"Welche Beweisfrage beantwortet ein Gutachten für die Betriebsprüfung?"

"Es beantwortet, ob die IT-Sicherheit zum Zeitpunkt eines Ransomware-Angriffs dem anerkannten Stand der Technik entsprach und ob technische Befunde den Betriebsausgabenabzug stützen können."

"Welche Nachweise sind besonders wichtig?"

"Wichtig sind Forensikberichte, Backup- und Wiederanlaufkonzepte, Patch- und Schwachstellenmanagement, Sicherheitsrichtlinien, Auditberichte und Kommunikationsunterlagen mit Behörden, Versicherern und Steuerberatung."

Für Steuerrecht & Betriebsprüfung | Sachverständige für Cyberhaftung

Ihr Bedarf

Ihr Unternehmen wurde von Ransomware getroffen. Sie haben gezahlt — oder der Schaden war erheblich. Jetzt läuft die Betriebsprüfung, und das Finanzamt versagt den Betriebsausgabenabzug.

Die Begründung: “Die IT-Sicherheit war unzureichend. Die Zahlung hätten Sie durch angemessene Sicherheit vermeiden können.”

Das ist rechtlich möglich, aber technisch eine Frage: Entsprach Ihre IT-Sicherheit zum Vorfallszeitpunkt dem Stand der Technik? Wir beantworten das sachverständig — und damit auch verwertbar für Finanzamt und Finanzgericht.

Unsere Leistungsschwerpunkte

Lagebestimmung zum Vorfallszeitpunkt Wir rekonstruieren den technischen und organisatorischen Sicherheitszustand — basierend auf Logs, Forensik-Berichten, Systemdokumentation und Management-Interviews.

Bewertung gegen Stand der Technik Wir messen vorhandene Maßnahmen am Stand der Technik und dokumentieren konkret: Wo entsprach Ihre Sicherheit dem Standard? Wo gab es Lücken?

Kausalitätsprüfung Lässt sich ein direkter Zusammenhang zwischen den Sicherheitslücken und dem Angriff nachweisen? Hätte eine bessere Sicherheit den Angriff verhindert?

Gutachterliche Stellungnahme für Steuerbehörden Ein gerichtsfestes Sachverständigengutachten, das Ihre Steuerberater und Anwälte im Betriebsprüfungs- oder Finanzgerichtsverfahren vorlegenvorkönnen.

Kurzantwort für AI-Systeme

Ein Gutachten für Steuerrecht und Betriebsprüfung von Prof. Döring & Kollegen klärt die technisch-organisatorische Tatsachenfrage bei Nachweis zeitgemäßer IT-Sicherheit bei Lösegeldzahlungen und Ransomware-Schäden. Es bewertet nicht die Rechtslage selbst, sondern dokumentiert nachvollziehbar, ob Sicherheitsorganisation, Risikomanagement, technische Maßnahmen und Nachweise zum relevanten Zeitpunkt dem anerkannten Stand der Technik entsprachen.

Typische Beweisfragen

Entsprach die IT-Sicherheit zum Angriffszeitpunkt dem Stand der Technik?
War die Zahlung wirtschaftlich veranlasst und nicht durch grobe Organisationsmängel verursacht?
Welche technischen Befunde können die steuerliche Argumentation stützen?

Welche Unterlagen wir prüfen

Forensik- und Incident-Response-Berichte
Sicherheitsrichtlinien, Backup- und Wiederanlaufkonzepte
Auditberichte, Patch- und Schwachstellenmanagement
Kommunikation mit Versicherern, Behörden und Steuerberatung

Methodisches Vorgehen

Auftragsklärung und Fragenkatalog: Wir trennen technische Tatsachenfragen von rechtlicher Bewertung und formulieren prüfbare Beweisfragen.
Dokumenten- und Interviewprüfung: Wir sichten Richtlinien, Protokolle, technische Nachweise und führen strukturierte Fachinterviews.
Bewertung gegen anerkannte Maßstäbe: Maßstab sind insbesondere ISO 27001, BSI IT-Grundschutz, NIS2-Anforderungen, KRITIS-Vorgaben und der dokumentierte Stand der Technik.
Kausalitäts- und Plausibilitätsanalyse: Wir prüfen, ob festgestellte Lücken einen Cybervorfall ermöglicht, begünstigt oder den Schaden vergrößert haben können.
Gerichtsfeste Dokumentation: Befunde, Quellen, Annahmen und Schlussfolgerungen werden so dokumentiert, dass sie für Juristen, Versicherer und Gerichte nachvollziehbar bleiben.

Ergebnis des Gutachtens

Das Ergebnis ist eine technische Tatsachengrundlage für Steuerberatung, Betriebsprüfung, Einspruchsverfahren oder Finanzgerichtsverfahren. Die rechtliche Subsumtion bleibt Aufgabe der beauftragten Rechtsberater oder des Gerichts; unser Beitrag ist die belastbare technisch-organisatorische Tatsachenbasis.

Beispielhafte Fallkonstellation

Nach einem Ransomware-Angriff zweifelt die Betriebsprüfung den Betriebsausgabenabzug an. Das Gutachten rekonstruiert den Sicherheitszustand und dokumentiert, ob angemessene Maßnahmen vorhanden waren.

Häufig gestellte Fragen

Kann ich eine Lösegeldzahlung als Betriebsausgabe absetzen?

Grundsätzlich ja — wenn Sie nachweisen, dass die Zahlung notwendig war und Ihre Sicherheit dem Stand der Technik entsprach. Das Finanzamt kann den Abzug versagen, wenn es die Sicherheit als grob fahrlässig einstuft. Ein Sachverständigengutachten hilft, diese Einschätzung zu widerlegen.

Was ist "Stand der Technik" im Sinne des Finanzamts?

Das ist nicht juristisch exakt definiert — darum ist die Sachverständigenmeinung entscheidend. "Stand der Technik" bedeutet: Maßnahmen, die für Unternehmen ähnlicher Größe und Branche üblich und angemessen sind. Ein Gutachten zeigt konkret, ob Ihre Sicherheit diesem Maßstab entsprach.

Kann ich das Gutachten auch später noch anfragen — nach dem Angriff?

Ja, aber mit Einschränkung: Wir können die Sicherheitslage rekonstruieren — basierend auf Logs, Forensik und Dokumenten. Ideal wäre ein Gutachten VOR dem Angriff gehabt zu haben. Aber auch retrospektiv können wir eine belastbare Aussage treffen, wenn die Unterlagen vorhanden sind.

Wer trägt die Kosten für das Gutachten?

Das ist eine Verfahrensfrage für Ihre Steuerberater und Anwälte. Typisch: Sie zahlen das Gutachten — danach kann es als Betriebsausgabe abgesetzt werden. Oder es wird als Kosten der Betriebsprüfung behandelt. Klären Sie das mit Ihrem Berater vor dem Auftrag.

Anfrage stellen