Cyberangriffe sind längst Realität

Stiftungsrecht

In diesem Beitrag erfahren Sie mehr über die Gefahr von Cyberangriffen und das breite Spektrum an Bedrohungsszenarien. Mit welchen konkreten Maßnahmen Sie sich vor Angriffen schützen können, lesen Sie in den kommenden Wochen im Blog Stiftungsrecht.

Für Stiftungen und Non-Profit-Organisationen (NPO) sind Daten und Informationen ein immer wichtigerer Erfolgsfaktor. Technologisch ebenso wie finanziell immer schwieriger wird es jedoch, sie zu schützen. Die IT-Infrastruktur ändert sich, beispielsweise durch Cloud und Mobile Computing, kontinuierlich, die Vernetzung der Geschäftsprozesse durch technische Transformationen nimmt zu. Vor allem aber wächst die digitale Bedrohung durch Cyberattacken. Die Angreifergruppen sind heterogen und verfolgen unterschiedlichste Motivationen. Entsprechend sollten sich Organisationen grundsätzlich auf die folgenden Gruppen von Angreifern vorbereiten:

  • „Hacktivisten“: ideologisch inspiriert
  • Organisiertes Verbrechen: Suche nach finanziellen Vorteilen
  • Insider: teils individuelle Motive, teils auch versehentlich
  • Politische Einheiten: Spionage oder Sabotage

Immer häufiger sehen sich Organisationen mit aggressiven und raffinierten Cyberangriffen konfrontiert. Wer nicht angemessen vorbeugt und auf Vorfälle entschlossen und kontrolliert reagiert, handelt unternehmerisch leichtfertig.

Breites Spektrum an Bedrohungen

Die Liste der digitalen Bedrohungen ist lang. Die häufigsten Angriffsmethoden und -szenarien sind Verschlüsselungstrojaner, Datenlecks nach Angriffen und Infektionen mit Schadsoftware. Keine Organisation, sei es Großkonzern, Mittelständler, Stiftung oder NPO, und keine Branche ist gegen Datendiebstahl, Sabotage, Computerbetrug, Schadsoftwarebefall gefeit. Zudem kommen immer neue Methoden wie beispielsweise Erpressungstrojaner (Ransomware), die in letzter Zeit in Erscheinung getreten sind, dazu.

Cyberattacken können massive Konsequenzen haben. Der tatsächliche geldwerte Schaden durch entwendete oder manipulierte organisationssensible Informationen ist dabei vielfach nur der Anfang. Ist der Vorfall erst einmal an die Öffentlichkeit gelangt, droht ein substanzieller Reputationsverlust auf Kunden- wie auf Investorenseite.

Zunehmende Sensibilisierung

Wir nehmen eine deutlich zunehmende Sensibilisierung für Cyberrisiken bei Non-Profit-Organisationen wahr. Dennoch werden Jahr für Jahr neue Vorfälle bekannt, die aufgrund eines inadäquaten Schutzes oder Reaktionsvermögens zum Teil erhebliche Ausmaße annehmen. Es stellt sich daher die Frage, ob dem Thema Cyber Security und Cyber Forensic auch in Non-Profit--Organisationen die angemessene Bedeutung beigemessen wird und ob die richtigen Schlüsse gezogen werden.

Professionelle Vorbereitung auf externe wie interne Angreifer

Die Grundlage eines effektiven und effizienten Cyberschutzes ist die kontinuierliche Auseinandersetzung mit diesem dynamischen Thema. Dazu sind beispielsweise regelmäßige Sicherheitsüberprüfungen nötig. Dabei bestimmen Experten für Prävention, Detektion und Reaktion den Reifegrad des Cyberschutzes, schaffen also Transparenz über den Status quo der Cybersicherheit und geben maßgeschneiderte Empfehlungen zur weiteren Optimierung von Strukturen und Prozessen.
Für den individuell passenden Schutz müssen Organisationen gezielte Vorkehrungen treffen und technische sowie prozessuale Maßnahmen sinnvoll kombinieren. Diese Aufgabe ist nicht zuletzt deshalb sehr komplex, weil Angreifer verschiedene Ziele verfolgen und ihre Attacken entsprechend unterschiedliche Folgen nach sich ziehen können.

Auseinandersetzung mit externen Angreifern

Schadsoftware gibt es in großer Vielfalt. Sie kann für einen Anwendungszweck maßgeschneidert und gezielt eingesetzt werden oder eher ein Massenprodukt sein. Mittlerweile gibt es auch kommerzielle Schadsoftware, die von Cyberkriminellen mit variablem Funktionsumfang als Dienstleistung erworben werden kann. Auf diese Art können selbst technisch wenig versierte Kriminelle erfolgreiche Angriffe durchführen und großen Schaden anrichten.

Sogenannte Advanced Persistent Threats (APTs) sind intelligente, taktisch höchst präzise und manchmal militärisch minutiös durchgeplante Angriffe. Meist stehen hinter den Angreifergruppen Fremdstaaten, Geheimdienste oder professionell organisierte Banden, die mit hoher Qualifikation und Beharrlichkeit erschreckende Erfolgsraten beim Angriff auf Organisationen erreichen. Dabei machen diese auch bei Non-Profit-Organisationen und Stiftungen keine Ausnahme. Ziel kann beispielsweise der Diebstahl von Kunden- und Zahlungsdaten, aber auch von geistigem Eigentum, Strategiedokumenten und Forschungsergebnissen sein. Durch die professionelle und entschlossene Vorgehensweise ist die IT-forensische Aufarbeitung und Mitigation des Angriffs möglich und schafft Transparenz und Handlungsmöglichkeiten für die betroffene Organisation. Eine vollständige Identifikation und Nachverfolgung der örtlich zumeist weit entfernten Angreifergruppe ist allerdings recht schwierig.

Die eigene Cybersicherheit zu kennen und zu verbessern, ist Pflicht

Gemeinnützige Organisationen müssen sich bewusst werden, dass sie bereits heute über sensible Daten verfügen, die gegen den Zugriff unbefugter Dritter zu schützen sind. Dabei geht es nicht nur darum, den regulatorischen Anforderungen der Datenschutzgrundverordnung zu entsprechen. Sie müssen die eigene Handlungsfähigkeit im Falle eines Cyberangriffs sicherstellen und damit massive Reputationsverluste vermeiden. Man mag sich kaum vorstellen, welche Konsequenzen der Missbrauch von Spenderdateien, die Blockade des Zugriffs auf diese Daten oder etwa die unautorisierte Verwendung von Mitgliederinformationen, Patienten- oder Schüler- und Studentendaten für die betroffenen Organisationen nach sich zieht.

Der konkrete Handlungs- und Investitionsbedarf im Einzelfall kann nur durch eine individuelle Sicherheitsüberprüfung ermittelt werden. Gleichzeitig ist dieses Wissen auch wichtig, um mit Fördermittelgebern den gegebenenfalls erforderlichen Investitionsbedarf in personelle Ressourcen und Infrastruktur quantifizieren zu können und diese Ausgaben auch künftig bei den Förderungen zu berücksichtigen.

Der stete technologische Wandel wird fortlaufende Ausgaben erfordern. Bisher werden solche Kosten kaum berücksichtigt. Das muss sich jedoch ändern – übrigens auch, um der Politik gegenüber konkreten Bedarf an Hilfestellung zu benennen.

Autor:

Peter Kestner, Partner, Cyber Security, KPMG AG Wirtschaftsprüfungsgesellschaft

KPMG ist Premiumpartner des Bundesverbandes Deutscher Stiftungen. 

Unsere Blogs: Transparenz und Selbstverständnis

Sind Sie cybersicher?

Dieser Beitrag ist ein Auszug aus der KPMG-Broschüre "Sind Sie cybersicher? - Was Non-Profit-Organisationen tun können, um sich gegen Cyberangriffe zu schützen." 

Jetzt herunterladen

Aktuelle Beiträge
Kapital und Wirkung

Transparente Rendite

Der Vermögensverwalter Globalance Invest ermittelt für jedes Unternehmen in seinem Portfolio den ökologischen und sozialen Fußabdruck – denn besonders nachhaltige Investments sind nach Überzeugung der Verwalter auch mit Blick auf die Rendite attraktiv.

Mehr
Globales Engagement

„Die SDGs sind unsere Messlatte“

Michael Beier, Vorstandsvorsitzender der Heinz Sielmann Stiftung, über Fridays for ­Future und die Bedeutung von Stiftungen für den Klimaschutz.

Mehr
Impuls

Blinde Flecken: Die Macht der Konzerne

Stiftungen haben blinde Flecken, Aspekte, die sie nicht wahrnehmen können oder wollen. Dr. Thilo Bode, Geschäftsführer von Foodwatch International, benennt die Macht der Konzerne als Blinden Fleck der Stiftungen.  

Mehr
Stiftungs-News

Vor 30 Jahren: Initialzündung für das Grüne Band

Der 9. Dezember 1989 ist die Geburtsstunde des Grünen Bandes. An der ehemaligen innerdeutschen Grenze wurde vor 30 Jahren die Grundlage für eines der bedeutendsten Naturschutzprojekte Deutschlands gelegt.

Mehr
Geschlechtergerechtigkeit

„Nicht frühzeitig kapitulieren“

Im Interview erklärt Prof. Dr. Berit Sandberg, wieso es noch immer geschlechter­spezifische Ungleichheiten in der Bezahlung von Führungspersonen gibt. Und was Frauen und Stiftungen dagegen tun können.

Mehr

Mehr zum Thema

Stiftungsrecht

Stiftungsrechtsreform: Referententwurf ist im Frühjahr 2020 zu erwarten

Die Stiftungsrechtsreform hat es in die Halbzeitbilanz der Bundesregierung geschafft. Zu den Hintergründen und den nächsten Schritten sprachen wir mit Marie-Alix Frfr. Ebner von Eschenbach, Mitglied der Geschäftsleitung und Leiterin Recht und Politik des Bundesverbandes Deutscher Stiftungen.

Mehr
Pressemitteilungen

Stiftungsrechtsreform ist auf dem Weg

Nach Halbzeitbilanz: Bundesregierung setzt die Stiftungsrechtsreform auf ihre Agenda. Zuvor waren zahlreiche Stiftungen dem Aufruf gefolgt, die Bundesregierung und die Bundestagsabgeordneten an ihr Versprechen aus dem Koalitionsvertrag zu erinnern.

Mehr

Vergabeausschuss

Über die Zuerkennung des Qualitätssiegels entscheidet ein Vergabeausschuss, der seine Entscheidung selbstständig und weisungsunabhängig trifft.

Mehr