Cybersicherheit für Stiftungen: Schwachstellen systematisch beheben

Stiftungsrecht

In diesem Beitrag lesen Sie, mit welchen konkreten Maßnahmen sich Stiftungen vor Cyberangriffen schützen können. Mehr über das breite Spektrum an Bedrohungsszenarien erfahren Sie in diesem Beitrag.

Die Bandbreite an Maßnahmen gegen Cyberangriffe wächst mit der Bedrohung mit. Wichtig ist die genaue Abstimmung von Maßnahmen auf identifizierte Probleme. Dazu einige Beispiele:

  1. Grundlegende Sicherheitsmaßnahmen etablieren: Etablieren Sie ein Informationssicherheits-Managementsystem (ISMS). Am Anfang muss kein Maximalstandard stehen. Beginnen Sie damit, Verantwortlichkeiten zu vergeben und sich mit Ihrem spezifischen Risiko strukturiert auseinanderzusetzen.
  2. Bewusstsein für digitale Bedrohungen schaffen: Schulungen und Awareness-Maßnahmen beugen einer unbeabsichtigten Mithilfe durch falsches Verhalten vor. Ebenfalls sollten diese ein Bewusstsein schaffen, dass Non-Profit-Organisationen interessante Angriffsziele sind und dass das Thema Reputationsverlust einen besonderen Stellenwert innehat. Mitarbeiter, die die Bedrohungen kennen, können diese im Ernstfall erkennen und melden.
  3. Notwendiges Wissen und ausreichende Ressourcen sicherstellen, um ein angemessenes Schutzniveau zu erreichen: Investieren Sie in das Know-how Ihrer Mitarbeiter. Ziehen Sie zudem externe Experten zu Rate oder lagern Sie gezielt Aktivitäten aus bzw. verstärken Sie diese durch externe (abrufbare) Ressourcen.
  4. Adäquat und zügig auf einen Cyber-Angriff reagieren: Definieren Sie im Unternehmen einen sogenannten Cyber Incident Response-Prozess, in dem relevante Rollen, Verantwortlichkeiten und Prozessschritte festgelegt werden. Schaffen Sie Schnittstellen zu IT-Forensikern, die Sie technisch und organisatorisch bei der Aufarbeitung des Falls unterstützen, Angreifer zurückdrängen, Schutzbarrieren aufbauen und den normalen Betriebszustand wiederherstellen.
  5. Das Vorgehen professioneller Gruppen kennen und Vorbereitungen treffen: Informieren Sie sich über die Werkzeuge und das Vorgehen professioneller Angreifergruppen. Prüfen Sie, ob Ihr Sicherheitsniveau auch diese Tätergruppe abdeckt.
  6. Kritische Sicherheits-Updates installiert: Beziehen Sie Informationen zu (kritischen) Sicherheitslücken und sorgen Sie für zeitnahe Updates.
  7. Sicherheitslücken bei Eigenentwicklungen beheben: Schulen Sie Ihre Mitarbeiter in sicherer Softwareentwicklung und stellen Sie entsprechende Vorgaben auf. Lassen Sie Eigenentwicklungen auf Sicherheitsprobleme überprüfen (Penetrationstest).

Auseinandersetzung mit internen Tätern

Durch Spionage, Sabotage und Korruption von Mitarbeitern kann einer gemeinnützigen Organisation großer Schaden entstehen. Lückenhafte oder fehlerhafte interne Prozesse erleichtern oder ermöglichen häufig erst organisationsschädigendes Handeln.

Folgende Maßnahmen sind beispielsweise je nach festgestelltem Problem empfehlenswert:

  1. Vier-Augen-Prinzip etablieren: Implementieren Sie Funktionstrennungen und Sicherheitsmaßnahmen wie ein technisch erzwungenes Vier-Augen-Prinzip bei kritischen Aktivitäten.
  2. Das Benutzerverhalten wird ausreichend protokollieren: Im schlimmsten Fall ist nach einem Vorfall eine Untersuchung des Hergangs nur eingeschränkt möglich, da die Systeme keine technischen Protokolle vorhalten. Sorgen Sie für geeignete, möglichst fälschungsresistente Aufzeichnungen. Achten Sie bei der Ausgestaltung der Aufzeichnungen auf datenschutzrechtliche Vorgaben.
  3. Awareness schaffen: Das Sicherheitsbewusstsein der Mitarbeiter sollte durch kontinuierliche Schulungen gestärkt werden.
  4. Nach Verlassen des Unternehmens Zugriff auf Unternehmens-IT verhindern: Manchmal kann es vorkommen, dass Mitarbeiter und Unternehmen nicht im Gütlichen auseinandergehen. Sind Ihre Prozesse diesbezüglich auch auf Sicherheit ausgelegt?

Schnelle Information über Cyberschutz durch Sicherheitsüberprüfung

Eine Sicherheitsüberprüfung veranschaulicht Ihnen schnell und systematisch, wie es im Detail um die Cybersicherheit Ihrer Organisation bestellt ist und in welchen Bereichen Sie handeln sollten. Dabei sollten folgenden Fragen beantwortet werden:

  • Was sind meine schützenswerten Informationen und IT-Systeme?
  • Wie effektiv sind meine bisher etablierten technischen und organisatorischen Sicherheitsmaßnahmen?
  • In welchen Bereichen kann und sollte ich mich verbessern?

Die Bewertung der Maßnahmen sollte anhand eines Reifegradmaßstabs (Benchmark) erfolgen, wobei dieser Maßstab für jede Organisation individuell festgelegt wird. Die Auswertung sollte dazu Maßnahmen für einen Muss-, Soll- und Kannzustand differenzieren – insbesondere anhand der Eigenschaften der Organisation, wie Organisationsgröße, Organisationskultur und Risikoexposition.

Eine Analyse sollte daher alle relevanten Bereiche mit folgenden Themenfeldern abdecken:

Cybersicherheitsmanagement:

  • Ziele
  • Rollen und Zuständigkeiten
  • Ressourcen
  • Risikomanagement
  • Überprüfung und Verbesserungen
  • Dokumentenmanagement
  • Aufzeichnungs- und Nachweismanagement

Organisatorisches

  • Sicherheit in Personalprozessen
  • Umgang mit Drittparteien
  • Kennzeichnung von und Umgang mit Informationen
  • Cyber Security Incident Management
  • Business Continuity Management
  • Compliance

Technisches

  • Physische Sicherheit
  • IT-System- und Anwendungssicherheit
  • Netzwerksicherheit
  • Überwachung und Protokollierung
  • Schwachstellenmanagement
  • Verschlüsselung
  • Mobile Computing
  • Changemanagement
  • Identitäts- und Zugangskontrolle
  • Anschaffung, Entwicklung und Wartung von Systemen
  • IT-forensische Analyse

Autor:

Peter Kestner, Partner, Cyber Security, KPMG AG Wirtschaftsprüfungsgesellschaft

KPMG ist Premiumpartner des Bundesverbandes Deutscher Stiftungen. 

Unsere Blogs: Transparenz und Selbstverständnis

Sind Sie cybersicher?

Dieser Beitrag ist ein Auszug aus der KPMG-Broschüre "Sind Sie cybersicher? - Was Non-Profit-Organisationen tun können, um sich gegen Cyberangriffe zu schützen." 

Jetzt herunterladen

Aktuelle Beiträge
Kapital und Wirkung

Auf dem Weg zum Finanzgipfel für Stiftungen

Auf dem Forum Kapital und Wirkung brachte der Bundesverband alle Gruppen zusammen, die zusammen arbeiten müssen, um die Herausforderungen für die Vermögensanlage gemeinsam zu meistern: Mitgliedstiftungen, kommerzielle Partner, den Arbeitskreis Stiftungsvermögen und den Expertenkreis Impact Investing. 

Mehr Infos
Globales Engagement

„Für unsere Arbeit brauchen wir politische Stabilität“

Seit Oktober 2018 hat die Bill & Melinda Gates Foundation ein eigenes Büro in Berlin. Mit dessen Leiter Tobias Kahler sprachen wir darüber, was die Stiftung in der deutschen Hauptstadt vorhat

Mehr Infos
Impuls

Gehen oder Bleiben?

Der Grünen-Vorsitzende Robert Habeck hat sich kürzlich mit Aplomb aus
den sozialen Netzwerken verabschiedet. Ein Schritt, der auch Stiftungen zu
denken geben sollte? Unsere Autorin hat dazu eine klare Meinung

Mehr Infos
Stiftungs-News

„Eine naive und fantastische Idee“

Das Refugium-Programm der taz Panter Stiftung ermöglicht Journalisten, die in ihren Heimatländern unter Druck geraten sind, eine Auszeit in Deutschland. Ein Gespräch mit Programmleiterin Konny Gellenbeck und Stipendiat und Fotoreporter Önder Şimşek

Mehr Infos
Mehr zum Thema
Stiftungsrecht

Abgabefrist für Steuererklärungen ab 2019 verlängert

Gemeinnützigkeitserklärungen können bis 31. Juli abgegeben werden. Das Steuerformular für gemeinnützige Körperschaften gibt es jetzt bei Elster-Online

Weiterlesen
Marco2811 — fotolia.com

Recht und Steuern

Lesen Sie hier, unter welchen rechtlichen Voraussetzungen Stiftungen, die gemeinnützige, mildtätige oder kirchliche Zwecke verfolgen, steuerbegünstigt sind.

Weiterlesen
Stiftungsrecht

Kapitalertragsteuerabzug – Nichtbeanstandungsregelung des Bundesfinanzministeriums

Neue Regelungen für den Kapitalertragsteuerabzug für gemeinnützige Stiftungen ab 2019 – Nichtbeanstandungsregelung des Bundesfinanzministeriums.

Weiterlesen