Sicherheit

KanzleiSynchron schützt Mandantendaten mit moderner Anmeldung: Passwort plus optionaler zweiter Faktor, Passkeys für die passwortlose Anmeldung und eine Selbstbedienungs-Wiederherstellung für vergessene Passwörter. Diese Seite beschreibt, was jede Person und jeder Kanzlei-Admin einrichten kann — und was ehrlich noch in Arbeit ist.

Wo Sie das einrichten

Jede Person verwaltet ihre eigenen Sicherheitsfaktoren unter Einstellungen → Sicherheit (/settings/security). Niemand sonst — auch kein Admin — sieht Ihre Geheimnisse.

Anmeldung

Die Anmeldung erfolgt mit E-Mail und Passwort. Hat eine Person einen zweiten Faktor hinterlegt, fragt KanzleiSynchron diesen direkt bei der Anmeldung ab (Authenticator-Code oder Wiederherstellungs-Code). Ohne erfolgreichen zweiten Faktor wird keine Sitzung erteilt — die Anmeldung schlägt im Zweifel geschlossen fehl.

Passwörter werden niemals im Klartext gespeichert. Sie werden mit Argon2id gehasht, dem aktuellen Branchenstandard gegen das Erraten von Passwörtern.

Zwei-Faktor-Authentifizierung (2FA)

Jede Person kann unter Einstellungen → Sicherheit einen zweiten Faktor einrichten:

• Authenticator-App (TOTP) — QR-Code mit einer App wie Google Authenticator, 1Password oder Aegis scannen und den 6-stelligen Code bestätigen. Danach wird dieser Code bei jeder Anmeldung verlangt.
• 10 einmalige Wiederherstellungs-Codes — werden bei der 2FA-Einrichtung erzeugt und einmalig angezeigt. Drucken oder sicher ablegen. Bei Verlust des Authenticator-Geräts melden Sie sich mit einem dieser Codes an („Wiederherstellungs-Code verwenden”). Jeder Code funktioniert genau einmal; ein erneutes Erzeugen ersetzt den alten Satz vollständig.

Sie können 2FA jederzeit selbst aktivieren, deaktivieren oder die Wiederherstellungs-Codes neu erzeugen.

Noch nicht erzwungen für alle

2FA ist einrichtbar und wird bei der Anmeldung verlangt, sobald eine Person sie hinterlegt hat — aber sie ist (noch) nicht für alle Nutzer verpflichtend, und sensible Aktionen wie der Periodenabschluss erfordern noch keine zusätzliche Sicherheitsstufe. Eine kanzleiweite 2FA-Pflicht und eine Hochstufung für sensible Aktionen sind geplant.

Passkeys (Face ID, Touch ID, Sicherheitsschlüssel)

Passkeys ermöglichen die passwortlose Anmeldung — mit Face ID, Touch ID oder einem Hardware-Sicherheitsschlüssel statt eines Passworts.

• Einrichten unter Einstellungen → Sicherheit: Auf „Passkey hinzufügen” tippen und die Geräte-Aufforderung bestätigen. Mehrere Passkeys (z. B. Laptop und Telefon) sind möglich; eingerichtete Passkeys lassen sich wieder entfernen.
• Anmelden auf der Anmeldeseite über „Mit Passkey anmelden” — kein Passwort nötig.

Passkeys sind phishing-resistent: Das Geheimnis verlässt das Gerät nie und lässt sich nicht über eine gefälschte Seite abgreifen.

Praktischer Ablauf

Richten Sie Ihren ersten Passkey ein, während Sie mit Passwort angemeldet sind. Danach können Sie sich allein mit dem Passkey anmelden. Ein Passkey ist eine passwortlose Anmeldemethode, kein separater zweiter Faktor — eine eigene „Passkey-als-2FA”-Oberfläche gibt es noch nicht.

Konto-Wiederherstellung

Wenn der Zugang verloren geht, gibt es eine gestufte Wiederherstellung — vom Selbstbedienungs-Weg bis zur Admin-Hilfe:

1. Passwort vergessen — auf /recover die E-Mail eingeben; KanzleiSynchron sendet einen Code, mit dem ein neues Passwort gesetzt wird.
2. Wiederherstellungs-Code — Authenticator-Gerät verloren? Bei der 2FA-Abfrage „Wiederherstellungs-Code verwenden” wählen und einen der 10 Codes eingeben.
3. E-Mail-Bestätigung — neue Konten bestätigen ihre Adresse über /verify-email. Versand erfolgt über echtes SMTP (E-Mail-Zustellung).
4. Admin-gestützter 2FA-Reset — sind die Codes aufgebraucht, kann ein Kanzlei-Admin unter Einstellungen → Team den zweiten Faktor einer ausgesperrten Person zurücksetzen. Die Person meldet sich danach mit Passwort an und richtet einen frischen Faktor neu ein.

Sicher gestaltet

Ein Admin kann den Zugang wiederherstellen, lernt dabei aber nie den neuen Faktor der Person — Resets löschen nur, sie setzen nie ein Geheimnis. Jeder Reset wird im Audit-Log protokolliert (MFA_RESET_BY_ADMIN). Bestätigen Sie die Identität vor einem Reset immer auf einem zweiten Kanal (Anruf, Video, persönlich).

Sicherheitsgrundlagen

Baustein	Was es bedeutet
Identitätsspeicher: Ory Kratos	Anmeldedaten (Passwort-Hashes, TOTP-Geheimnisse, Wiederherstellungs-Codes, Passkeys) liegen in einem dedizierten, quelloffenen Identitätssystem — getrennt von den Buchhaltungsdaten.
Passwort-Hashing: Argon2id	Passwörter werden mit dem aktuellen, speicherharten Standardverfahren gehasht — nie im Klartext gespeichert.
Sitzungs-Cookie: HttpOnly, same-origin	Die Anmeldesitzung liegt in einem HttpOnly-Cookie, das JavaScript nicht auslesen kann, und wird nur an die eigene Domain gesendet.
Unveränderbarer Audit-Trail (GoBD)	Wesentliche Aktionen werden in einer Hash-Kette protokolliert, die nachträgliche Änderungen erkennbar macht — die Grundlage für GoBD-orientierte Nachvollziehbarkeit (siehe GoBD & Periodenabschluss).

Was wir bewusst nicht behaupten

KanzleiSynchron ist ein Buchhaltungs- und Abstimmungswerkzeug, kein reguliertes Zahlungsinstitut. Wir bezeichnen das Produkt nicht als „GoBD-zertifiziert”, „PSD2-konform” oder „BaFin-reguliert”. Starke Anmeldung ist hier ein Vertrauens- und Qualitätsmerkmal, keine gesetzliche Pflicht für KanzleiSynchron.

Was geplant ist

Ehrlich gekennzeichnet, damit Sie wissen, worauf Sie sich heute verlassen können:

• Kanzleiweite 2FA-Pflicht — eine Admin-Richtlinie, die 2FA für alle (oder bestimmte Rollen) verpflichtend macht, mit Übergangsfrist. Geplant.
• Hochstufung für sensible Aktionen — Periodenabschluss und Administration zusätzlich an eine zweite Sicherheitsstufe binden. Geplant.
• Audit-Ereignisse für Selbstbedienungs-2FA — das eigene Aktivieren/Deaktivieren von 2FA schreibt heute noch kein Audit-Ereignis (Admin-Resets dagegen schon). Geplant.
• Passkey-als-zweiter-Faktor — Passkeys dienen heute der passwortlosen Anmeldung; eine separate Oberfläche, einen zweiten Passkey ausdrücklich als Backup-Faktor zu führen, gibt es noch nicht. Geplant.

Nächster Schritt

Mehr zur Nachvollziehbarkeit: Audit-Trail und GoBD & Periodenabschluss. Zur Rollen- und Zugriffsverwaltung: Team verwalten.