Cyberangriffe sind längst Realität

Stiftungsrecht

In diesem Beitrag erfahren Sie mehr über die Gefahr von Cyberangriffen und das breite Spektrum an Bedrohungsszenarien. Mit welchen konkreten Maßnahmen Sie sich vor Angriffen schützen können, lesen Sie in den kommenden Wochen im Blog Stiftungsrecht.

Für Stiftungen und Non-Profit-Organisationen (NPO) sind Daten und Informationen ein immer wichtigerer Erfolgsfaktor. Technologisch ebenso wie finanziell immer schwieriger wird es jedoch, sie zu schützen. Die IT-Infrastruktur ändert sich, beispielsweise durch Cloud und Mobile Computing, kontinuierlich, die Vernetzung der Geschäftsprozesse durch technische Transformationen nimmt zu. Vor allem aber wächst die digitale Bedrohung durch Cyberattacken. Die Angreifergruppen sind heterogen und verfolgen unterschiedlichste Motivationen. Entsprechend sollten sich Organisationen grundsätzlich auf die folgenden Gruppen von Angreifern vorbereiten:

  • „Hacktivisten“: ideologisch inspiriert
  • Organisiertes Verbrechen: Suche nach finanziellen Vorteilen
  • Insider: teils individuelle Motive, teils auch versehentlich
  • Politische Einheiten: Spionage oder Sabotage

Immer häufiger sehen sich Organisationen mit aggressiven und raffinierten Cyberangriffen konfrontiert. Wer nicht angemessen vorbeugt und auf Vorfälle entschlossen und kontrolliert reagiert, handelt unternehmerisch leichtfertig.

Breites Spektrum an Bedrohungen

Die Liste der digitalen Bedrohungen ist lang. Die häufigsten Angriffsmethoden und -szenarien sind Verschlüsselungstrojaner, Datenlecks nach Angriffen und Infektionen mit Schadsoftware. Keine Organisation, sei es Großkonzern, Mittelständler, Stiftung oder NPO, und keine Branche ist gegen Datendiebstahl, Sabotage, Computerbetrug, Schadsoftwarebefall gefeit. Zudem kommen immer neue Methoden wie beispielsweise Erpressungstrojaner (Ransomware), die in letzter Zeit in Erscheinung getreten sind, dazu.

Cyberattacken können massive Konsequenzen haben. Der tatsächliche geldwerte Schaden durch entwendete oder manipulierte organisationssensible Informationen ist dabei vielfach nur der Anfang. Ist der Vorfall erst einmal an die Öffentlichkeit gelangt, droht ein substanzieller Reputationsverlust auf Kunden- wie auf Investorenseite.

Zunehmende Sensibilisierung

Wir nehmen eine deutlich zunehmende Sensibilisierung für Cyberrisiken bei Non-Profit-Organisationen wahr. Dennoch werden Jahr für Jahr neue Vorfälle bekannt, die aufgrund eines inadäquaten Schutzes oder Reaktionsvermögens zum Teil erhebliche Ausmaße annehmen. Es stellt sich daher die Frage, ob dem Thema Cyber Security und Cyber Forensic auch in Non-Profit--Organisationen die angemessene Bedeutung beigemessen wird und ob die richtigen Schlüsse gezogen werden.

Professionelle Vorbereitung auf externe wie interne Angreifer

Die Grundlage eines effektiven und effizienten Cyberschutzes ist die kontinuierliche Auseinandersetzung mit diesem dynamischen Thema. Dazu sind beispielsweise regelmäßige Sicherheitsüberprüfungen nötig. Dabei bestimmen Experten für Prävention, Detektion und Reaktion den Reifegrad des Cyberschutzes, schaffen also Transparenz über den Status quo der Cybersicherheit und geben maßgeschneiderte Empfehlungen zur weiteren Optimierung von Strukturen und Prozessen.
Für den individuell passenden Schutz müssen Organisationen gezielte Vorkehrungen treffen und technische sowie prozessuale Maßnahmen sinnvoll kombinieren. Diese Aufgabe ist nicht zuletzt deshalb sehr komplex, weil Angreifer verschiedene Ziele verfolgen und ihre Attacken entsprechend unterschiedliche Folgen nach sich ziehen können.

Auseinandersetzung mit externen Angreifern

Schadsoftware gibt es in großer Vielfalt. Sie kann für einen Anwendungszweck maßgeschneidert und gezielt eingesetzt werden oder eher ein Massenprodukt sein. Mittlerweile gibt es auch kommerzielle Schadsoftware, die von Cyberkriminellen mit variablem Funktionsumfang als Dienstleistung erworben werden kann. Auf diese Art können selbst technisch wenig versierte Kriminelle erfolgreiche Angriffe durchführen und großen Schaden anrichten.

Sogenannte Advanced Persistent Threats (APTs) sind intelligente, taktisch höchst präzise und manchmal militärisch minutiös durchgeplante Angriffe. Meist stehen hinter den Angreifergruppen Fremdstaaten, Geheimdienste oder professionell organisierte Banden, die mit hoher Qualifikation und Beharrlichkeit erschreckende Erfolgsraten beim Angriff auf Organisationen erreichen. Dabei machen diese auch bei Non-Profit-Organisationen und Stiftungen keine Ausnahme. Ziel kann beispielsweise der Diebstahl von Kunden- und Zahlungsdaten, aber auch von geistigem Eigentum, Strategiedokumenten und Forschungsergebnissen sein. Durch die professionelle und entschlossene Vorgehensweise ist die IT-forensische Aufarbeitung und Mitigation des Angriffs möglich und schafft Transparenz und Handlungsmöglichkeiten für die betroffene Organisation. Eine vollständige Identifikation und Nachverfolgung der örtlich zumeist weit entfernten Angreifergruppe ist allerdings recht schwierig.

Die eigene Cybersicherheit zu kennen und zu verbessern, ist Pflicht

Gemeinnützige Organisationen müssen sich bewusst werden, dass sie bereits heute über sensible Daten verfügen, die gegen den Zugriff unbefugter Dritter zu schützen sind. Dabei geht es nicht nur darum, den regulatorischen Anforderungen der Datenschutzgrundverordnung zu entsprechen. Sie müssen die eigene Handlungsfähigkeit im Falle eines Cyberangriffs sicherstellen und damit massive Reputationsverluste vermeiden. Man mag sich kaum vorstellen, welche Konsequenzen der Missbrauch von Spenderdateien, die Blockade des Zugriffs auf diese Daten oder etwa die unautorisierte Verwendung von Mitgliederinformationen, Patienten- oder Schüler- und Studentendaten für die betroffenen Organisationen nach sich zieht.

Der konkrete Handlungs- und Investitionsbedarf im Einzelfall kann nur durch eine individuelle Sicherheitsüberprüfung ermittelt werden. Gleichzeitig ist dieses Wissen auch wichtig, um mit Fördermittelgebern den gegebenenfalls erforderlichen Investitionsbedarf in personelle Ressourcen und Infrastruktur quantifizieren zu können und diese Ausgaben auch künftig bei den Förderungen zu berücksichtigen.

Der stete technologische Wandel wird fortlaufende Ausgaben erfordern. Bisher werden solche Kosten kaum berücksichtigt. Das muss sich jedoch ändern – übrigens auch, um der Politik gegenüber konkreten Bedarf an Hilfestellung zu benennen.

Autor:

Peter Kestner, Partner, Cyber Security, KPMG AG Wirtschaftsprüfungsgesellschaft

KPMG ist Premiumpartner des Bundesverbandes Deutscher Stiftungen. 

Unsere Blogs: Transparenz und Selbstverständnis

Sind Sie cybersicher?

Dieser Beitrag ist ein Auszug aus der KPMG-Broschüre "Sind Sie cybersicher? - Was Non-Profit-Organisationen tun können, um sich gegen Cyberangriffe zu schützen." 

Jetzt herunterladen

Aktuelle Beiträge
Kapital und Wirkung

So rentabel ist Betongold wirklich

Wer eine Immobilie als Geldanlage erwirbt, muss Kosten und Ertrag sorgfältig kalkulieren. Im zweiteiligen Blog-Gastbeitrag erklärt Matthias Krieger, Geschäftsführender Gesellschafter der Krieger + Schramm Unternehmensgruppe, worauf Stiftungen beim Kauf achten sollten. Teil 2: Wie Stiftungen die Rendite bestimmen – und ab wann sich die Investition in Betongold lohnt.

Mehr
Globales Engagement

Zusammenarbeiten, um die Kurve abzuflachen

Welche Auswirkungen hat Covid-19 auf die afrikanische Philanthropie? Was sind in Zeiten der Pandemie die größten Heraus­forderungen für den Stiftungssektor in Kenia? Und wie geht er damit um? Wir haben bei Nancy Kairo von der African Venture Philanthropy Alliance und Evans Okinyi vom East Africa Philanthropy Network nachgefragt.

Mehr
Impuls

Digitale Plattformen neu denken: Förderung von Pluralismus und Inklusion

Digitale Plattformen sind beliebter denn je – können aber auch die soziale Spaltung fördern und unsere eigenen Perspektiven weiter einengen. Doch wie können Stiftungen und weitere Akteure/innen der Zivilgesellschaft ihren Teil dazu beitragen, diese Entwicklung zu bremsen? Ein Plädoyer zur Förderung des Pluralismus. 

Mehr
Stiftungs-News

Hochschulen auf dem herausfordernden Weg zum Wintersemester

Die Corona-Pandemie zwang Hochschulen zu einer Vollbremsung: Der Präsenzbetrieb musste eingestellt, neue Online-Angebote organisiert und das Wintersemester geplant werden. Wie gehen Universitäten mittlerweile mit der Ausnahmesituation um?

Mehr
Unsere Demokratie

Oh wie Ostdeutschland – Impulse aus der Zivilgesellschaft

Trotz oder gerade aufgrund der Covid19-Pandemie wird deutlich, dass es einer starken und vielfältigen Zivilgesellschaft bedarf. Die Initiative Zukunftslabor Ost setzt sich für langfristige Partnerschaften und nachhaltiges demokratisches Engagement in Ostdeutschland ein.

Mehr
Geschlechtergerechtigkeit

Philanthropie ist ein feministisches Thema

Soll es voran gehen mit der Menschheit, müssen die Stimmen von Frauen durch philanthropische Mittel unterstützt werden, ihre Wahlmöglichkeiten, Partizipation, Bildung und Existenzgrundlagen.

Mehr

Mehr zum Thema

Stiftungsrecht

Kontoeröffnung: Welche persönlichen Daten müssen erhoben werden?

Steuerumgehungsbekämpfungsgesetz, Geldwäschegesetz: Zur Erhöhung der Transparenz bei Kontoeröffnungen sind auch rechtsfähige Stiftungen verpflichtet, umfangreiche Auskünfte über Personendaten der wirtschaftlich Berechtigten zu liefern.

Mehr
Pressemitteilungen

Stiftungsrechtsreform ist auf dem Weg

Nach Halbzeitbilanz: Bundesregierung setzt die Stiftungsrechtsreform auf ihre Agenda. Zuvor waren zahlreiche Stiftungen dem Aufruf gefolgt, die Bundesregierung und die Bundestagsabgeordneten an ihr Versprechen aus dem Koalitionsvertrag zu erinnern.

Mehr

Vergabeausschuss

Über die Zuerkennung des Qualitätssiegels entscheidet ein Vergabeausschuss, der seine Entscheidung selbstständig und weisungsunabhängig trifft.

Mehr