Treuhandunternehmen verwalten die sensibelsten Daten ihrer Kunden: Jahresabschlüsse, Steuererklärungen, Lohndaten, Verträge. Ein Cyberangriff gefährdet nicht nur das eigene Geschäft, sondern das Berufsgeheimnis und die Existenz der Mandanten.
Ein Donnerstagmorgen im März. Die Partnerin eines Zürcher Treuhandbüros öffnet ihren Laptop und sieht: Alle Mandantendossiers verschlüsselt, die Backup-Festplatte ebenfalls. 1'200 Mandanten betroffen, Steuererklärungen, Lohnabrechnungen, Jahresabschlüsse, Verträge. Der Angreifer fordert CHF 80'000 in Bitcoin. Das Szenario ist keine Fiktion: Laut der KMU-Cyberstudie 2025 waren 16% der Schweizer KMU in den letzten fünf Jahren von einem Cyberangriff betroffen. Treuhandunternehmen sind besonders attraktive Ziele, weil sie die Finanzdaten Dutzender bis Hunderter Unternehmen zentral speichern.
Berufsgeheimnis und nDSG-Pflichten
Das Berufsgeheimnis nach Art. 321 StGB und die Sorgfaltspflichten des nDSG setzen die Latte hoch. Treuhänder verarbeiten besonders schützenswerte Personendaten: Lohndaten, Steuerdaten, Betreibungsauskünfte, teilweise Gesundheitsinformationen aus BVG-Dossiers. Ein Datenleck löst eine Meldepflicht an den EDÖB aus und kann Bussen bis CHF 250'000 gegen die verantwortliche Person nach sich ziehen. Dazu kommt die zivilrechtliche Haftung gegenüber den Mandanten. Treuhand Suisse empfiehlt im Rahmen von Treuhand 4.0 explizit, die Cybersicherheit als strategisches Thema auf Geschäftsleitungsebene zu verankern.
Die fünf wichtigsten Schutzmassnahmen
Erstens: Multi-Faktor-Authentifizierung für alle Zugänge, insbesondere Treuhandsoftware, E-Banking-Schnittstellen und Cloud-Speicher. Zweitens: Mandantendaten verschlüsselt speichern (at Rest und in Transit) und den Zugang strikt nach dem Need-to-Know-Prinzip regeln, nicht jeder Mitarbeitende braucht Zugriff auf alle Dossiers. Drittens: E-Mail-Sicherheit mit SPF, DKIM und DMARC konfigurieren, denn gefälschte E-Mails im Namen des Treuhänders an Mandanten (Business Email Compromise) sind ein häufiges Angriffsmuster. Viertens: Offline-Backups nach der 3-2-1-Regel, monatlich getestet, physisch getrennt aufbewahrt. Fünftens: eine dokumentierte Datenlöschpolicy, weil Treuhandunternehmen oft Daten ehemaliger Mandanten jahrelang ohne Rechtsgrundlage aufbewahren.
Risiko Lieferkette und Softwareanbieter
Ein häufig unterschätztes Risiko ist die Lieferkette. Treuhandunternehmen nutzen spezialisierte Software (Abacus, Sage, Bexio, Infoniqa), E-Banking-Schnittstellen und Cloud-Dienste. Jede dieser Verbindungen ist ein potenzielles Einfallstor. Prüfen Sie, ob Ihre Softwareanbieter ein ISMS betreiben, wie deren Patch-Zyklen aussehen und ob Daten in der Schweiz gehostet werden. Verlangen Sie von Ihren IT-Dienstleistern einen Nachweis über regelmässige Sicherheitsaudits. Seit der ISG-Meldepflicht sind auch IT-Dienstleister für kritische Infrastrukturen meldepflichtig, was den Druck auf die gesamte Kette erhöht.
Nächste Schritte
MilesGuard bietet Treuhandunternehmen ein massgeschneidertes Security Assessment: Wir prüfen Ihre Infrastruktur, Ihre Softwarelandschaft und Ihre organisatorischen Massnahmen gegen die Anforderungen des nDSG und die Empfehlungen von Treuhand Suisse. Sie erhalten einen priorisierten Massnahmenplan und auf Wunsch begleiten wir die Umsetzung als externer Sicherheitsverantwortlicher (vCISO). Damit schützen Sie nicht nur Ihr eigenes Unternehmen, sondern das Vertrauen Ihrer Mandanten.
Quellen
- [1] Treuhand Suisse / Treuhand 4.0
- [2] KMU-Cyberstudie 2025 FHNW/digitalswitzerland
- [3] nDSG (fedlex.admin.ch)
