StB Dr. Markus Ertel, Manager bei Ebner Stolz, Karlsruhe

Nicht nur Privatpersonen, sondern auch immer mehr Unternehmen rückten in jüngster Vergangenheit in das Visier von (organisierten) Cybercrime-Angriffen. Gemeinhin lässt sich das Phänomen „Cybercrime“ in die Erscheinungsformen Malware (Einsatz von Schadsoftware), Spam und Phishing (rechtswidrige Erlangung digitaler Identitäten), DDoS-Angriffe (Angriff auf Systeme durch Initiierung von Überlastungsszenarien) und Ransomware (Verschlüsselung von Daten/Systemen, um „Lösegeld“ zu erpressen) einordnen. In der Regel sind vor allem IT- und Sicherheitsspezialisten hiermit befasst – sei es durch den Aufbau einer adäquat-geschützten Infrastruktur bis hin zur Erstellung von Notfallplänen und das Vorhalten von Zweit-/Drittsystemen (on-/offline). Steuerliche Aspekte finden sich in diesem Zusammenhang oftmals nicht. Vielmehr wird die potenzielle steuerliche Relevanz bis zu dem besagten „Tag X“ oftmals ausgeblendet.

Steuerliche Dimension von Cybercrime

Unternehmen, die beispielsweise von Ransomware-Angriffen betroffen sind, dürften sich regelmäßig die Frage stellen, ob sie das geforderte Lösegeld – in der Regel in Kryptowährungen gefordert – zahlen und ob sie die entsprechenden Behörden einschalten sollen oder nicht. Um im Fall der Fälle adäquat, ziel- und zeiteffizient agieren zu können bedarf es einer sorgfältigen Auseinandersetzung mit dem Phänomen „Cybercrime“, denn auch der steuerliche Bereich rückt hier in den Fokus, wie die Praxis oftmals zeigt.

Im steuerlichen Bereich sei an dieser Stelle das Stichwort „Tax-CMS“ genannt. Unternehmen sollten sich vergegenwärtigen, wie sie im Fall eines Angriffs zu verfahren haben bzw. wie sie verfahren würden, sofern noch keine Vorkehrungen getroffen worden sein sollten. Zu klären ist, wie das Unternehmen an die geforderten Kryptowährungen sowie an den entsprechenden Betrag in der geforderten Zeit gelangt, welche technischen Voraussetzungen hierfür notwendig sind und welche Informationsketten einzuhalten sind. Bereits diese Fragen kann ein Unternehmen vor nicht geahnte Hürden stellen.

Im Weiteren sollte genau dokumentiert werden, zu welchem Zeitpunkt welche Kryptowährung zu welchem Kurs gekauft/verkauft/getauscht/verwendet wurde. Etwaige Kursgewinne/-verluste sind allesamt steuerlich zu erfassen.

Fazit

Letzend Endes mag der Wunsch jedes Unternehmens nachvollziehbar und zugleich wünschenswert sein, von einem Cyber-Angriff verschont zu bleiben. Jedoch sollte diese Hoffnung nicht mit den gebotenen pro-aktiven Vorkehrungen konfligieren. Im Ergebnis kann der Appell daher nur lauten: setzen Sie sich frühzeitig mit dem Thema und den (un)mittelbaren Folgen eines Cybercrime-Angriffs sowie den damit potenziell verbundenen steuerlichen sowie bilanziellen Fragestellungen auseinander … ein Aufschub ist nicht ratsam!