Aufwände.
Das macht mein Cloud-Betreiber. Oftmals rate ich meinen Kunden zu einer hybriden Strategie. Und da gucken wir, welche Daten wo sein müssen, was macht Sinn selber zu betreiben, was macht Sinn außer Haus zu geben. Und vor allem auch wo außer Haus. Es ist ein Unterschied, ob ich jetzt Daten in Europa hoste oder ob die Südostasien oder USA sind. Manchmal darf es sogar gar nicht in die Richtung bringen. Das sind so Dinge, das muss man sich im Einzelfall angucken. Aber die Lösung gibt es nicht. Da bin ich völlig von Dogmen befreit, Schmerz befreit was das angeht. Wir suchen immer die beste Lösung. Manchmal liegt es in der Cloud, manchmal ist es hybrid, also ich habe einen Teil lokal, ich habe einen Teil in der Cloud und manchmal on-premise also sprich bei mir im eigenen Rechenzentrum bzw.
im eigenen Serverraum. Und meistens läuft es eigentlich auf so kombinierte Lösungen raus, sprich einen Teil der Daten habe ich bei mir, einen Teil kann ich über eine Lösung in der Cloud z.B. verschlüsselt lagern Das schaut man sich im Einzelfall an. Auch eine Risikobetrachtung. Wo parke ich meine Daten? Steuerberater-Software ist heute hochgradig. Aus Cloud-Betrieben wenig nur noch sage ich mal On-Premise. habe da auch schon solche Dinge mitbekommen. Gerade beim Steuerberater, der mir im privaten Bereich bekannt ist. Relativ kleine Kanzlei. Er ist älter. Seine Mitarbeiter schon seit vielen Jahren, die gehen sogar her und es ist kein Witz was ich jetzt sage, eine Mitarbeiterin hat gedroht wenn er das in die Cloud legt was er da macht, dann kündigt sie.
Sebastian Thalhammer: Hm?
Steffen Müller: auch Sachen der Kultur, des Mindsets und wenn man sowas hört, dann ist man natürlich in der ersten Linie auch mal ungläubig dass es sowas geben kann. Was ist der Unterschied? Cloud und Premise merkt es in der Regel noch nicht einmal. Und solche Themen sind natürlich, sag ich mal, hochgradig problematisch wenn man es einfach pauschalisiert etwas ablehnt.
Und das ist so ein Thema, da ist man in, sag ich mal, gewissen Altersstrukturen auch drin, wo durchaus viele Kanzleien heute sind. Also Inhaber 50, 60, so um den Dreh rum, ich gehe bald in den Ruhestand Möchte auch nicht mehr groß investieren,
Sebastian Thalhammer: Mhm.
Steffen Müller: ich möchte trotzdem eine gewisse Sicherheit haben. Und da kommt man genau auf solche Themen, wie ich es jetzt geschildert habe raus. Da muss man sehr viel auf menschlicher Basis arbeiten und sagen, hey, das ist nicht so. Leider sind auch manche völlig unbelehrbar und dann passiert auch in der Praxis eben gar nichts.
Sebastian Thalhammer: Ich glaube, es ist ja so, wie du sagst speziell bei diesen nicht greifbaren Dingen, es ist ja wie mit der Prophylaxe bei der eigenen Gesundheit. Wenn es einen dann erwischt mit einer Krebsdiagnose, dann wäre man bereit gewesen, die zehn Jahre davor sich gesünder zu ernähren oder was auch immer. Aber es braucht halt Prophylaxe Vielen diesen schlag ins gesicht auch in diesem bereich selber security und ich habe man unterschätzt einfach auch die möglichkeiten die die jemanden zur verfügung stellen mit der richtigen kriminellen energie und ich glaube man überschätzt was notwendig ist um einen entsprechenden angriff zu wagen ich glaube sowieso wie du das heute gesagt dass das problem ist ja nicht du kannst 17 firewalls und sicherheits security geschichten haben Ein bestes Beispiel bei mir, als ich auf Reisen war, vor vielen, vielen Jahren war ich in einem Hostel drinnen, das hatte an drei Stellen Zugangskarten, wo du durchgehen musstest nur durchkaufst mit der Karte.
Was ist passiert letzten Endes Ich war da in einem Zehn-Mann-Dorm und dann klopft jemand an der Tür, weil die Karte nicht funktioniert, er klopft an. Ich im Hostel natürlich öffne die Tür, ja, zwei Stunden später, ich war weg und als ich zurückkam, war auch mein Rucksack weg, weil ich dem Dieb die Tür öffnete und rückwirkend haben wir dann herausgefunden, der hat einfach nur gewartet bei diesen Zugangspunkten bis andere durchgingen er ging mit und ich am Schluss habe ihm dann die finale Tür geöffnet zu meinem Rucksack Und ich glaube, das ist einfach ein einfaches Beispiel, weil genauso läuft es ja in der Praxis auch viel eher ab.
Das ist jetzt nicht immer fancy Hacking wie bei Passwort Swordfish, wo da keine Ahnung, was da alles gemacht wird, Hollywood glorifiziert. Das läuft ja in der Regel auch deutlich unspektakulärer ab. So wie du gesagt hast, eine E-Mail, unscheinbar, Klicks, eigentlich ist es schon passiert und du merkst nichts davon.
Und vielleicht hier an der Stelle, was rätst du denn Kanzleien, die hier sicherlich schon was gemacht haben, aber die auch merken das wird zunehmend ein Thema, wie kann man denn hier beginnen, weitere Schritte zu gehen, was ist denn da in deiner Erfahrung nach sinnvoll, welche Gedanken sollte ich mir da machen?
Steffen Müller: Ich habe es viel auch mit größeren Unternehmen zu tun und da gibt es mittlerweile Industrienormen Beispielsweise die ISO 62443, die ISO 27001 Das ist alles sehr sehr stark und schwergewichtig, aber sie enthalten sehr wichtige Grundgedanken. Und diese Grundgedanken habe ich in einem Konzept immer runter gestrippt, wie man das so schön nennt Also sprich die Basics the best of und das gebe ich dann weiter zum Implementieren.
Das heißt, die Steuerberater können dann hergehen zum Beispiel und sagen, okay, ich muss meine Kanzleistruktur ein bisschen umstellen, dass zum Beispiel gerade sowas nicht passiert Dass ein Mitarbeiter ganz alleine in der Kanzlei dasteht oder beispielsweise, dass Publikumsverkehr wirklich bis in die Büros reingeht, sondern dass jegliches Publikum das reinkommt einfach im Besprechungsraum ist und gar keinen Zugang hat zu den eigentlichen Kanzleiräumen, dort wo die Daten verarbeitet werden.
Das sind solche Dinge, die stehen auch in den Normen so drin. wenn man so eine Liste abarbeitet dann hat man glaube ich sehr viel gewonnen. Und das sind einfache Dinge oftmals. Da muss man nicht große Summen investieren. Es gibt wie gesagt, den physikalischen Angriffsweg. Also sprich ich gehe her und versuche einfach in die Kanzlei einzudringen. Ich versuche mich reinzumogeln, zum Beispiel als Handwerker. Solche Dinge habe ich auch schon gemacht im Kundenauftrag bei Rechenzentren Mogel dich mal ins Rechenzentrum und versuche so ein Rechenzentrum einfach zu infiltrieren. sind Erfahrungen, die man gemacht hat. Das passiert eher dann bei größeren Unternehmen, weil die kleine Kanzlei um die Ecke mit drei Mitarbeitern, die kennen vielleicht ihre Handwerker die sie holen, da kommt es eher weniger vor.
Aber es kann durchaus sein, es versucht jemand einzudringen. Das sind solche Themen, das kann ich relativ einfach. kann aber auch einfach hergehen, zum Beispiel diese physikalischen Angriffe. Die dann auf der technischen Ebene stattfinden, also sprich jemand versucht wirklich mir das System zu hacken über die Schwachstelle Mensch beispielsweise man dann Man-In-The-Middle-Attack klassischer Anruf, Microsoft Helpdesk ich muss Ihnen jetzt hier an der Stelle Updates ausspielen, da fallen sehr viele immer noch drauf rein, nicht bloß Privatpersonen es passiert leider so, dass solche Sagen wir eher mittelständisch geprägten Unternehmen, dass man das einfach mal kurz macht.
Der Chef ist nicht erreichbar, ja, ich gebe mich als IT-Systemhaus auf, ist vielleicht sogar auch das Systemhaus, das der Steuerberater normal hat, aber in Wirklichkeit sitzt jemand anders da. Also das heißt, dort an der Stelle geht es um Vertrauen und Vertrauen darf ich da keins haben, das nennt sich Zero Trust. Also sprich ich kann eigentlich nicht mal mir selber vertrauen ich muss praktisch immer meine schritte hinterfragen und das ist so sage ich mal der kulturwandel der sie bei vielen noch nicht ganz so vollzogen hat weil dieses klassische hacking ja das wird gemacht die schadenswahrscheinlichkeit oder der schadens eintritt ist sogar eher gering weil viele haben heut fertige lösungen Und da muss schon groß was passieren, dass beim Anbieter, zum Beispiel von Firewall, eine große Lücke drin wäre, die tatsächlich angegriffen wird und solche Massenphänomene, die sind eher selten.
Also gab es mal Deutsche Telekom, da wurde über ein offenes Protokoll zig hunderttausende Router durch einen Hackerangriff vom Netz genommen und die entsprechenden Nutzer hatten hinterher praktisch Internet, teilweise tagelang. Solche Dinge passieren immer wieder. Ist übrigens auch in Österreich nicht so ganz trivial.
Also ich bin Kunde beim regionalen Netzanbieter und wenn ich mir das angucke, die Bedienoberfläche, wunderbar. Ich kann von außen alles am Bruder verstellen über eine Internetoberfläche, aber das möchte ich gar nicht, weil wenn es da eine Lücke gibt, kann mir praktisch jeder an mein Netz ran. Und sich praktisch Zugang verschaffe auf bestimmte Ebenen.
Sebastian Thalhammer: Mh.
Steffen Müller: muss man gucken einfach, wo sind die Angriffsvektoren, wen lasse ich zu, wen lasse ich auch Service machen, das meiste passiert heute remote, aber es muss in der Regel auch immer ein Vier-Augen-Prinzip sein. Da muss es einen Auftrag geben, die Mitarbeiter müssen informiert sein, Und dann muss das praktisch per Kommunikation abgesprochen sein, so ich arbeite jetzt in einem System.
Und das sind solche Dinge, die macht man praktisch in diesen Normstrukturen, die ich vorher mal genannt hatte, also 27001, 62443, da sind solche Grundsätze drin. Wenn man die im Kleinen für sich lebt, hat man schon sehr, sehr viel Sicherheit gewonnen. Und dann muss man auch nicht die großen technischen Invest machen, die sagen, na gut, ich brauche eine Firewall für 15.000 Euro oder sonst was.
Nein, das sind einfache Dinge. Übrigens auch ein gutes Thema, die technische Lösung. Heute wird kaum noch gekauft. Heute wird viel gemietet. Einfach um das Thema technischer Alterung, Lebenszyklen zu umgehen. Das heißt, als Kanzlei gehe ich heute her und gehe gar nicht mehr her und kaufe mir das Zeug Material, das nach drei Jahren veraltet ist, sondern ich lasse es praktisch in der Miete Bisschen teurer aber ich bekomme alle paar Jahre ein neues Produkt und das nimmt mir nämlich wiederum auch Arbeit ab weil da muss ich nicht dran denken nach drei Jahren Mensch mein Gerät ist alt ich muss wieder zum IT Händler sagen ey mach mir ein neues rein sondern ich mache das praktisch als Service und gehe dann praktisch her und lasse mir solche Dinge mietweise rein macht man auch bei der Software um einfach gewisse Lebenszyklus-Themen, also sprich Software altert ja, einfach von vornherein auszuschließen.
Sebastian Thalhammer: Ja, und gerade, ich glaube, so alle fünf Jahre oder was, steht ja meistens ein Server-Upgrade an oder je nachdem, wie das gehandhabt wird bei den Kanzleien. Und das wird ja auch in immer größerer Aufwand technischer Natur, auch vom Risiko her, wo du sagst, wenn beim Upgrade was passieren kann, immer was, das sind immer höchst heikle Abläufe.
Und ich sehe den Trend auch mehr dahingehend wo du sagst okay, At the end of the day, auch um diese ganzen Vorteile zu nutzen, Cybersecurity, Hardware, Softwareaktualität, das Thema einfach auszulagern, wird es langfristig für viele wahrscheinlich einfach hier ein Umdenken notwendig sein und speziell auch bei den Dingen, die ja auch vor uns stehen Oder fällt uns jetzt die Zeit da tiefer rein zu gehen in das ganze KI-gestützte Hacking, Stimmmodulation, Deepfake-Videos wo du dann wirklich, wirklich, wirklich dir schon was überlegen musst, woher du dann sicherstellen kannst, ob die Person gegenüber auch wirklich die Person ist und da gab es ja auch schon Fälle, wo mit der Stimme des Geschäftsführers die Assistentin beauftragt wurde, Millionenbeträge zu überweisen und die hat das dann natürlich gemacht, weil Sie hat ja die stimme gehört da glaube ich überschätzen wir uns selbst in unserer fähigkeit das zu erkennen wenn es uns passiert wäre es nicht so würde der nigerianische prinzen seine e mails auch schon lange keinen erfolg mehr feiern und das ist auch eine branche die ich glaube ich mehr boomt als vieles andere zumindest was ich so gesehen habe reportagen also das thema wird uns nicht verlassen sondern er mehr und mehr begleiten Abschließend möchte ich sagen, Steffen, du hast jetzt von einer Liste gesprochen, da gibt es quasi, das hast du runtergebrochen auf die wesentlichen Punkte, wie kommt man zu dieser Liste oder wie kommt man am besten zu dir, was wären da die nächsten möglichen Schritte?
Steffen Müller: Also, das an der Stelle ganz einfach, unter bridge.enterprises nachschauen, da sind die Kontaktdaten drin, mich kontaktieren Dann gibt es ein Erstgespräch wo man sich einfach auch kennenlernt passt es überhaupt, weil ich auch nicht jeden, der anfragt bedienen kann. Manchmal möchte man auch jemanden nicht bedienen weil einfach die Chemie nicht stimmt. Und dann gibt es eine Risikoanalyse die dauert wenige Stunden. Aufgrund dieser Analyse gibt es dann die Handlungsempfehlungen, das steht dann zum Beispiel in dieser Liste bei Bedarf können wir unterstützen, beziehungsweise auch ich kann nicht alles alleine machen. Ich bin kein klassisches Systemhaus, das heißt Server oder so verkaufen wir nicht. habe ich aber entsprechende Systemhäuser bei mir, mit denen ich zusammenarbeite wo ich auch weiß, die können das. Die sind auf solche Themen auch spezialisiert und das bringt man dann letztendlich mit rein.
Sebastian Thalhammer: Sehr wohl also kontakte zu dir und wie man zu deinem unternehmen kommt wie immer findet man dann rund um dieses video herum und ja Bridge Enterprise oder Bridge Cyber Security, so findet man dich und ja, ich glaube, das ist ein spannendes Thema, das einfach auch hier deutlich mehr Beachtung erfordert, speziell in einer immer digitalisierenden, digitaler werdenden Welt und da ist es gut, die richtigen Leute an der Seite zu haben.
Also danke dir für deine Zeit und deine Ausführungen, die du uns da gegeben hast, um ein bisschen Licht ins Dunkel zu bringen, was das Thema auf sich hat.
Steffen Müller: Und ich danke für die Einladung, hat mir irre Spaß gemacht, einfach mache ich das auch sehr gerne, solche Dinge aufzuklären Klarheiten zu schaffen und vielleicht Leute einfach dazu auch zu motivieren Ihre Position zu überdenken und neue Wege zu gehen.