Die IT-Infrastruktur von Steuerkanzleien hat in den letzten Jahren eine stille, aber tiefgreifende Revolution erlebt. Viele Kanzleien bemerken erst auf den zweiten Blick, wie radikal sich ihre Sicherheitsarchitektur verändert hat – und welche alten Gewohnheiten danach eigentlich keinen Sinn mehr ergeben. Eine dieser Gewohnheiten ist die Vorstellung, dass eine professionelle Firewall im Büro die wichtigste Schutzschicht für eine Steuerkanzlei sei. Das war lange richtig, doch in einer Microsoft-365-Welt mit ausgelagerten Fachanwendungen in Azure gilt diese Logik schlicht nicht mehr.
Diese Verschiebung lässt sich in einem Satz zusammenfassen: Sicherheit entsteht heute nicht mehr an der Grenze eines Büros, sondern am Identitäts- und Datenzugriff in der Cloud. Für Kanzleien, die Microsoft 365 und ihre Fachsoftware über Azure Virtual Desktop oder eine Azure-VM betreiben und den Serverzugriff vollständig über die neue Windows-App mit Entra-Anmeldung realisieren, hat sich der Ort der „Firewall“ komplett verlagert. Sie steht heute nicht mehr im Serverraum, sondern in Entra ID, in Conditional Access, in Microsoft Defender und in den Netzwerk-Sicherheitsgruppen der Azure-Umgebung.
Wer das versteht, erkennt auch, warum eine FritzBox als lokaler Router inzwischen vollkommen ausreicht – selbst für Berufsgeheimnisträger nach § 203 StGB.
Die historische Perspektive: Warum klassische Firewalls früher unverzichtbar waren
In der Zeit vor Microsoft 365 waren Steuerkanzleien technisch fast immer ähnlich aufgebaut: ein Windows-Server im Büro, lokale Benutzerverwaltung, SQL-Datenbanken, ein Dokumentenmanagementsystem, DATEV oder Addison auf On-Prem-Servern, ein VPN-Zugang für Außenarbeitsplätze und eine Firewall, die wie ein Schutzwall zwischen der Kanzlei und dem Internet stand. Die Firewall sollte den Server schützen – und damit die gespeicherten Mandantendaten.
Dieser Schutz war notwendig, weil die sensibelsten Daten physisch in den Räumen der Kanzlei lagen. Wer Zugriff darauf haben wollte, musste durch die Firewall. Die gesamte Sicherheitsstrategie war darauf ausgerichtet, das Kanzleinetz nach außen abzuschotten und den Zugang von außen streng zu kontrollieren.
Heute ist das Gegenteil der Fall. Die sensibelsten Daten liegen längst nicht mehr im Büro – sie liegen in Microsoft-Rechenzentren, geschützt durch die gleichen Sicherheitsmechanismen, die Microsoft für Banken, Konzerne, Behörden und andere hochkritische Organisationen einsetzt. Die Verantwortung hat sich verschoben: weg vom lokalen Gerät, hin zur Identität.
Was sich verändert hat: Die Cloud ist das neue Netzwerk
Wenn eine Steuerkanzlei E-Mails in Exchange Online speichert, Dateien in SharePoint organisiert, Aufgaben über Planner steuert, Besprechungen in Teams führt und ihre Fachanwendung auf einem Azure-Server betreibt, hat ihr lokales Büro keine sicherheitsrelevante Funktion mehr. Die Büroräume sind einfach nur ein Ort, an dem Mitarbeitende sitzen – der eigentliche digitale Arbeitsplatz befindet sich nicht dort.
Diese Verschiebung hat enorme Auswirkungen. Ein Arbeitsplatz, der komplett über Microsoft 365 läuft, ist ortsunabhängig, und ein Azure-Server mit Entra-Login lässt sich – sicherer als jeder klassische RDP-Zugang – von jedem Ort aus öffnen. Wer sich in die Fachanwendung einloggt, weist sich nicht mehr über Benutzername und Passwort aus, sondern über seine Identität in Entra. Diese Identität wird von Microsoft permanent risikobewertet, abgesichert und kontrolliert.
Die neue Windows-App, welche die klassische Remote-Desktop-Verbindung ablöst, ist eine weitere entscheidende Komponente. Sie authentifiziert nicht den Serverzugang isoliert, sondern die Person. Es gibt dabei keine losgelöste Serveranmeldung mehr. Die gesamte Verbindung – vom ersten Klick bis zum Zugriff auf die Fachapplikation – ist in das Zero-Trust-Modell von Microsoft eingebettet.
In dieser Welt ist die lokale Firewall nicht mehr der Türsteher. Sie hat keinen Zugriffspunkt mehr, den sie wirkungsvoll schützen könnte, weil die kritischen Dienste und Daten nicht mehr im internen Netz der Kanzlei liegen.
Warum eine FritzBox heute wirklich ausreicht
Für viele Steuerberater klingt die Aussage „Eine FritzBox reicht als Büro-Firewall“ zunächst gewagt. Doch wenn man die tatsächliche Infrastruktur betrachtet, ist sie nicht nur technisch zutreffend, sondern logisch zwingend. Eine FritzBox stellt den Internetzugang her, erledigt NAT und blockiert standardmäßig eingehende Verbindungen. Alle sicherheitsrelevanten Vorgänge passieren längst woanders.
Der Zugriff auf E-Mails wird in Exchange Online geprüft. Der Zugriff auf Dateien wird in SharePoint durch Berechtigungen, Conditional Access und Defender for Cloud Apps kontrolliert. Der Zugriff auf Azure-Server wird ausschließlich über Entra ID gewährt, abgesichert durch Multi-Faktor-Authentifizierung, Gerätecompliance und Risikobewertung. Die Azure-VM selbst wird durch Netzwerk-Sicherheitsgruppen abgesichert, die weit mächtiger sind als jede On-Premise-Firewall, weil sie nicht an einen einzelnen Standort gebunden sind.
Selbst wenn ein Angreifer in das lokale Netz der Kanzlei gelangen würde – etwa über ein unsicheres Gerät im Büro – hätte er keine Möglichkeit, auf die Mandantendaten zuzugreifen. Die Daten liegen schlicht nicht dort, sondern geschützt im Microsoft-Tenant. Berechtigungen, Identitäten und Sicherheitsregeln greifen an einer ganz anderen Stelle.
Eine FritzBox verhindert unerwünschte eingehende Verbindungen zuverlässig, sie ist stabil, wartungsarm und erfüllt für dieses Szenario alle Anforderungen. Das reicht, weil die wirklich sensiblen Funktionen nicht mehr in der Box, sondern in Azure und M365 verankert sind.
Zero Trust statt Perimeter-Schutz: Ein Paradigmenwechsel
Die moderne Sicherheitsarchitektur beruht nicht darauf, den Zugang zum Büro zu schützen, sondern darauf, jede einzelne Verbindung zu überprüfen. Jeder Zugriffsversuch auf einen Datensatz, eine Datei oder eine Anwendung wird über Entra bewertet. Ist das Gerät registriert? Entspricht es den Sicherheitsrichtlinien? Befindet sich der Nutzer an einem ungewöhnlichen Ort? Stimmt die Risikobewertung des Kontos? Wie verhält sich die Verbindung im Vergleich zum üblichen Verhalten des Nutzers?
Diese Prüfung findet fortlaufend statt. Damit ist das Modell im Alltag deutlich sicherer als eine Firewall, die nur eingehende und ausgehende Netzwerkpakete beurteilen kann. Für Berufsgeheimnisträger ist dieses Modell sogar ein massiver Gewinn: Zugriffsversuche werden protokolliert, Identitäten werden stark abgesichert, untypische Verhaltensmuster werden automatisch erkannt und verdächtige Aktivitäten sofort blockiert.
Was klassisches VPN und RDP heute gefährlich macht – und warum die Windows-App besser ist
Kanzleien, die ihre Fachanwendung immer noch über klassische VPN-Verbindungen oder RDP-Ports betreiben, wissen häufig nicht, wie oft Angriffe auf diese Dienste stattfinden. RDP ist seit Jahren einer der am meisten angegriffenen Dienste im Internet. Auch wenn Ports geschlossen sind oder VPNs solide konfiguriert sind – allein die Existenz dieser Architektur lässt Angreifer nach Schwachstellen suchen.
Mit der neuen Windows-App entfällt dieser Angriffsvektor vollständig. Die Verbindung wird nicht über einen Server im Büro aufgebaut, sondern über den Azure-Gateway-Dienst. Der Benutzer meldet sich ausschließlich über Microsoft an, und der eigentliche Serverzugriff bleibt hinter Azure-Sicherheitsgruppen verborgen. Die Server sind aus dem öffentlichen Internet heraus überhaupt nicht direkt erreichbar.
Gerade für Steuerkanzleien ist das ein enormer Sicherheitsvorteil, weil es eine der klassischen Einfallstüren – schlecht abgesicherte RDP-Zugänge – technikseitig eliminiert.
Die entscheidende Frage: Was schützt eine Firewall im Jahr 2025 überhaupt noch?
Wenn die Kanzlei keine Server im Haus hat, kein DMS lokal betreibt, keine lokale SQL-Datenbank pflegt, keine Ports nach außen geöffnet hat, keine Terminalserver im LAN stehen und keine On-Prem-Services für Benutzer bereitstellt, dann schützt eine klassische Firewall im Grunde: nichts.
Sie sieht den Verkehr von Microsoft 365 nicht wirklich, sie kann Zero-Trust-Entscheidungen nicht beeinflussen, sie kontrolliert nicht die Azure-Verbindung, sie kann Mandantenkommunikation nicht absichern, sie schützt nicht die Identität und sie ersetzt keine Protokollierung nach DSGVO oder § 203 StGB. Das Sicherheitsniveau entsteht heute vollständig in der Cloud – und dort ist es deutlich höher als früher.
Was Steuerkanzleien aus dieser Entwicklung konkret gewinnen
Der wichtigste Gewinn ist nicht nur Sicherheit, sondern auch Entlastung. Eine Kanzlei, die ihre IT auf Microsoft 365 und Azure mit Entra-Login ausgerichtet hat, erhält eine Infrastruktur, die auf mehreren Ebenen Vorteile bringt. Die Angriffsfläche wird drastisch reduziert, weil keine angreifbaren On-Prem-Server mehr vorhanden sind. Die Komplexität im Büro geht zurück, weil keine aufwendige Firewall- und VPN-Umgebung mehr gepflegt werden muss.
Zugriffe sind sauber dokumentiert, Identitäten lassen sich zentral steuern und auswerten, neue Mitarbeitende sind in kurzer Zeit produktiv, unabhängig davon, ob sie im Büro oder im Homeoffice arbeiten. Die gesamte Kanzlei profitiert von einer zentral gesteuerten, einheitlichen Identität als Basis für alle Anwendungen.
Vor allem entsteht eine Architektur, die mitwächst – mit neuen Mitarbeiterinnen und Mitarbeitern, mit zusätzlichen Mandantenportalen, mit künstlicher Intelligenz, mit zukünftigen Agent-Funktionen und integrierter Automatisierung. Wer einmal konsequent auf diese Struktur umgestellt hat, kann neue Dienste hinzufügen, ohne jedes Mal die lokale Infrastruktur umbauen zu müssen.
Fazit: Die Firewall steht heute in der Cloud
Steuerkanzleien, die ihre Infrastruktur konsequent modernisieren, brauchen keine klassische Firewall mehr. Nicht, weil Sicherheit unwichtig geworden wäre, sondern weil die Schutzschicht sich verlagert hat. Die Identität ist heute der neue Perimeter, und Microsoft 365 zusammen mit Azure, der Windows-App und Entra ID bildet eine Sicherheitsarchitektur, die einer Kanzlei mehr Schutz bietet als jede lokale Hardware-Firewall je leisten konnte.
Wer die Cloud konsequent nutzt, gewinnt nicht nur an Sicherheit, sondern auch an Stabilität, Effizienz und Zukunftsfähigkeit. In einer Welt, die zunehmend digital, verteilt und KI-gestützt arbeitet, ist das der Weg, Steuerberatung technisch sauber, verantwortungsvoll und langfristig tragfähig aufzustellen.
