Zwei-Faktor-Authentifizierung: Leitfaden für die Buchhaltung

Warum Zwei-Faktor-Authentifizierung in der Steuerberatung unverzichtbar ist

Steuerberatungskanzleien verarbeiten täglich hochvertrauliche Finanzinformationen: Steuererklärungen, Bilanzen, Gehaltszetteln, Bankdaten von hunderten von Mandantenbetrieben. Im Jahr 2025 zeigt der Jahresbericht der ANSSI, dass Phishing-Angriffe auf regulierte Berufe um 37 % in einem Jahr gestiegen sind. Angesichts dieser Bedrohung stellt die Zwei-Faktor-Authentifizierung (2FA) — auch Multifaktor-Authentifizierung (MFA) genannt — die erste Verteidigungslinie dar, die technisch empfohlen wird.

Die Zwei-Faktor-Authentifizierung basiert auf einem einfachen Prinzip: Um auf ein System zuzugreifen, muss der Benutzer seine Identität über zwei unterschiedliche Elemente nachweisen. Das erste ist normalerweise „etwas, das man weiß" (ein Passwort), das zweite ist „etwas, das man besitzt" (ein Smartphone, ein physischer Schlüssel) oder „etwas, das man ist" (biometrische Daten). Dieser Mechanismus macht Angriffe durch Passwortdiebstahl allein nahezu unmöglich, die laut Verizon DBIR 2024 immer noch 81 % der Datenverletzungen ausmachen.

Für Steuerberater ist die Einhaltung der eIDAS-Verordnung und ihre Anforderungen an starke Identifizierung nicht mehr optional: Sie ist eine behördliche und ethische Notwendigkeit. Dieser Artikel erklärt Ihnen Schritt für Schritt, wie Sie 2FA in Ihrer Kanzlei konfigurieren, welche Tools Sie wählen und wie Sie Ihre Mitarbeiter bei diesem Übergang unterstützen.

---

Zwei-Faktor-Authentifizierungsmethoden, die für den Buchhaltungssektor geeignet sind

Authentifizierungsanwendungen (TOTP)

Die am weitesten verbreitete Methode in Buchhaltungskanzleien ist die Verwendung einer Anwendung, die zeitbasierte Einmalkennwörter generiert (TOTP — Time-based One-Time Password). Lösungen wie Google Authenticator, Microsoft Authenticator oder Authy generieren einen 6-stelligen Code, der alle 30 Sekunden erneuert wird. Dieser Code ist mit einem gemeinsamen geheimen Schlüssel verknüpft, der während der Registrierungsphase (QR-Code-Scan) in der Anwendung gespeichert wird.

Vorteile für Kanzleien: Bereitstellung ohne zusätzliche Kosten, funktioniert offline, kompatibel mit praktisch allen Buchhaltungsprogrammen (Sage, Cegid, ACD, MyUnisoft). Nachteil: Wenn der Mitarbeiter sein Telefon verliert, muss die Wiederherstellungsprozedur im Voraus geplant werden (Sicherungscodes an einem sicheren Ort aufbewahren).

Physische Sicherheitsschlüssel (FIDO2/WebAuthn)

Für Kanzleien, die große Mengen sensibler Daten verarbeiten oder häufigen Audits unterliegen, bieten physische Sicherheitsschlüssel (wie YubiKey oder Feitian) das höchste Schutzniveau. Basierend auf FIDO2- und WebAuthn-Standards sind sie phishing-resistent von Natur aus: Der Schlüssel überprüft die Domäne der Website kryptografisch, bevor er sich authentifiziert, was Man-in-the-Middle-Angriffe neutralisiert.

Immer mehr Steuerportale und obligatorische Einreichungsplattformen (DGFiP, infogreffe) akzeptieren zunehmend diese Standards. Eine Kanzlei, die hundert Mandate verwaltet, kann die Anschaffung von Schlüsseln (ca. 50-80 € pro Stück) in wenigen Wochen durch die Reduzierung der Sicherheitsvorfallbearbeitung amortisieren.

SMS-OTP: Zu vermeiden für sensible Daten

Obwohl per SMS versendete Codes in vielen Systemen weiterhin eine Option sind, hat das amerikanische NIST (National Institute of Standards and Technology) sie 2016 aus der Kategorie der starken Authentifizierungsmethoden herabgestuft. SIM-Swapping-Angriffe (betrügerische Übertragung einer Telefonnummer auf eine SIM-Karte, die von einem Angreifer kontrolliert wird) haben in den letzten Jahren mehrere französische Steuerberatungskanzleien betroffen. Für den Zugriff auf Steuerdaten oder auf Tools für elektronische Signaturen für Rechts- und Steuerberatungskanzleien sollte SMS-OTP nur als letztes Mittel in Betracht gezogen werden.

---

Konfiguration der Zwei-Faktor-Authentifizierung: Schritt-für-Schritt-Anleitung

Schritt 1 — Bestandsaufnahme von Anwendungen und Festlegung des Umfangs

Vor jeder technischen Bereitstellung erstellen Sie eine vollständige Bestandsaufnahme aller in Ihrer Kanzlei verwendeten Anwendungen:

• Buchhaltungssoftware: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• E-Mail und Collaboration-Tools: Microsoft 365, Google Workspace, Slack
• Dokumentenverwaltungs- und Signaturtools: Einreichungsplattformen, Workflow-Tools
• Fernzugriffe: VPN, RDP, virtuelle Desktops
• Kundenportale: Bereiche für den Dokumentenaustausch mit Kunden

Überprüfen Sie für jede Anwendung, ob 2FA verfügbar ist (Abschnitt „Sicherheit" in den Einstellungen) und welche Methode unterstützt wird (TOTP, FIDO2, SMS). Klassifizieren Sie die Anwendungen nach Kritikalität, basierend auf der Sensibilität der zugänglichen Daten.

Schritt 2 — Technische Bereitstellung und Registrierung der Mitarbeiter

Für Microsoft 365 erfolgt die Konfiguration über das Azure Active Directory-Portal (Entra ID). Aktivieren Sie „Security Defaults" oder konfigurieren Sie für Kanzleien mit mehr als 10 Mitarbeitern Richtlinien für bedingten Zugriff (verfügbar ab Business Premium-Lizenz). Diese Richtlinien ermöglichen es, 2FA nur unter bestimmten Bedingungen zu verlangen: Zugriff von außerhalb des Büros, Anmeldung von einem unbekannten Gerät, ungewöhnliche Tageszeit.

Für Buchhaltungssoftware variiert das Verfahren je nach Anbieter:

• Cegid Loop: Sicherheitseinstellungen > Doppelte Authentifizierung aktivieren > QR-Codes für jeden Benutzer generieren
• MyUnisoft: Verwaltung > Sicherheit > starke Authentifizierung > 2FA für alle Profile erzwingen
• Sage 100 Cloud: Kontaktieren Sie Ihren Sage-Administrator oder Ihren Wiederverkäufer, um das MFA-Modul zu aktivieren

Planen Sie eine Registrierungssitzung mit jedem Mitarbeiter (15 bis 20 Minuten pro Person). Geben Sie jedem Benutzer ein Zusammenfassungsblatt mit seinen Wiederherstellungscodes, das an einem sicheren und physischen Ort aufbewahrt werden soll (z. B. Tresor der Kanzlei).

Schritt 3 — Verwaltungsrichtlinien und Notfallverfahren

Die technische Implementierung ist nur die Hälfte der Arbeit. Eine dokumentierte Sicherheitsrichtlinie muss Folgendes regeln:

• Wer kann 2FA vorübergehend deaktivieren (nur der Systemadministrator, niemals der Mitarbeiter selbst)
• Verfahren zum Geräteverlust: sofortige Sperrung des Kontos, Neugenerierung der Sicherungscodes, beaufsichtigte Neuregistrierung
• Überprüfungshäufigkeit: halbjährliche Überprüfung des Zugangs und der Authentifizierungsmethoden
• Verwaltung von Abgängen: sofortige Sperrung des Zugangs und der 2FA-Geheimnisse bei jedem Mitarbeiterwechsel

Diese Richtlinie ist natürlicherweise in Ihren Business-Continuity-Plan (BCP) und in Ihr DSGVO-Verarbeitungsverzeichnis integriert. Die Konsultation des Certyneo-Hilfecenters kann Ihnen Richtlinienvorlagen zur Verfügung stellen, die auf kleine und mittlere Strukturen zugeschnitten sind.

---

Integration von 2FA mit Tools für elektronische Signatur

Die fortgeschrittene oder qualifizierte elektronische Signatur, wie in der eIDAS-Verordnung definiert, erfordert eine starke Identifizierung des Unterzeichners. Konkret: Wenn Ihre Kanzlei einen Mandatbrief oder einen Leistungsvertrag zum Unterzeichnen an einen Kunden sendet, muss die Signaturplattform die Identität des Unterzeichners robust überprüfen. Genau da kommt 2FA ins Spiel.

Auf eIDAS-konformen Signaturplattformen (fortgeschrittenes oder qualifiziertes Niveau) erhält der Unterzeichner einen Link per E-Mail und muss seine Identität dann über einen zweiten Kanal validieren (SMS, Authentifizierungsanwendung oder qualifiziertes Zertifikat). Dieser Prozess erzeugt einen zeitgestempelten und kryptografisch verifizierbaren Audit-Trail, was im Streitfall einen unwiderlegbaren Beweis darstellt — ein entscheidender Punkt für Steuerberater, die ihre Berufshaftung bei jeder Mission einbringen.

Zum besseren Verständnis der verschiedenen Signaturebenen und zur Auswahl der für Ihre Dokumentenflüsse geeigneten Ebene wird die Lektüre des umfassenden Leitfadens für elektronische Signaturen empfohlen. Kanzleien, die Certyneo nutzen, profitieren von einer nativen 2FA-Integration in der Signatur-Abwicklung, was die Reibung für den Unterzeichner mindert und gleichzeitig das erforderliche Compliance-Niveau gewährleistet.

Eine besondere Aufmerksamkeit ist erforderlich für Mandatsbriefe (nach OEC-Standard 2400 obligatorisch) und Bestätigungsberichte: Diese Dokumente bringen die persönliche Verantwortung des Fachmanns mit sich und erfordern eine einwandfreie Authentifizierungs-Rückverfolgbarkeit. Sie können auch einen KI-gestützten Vertragsgenerator verwenden, um die Erstellung dieser Dokumente zu automatisieren und dabei die Anforderungen starker Authentifizierung von Anfang an zu integrieren.

---

Schulung und Sensibilisierung der Mitarbeiter: Der Faktor Mensch

Die rigoroseste technische Bereitstellung wird unwirksam, wenn Mitarbeiter die Herausforderungen nicht verstehen oder die Sicherheitsmaßnahmen umgehen. In Steuerberatungskanzleien bestehen Teams oft aus sehr unterschiedlichen Profilen: erfahrene Partner, junge Mitarbeiter, Praktikanten, Verwaltungsassistenten. Die Schulung muss auf jedes Profil abgestimmt sein.

Empfohlenes Schulungsprogramm für eine Kanzlei mit 5 bis 30 Mitarbeitern:

1. Auftaktsitzung (1h): Präsentation konkreter Risiken (anonymisierte Beispiele realer Vorfälle aus dem Sektor), Live-Demonstration der Konfiguration, Fragen und Antworten
2. Kurze Video-Tutorials (3-5 Minuten pro Tutorial): ein Tutorial pro kritische Anwendung, verfügbar im Intranet der Kanzlei
3. Simulierte Phishing-Übung: Versand einer falschen Phishing-E-Mail 3 Monate nach der Bereitstellung, um die tatsächliche Aufmerksamkeit zu messen und Mitarbeiter zu identifizieren, die zusätzliche Unterstützung benötigen
4. Integration in die Personaleinführung: Jeder neue Mitarbeiter konfiguriert seine 2FA an seinem ersten Tag mit einem dedizierten Ansprechpartner

Die Steuerberaterkammer (OEC) stellt auch Schulungsressourcen zur Cybersicherheit im Rahmen der jährlichen Schulungsverpflichtungen (40 Stunden für in der Liste eingetragene Steuerberater) zur Verfügung. Diese Schulungen können in Ihre Qualitätsbemühungen einfließen, wenn Ihre Kanzlei ISO 9001-zertifiziert ist oder eine Cybersicherheitszertifizierung anstrebt (z. B. ExpertCyber-Label der ANSSI).

Rechtlicher Rahmen für starke Authentifizierung in Steuerberatungskanzleien

Die Implementierung von Zwei-Faktor-Authentifizierung in einer Steuerberatungskanzlei erfolgt in einem dichten Regelungsumfeld, das sich um mehrere grundlegende Texte dreht.

Die eIDAS-Verordnung Nr. 910/2014 und ihre Überarbeitung eIDAS 2.0 (EU-Verordnung 2024/1183) bilden die Grundlage für alles, was elektronische Identifizierung in Europa betrifft. Artikel 8 definiert drei Vertrauensstufen für elektronische Identifizierungsmittel: niedrig, substantiell und hoch. Für Handlungen, die die berufliche Verantwortung eines Steuerberaters begründen (Signatur von Berichten, Online-Validierung von Steuererklärungen), ist die Vertrauensstufe „substantiell" oder „hoch" erforderlich, was zwingend Multifaktor-Authentifizierung erfordert.

Die DSGVO (EU-Verordnung 2016/679), insbesondere Artikel 32, schreibt den Verantwortlichen vor, „technische und organisatorische Maßnahmen" zu implementieren, um die Sicherheit personenbezogener Daten zu gewährleisten. Eine Steuerberatungskanzlei verarbeitet sensible personenbezogene Daten (Finanzinformationen, Gesundheitsdaten über Lohnzetteln mit Krankheitsabsätzen usw.). Das Fehlen von 2FA bei Zugangsschutz zu Buchhaltungssoftware stellt sehr wahrscheinlich eine Verletzung dieses Artikels dar und setzt die Kanzlei Bußgeldern aus, die bis zu 4 % des weltweiten jährlichen Umsatzes erreichen können (Artikel 83 DSGVO).

Das Bürgerliche Gesetzbuch, Artikel 1366 und 1367, regeln den Rechtswert der elektronischen Signatur. Artikel 1367 präzisiert, dass „die Zuverlässigkeit eines elektronischen Signaturverfahrens bis zum Beweis des Gegenteils angenommen wird, wenn dieses Verfahren eine qualifizierte elektronische Signatur umsetzt". Starke Authentifizierung ist ein wesentlicher Bestandteil dieser Zuverlässigkeitsvermutung.

Die NIS2-Richtlinie (EU-Richtlinie 2022/2555), umgesetzt in französisches Recht durch Gesetz Nr. 2024-449 vom 21. Mai 2024 und seine Anwendungsverordnungen, erweitert die Cybersicherheitsverpflichtungen auf ein breites Spektrum von Einrichtungen. Obwohl Steuerberatungskanzleien nicht direkt als wesentliche Einrichtungen aufgelistet sind, können diejenigen, die digitale Dienste für wesentliche oder wichtige Einrichtungen erbringen (Gesundheitseinrichtungen, Kommunalverwaltungen, Unternehmen kritischer Infrastruktur), durch ihre Dienstleistungsverträge indirekt Verpflichtungen unterliegen.

Der OEC-Berufsstandard 2400 schreibt darüber hinaus eine verstärkte Schutzmaßnahme in Bezug auf IT-Sicherheit für Kanzleien vor, die mit behördlichen Aufgaben befasst sind. Die ANSSI empfiehlt explizit MFA als Mindestmaßnahme in ihrem Leitfaden „IT-Sicherheit für KMU/mittlere Unternehmen" (Ausgabe 2024).

Berufshaftung: Im Falle einer Datenverletzung von Kunden, die auf das Fehlen von 2FA zurückzuführen ist, kann der Versicherer des Haftpflichtversicherungsbeitrags der Kanzlei fahrlässiges Verhalten geltend machen, um seine Garantie zu reduzieren oder abzulehnen. Es wird dringend empfohlen, die technische Dokumentation der 2FA-Bereitstellung als Nachweis der Sorgfalt aufzubewahen.

Anwendungsszenarien: 2FA in der Praxis in Steuerberatungskanzleien

Szenario 1 — Eine mittlere Steuerberatungskanzlei

Eine Kanzlei mit etwa fünfzehn Mitarbeitern, die etwa 400 aktive Mandate verwaltet, hat sich nach einem Phishing-Incident, der fast zum Zugriff auf ihre Lohnsoftware führte, für die Implementierung von 2FA auf allen Tools entschieden. Die Geschäftsführung hat sich für Microsoft Authenticator auf Microsoft 365 (E-Mail, SharePoint, Teams) und für native TOTP-Anwendungen ihrer Cloud-Buchhaltungssoftware entschieden.

Die Bereitstellung erfolgte in drei Wochen: eine Woche Inventur und Konfiguration, eine Woche Mitarbeiterschulung in Gruppen zu fünf, eine Woche Nachverfolgung und Problembehebung. Ergebnis: Null Fälle von Kontobeeinträchtigung in den folgenden 12 Monaten, gegenüber zwei Fällen im Vorjahr. Die Zeit zur Bewältigung von Sicherheitsvorfällen wurde um etwa 70 % reduziert. Die Kanzlei konnte mehreren Großkunden (darunter ein Industrieunternehmen, das eine Lieferanten-Sicherheitscharta durchsetzt) nachweisen, dass ihre Systeme MFA-Anforderungen erfüllen.

Szenario 2 — Eine Kanzlei spezialisiert auf Abschlussprüfung von KMU

Eine Abschlussprüfungskanzlei mit etwa sechzig Prüfungsmandaten wurde mit einer spezifischen Anforderung konfrontiert: Immer mehr Kunden fordern bei der Mandatsverlängerung den Nachweis der DSGVO-Konformität. Die Kanzlei hat sich für die Bereitstellung von FIDO2-Sicherheitsschlüsseln für Partner (Zugriff auf die sensiblesten Dateien) und TOTP-Anwendungen für erfahrene Mitarbeiter entschieden, während SMS-OTP nur für Zugriffe mit niedriger Sensibilität beibehalten wurde.

Parallel hat die Kanzlei die fortgeschrittene elektronische Signatur in ihre Prüfungsberichtflüsse integriert, mit systematischer starker Authentifizierung des Unterzeichners. Dank des generierten Audit-Trails konnten zwei potenzielle Streitfälle mit Kunden, die das effektive Übergabedatum eines Berichts bestritten, zugunsten der Kanzlei gelöst werden, indem die zeitgestempelten Authentifizierungsprotokolle vorgelegt wurden. Die Reduzierung der Prüfungsberichtunterzeichnungszeiten (von durchschnittlich 5 Tagen auf weniger als 24 Stunden) verbesserte auch den Abrechnungsfluss und erhöhte die Liquidität der Kanzlei um etwa 15 %.

Szenario 3 — Eine Kanzlei in externer Wachstumsphase

Ein regionales Netzwerk von Steuerberatungskanzleien, das drei unabhängige Strukturen in zwei Jahren absorbiert hat, war mit erheblicher Heterogenität konfrontiert: Einige absorbierte Kanzleien hatten keine 2FA-Richtlinie, andere nutzten SMS-OTP. Die Gruppe hat diese Integration genutzt, um auf einer einheitlichen Lösung für Identitätsverwaltung (IAM — Identity and Access Management) mit obligatorischer 2FA zu standardisieren.

Die Anfangsinvestition (IAM-Lizenzen, Schulung, Begleitung) wurde für die gesamte Gruppe (etwa 45 Mitarbeiter) auf etwa 8.000 € geschätzt. Als Ausgleich wurden die Kosten für Sicherheitsvorfälle (IT-Dienstleister-Interventionen, Krisenverwaltung) im ersten Jahr auf 15.000-20.000 € geschätzt. Die Gruppe konnte ihre Cybersecurity-Versicherungsprämie auch um etwa 20 % senken, indem sie ihrem Versicherer die 2FA-Bereitstellungsdokumentation zur Verfügung stellte.

Fazit

Zwei-Faktor-Authentifizierung ist nicht mehr ein Luxus für große Strukturen: Sie ist eine Sicherheits- und Compliance-Notwendigkeit für jede Steuerberatungskanzlei, unabhängig von ihrer Größe. Zwischen DSGVO-Anforderungen, ANSSI-Empfehlungen, eIDAS-Verpflichtungen für elektronische Signaturen und zunehmendem Druck von Kunden auf die Sicherheitsstandards ihrer Dienstleister ist 2FA zum unverzichtbaren Standard der Branche geworden.

Die gute Nachricht: Heutzutage ist die Implementierung zugänglich, schnell und kostengünstig. Indem Sie die in diesem Artikel beschriebenen Schritte befolgen — Bestandsaufnahme von Anwendungen, Wahl der geeigneten Methode, Mitarbeiterschulung, Verfassung einer dokumentierten Richtlinie — kann Ihre Kanzlei in wenigen Wochen ein robustes Sicherheitsniveau erreichen.

Certyneo integriert nativ starke Authentifizierung in seine Signaturflüsse und ermöglicht es Ihnen, eIDAS-Konformität und MFA-Sicherheit ohne zusätzliche Komplexität zu kombinieren. Entdecken Sie unsere Angebote und Tarife oder kontaktieren Sie unser Team für personalisierte Unterstützung bei der Compliance-Gewährleistung für Ihre Kanzlei.