Cybersicherheit für Stiftungen: Schwachstellen systematisch beheben

Stiftungsrecht

In diesem Beitrag lesen Sie, mit welchen konkreten Maßnahmen sich Stiftungen vor Cyberangriffen schützen können. Mehr über das breite Spektrum an Bedrohungsszenarien erfahren Sie in diesem Beitrag.

Die Bandbreite an Maßnahmen gegen Cyberangriffe wächst mit der Bedrohung mit. Wichtig ist die genaue Abstimmung von Maßnahmen auf identifizierte Probleme. Dazu einige Beispiele:

  1. Grundlegende Sicherheitsmaßnahmen etablieren: Etablieren Sie ein Informationssicherheits-Managementsystem (ISMS). Am Anfang muss kein Maximalstandard stehen. Beginnen Sie damit, Verantwortlichkeiten zu vergeben und sich mit Ihrem spezifischen Risiko strukturiert auseinanderzusetzen.
  2. Bewusstsein für digitale Bedrohungen schaffen: Schulungen und Awareness-Maßnahmen beugen einer unbeabsichtigten Mithilfe durch falsches Verhalten vor. Ebenfalls sollten diese ein Bewusstsein schaffen, dass Non-Profit-Organisationen interessante Angriffsziele sind und dass das Thema Reputationsverlust einen besonderen Stellenwert innehat. Mitarbeiter, die die Bedrohungen kennen, können diese im Ernstfall erkennen und melden.
  3. Notwendiges Wissen und ausreichende Ressourcen sicherstellen, um ein angemessenes Schutzniveau zu erreichen: Investieren Sie in das Know-how Ihrer Mitarbeiter. Ziehen Sie zudem externe Experten zu Rate oder lagern Sie gezielt Aktivitäten aus bzw. verstärken Sie diese durch externe (abrufbare) Ressourcen.
  4. Adäquat und zügig auf einen Cyber-Angriff reagieren: Definieren Sie im Unternehmen einen sogenannten Cyber Incident Response-Prozess, in dem relevante Rollen, Verantwortlichkeiten und Prozessschritte festgelegt werden. Schaffen Sie Schnittstellen zu IT-Forensikern, die Sie technisch und organisatorisch bei der Aufarbeitung des Falls unterstützen, Angreifer zurückdrängen, Schutzbarrieren aufbauen und den normalen Betriebszustand wiederherstellen.
  5. Das Vorgehen professioneller Gruppen kennen und Vorbereitungen treffen: Informieren Sie sich über die Werkzeuge und das Vorgehen professioneller Angreifergruppen. Prüfen Sie, ob Ihr Sicherheitsniveau auch diese Tätergruppe abdeckt.
  6. Kritische Sicherheits-Updates installiert: Beziehen Sie Informationen zu (kritischen) Sicherheitslücken und sorgen Sie für zeitnahe Updates.
  7. Sicherheitslücken bei Eigenentwicklungen beheben: Schulen Sie Ihre Mitarbeiter in sicherer Softwareentwicklung und stellen Sie entsprechende Vorgaben auf. Lassen Sie Eigenentwicklungen auf Sicherheitsprobleme überprüfen (Penetrationstest).

Auseinandersetzung mit internen Tätern

Durch Spionage, Sabotage und Korruption von Mitarbeitern kann einer gemeinnützigen Organisation großer Schaden entstehen. Lückenhafte oder fehlerhafte interne Prozesse erleichtern oder ermöglichen häufig erst organisationsschädigendes Handeln.

Folgende Maßnahmen sind beispielsweise je nach festgestelltem Problem empfehlenswert:

  1. Vier-Augen-Prinzip etablieren: Implementieren Sie Funktionstrennungen und Sicherheitsmaßnahmen wie ein technisch erzwungenes Vier-Augen-Prinzip bei kritischen Aktivitäten.
  2. Das Benutzerverhalten wird ausreichend protokollieren: Im schlimmsten Fall ist nach einem Vorfall eine Untersuchung des Hergangs nur eingeschränkt möglich, da die Systeme keine technischen Protokolle vorhalten. Sorgen Sie für geeignete, möglichst fälschungsresistente Aufzeichnungen. Achten Sie bei der Ausgestaltung der Aufzeichnungen auf datenschutzrechtliche Vorgaben.
  3. Awareness schaffen: Das Sicherheitsbewusstsein der Mitarbeiter sollte durch kontinuierliche Schulungen gestärkt werden.
  4. Nach Verlassen des Unternehmens Zugriff auf Unternehmens-IT verhindern: Manchmal kann es vorkommen, dass Mitarbeiter und Unternehmen nicht im Gütlichen auseinandergehen. Sind Ihre Prozesse diesbezüglich auch auf Sicherheit ausgelegt?

Schnelle Information über Cyberschutz durch Sicherheitsüberprüfung

Eine Sicherheitsüberprüfung veranschaulicht Ihnen schnell und systematisch, wie es im Detail um die Cybersicherheit Ihrer Organisation bestellt ist und in welchen Bereichen Sie handeln sollten. Dabei sollten folgenden Fragen beantwortet werden:

  • Was sind meine schützenswerten Informationen und IT-Systeme?
  • Wie effektiv sind meine bisher etablierten technischen und organisatorischen Sicherheitsmaßnahmen?
  • In welchen Bereichen kann und sollte ich mich verbessern?

Die Bewertung der Maßnahmen sollte anhand eines Reifegradmaßstabs (Benchmark) erfolgen, wobei dieser Maßstab für jede Organisation individuell festgelegt wird. Die Auswertung sollte dazu Maßnahmen für einen Muss-, Soll- und Kannzustand differenzieren – insbesondere anhand der Eigenschaften der Organisation, wie Organisationsgröße, Organisationskultur und Risikoexposition.

Eine Analyse sollte daher alle relevanten Bereiche mit folgenden Themenfeldern abdecken:

Cybersicherheitsmanagement:

  • Ziele
  • Rollen und Zuständigkeiten
  • Ressourcen
  • Risikomanagement
  • Überprüfung und Verbesserungen
  • Dokumentenmanagement
  • Aufzeichnungs- und Nachweismanagement

Organisatorisches

  • Sicherheit in Personalprozessen
  • Umgang mit Drittparteien
  • Kennzeichnung von und Umgang mit Informationen
  • Cyber Security Incident Management
  • Business Continuity Management
  • Compliance

Technisches

  • Physische Sicherheit
  • IT-System- und Anwendungssicherheit
  • Netzwerksicherheit
  • Überwachung und Protokollierung
  • Schwachstellenmanagement
  • Verschlüsselung
  • Mobile Computing
  • Changemanagement
  • Identitäts- und Zugangskontrolle
  • Anschaffung, Entwicklung und Wartung von Systemen
  • IT-forensische Analyse

Autor:

Peter Kestner, Partner, Cyber Security, KPMG AG Wirtschaftsprüfungsgesellschaft

KPMG ist Premiumpartner des Bundesverbandes Deutscher Stiftungen. 

Unsere Blogs: Transparenz und Selbstverständnis

Sind Sie cybersicher?

Dieser Beitrag ist ein Auszug aus der KPMG-Broschüre "Sind Sie cybersicher? - Was Non-Profit-Organisationen tun können, um sich gegen Cyberangriffe zu schützen." 

Jetzt herunterladen

Aktuelle Beiträge
Kapital und Wirkung

Auf dem Weg zum Finanzgipfel für Stiftungen

Auf dem Forum Kapital und Wirkung brachte der Bundesverband alle Gruppen zusammen, die zusammen arbeiten müssen, um die Herausforderungen für die Vermögensanlage gemeinsam zu meistern: Mitgliedstiftungen, kommerzielle Partner, den Arbeitskreis Stiftungsvermögen und den Expertenkreis Impact Investing. 

Mehr Infos
Globales Engagement

Agenda-2030, Ziel 16: So können Stiftungen zur nachhaltigen Entwicklung beitragen

Die Agenda-2030 der Vereinten Nationen beschreibt in ihrer Vision, dass es für nachhaltige Entwicklung Demokratie, gute Regierungsführung und Rechtsstaatlichkeit braucht. Weltweit wird an diesem Ziel gearbeitet – auch von Stiftungen.

Mehr Infos
Impuls

Forever young. Wie sich die nächste Philanthropie erfinden wird

Stiftungen haben ein besonderes Verhältnis zur Zeit. Einige sind viele Hundert Jahre alt. Die Geschichte zeigt aber, dass ihr Überleben nie sicher ist. Das Stiftungswesen als Ganzes hat sich aber immer wieder neu erfunden.

Mehr Infos
Stiftungs-News

Fonds Digital: Das Digitale stärker in die Arbeitsweisen von Kulturinstitutionen einbinden

Was macht der Fonds Digital der Kulturstiftung des Bundes? Wir haben bei Marie-Kristin Meier, wissenschaftliche Mitarbeiterin des Fonds Digital, nachgefragt.

Mehr Infos
Mehr zum Thema
Stiftungsrecht

Abgabefrist für Steuererklärungen ab 2019 verlängert

Ab dem Veranlagungszeitraum 2018 gilt eine verlängerte Abgabefrist für Steuererklärungen zum 31. Juli. Gemeinnützigkeitserklärungen können daher ab 2019 bis zum 31. Juli abgegeben werden. Das Steuerformular für gemeinnützige Körperschaften gibt es jetzt bei Elster-Online.

Weiterlesen
Marco2811 — fotolia.com

Recht und Steuern

Lesen Sie hier, unter welchen rechtlichen Voraussetzungen Stiftungen, die gemeinnützige, mildtätige oder kirchliche Zwecke verfolgen, steuerbegünstigt sind.

Weiterlesen
Stiftungsrecht

Kapitalertragsteuerabzug – Nichtbeanstandungsregelung des Bundesfinanzministeriums

Seit dem 01. Januar 2019 gelten neue verschärfte Regeln für den Kapitalertragsteuerabzug bei gemeinnützigen Stiftungen für Dividenden aus sammelverwahrten Aktien und Genussscheinen. 

Weiterlesen