Seit Montag morgen, dem 08. November 2021, bekommen Steuerberatende Fehlermeldungen beim Versuch, auf Mandantendaten zuzugreifen, die im Rechenzentrum des marktführenden Dienstleisters DATEV gespeichert sind. Die Fehler dauern an.

Die DATEV ist ein IT-Dienstleister für steuer- und rechtsberatende Berufe mit Sitz in Nürnberg. Das als eingetragene Genossenschaft organisierte Softwarehaus hat rund 40.000 Mitglieder unterschiedlicher Größe – darunter auch Kanzleien mit Dutzenden von Mitarbeitenden. Die verarbeiten über die DATEV-Systeme allein bereits rund 13,5 Millionen Lohn- und Gehaltsabrechnungen pro Monat.

Umstieg von PC-Software zu Cloud-App gone bad

In den vergangenen 20 Jahren hatte die DATEV immer stärker Installationssoftware mit Backup-Datenhaltung im Rechenzentrum durch Cloud-Anwendungen ersetzt. Steuerberatungskanzleien konnten dadurch auf weniger leistungsstarke Arbeitsumgebungen setzen und die teuren Wartungsverträge mit örtlichen EDV-Administratoren auf ein Minimum beschränken. Die Mitarbeitenden-PCs mussten nurmehr in der Lage sein, die Windows-Remote-Client-Anwendung zu starten, um damit auf einen der Windows-Remoteserver zugreifen zu können, auf dem die Arbeitsumgebungen von zigtausenden Beschäftigten gespeichert sind.

Dieser Umstieg zeigt jetzt seine Kehrseite. Ein bislang noch nicht näher spezifizierter Ausfall, der laut DATEV am Montag auch nicht mehr zu beheben sein wird, verdammt die DATEV-Kundinnen und Kunden zur Untätigkeit. Die Hersteller der Rechneranlagen seien inzwischen in die Diagnostik eingezogen worden, lässt die Genossenschaft wissen.

Steuerberatende sauer: Ausgerechnet vor dem Umsatzsteuertermin

Besonders ungünstig: Am 10. des Monats müssen die Umsatzsteuervoranmeldungen für die Mandantinnen und Mandanten beim Finanzamt eingereicht werden. Da kennt das Finanzamt keinen Spaß. Schon kurze Fristüberschreitungen werden mit Säumniszuschlägen geahndet. Immerhin hat die DATEV ihren Mitgliedern diesbezüglich Unterstützung versprochen.

Was den Mitgliedern besonders missfällt, ist, dass die DATEV den Ausfall offenbar nicht proaktiv kommuniziert hat. So mussten Anwendende der DATEV-Verfahren per Versuch und Irrtum herausfinden, dass die auftretenden Probleme nicht in ihren eigenen Kanzleien zu verorten waren. Bis zum Montagabend ist es der DATEV nicht gelungen, eine niederschwellige Informationsmöglichkeit, etwa via Twitter, einzurichten.

Information der Betroffenen nur rudimentär

Erstaunlich scheint auch, dass der eigens vom Rechenzentrum abgekoppelte Status-Dienst, der Kundinnen und Kunden anzeigen soll, ob es im Rechenzentrum Probleme gibt, ebenfalls ausgefallen ist. Es geht nur wenig bei DATEV.

Derzeit nutzt die Genossenschaft die DATEV-Forenplattform, um wenigstens sporadisch über den Fortgang der Arbeiten zu unterrichten. Nach der letzten Meldung von 21:04 Uhr am Montagabend droht den angeschlossenen Kanzleien möglicherweise ein Reset aller Produktionsdatenbanken. Dann wird es sehr darauf ankommen, welche Backups wie aktuell sind, um zu klären, welche Daten schlussendlich abhanden gekommen sein werden. Zudem würde ein Neuaufsetzen aus Backups für alle Systeme – wie die DATEV selbst einräumt – „viel Zeit in Anspruch nehmen“.

Dieser Montag ist offenbar kein guter für die Betreiber großer Serverfarmen. Das hatten bereits die Betreiber der Elektronik-Fachmärkte Mediamarkt und Saturn feststellen müssen. Anders als bei den Märkten, die derzeit nicht einmal ihre Kassen verwenden können, soll die Ursache bei der DATEV wohl nicht in einer Attacke durch Dritte bestehen.

FAZIT

Immer wieder hört man in den Gesprächen u.a. mit Steuerberatern, dass IT-Sicherheit und IT-Ausfälle kein Problem sind, denn man ist ja bei DATEV. Die DATEV ist grundsätzlich auch ein sehr sicherer Cloudanbieter, aber das o.g. Beispiel zeigt einmal mehr, dass eine Cloud per se auch nicht zu 100% sicher ist.

Jedes System ist anfällig für einen Fehler, einen 100%igen Schutz gibt es nicht. Darüber hinaus werden viele Hackerangriffe über die Steuerbüros direkt verübt, ein falscher Klick und Zugangsdaten geraten in die Hände der Kriminellen.

Bei diesen Angriffen kann es wie im genannten Fall zu gravierenden Ausfällen kommen und ohne eine richtige Absicherung, bleiben die Unternehmen auf den Kosten sitzen. DATEV selbst hat auch schon bestätigt, dass eine Cyberversicherung heutzutage in das Portfolio eines DATEV-Nutzers gehört.

Deshalb ist es so wichtig, sich mit diesem Thema zu beschäftigten und die Restrisiken auszulagern. Sprechen Sie uns gerne darauf an!