Datendiebstahl trifft im innersten Kern

Stiftungsrecht
adrian_ilie825 - stock.adobe.com

Stiftungen verwalten oft private und nicht selten höchst sensible Daten der von ihnen Geförderten. Höchste Zeit, dass sie dem auch Rechnung tragen.

Was, wenn es Sie getroffen hätte? Wenn die Öffentlichkeit nun über Ihre E- Mails, Bilder und Dokumente diskutieren würde?

Der jüngste Fall von Doxing – der Veröffentlichung privater Daten von Journalisten, Satirikern und Politikern durch einen Schüler aus Hessen – zeigt einmal mehr, wie wichtig es ist, sich mit dem Thema Datenschutz und Datenverantwortung auseinanderzusetzen – auch in Stiftungen. Der Täter hat inzwischen gestanden. Dass er allein und aus rein persönlichen Motiven gehandelt hat, aus Ärger über Politiker und deren Aussagen – an dieser Version des Zwanzigjährigen gibt es inzwischen erhebliche Zweifel. Vielmehr soll der junge Mann rechtsextreme Positionen im Netz vertreten und sich im Umfeld von politisch rechten Hackern bewegt haben. Was auch immer die Ermittlungen in diesem Fall ergeben werden: Er ist eine deutliche Warnung, auch an Stiftungen. Denn: Angriffe wie die des Schülers aus Hessen sind einfach. Und sie können jeden treffen. Auch Sie.

Ja, auch Sie können Ziel werden

Sie meinen, Ihre Stiftung sei nicht interessant genug für Doxing oder andere Attacken? Selbst wenn Sie recht hätten: Nicht Ihre Ansicht zählt, sondern die des Gegners – und der hat eigene Gründe. Stiftungen mischen sich im besten Sinne ein und geben Anstöße. Kaum jemals ist das ohne Anecken möglich, immer gibt es irgendwo Unzufriedenheit oder gar Widerstand, und sei es „nur“ an den extremen Ecken der Gesellschaft. Der aktuelle Fall zeigt uns, dass dies genug Motivation für einen Angriff sein kann. Gar nicht erst zu sprechen von Stiftungen, die in den Fokus repressiver Regierungen geraten, zum Beispiel in ihrer Förderarbeit im Ausland. Seien es nun Regierungen, die tatsächlich bereits einige der weltgrößten Stiftungen (digital) angegriffen haben, Hackergruppen mit eigenen Motiven oder wütende Einzelpersonen, das Ergebnis ist das Gleiche: Datendiebstahl trifft im innersten Kern.

Was ist der Worst Case?

Was kann nun im schlimmsten Fall passieren? Überlegen Sie selbst: Was könnte man mit Ihren privaten und dienstlichen Daten und Dokumenten alles anfangen? Mit Ihrem Wohnort, Ihrer privaten und dienstlichen Telefonnummer, mit Chatprotokollen, digitalisierten Ausweisdokumenten, gar Bildern von Partnern oder Kindern? Mit den internen Dokumenten Ihrer Stiftung und – schlimmer noch – mit all den Daten, die Sie über andere gespeichert haben, über Familie, Freunde und Kollegen etwa, aber auch mit den Kontaktdaten von Ansprechpartnerinnen und -partnern in anderen Stiftungen und dem gesamten zugehörigen E-Mail-Verkehr? Mit den Daten, die Ihnen Antragsteller und Geförderte anvertraut haben? Sie schulden es diesen Menschen, auf deren Daten gut zu achten.

Fördern Sie diskriminierte Gruppen oder gar Menschenrechtsaktivisten in unsicherer Lage? Dann kann es um Leib und Leben gehen. Den Aktivisten helfen kein Security-Training und keine noch so umfangreichen Vorsichtsmaßnahmen, wenn in der fördernden Stiftung sensibelste Daten (Namen und Adressen der Aktivisten, deren vergangene, aktuelle und geplante Projekte in oft repressiver politischer Umgebung) leicht abgeschöpft werden können. Es gilt hier zuallererst Datenschutz als Datenverantwortung: Don‘t collect what you can‘t protect.

Angriffe sind einfach – wenn man nicht geschützt ist

Ist es für Angreifer nun schwer, an all diese Daten und Dokumente zu gelangen? Nein, das ist es nicht. Es bedarf keiner staatlich unterstützten oder kontrollierten Hackerarmeen, um an sensible Daten zu kommen. Der aktuelle Fall zeigt: Etwaige Angreifer brauchen nicht mehr als basale Technologiekenntnisse und ein wenig Geduld, wenn das Ziel keine adäquaten Sicherheitsmaßnahmen getroffen hat. Ist zum Beispiel Ihr E-Mail-Postfach nur mit einem schwachen oder leicht zu erratenden Passwort geschützt, kann es leicht gehackt werden. Erst kürzlich wurde von böswilligen Hackern etwa eine Datenbank mit 773 Millionen (!) Accounts und zugehörigen persönlichen Daten veröffentlicht. Und wenn Sie dann noch die Zugangsdaten zu weiteren Systemen in Ihren E-Mails aufbewahren und nicht etwa in einem Passwortmanager, ist es für Angreifer von dort aus nur ein kurzer Weg ins Intranet oder in andere geteilte Dienste.

Damit ist der Schutz persönlicher und dienstlicher Daten kein Fall „für die IT-Abteilung“. Für alle Stiftungen, egal ob groß und personalstark oder klein und allein ehrenamtlich geführt, gilt mithin das Gleiche: Alle Mitarbeiterinnen und Mitarbeiter müssen ein angemessenes Sicherheitsbewusstsein der ihnen anvertrauten Daten haben und entsprechende Schutzmaßnahmen anwenden. Die Sicherheitskette ist nur so stark wie das schwächste Glied.

Sicherheitsmaßnahmen sind einfach und schnell zu meistern

Ist das nun kompliziert? Nein, das ist es erfreulicherweise nicht. Die wichtigsten Schritte sind zugleich die einfachsten. Sie sind in wenigen Minuten erledigt und nach wenigen Tagen gemeistert. Was Sie im beruflichen Umfeld an Sicherheitsmaßnahmen lernen, hilft Ihnen im privaten Umfeld genauso – und umgekehrt.

Ein paar Grundlagen: Verwenden Sie sichere Passwörter und einen Passwort-Manager, damit Sie nicht dasselbe Passwort für alle Zwecke benutzen. Zwei-Faktor-Authentifizierung für Ihre Postfächer und Surveillance-Media- (Entschuldigung: Social-Media-)Accounts ist Pflicht. Trennen Sie zwischen privater und dienstlicher Infrastruktur – soweit möglich. Verschlüsseln Sie Ihre E-Mails und Datenträger. Stellen Sie das „Nachladen entfernter Inhalte“ in Ihrem E-Mail-Programm ab, prüfen Sie unbekannte Links vor dem Klicken und verwenden Sie sichere Messenger wie Signal oder Wire.

Hört sich doch kompliziert an? Es gibt Anlaufstellen, die helfen können: In allen größeren und kleineren Städten werden regelmäßig kostenlose Workshops zu digitaler Sicherheit, Datenschutz und Datenverantwortung angeboten. „Cryptoparty“ nennt sich beispielsweise ein Angebot von meist im Chaos Computer Club organisierten Aktivistinnen und Aktivisten für alle Interessierten. Selten ist Zeit so gut und so angenehm investiert. Weitere Ressourcen finden Sie weiter unten aufgelistet.

Digitale Sicherheit kann man fördern

Es gibt noch einen zweiten Weg für Stiftungen, in digitale Sicherheit und Datenverantwortung zu investieren: Unterstützen Sie die Aktivisten, die Technologien wie PGP-Verschlüsselung und sichere Kommunikation (Tor, Tails) entwickeln und als Open-Source-Anwendungen allen kostenlos bereitstellen. Unterstützen Sie die ehrenamtlich Tätigen, die die Öffentlichkeit im Gebrauch dieser Technologien schulen und begleiten. Wer diese sichere digitale Infrastruktur unterstützt, fördert die Sicherheit aller.

 

Hinweis der Redaktion

Der Bundesverband Deutscher Stiftungen möchte seinen Mitgliedern auch in Bereich Online-Sicherheit ganz praktisch Hilfe anbieten. Hierzu wollen wir ein neues Format ausprobieren: Im Rahmen einer Online-Sprechstunde wird Pavel Richter, Leiter Digitalstrategie beim Bundesverband, im Februar Strategien für einen sichereren Umgang mit Daten und Software vorstellen. Zugleich werden die Teilnehmer die Möglichkeit haben, per Chat oder Telefon Fragen zu stellen. Begleitet wird dieses Format durch eine kommentierte Liste an weiterführenden Links. Nähere Informationen zu den Inhalten, zum Zeitpunkt und zu den Teilnahmemöglichkeiten finden Sie im Januar-Newsletter des Bundesverbandes, der Ende des Monats verschickt wird.

Autor

Dr. Martin Modlinger

Aktuelle Beiträge
Kapital und Wirkung

Auf dem Weg zum Finanzgipfel für Stiftungen

Auf dem Forum Kapital und Wirkung brachte der Bundesverband alle Gruppen zusammen, die zusammen arbeiten müssen, um die Herausforderungen für die Vermögensanlage gemeinsam zu meistern: Mitgliedstiftungen, kommerzielle Partner, den Arbeitskreis Stiftungsvermögen und den Expertenkreis Impact Investing. 

Mehr Infos
Globales Engagement

Agenda-2030, Ziel 16: So können Stiftungen zur nachhaltigen Entwicklung beitragen

Die Agenda-2030 der Vereinten Nationen beschreibt in ihrer Vision, dass es für nachhaltige Entwicklung Demokratie, gute Regierungsführung und Rechtsstaatlichkeit braucht. Weltweit wird an diesem Ziel gearbeitet – auch von Stiftungen.

Mehr Infos
Impuls

Forever young. Wie sich die nächste Philanthropie erfinden wird

Stiftungen haben ein besonderes Verhältnis zur Zeit. Einige sind viele Hundert Jahre alt. Die Geschichte zeigt aber, dass ihr Überleben nie sicher ist. Das Stiftungswesen als Ganzes hat sich aber immer wieder neu erfunden.

Mehr Infos
Stiftungs-News

Fonds Digital: Das Digitale stärker in die Arbeitsweisen von Kulturinstitutionen einbinden

Was macht der Fonds Digital der Kulturstiftung des Bundes? Wir haben bei Marie-Kristin Meier, wissenschaftliche Mitarbeiterin des Fonds Digital, nachgefragt.

Mehr Infos
Mehr zum Thema
Stiftungsrecht

Abgabefrist für Steuererklärungen ab 2019 verlängert

Ab dem Veranlagungszeitraum 2018 gilt eine verlängerte Abgabefrist für Steuererklärungen zum 31. Juli. Gemeinnützigkeitserklärungen können daher ab 2019 bis zum 31. Juli abgegeben werden. Das Steuerformular für gemeinnützige Körperschaften gibt es jetzt bei Elster-Online.

Weiterlesen
Marco2811 — fotolia.com

Recht und Steuern

Lesen Sie hier, unter welchen rechtlichen Voraussetzungen Stiftungen, die gemeinnützige, mildtätige oder kirchliche Zwecke verfolgen, steuerbegünstigt sind.

Weiterlesen
Stiftungsrecht

Kapitalertragsteuerabzug – Nichtbeanstandungsregelung des Bundesfinanzministeriums

Seit dem 01. Januar 2019 gelten neue verschärfte Regeln für den Kapitalertragsteuerabzug bei gemeinnützigen Stiftungen für Dividenden aus sammelverwahrten Aktien und Genussscheinen. 

Weiterlesen