Zwei-Faktor-Authentifizierung: Leitfaden für die Buchhaltung

Warum Zwei-Faktor-Authentifizierung in der Finanzbuchhaltung unverzichtbar ist

Steuerberatungskanzleien verarbeiten täglich hochgradig vertrauliche Finanzdaten: Steuererklärungen, Bilanzen, Gehaltsabrechnung, Bankkoordinaten von Hunderten von Kundenunternehmen. Im Jahr 2025 sind nach dem Jahresbericht der ANSSI Phishing-Angriffe gegen reglementierten Berufe um 37 % in einem Jahr gestiegen. Angesichts dieser Bedrohung stellt die Zwei-Faktor-Authentifizierung (2FA) — auch Multifaktor-Authentifizierung (MFA) genannt — die erste empfohlene Verteidigungslinie dar.

Die Zwei-Faktor-Authentifizierung basiert auf einem einfachen Prinzip: Um auf ein System zuzugreifen, muss der Benutzer seine Identität durch zwei unterschiedliche Elemente nachweisen. Das erste ist normalerweise „etwas, das man weiß" (ein Passwort), das zweite ist „etwas, das man besitzt" (ein Smartphone, ein physischer Schlüssel) oder „etwas, das man ist" (biometrische Daten). Dieser Mechanismus macht Angriffe durch einfachen Passwortdiebstahl nahezu unmöglich, die nach dem Verizon DBIR 2024-Bericht immer noch 81 % der Datenverletzungen ausmachen.

Für Steuerberater ist die Einhaltung der eIDAS-Verordnung und ihre Anforderungen an starke Identifizierung nicht mehr optional: Es ist eine regulatorische und ethische Notwendigkeit. Dieser Artikel erklärt Ihnen Schritt für Schritt, wie Sie 2FA in Ihrer Kanzlei konfigurieren, welche Tools Sie wählen und wie Sie Ihre Mitarbeiter in diesem Übergang unterstützen.

---

Zwei-Faktor-Authentifizierungsmethoden, die für den Buchhaltungssektor geeignet sind

Authentifizierungsanwendungen (TOTP)

Die in Buchhaltungskanzleien am häufigsten verwendete Methode ist die Verwendung einer Anwendung, die zeitliche Codes (TOTP — Time-based One-Time Password) generiert. Lösungen wie Google Authenticator, Microsoft Authenticator oder Authy generieren einen 6-stelligen Code, der alle 30 Sekunden aktualisiert wird. Dieser Code ist mit einem Geheimnis verbunden, das in der Anwendung während der Registrierungsphase (QR-Code-Scan) gespeichert wird.

Vorteile für Kanzleien: Bereitstellung ohne zusätzliche Kosten, funktioniert offline, kompatibel mit fast allen Buchhaltungssoftware (Sage, Cegid, ACD, MyUnisoft). Nachteil: Wenn der Mitarbeiter sein Telefon verliert, muss das Wiederherstellungsverfahren vorab geplant werden (Backup-Codes müssen an einem sicheren Ort aufbewahrt werden).

Physische Sicherheitsschlüssel (FIDO2/WebAuthn)

Für Kanzleien, die große Mengen sensibler Daten verarbeiten oder häufigen Prüfungen unterliegen, bieten Hardware-Sicherheitsschlüssel (wie YubiKey oder Feitian) den höchsten Schutz. Sie basieren auf den Standards FIDO2 und WebAuthn und sind von Natur aus phishing-resistent: Der Schlüssel überprüft kryptografisch die Domain der Website, bevor er sich authentifiziert, was Man-in-the-Middle-Angriffe neutralisiert.

Immer mehr Steuerdatenportale und Plattformen für obligatorische Einreichungen (DGFiP, infogreffe) neigen dazu, diese Standards zu akzeptieren. Eine Kanzlei, die etwa hundert Mandate verwaltet, kann die Kosten für Schlüssel (etwa 50-80 € pro Stück) in wenigen Wochen durch die Reduzierung der Zeit für Sicherheitsvorfallverwaltung amortisieren.

SMS OTP: Zu vermeiden bei sensiblen Daten

Obwohl per SMS versendete Codes in vielen Systemen eine Option darstellen, hat das amerikanische NIST (National Institute of Standards and Technology) sie 2016 aus der Kategorie starker Authentifizierungsmethoden herausgenommen. SIM-Swapping-Angriffe (betrügerische Übertragung einer Telefonnummer auf eine von einem Angreifer kontrollierte SIM-Karte) haben mehrere französische Steuerberaterkanzleien in den letzten Jahren getroffen. Für den Zugriff auf Steuerdaten oder auf Werkzeuge der elektronischen Signatur für Rechts- und Buchhaltungskanzleien sollte SMS OTP nur als letztes Mittel betrachtet werden.

---

Wie Sie Zwei-Faktor-Authentifizierung konfigurieren: Schritt-für-Schritt-Leitfaden

Schritt 1 — Bestandsaufnahme von Anwendungen und Festlegung des Anwendungsbereichs

Vor jeder technischen Bereitstellung erstellen Sie eine umfassende Bestandsaufnahme aller Anwendungen, die in Ihrer Kanzlei verwendet werden:

• Buchhaltungssoftware: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• Messaging und Zusammenarbeitswerkzeuge: Microsoft 365, Google Workspace, Slack
• Dokumentenverwaltungs- und Signaturwerkzeuge: Hinterlegungsplattformen, Workflow-Tools
• Remote-Zugriffe: VPN, RDP, virtuelle Desktops
• Kundenportale: Dokumentenaustauschplattformen mit Clients

Überprüfen Sie für jede Anwendung, ob 2FA verfügbar ist (im Bereich „Sicherheit" der Einstellungen) und welche Methode unterstützt wird (TOTP, FIDO2, SMS). Klassifizieren Sie Anwendungen nach Kritikalität basierend auf der Sensibilität der zugänglichen Daten.

Schritt 2 — Technische Bereitstellung und Registrierung von Mitarbeitern

Für Microsoft 365 erfolgt die Konfiguration über das Azure Active Directory-Portal (Entra ID). Aktivieren Sie „Security Defaults" oder konfigurieren Sie für Kanzleien mit mehr als 10 Mitarbeitern Richtlinien für bedingten Zugriff (verfügbar ab Business Premium-Lizenz). Diese Richtlinien ermöglichen es, 2FA nur unter bestimmten Bedingungen zu erzwingen: Zugriff von außerhalb des Büros, Anmeldung von einem unbekannten Gerät, ungewöhnliche Tageszeit.

Für Buchhaltungssoftware variiert das Verfahren je nach Anbieter:

• Cegid Loop: Sicherheitseinstellungen > doppelte Authentifizierung aktivieren > QR-Codes für jeden Benutzer generieren
• MyUnisoft: Verwaltung > Sicherheit > starke Authentifizierung > 2FA für alle Profile erzwingen
• Sage 100 Cloud: Kontaktieren Sie den Sage-Administrator oder Ihren Reseller, um das MFA-Modul zu aktivieren

Planen Sie eine Registrierungssitzung mit jedem Mitarbeiter (15 bis 20 Minuten pro Person). Verteilen Sie an jeden Benutzer ein Merkblatt mit seinen Wiederherstellungscodes, das an einem sicheren und physischen Ort aufbewahrt wird (z.B. Tresor der Kanzlei).

Schritt 3 — Verwaltungsrichtlinie und Notfallverfahren

Die technische Implementierung ist nur die Hälfte der Arbeit. Eine dokumentierte Sicherheitsrichtlinie muss festlegen:

• Wer kann 2FA vorübergehend deaktivieren (nur der Systemadministrator, niemals der Mitarbeiter selbst)
• Verfahren bei Geräteverlust: sofortige Kontosperrung, Regeneration von Wiederherstellungscodes, überwachte Neuregistrierung
• Überprüfungshäufigkeit: halbjährliche Prüfung von Zugriff und Authentifizierungsmethoden
• Verwaltung von Abgängen: sofortige Sperrung von Zugriff und 2FA-Geheimnissen bei Mitarbeiterausscheiden

Diese Richtlinie integriert sich natürlich in Ihren Geschäftskontinuitätsplan (BCP) und Ihr Datenverarbeitungsregister im Sinne der DSGVO. Die Konsultation des Certyneo-Hilfezentrums kann Ihnen Richtlinienvorlagen für kleine und mittlere Strukturen bereitstellen.

---

Integration von 2FA mit Werkzeugen zur elektronischen Signatur

Die fortgeschrittene oder qualifizierte elektronische Signatur, wie in der eIDAS-Verordnung definiert, erfordert eine starke Identifizierung des Unterzeichners. Konkret: Wenn Ihre Kanzlei einen Auftrag oder einen Leistungsvertrag zur Unterzeichnung an einen Kunden übermittelt, muss die Signaturplattform die Identität des Unterzeichners robust überprüfen. Das ist genau dort, wo 2FA ins Spiel kommt.

In eIDAS-konformen Signaturplattformen (fortgeschrittenes oder qualifiziertes Niveau) erhält der Unterzeichner einen Link per Email und muss seine Identität dann über einen zweiten Kanal validieren (SMS, Authentifizierungsanwendung oder qualifiziertes Zertifikat). Dieser Prozess erstellt eine zeitgestempelte und kryptografisch überprüfbare Audit-Trail, was im Streitfall einen unwiderlegbaren Beweis darstellt — ein entscheidender Punkt für Steuerberater, die ihre Berufshaftpflicht bei jeder Mission einsetzen.

Um die verschiedenen Signaturstufen zu verstehen und diejenige auszuwählen, die zu Ihren Dokumentenabläufen passt, wird die Lektüre des umfassenden Leitfadens zur elektronischen Signatur empfohlen. Kanzleien, die Certyneo nutzen, profitieren von einer nativen Integration von 2FA in den Signaturprozess, was die Reibung für den Unterzeichner reduziert, während das erforderliche Konformitätsniveau gewährleistet bleibt.

Besondere Aufmerksamkeit muss auf Auftragsbestätigungen (erforderlich nach dem Berufsstandard 2400 der OEC) und Prüfungsberichte gelenkt werden: Diese Dokumente begründen die persönliche Verantwortung des Professionellen und erfordern eine fehlerfreie Authentifizierungs-Rückverfolgung. Sie können auch einen KI-gestützten Vertragsgenerator verwenden, um die Erstellung dieser Dokumente zu automatisieren und dabei die Anforderungen starker Authentifizierung von vornherein zu integrieren.

---

Schulung und Sensibilisierung der Mitarbeiter: Der Menschenfaktor

Die strengste technische Bereitstellung wird unwirksam, wenn Mitarbeiter die Probleme nicht verstehen oder Sicherheitsmaßnahmen umgehen. In der Finanzbuchhaltung bestehen Teams oft aus sehr unterschiedlichen Profilen: Senior-Partner, Junior-Mitarbeiter, Praktikanten, Verwaltungsassistenten. Die Schulung muss auf jedes Profil abgestimmt sein.

Empfohlenes Sensibilisierungsprogramm für eine Kanzlei mit 5 bis 30 Personen:

1. Startveranstaltung (1h): Präsentation konkreter Risiken (anonymisierte Beispiele echter Vorfälle in der Branche), Live-Demonstration der Konfiguration, Fragen und Antworten
2. Kurze Videotutorials (je 3-5 Minuten): ein Tutorial pro kritischer Anwendung, verfügbar im Intranet der Kanzlei
3. Simulierter Phishing-Übung: Versand einer gefälschten Phishing-Email 3 Monate nach der Bereitstellung, um die tatsächliche Wachsamkeit zu messen und Mitarbeiter zu identifizieren, die zusätzliche Unterstützung benötigen
4. Integration in die Einarbeitung: Jeder neue Mitarbeiter konfiguriert seine 2FA am ersten Tag mit einem dedizierten Ansprechpartner

Der Orden der Steuerberater (OEC) bietet auch kontinuierliche Schulungsressourcen zur Cybersicherheit im Rahmen der jährlichen Schulungsverpflichtungen (40 Stunden für im Register eingetragene Steuerberater). Diese Schulungen können in Ihrer Qualitätskontrolle angerechnet werden, falls Ihre Kanzlei ISO 9001 zertifiziert ist oder eine Cybersicherheitszertifizierung anstrebt (z.B. ExpertCyber-Label der ANSSI).

Rechtlicher Rahmen für starke Authentifizierung in der Finanzbuchhaltung

Die Implementierung von Zwei-Faktor-Authentifizierung in einer Steuerberatungskanzlei erfolgt in einem dichten regulatorischen Rahmen, der sich um mehrere grundlegende Texte dreht.

Die eIDAS-Verordnung Nr. 910/2014 und ihre Überarbeitung eIDAS 2.0 (Verordnung EU 2024/1183) bilden die Referenzbasis für alles, was elektronische Identifizierung in Europa betrifft. Artikel 8 definiert drei Assurance-Level für elektronische Identifizierungsmittel: schwach, erheblich und hoch. Für Handlungen, die die Verantwortung eines Steuerberaters begründen (Unterzeichnung von Berichten, Online-Validierung von Steuererklärungen), ist das Assurance-Level „erheblich" oder „hoch" erforderlich, was zwingend Multifaktor-Authentifizierung mit sich bringt.

Die DSGVO (Verordnung EU 2016/679), insbesondere Artikel 32, verpflichtet Verantwortliche, „angemessene technische und organisatorische Maßnahmen" umzusetzen, um die Sicherheit personenbezogener Daten zu gewährleisten. Eine Steuerberatungskanzlei verarbeitet sensible personenbezogene Daten (Finanzdaten, Gesundheitsdaten über Gehaltsabrechnungen mit Krankheitsausfällen usw.). Das Fehlen von 2FA bei Zugriffen auf Buchhaltungssoftware stellt sehr wahrscheinlich einen Verstoß gegen diesen Artikel dar und setzt die Kanzlei Bußgeldern aus, die bis zu 4 % des weltweiten Jahresumsatzes erreichen können (Artikel 83 DSGVO).

Das Bürgerliche Gesetzbuch, Artikel 1366 und 1367, regeln die rechtliche Gültigkeit der elektronischen Signatur. Artikel 1367 präzisiert, dass „die Zuverlässigkeit eines Verfahrens zur elektronischen Signatur bis zum Nachweis des Gegenteils als gegeben angesehen wird, wenn dieses Verfahren eine qualifizierte elektronische Signatur umsetzt". Starke Authentifizierung ist ein wesentlicher Bestandteil dieser Zuverlässigkeitsvermutung.

Die Richtlinie NIS2 (Richtlinie EU 2022/2555), umgesetzt in französisches Recht durch das Gesetz Nr. 2024-449 vom 21. Mai 2024 und seine Durchführungsbestimmungen, erweitert die Cybersicherheitsverpflichtungen auf ein breites Spektrum von Einrichtungen. Obwohl Steuerberatungskanzleien nicht direkt als wesentliche Einrichtungen aufgeführt sind, können diejenigen, die digitale Dienstleistungen für wesentliche oder wichtige Einrichtungen erbringen (Gesundheitseinrichtungen, Kommunalverwaltungen, Infrastruktur-Betreiber), durch Weitergabe über ihre Dienstleistungsverträge Verpflichtungen unterliegen.

Der Berufsstandard 2400 des Ordens der Steuerberater verpflichtet weiterhin zu verstärkten Sorgfaltspflichten bezüglich der Informationssystemsicherheit für Kanzleien, die Rechtsmandaten bearbeiten. Die ANSSI empfiehlt MFA explizit in ihrem Leitfaden „Sicherheit von Informationssystemen für KMU" (Ausgabe 2024).

Berufshaftpflicht: Im Falle einer Datenverletzung von Kunden, die auf das Fehlen von 2FA zurückzuführen ist, kann der Versicherer der RCP-Police des Kanzlei-Partners einen charakterisierten Fehler geltend machen, um seine Garantie zu reduzieren oder abzulehnen. Es wird dringend empfohlen, die technische Dokumentation der 2FA-Bereitstellung als Nachweis der Sorgfalt zu bewahren.

Anwendungsfälle: 2FA in der Praxis in Steuerberatungskanzleien

Anwendungsfall 1 — Eine mittelgroße Steuerberatungskanzlei

Eine Kanzlei mit etwa 15 Mitarbeitern und etwa 400 aktiven Mandaten beschloss, 2FA auf alle ihre Werkzeuge zu implementieren, nachdem ein Phishing-Vorfall fast den Zugriff auf ihre Lohnsoftware gefährdet hatte. Die Leitung entschied sich für Microsoft Authenticator auf Microsoft 365 (Email, SharePoint, Teams) und für native TOTP-Anwendungen ihrer Cloud-Buchhaltungssoftware.

Die Bereitstellung wurde in drei Wochen durchgeführt: eine Woche für Inventar und Konfiguration, eine Woche für die Registrierung von Mitarbeitern in Gruppen zu je fünf, eine Woche für Nachverfolgung und Problembehebung. Ergebnis: Kein Kontokompromiss-Vorfall in den folgenden 12 Monaten, gegenüber zwei Vorfällen im Jahr zuvor. Die Zeit für die Verwaltung von Sicherheitsvorfällen wurde um etwa 70 % reduziert. Die Kanzlei konnte auch gegenüber mehreren großen Kunden (darunter ein Industriemittelständler mit einer Lieferantensicherheitscharta) nachweisen, dass ihre Systeme MFA-Anforderungen erfüllten.

Anwendungsfall 2 — Eine auf Prüfung von KMU spezialisierte Kanzlei

Eine Prüfungskanzlei, die etwa 60 Prüfungsmandaten verwaltet, war mit einer spezifischen Anforderung konfrontiert: Immer mehr Kunden forderten einen Nachweis der DSGVO-Conformité bei der Erneuerung ihrer Mandate. Die Kanzlei beschloss, FIDO2-Sicherheitsschlüssel für Partner (Zugriff auf die sensibelsten Dateien) und TOTP-Anwendungen für Senior-Mitarbeiter bereitzustellen, während SMS OTP nur für Zugriffe mit niedriger Sensibilität beibehalten wurde.

Parallel integrierte die Kanzlei die fortgeschrittene elektronische Signatur in ihre Berichtsabläufe mit systematischer starker Authentifizierung des Unterzeichners. Dank der erzeugten Audit-Trail konnten zwei potenzielle Streitigkeiten mit Kunden, die die Datum der Berichtsübermittlung anstritten, zugunsten der Kanzlei durch die Vorlage von zeitgestempelten Authentifizierungsprotokollen gelöst werden. Die Reduzierung der durchschnittlichen Berichtsunterzeichnungszeiten (von 5 Tagen auf weniger als 24 Stunden) ermöglichte auch flüssigere Rechnungslegung und verbesserte den Kassenbestand der Kanzlei um etwa 15 %.

Anwendungsfall 3 — Eine wachsende Kanzlei durch externe Expansion

Ein regionales Netzwerk von Steuerberatungskanzleien, das in zwei Jahren drei unabhängige Strukturen absorbiert hatte, war mit erheblicher Heterogenität von Systemen konfrontiert: Einige absorbierte Kanzleien hatten keine 2FA-Richtlinie, andere verwendeten SMS OTP. Das Netzwerk nutzte diese Integration, um auf eine einheitliche Identitätsverwaltungslösung (IAM — Identity and Access Management) mit obligatorischer 2FA zu standardisieren.

Die Anfangsinvestition (IAM-Lizenzen, Schulung, Beratung) wurde für das gesamte Netzwerk (etwa 45 Mitarbeiter) auf etwa 8.000 € geschätzt. Im Gegenzug wurde die Reduzierung der mit Sicherheitsvorfällen verbundenen Kosten (IT-Service-Provider-Interventionen, Krisenverwaltung) auf etwa 15.000-20.000 € im ersten Jahr geschätzt. Das Netzwerk konnte auch eine Reduzierung seiner Cyber-Versicherungsprämie um etwa 20 % aushandeln, indem es seinem Versicherer die Dokumentation zur 2FA-Bereitstellung vorlegte.

Fazit

Zwei-Faktor-Authentifizierung ist nicht mehr ein Luxus für große Strukturen: Es ist ein Sicherheits- und Konformitätsgebot für jede Steuerberatungskanzlei, unabhängig von ihrer Größe. Zwischen den Anforderungen der DSGVO, den Empfehlungen der ANSSI, eIDAS-Verpflichtungen für elektronische Signaturen und dem wachsenden Druck von Kunden auf Sicherheitsstandards ihrer Dienstleister ist 2FA zu einem unvermeidlichen Standard des Sektors geworden.

Die gute Nachricht: Die Bereitstellung ist heute zugänglich, schnell und kostengünstig. Indem Sie die in diesem Artikel beschriebenen Schritte befolgen — Anwendungsinventar, Wahl der geeigneten Methode, Registrierung von Mitarbeitern, Dokumentation einer Richtlinie — kann Ihre Kanzlei in wenigen Wochen ein robustes Sicherheitsniveau erreichen.

Certyneo integriert nativ starke Authentifizierung in seine elektronischen Signaturabläufe, so dass Sie eIDAS-Conformité und MFA-Sicherheit ohne zusätzliche Komplexität kombinieren können. Entdecken Sie unsere Angebote und Preise oder kontaktieren Sie unser Team für personalisierte Unterstützung bei der Einhaltung Ihrer Kanzlei.