In diesem Beitrag erfahren Sie mehr über die Gefahr von Cyberangriffen und das breite Spektrum an Bedrohungsszenarien. Mit welchen konkreten Maßnahmen Sie sich vor Angriffen schützen können, lesen Sie in den kommenden Wochen im Blog Stiftungsrecht.
Für Stiftungen und Non-Profit-Organisationen (NPO) sind Daten und Informationen ein immer wichtigerer Erfolgsfaktor. Technologisch ebenso wie finanziell immer schwieriger wird es jedoch, sie zu schützen. Die IT-Infrastruktur ändert sich, beispielsweise durch Cloud und Mobile Computing, kontinuierlich, die Vernetzung der Geschäftsprozesse durch technische Transformationen nimmt zu. Vor allem aber wächst die digitale Bedrohung durch Cyberattacken. Die Angreifergruppen sind heterogen und verfolgen unterschiedlichste Motivationen. Entsprechend sollten sich Organisationen grundsätzlich auf die folgenden Gruppen von Angreifern vorbereiten:
- „Hacktivisten“: ideologisch inspiriert
- Organisiertes Verbrechen: Suche nach finanziellen Vorteilen
- Insider: teils individuelle Motive, teils auch versehentlich
- Politische Einheiten: Spionage oder Sabotage
Immer häufiger sehen sich Organisationen mit aggressiven und raffinierten Cyberangriffen konfrontiert. Wer nicht angemessen vorbeugt und auf Vorfälle entschlossen und kontrolliert reagiert, handelt unternehmerisch leichtfertig.
Breites Spektrum an Bedrohungen
Die Liste der digitalen Bedrohungen ist lang. Die häufigsten Angriffsmethoden und -szenarien sind Verschlüsselungstrojaner, Datenlecks nach Angriffen und Infektionen mit Schadsoftware. Keine Organisation, sei es Großkonzern, Mittelständler, Stiftung oder NPO, und keine Branche ist gegen Datendiebstahl, Sabotage, Computerbetrug, Schadsoftwarebefall gefeit. Zudem kommen immer neue Methoden wie beispielsweise Erpressungstrojaner (Ransomware), die in letzter Zeit in Erscheinung getreten sind, dazu.
Cyberattacken können massive Konsequenzen haben. Der tatsächliche geldwerte Schaden durch entwendete oder manipulierte organisationssensible Informationen ist dabei vielfach nur der Anfang. Ist der Vorfall erst einmal an die Öffentlichkeit gelangt, droht ein substanzieller Reputationsverlust auf Kunden- wie auf Investorenseite.
Zunehmende Sensibilisierung
Wir nehmen eine deutlich zunehmende Sensibilisierung für Cyberrisiken bei Non-Profit-Organisationen wahr. Dennoch werden Jahr für Jahr neue Vorfälle bekannt, die aufgrund eines inadäquaten Schutzes oder Reaktionsvermögens zum Teil erhebliche Ausmaße annehmen. Es stellt sich daher die Frage, ob dem Thema Cyber Security und Cyber Forensic auch in Non-Profit–Organisationen die angemessene Bedeutung beigemessen wird und ob die richtigen Schlüsse gezogen werden.
Professionelle Vorbereitung auf externe wie interne Angreifer
Die Grundlage eines effektiven und effizienten Cyberschutzes ist die kontinuierliche Auseinandersetzung mit diesem dynamischen Thema. Dazu sind beispielsweise regelmäßige Sicherheitsüberprüfungen nötig. Dabei bestimmen Experten für Prävention, Detektion und Reaktion den Reifegrad des Cyberschutzes, schaffen also Transparenz über den Status quo der Cybersicherheit und geben maßgeschneiderte Empfehlungen zur weiteren Optimierung von Strukturen und Prozessen.
Für den individuell passenden Schutz müssen Organisationen gezielte Vorkehrungen treffen und technische sowie prozessuale Maßnahmen sinnvoll kombinieren. Diese Aufgabe ist nicht zuletzt deshalb sehr komplex, weil Angreifer verschiedene Ziele verfolgen und ihre Attacken entsprechend unterschiedliche Folgen nach sich ziehen können.
Auseinandersetzung mit externen Angreifern
Schadsoftware gibt es in großer Vielfalt. Sie kann für einen Anwendungszweck maßgeschneidert und gezielt eingesetzt werden oder eher ein Massenprodukt sein. Mittlerweile gibt es auch kommerzielle Schadsoftware, die von Cyberkriminellen mit variablem Funktionsumfang als Dienstleistung erworben werden kann. Auf diese Art können selbst technisch wenig versierte Kriminelle erfolgreiche Angriffe durchführen und großen Schaden anrichten.
Sogenannte Advanced Persistent Threats (APTs) sind intelligente, taktisch höchst präzise und manchmal militärisch minutiös durchgeplante Angriffe. Meist stehen hinter den Angreifergruppen Fremdstaaten, Geheimdienste oder professionell organisierte Banden, die mit hoher Qualifikation und Beharrlichkeit erschreckende Erfolgsraten beim Angriff auf Organisationen erreichen. Dabei machen diese auch bei Non-Profit-Organisationen und Stiftungen keine Ausnahme. Ziel kann beispielsweise der Diebstahl von Kunden- und Zahlungsdaten, aber auch von geistigem Eigentum, Strategiedokumenten und Forschungsergebnissen sein. Durch die professionelle und entschlossene Vorgehensweise ist die IT-forensische Aufarbeitung und Mitigation des Angriffs möglich und schafft Transparenz und Handlungsmöglichkeiten für die betroffene Organisation. Eine vollständige Identifikation und Nachverfolgung der örtlich zumeist weit entfernten Angreifergruppe ist allerdings recht schwierig.
Die eigene Cybersicherheit zu kennen und zu verbessern, ist Pflicht
Gemeinnützige Organisationen müssen sich bewusst werden, dass sie bereits heute über sensible Daten verfügen, die gegen den Zugriff unbefugter Dritter zu schützen sind. Dabei geht es nicht nur darum, den regulatorischen Anforderungen der Datenschutzgrundverordnung zu entsprechen. Sie müssen die eigene Handlungsfähigkeit im Falle eines Cyberangriffs sicherstellen und damit massive Reputationsverluste vermeiden. Man mag sich kaum vorstellen, welche Konsequenzen der Missbrauch von Spenderdateien, die Blockade des Zugriffs auf diese Daten oder etwa die unautorisierte Verwendung von Mitgliederinformationen, Patienten- oder Schüler- und Studentendaten für die betroffenen Organisationen nach sich zieht.
Der konkrete Handlungs- und Investitionsbedarf im Einzelfall kann nur durch eine individuelle Sicherheitsüberprüfung ermittelt werden. Gleichzeitig ist dieses Wissen auch wichtig, um mit Fördermittelgebern den gegebenenfalls erforderlichen Investitionsbedarf in personelle Ressourcen und Infrastruktur quantifizieren zu können und diese Ausgaben auch künftig bei den Förderungen zu berücksichtigen.
Der stete technologische Wandel wird fortlaufende Ausgaben erfordern. Bisher werden solche Kosten kaum berücksichtigt. Das muss sich jedoch ändern – übrigens auch, um der Politik gegenüber konkreten Bedarf an Hilfestellung zu benennen.
Nach Innenministerkonferenz: Gesetzesentwurf für Stiftungsrechtsreform kommt
Die Innenministerkonferenz hat Anfang Juni unter anderem zur Stiftungsrechtsreform getagt – die Beschlüsse sind nun öffentlich einsehbar. Wesentliches Ergebnis: Bundesinnen- und Bundesjustizministerium sollen einen Gesetzesentwurf zur Reform des Stiftungsrechts erarbeiten.