Cybersicherheit für Stiftungen: Schwachstellen systematisch beheben

Stiftungsrecht

In diesem Beitrag lesen Sie, mit welchen konkreten Maßnahmen sich Stiftungen vor Cyberangriffen schützen können. Mehr über das breite Spektrum an Bedrohungsszenarien erfahren Sie in diesem Beitrag.

Die Bandbreite an Maßnahmen gegen Cyberangriffe wächst mit der Bedrohung mit. Wichtig ist die genaue Abstimmung von Maßnahmen auf identifizierte Probleme. Dazu einige Beispiele:

  1. Grundlegende Sicherheitsmaßnahmen etablieren: Etablieren Sie ein Informationssicherheits-Managementsystem (ISMS). Am Anfang muss kein Maximalstandard stehen. Beginnen Sie damit, Verantwortlichkeiten zu vergeben und sich mit Ihrem spezifischen Risiko strukturiert auseinanderzusetzen.
  2. Bewusstsein für digitale Bedrohungen schaffen: Schulungen und Awareness-Maßnahmen beugen einer unbeabsichtigten Mithilfe durch falsches Verhalten vor. Ebenfalls sollten diese ein Bewusstsein schaffen, dass Non-Profit-Organisationen interessante Angriffsziele sind und dass das Thema Reputationsverlust einen besonderen Stellenwert innehat. Mitarbeiter, die die Bedrohungen kennen, können diese im Ernstfall erkennen und melden.
  3. Notwendiges Wissen und ausreichende Ressourcen sicherstellen, um ein angemessenes Schutzniveau zu erreichen: Investieren Sie in das Know-how Ihrer Mitarbeiter. Ziehen Sie zudem externe Experten zu Rate oder lagern Sie gezielt Aktivitäten aus bzw. verstärken Sie diese durch externe (abrufbare) Ressourcen.
  4. Adäquat und zügig auf einen Cyber-Angriff reagieren: Definieren Sie im Unternehmen einen sogenannten Cyber Incident Response-Prozess, in dem relevante Rollen, Verantwortlichkeiten und Prozessschritte festgelegt werden. Schaffen Sie Schnittstellen zu IT-Forensikern, die Sie technisch und organisatorisch bei der Aufarbeitung des Falls unterstützen, Angreifer zurückdrängen, Schutzbarrieren aufbauen und den normalen Betriebszustand wiederherstellen.
  5. Das Vorgehen professioneller Gruppen kennen und Vorbereitungen treffen: Informieren Sie sich über die Werkzeuge und das Vorgehen professioneller Angreifergruppen. Prüfen Sie, ob Ihr Sicherheitsniveau auch diese Tätergruppe abdeckt.
  6. Kritische Sicherheits-Updates installiert: Beziehen Sie Informationen zu (kritischen) Sicherheitslücken und sorgen Sie für zeitnahe Updates.
  7. Sicherheitslücken bei Eigenentwicklungen beheben: Schulen Sie Ihre Mitarbeiter in sicherer Softwareentwicklung und stellen Sie entsprechende Vorgaben auf. Lassen Sie Eigenentwicklungen auf Sicherheitsprobleme überprüfen (Penetrationstest).

Auseinandersetzung mit internen Tätern

Durch Spionage, Sabotage und Korruption von Mitarbeitern kann einer gemeinnützigen Organisation großer Schaden entstehen. Lückenhafte oder fehlerhafte interne Prozesse erleichtern oder ermöglichen häufig erst organisationsschädigendes Handeln.

Folgende Maßnahmen sind beispielsweise je nach festgestelltem Problem empfehlenswert:

  1. Vier-Augen-Prinzip etablieren: Implementieren Sie Funktionstrennungen und Sicherheitsmaßnahmen wie ein technisch erzwungenes Vier-Augen-Prinzip bei kritischen Aktivitäten.
  2. Das Benutzerverhalten wird ausreichend protokollieren: Im schlimmsten Fall ist nach einem Vorfall eine Untersuchung des Hergangs nur eingeschränkt möglich, da die Systeme keine technischen Protokolle vorhalten. Sorgen Sie für geeignete, möglichst fälschungsresistente Aufzeichnungen. Achten Sie bei der Ausgestaltung der Aufzeichnungen auf datenschutzrechtliche Vorgaben.
  3. Awareness schaffen: Das Sicherheitsbewusstsein der Mitarbeiter sollte durch kontinuierliche Schulungen gestärkt werden.
  4. Nach Verlassen des Unternehmens Zugriff auf Unternehmens-IT verhindern: Manchmal kann es vorkommen, dass Mitarbeiter und Unternehmen nicht im Gütlichen auseinandergehen. Sind Ihre Prozesse diesbezüglich auch auf Sicherheit ausgelegt?

Schnelle Information über Cyberschutz durch Sicherheitsüberprüfung

Eine Sicherheitsüberprüfung veranschaulicht Ihnen schnell und systematisch, wie es im Detail um die Cybersicherheit Ihrer Organisation bestellt ist und in welchen Bereichen Sie handeln sollten. Dabei sollten folgenden Fragen beantwortet werden:

  • Was sind meine schützenswerten Informationen und IT-Systeme?
  • Wie effektiv sind meine bisher etablierten technischen und organisatorischen Sicherheitsmaßnahmen?
  • In welchen Bereichen kann und sollte ich mich verbessern?

Die Bewertung der Maßnahmen sollte anhand eines Reifegradmaßstabs (Benchmark) erfolgen, wobei dieser Maßstab für jede Organisation individuell festgelegt wird. Die Auswertung sollte dazu Maßnahmen für einen Muss-, Soll- und Kannzustand differenzieren – insbesondere anhand der Eigenschaften der Organisation, wie Organisationsgröße, Organisationskultur und Risikoexposition.

Eine Analyse sollte daher alle relevanten Bereiche mit folgenden Themenfeldern abdecken:

Cybersicherheitsmanagement:

  • Ziele
  • Rollen und Zuständigkeiten
  • Ressourcen
  • Risikomanagement
  • Überprüfung und Verbesserungen
  • Dokumentenmanagement
  • Aufzeichnungs- und Nachweismanagement

Organisatorisches

  • Sicherheit in Personalprozessen
  • Umgang mit Drittparteien
  • Kennzeichnung von und Umgang mit Informationen
  • Cyber Security Incident Management
  • Business Continuity Management
  • Compliance

Technisches

  • Physische Sicherheit
  • IT-System- und Anwendungssicherheit
  • Netzwerksicherheit
  • Überwachung und Protokollierung
  • Schwachstellenmanagement
  • Verschlüsselung
  • Mobile Computing
  • Changemanagement
  • Identitäts- und Zugangskontrolle
  • Anschaffung, Entwicklung und Wartung von Systemen
  • IT-forensische Analyse

Autor:

Peter Kestner, Partner, Cyber Security, KPMG AG Wirtschaftsprüfungsgesellschaft

KPMG ist Premiumpartner des Bundesverbandes Deutscher Stiftungen. 

Unsere Blogs: Transparenz und Selbstverständnis

Sind Sie cybersicher?

Dieser Beitrag ist ein Auszug aus der KPMG-Broschüre "Sind Sie cybersicher? - Was Non-Profit-Organisationen tun können, um sich gegen Cyberangriffe zu schützen." 

Jetzt herunterladen

Aktuelle Beiträge
Kapital und Wirkung

So rentabel ist Betongold wirklich

Wer eine Immobilie als Geldanlage erwirbt, muss Kosten und Ertrag sorgfältig kalkulieren. Im zweiteiligen Blog-Gastbeitrag erklärt Matthias Krieger, Geschäftsführender Gesellschafter der Krieger + Schramm Unternehmensgruppe, worauf Stiftungen beim Kauf achten sollten. Teil 2: Wie Stiftungen die Rendite bestimmen – und ab wann sich die Investition in Betongold lohnt.

Mehr
Globales Engagement

Zusammenarbeiten, um die Kurve abzuflachen

Welche Auswirkungen hat Covid-19 auf die afrikanische Philanthropie? Was sind in Zeiten der Pandemie die größten Heraus­forderungen für den Stiftungssektor in Kenia? Und wie geht er damit um? Wir haben bei Nancy Kairo von der African Venture Philanthropy Alliance und Evans Okinyi vom East Africa Philanthropy Network nachgefragt.

Mehr
Impuls

Digitale Plattformen neu denken: Förderung von Pluralismus und Inklusion

Digitale Plattformen sind beliebter denn je – können aber auch die soziale Spaltung fördern und unsere eigenen Perspektiven weiter einengen. Doch wie können Stiftungen und weitere Akteure/innen der Zivilgesellschaft ihren Teil dazu beitragen, diese Entwicklung zu bremsen? Ein Plädoyer zur Förderung des Pluralismus. 

Mehr
Stiftungs-News

Hochschulen auf dem herausfordernden Weg zum Wintersemester

Die Corona-Pandemie zwang Hochschulen zu einer Vollbremsung: Der Präsenzbetrieb musste eingestellt, neue Online-Angebote organisiert und das Wintersemester geplant werden. Wie gehen Universitäten mittlerweile mit der Ausnahmesituation um?

Mehr
Unsere Demokratie

Oh wie Ostdeutschland – Impulse aus der Zivilgesellschaft

Trotz oder gerade aufgrund der Covid19-Pandemie wird deutlich, dass es einer starken und vielfältigen Zivilgesellschaft bedarf. Die Initiative Zukunftslabor Ost setzt sich für langfristige Partnerschaften und nachhaltiges demokratisches Engagement in Ostdeutschland ein.

Mehr
Geschlechtergerechtigkeit

Philanthropie ist ein feministisches Thema

Soll es voran gehen mit der Menschheit, müssen die Stimmen von Frauen durch philanthropische Mittel unterstützt werden, ihre Wahlmöglichkeiten, Partizipation, Bildung und Existenzgrundlagen.

Mehr

Mehr zum Thema

Stiftungsrecht

Kontoeröffnung: Welche persönlichen Daten müssen erhoben werden?

Steuerumgehungsbekämpfungsgesetz, Geldwäschegesetz: Zur Erhöhung der Transparenz bei Kontoeröffnungen sind auch rechtsfähige Stiftungen verpflichtet, umfangreiche Auskünfte über Personendaten der wirtschaftlich Berechtigten zu liefern.

Mehr
Pressemitteilungen

Stiftungsrechtsreform ist auf dem Weg

Nach Halbzeitbilanz: Bundesregierung setzt die Stiftungsrechtsreform auf ihre Agenda. Zuvor waren zahlreiche Stiftungen dem Aufruf gefolgt, die Bundesregierung und die Bundestagsabgeordneten an ihr Versprechen aus dem Koalitionsvertrag zu erinnern.

Mehr

Vergabeausschuss

Über die Zuerkennung des Qualitätssiegels entscheidet ein Vergabeausschuss, der seine Entscheidung selbstständig und weisungsunabhängig trifft.

Mehr