EDR-Rollout für 80 Endpunkte in einer bundesweit tätigen Steuerkanzlei.

Steuerkanzleien arbeiten mit hochsensiblen Mandantendaten – und ihre Mandanten erwarten heute belastbare Nachweise, dass diese Daten sicher sind. Für eine bundesweit tätige Steuerkanzlei mit sechs Standorten haben wir einen modernen EDR-Rollout (Endpoint Detection and Response) über Microsoft Intune umgesetzt, die Anmeldung über Conditional Access in Entra ID abgesichert und ein monatliches Compliance-Reporting für die Geschäftsführung etabliert. Das Ergebnis ist eine zentrale Sicht auf 80 Endpunkte und eine Reaktionszeit von unter 15 Minuten auf sicherheitsrelevante Vorfälle.

Die Ausgangslage: gewachsene IT, veralteter Virenschutz

Die Kanzlei war über Jahre und mehrere Standorte gewachsen. Jeder Standort hatte historisch sein eigenes Vorgehen, der Virenschutz war ein klassischer, signaturbasierter Antivirus ohne zentrale Auswertung. Niemand konnte auf Knopfdruck sagen, welche Geräte aktuell gepatcht waren, wo ein verdächtiges Verhalten auftrat oder ob ein Endpunkt überhaupt noch geschützt war. Gleichzeitig verschärften die Mandanten – darunter größere Unternehmen mit eigenen Compliance-Vorgaben – ihre Anforderungen an die IT-Sicherheit ihrer Berater spürbar.

Für eine Kanzlei ist das kein abstraktes Risiko: Ein erfolgreicher Angriff auf Mandantendaten bedeutet nicht nur einen Datenschutzvorfall, sondern einen unmittelbaren Vertrauensschaden im Kerngeschäft.

Warum klassischer Virenschutz nicht mehr reicht

Ein signaturbasierter Antivirus erkennt, was er bereits kennt. Moderne Angriffe – etwa dateilose Schadsoftware oder der Missbrauch legitimer Systemwerkzeuge – fallen durch dieses Raster. Endpoint Detection and Response setzt deshalb auf Verhaltensanalyse: Verdächtige Aktivitäten werden erkannt, korreliert und können automatisiert gestoppt werden, bevor sie Schaden anrichten. Entscheidend ist dabei nicht nur das Werkzeug, sondern die zentrale Auswertung über alle Geräte und Standorte hinweg. Genau diesen Schritt von „installiert" zu „überwacht und steuerbar" haben wir hier vollzogen – im Rahmen unseres Angebots für Managed Security.

Unser Vorgehen: ausrollen, absichern, sichtbar machen

Der Rollout lief in drei aufeinander aufbauenden Schritten:

• EDR über Intune ausrollen. Statt Gerät für Gerät manuell zu installieren, haben wir die EDR-Lösung zentral über Microsoft Intune verteilt. Alle 80 Endpunkte über die sechs Standorte hinweg erhielten dieselbe, dokumentierte Konfiguration – einheitlich, nachvollziehbar und ohne Vor-Ort-Termine.
• Conditional Access in Entra ID. Der Zugriff auf Kanzleidaten ist seither an Bedingungen geknüpft: bekanntes und konformes Gerät, Multi-Faktor-Authentifizierung, plausibler Standort. Ein gestohlenes Passwort allein öffnet keine Tür mehr.
• Monatliches Compliance-Reporting. Die Geschäftsführung erhält ein verständliches monatliches Reporting: Patch-Stand, erkannte und abgewehrte Vorfälle, Geräte-Compliance. Damit lässt sich gegenüber Mandanten nachweisen, dass Informationssicherheit nicht behauptet, sondern gemessen wird.

Reaktionszeit unter 15 Minuten – was das konkret bedeutet

Die Reaktionszeit von unter 15 Minuten aus unseren Eckdaten beschreibt die Zeit von der Erkennung eines kritischen Vorfalls bis zur ersten Eindämmung. Möglich wird das durch die zentrale Auswertung und vordefinierte Reaktionsregeln: Ein auffälliger Endpunkt kann automatisiert vom Netzwerk isoliert werden, während parallel die Analyse beginnt. So bleibt ein einzelner kompromittierter Rechner ein lokales Ereignis – und wird nicht zum kanzleiweiten Vorfall über sechs Standorte.

Das Ergebnis: eine Kanzlei, die ihre Sicherheit belegen kann

Heute hat die Kanzlei das, was vorher fehlte: eine einzige, zentrale Sicht auf alle Endgeräte, einen verhaltensbasierten Schutz, der auch unbekannte Angriffe erkennt, und einen abgesicherten Zugang über Entra ID. Genauso wichtig ist die organisatorische Seite – das monatliche Reporting macht aus IT-Sicherheit ein nachweisbares Qualitätsmerkmal, mit dem die Kanzlei gegenüber anspruchsvollen Mandanten auftreten kann.

Was dieses Projekt zeigt

Für berufsständische und beratende Unternehmen ist IT-Sicherheit längst ein Wettbewerbsfaktor und keine reine Kostenstelle. Der Sprung von lokalem Virenschutz zu zentral gemanagtem EDR mit abgesichertem Identitätsmanagement lässt sich auch über mehrere Standorte hinweg sauber und ohne große Störung umsetzen – wenn der Rollout zentral gesteuert und das Ergebnis messbar gemacht wird. Möchten Sie wissen, wie gut Ihre Endpunkte heute wirklich geschützt sind? Sprechen Sie uns über unser Kontaktformular an oder sehen Sie sich weitere Referenzen an.