Als Kanzleimitarbeiter kennen Sie vom Anbieter Ihrer Rechnungswesen-Software die zusätzlichen Systeme zur Authentifizierung. Bei DATEV sind das zum Beispiel SmartLogin oder die SmartCard. Das mag manchmal etwas nervig erscheinen, ist jedoch sinnvoll, weil ein Zugang nur mit E-Mail-Adresse und Passwort alleine zu unsicher ist. Zu leicht gelangen die Login-Daten in falsche Hände. Daher ist ein zusätzlicher Faktor bei der Authentisierung erforderlich und absolut ratsam.
Über den lexoffice-Steuerberater-Zugang haben Sie potenziell Zugriff auf die Buchhaltung Ihrer Mandanten. Im ersten Quartal 2024 führen wir bei Steuerberater-Accounts daher die 2-Faktor-Authentifizierzung ein. Nicht sofort, sondern innerhalb von 14 Tagen ist es dann erforderlich, dass Sie das einrichten. Doch warum?
Phishing - ein großes Problem
Das Jahr 2023 war geprägt von Phishing-Mails.
Anzahl der entdeckten Phishing-Webseiten von Januar 2015 bis Juni 2023 [Graph], APWG, 7. November, 2023.
Statista meldet: im Juni 2023 wurden 306.847 Phishing-Webseiten weltweit entdeckt. Egal ob bei Banken, Versicherungen oder Online-Shops, von so gut wie allen relevanten Anbieter erhielten Software-Anwender - egal ob Kunde oder nicht - dubiose Emails mit der Aufforderung, sich einzuloggen.
Anwender, die darin keine Phishing-Mail erkannt haben, haben sich dann auf einer fremden Seite mit ihren normalen Zugangsdaten (E-Mail-Adresse & Passwort) eingeloggt. Diese Seite sieht in der Regel 1:1 so aus, wie die Original-Login-Seite eines Anbieters. Die Zugangsdaten sind damit Dritten unwissentlich weiter gegeben.
Phishing bedeutet nicht, dass ein System gehackt wurde. Es bedeutet, dass ein oder mehrere Anwender unwissentlich auf dubiose E-Mails hereingefallen sind und ihre Zugangsdaten (E-Mail & Passwort) unbekannten Dritten zugänglich gemacht haben, und diese nutzen das aus.
Viel besserer Schutz mit der Multi-Faktor-Authentisierung
Dritte könnten sich mit E-Mail-Adresse und Passwort nicht einloggen, wenn z.B. die 2-Faktor-Authentisierung aktiviert ist. Das ist aber leider bei zu vielen Anwendern nicht der Fall. Daher möchten wir unsere Steuerberater:innen dazu bringen, die 2-Faktor-Authentisierung künftig zu nutzen. Wir werden 2FA in 2024 bei Steuerberater-Accounts verpflichtend einführen.
Muss ich dann jedes Mal beim Login den 2FA-Code eingeben?
Nein, die Erst-Einrichtung ist in 2 Minuten erledigt und Sie können die 2FA auch so einstellen, dass über ein Cookie auf dem Rechner die 2FA für 90 Tage nicht abgefragt wird.
Wir teilen in der Kanzlei einen lexoffice-Zugang, daher funktioniert das mit 2FA nicht.
Doch es geht auch dann. Die Einrichtung ist etwas komplizierter, aber das funktioniert auch. In diesem Beitrag erklären wir Ihnen Schritt-für-Schritt, wie das funktioniert.
Das Teilen von Zugangsdaten ist ein Sicherheits-Problem. Wir empfehlen für jeden Mitarbeiter einen eigenen lexoffice-Steuerberater-Zugang anzulegen.
Was passiert, wenn ich in den Account muss, aber an den 2FA-Code nicht rankomme?
Dan wenden Sie sich an unseren Support. Gemeinsam schaffen wir das. Natürlich müssen Sie sich gegenüber unserem Support authentifizieren.
Muss das sein?
Auf der einen Seite steht die Bequemlichkeit und Einfachheit, auf der anderen Seite die Sicherheit. Rein aus Bequemlichkeit werden zu viele Steuerberater:innen auf die 2FA verzichten, daher müssen wir das forcieren. Die 2FA-Konfiguration ist bei uns so einfach, das bemerken Sie (fast) gar nicht. Und damit haben Sie bessere Sicherheit und Komfort.
Wir sind uns sicher: langfristig gedacht ist das die einzig richtige Vorgehensweise.
Bietet 2FA einen 100%-Schutz
Leider Nein. Eine hundertprozentige Sicherheit kann auch die Zwei-Wege-Authentifizierung nicht bieten. Sie kann den Schutz der eigenen Daten beim Online-Banking, auf Social-Media-Plattformen und bei anderen Diensten jedoch wesentlich erhöhen (siehe auch Hinweise des BSI).
Drei wichtige Ratschläge an Sie von unserem IT-Security-Experten
Nutzen Sie 2FA bei allen wichtigen Systemen wie Amazon, ebay, Zalando, Facebook, Instagram, lexoffice, X (ehemals Twitter) und Co.
Verwenden Sie für jeden Dienst ein eigenes, starkes Passwort. Sollte für einen Dienst Ihr Passwort an Dritte gelangen, dann ändern Sie einfach dieses eine Passwort. Die Passwörter sollten aus Zufallsbuchstaben, Zahlen und Sonderzeichen vestehen und mindestens die Länge von 12 Zeichen haben. Ein Hacker versucht mit Ihrer E-Mail-Adresse und dem Passwort in weitere Online-Dienste einzudringen und Schaden anzurichten. Daher nutzen Sie unbedingt für wichtige Dienste unterschiedliche Passwörter. Mit einem Passwort für alle Dienste machen Sie es einem Hacker sehr einfach.
Überprüfen Sie über haveibeenpwned, ob Ihre E-Mail-Adresse (inkl. Passwort) auf öffentlichen Listen zu finden ist. Wenn ja, sehen Sie dort die gelisteten Dienste und Sie sollten die Passwörter dieser Dienste zeitnah ändern, natürlich dann auch in Diensten, bei denen Sie die gleiche Kombination E-Mail-Adresse & Passwort verwenden.