Datendiebstahl trifft im innersten Kern

Datensicherheit und Open-Source
Stiftungsrecht
© adrian_ilie825 - stock.adobe
20.01.2019
Stiftungsrecht
Zurück zur Übersicht

Stiftungen verwalten oft private und nicht selten höchst sensible Daten der von ihnen Geförderten. Höchste Zeit, dass sie dem auch Rechnung tragen.

Was, wenn es Sie getroffen hätte? Wenn die Öffentlichkeit nun über Ihre E- Mails, Bilder und Dokumente diskutieren würde?

Der jüngste Fall von Doxing – der Veröffentlichung privater Daten von Journalisten, Satirikern und Politikern durch einen Schüler aus Hessen – zeigt einmal mehr, wie wichtig es ist, sich mit dem Thema Datenschutz und Datenverantwortung auseinanderzusetzen – auch in Stiftungen. Der Täter hat inzwischen gestanden. Dass er allein und aus rein persönlichen Motiven gehandelt hat, aus Ärger über Politiker und deren Aussagen – an dieser Version des Zwanzigjährigen gibt es inzwischen erhebliche Zweifel. Vielmehr soll der junge Mann rechtsextreme Positionen im Netz vertreten und sich im Umfeld von politisch rechten Hackern bewegt haben. Was auch immer die Ermittlungen in diesem Fall ergeben werden: Er ist eine deutliche Warnung, auch an Stiftungen. Denn: Angriffe wie die des Schülers aus Hessen sind einfach. Und sie können jeden treffen. Auch Sie.

Ja, auch Sie können Ziel werden

Sie meinen, Ihre Stiftung sei nicht interessant genug für Doxing oder andere Attacken? Selbst wenn Sie recht hätten: Nicht Ihre Ansicht zählt, sondern die des Gegners – und der hat eigene Gründe. Stiftungen mischen sich im besten Sinne ein und geben Anstöße. Kaum jemals ist das ohne Anecken möglich, immer gibt es irgendwo Unzufriedenheit oder gar Widerstand, und sei es „nur“ an den extremen Ecken der Gesellschaft. Der aktuelle Fall zeigt uns, dass dies genug Motivation für einen Angriff sein kann. Gar nicht erst zu sprechen von Stiftungen, die in den Fokus repressiver Regierungen geraten, zum Beispiel in ihrer Förderarbeit im Ausland. Seien es nun Regierungen, die tatsächlich bereits einige der weltgrößten Stiftungen (digital) angegriffen haben, Hackergruppen mit eigenen Motiven oder wütende Einzelpersonen, das Ergebnis ist das Gleiche: Datendiebstahl trifft im innersten Kern.

Was ist der Worst Case?

Was kann nun im schlimmsten Fall passieren? Überlegen Sie selbst: Was könnte man mit Ihren privaten und dienstlichen Daten und Dokumenten alles anfangen? Mit Ihrem Wohnort, Ihrer privaten und dienstlichen Telefonnummer, mit Chatprotokollen, digitalisierten Ausweisdokumenten, gar Bildern von Partnern oder Kindern? Mit den internen Dokumenten Ihrer Stiftung und – schlimmer noch – mit all den Daten, die Sie über andere gespeichert haben, über Familie, Freunde und Kollegen etwa, aber auch mit den Kontaktdaten von Ansprechpartnerinnen und -partnern in anderen Stiftungen und dem gesamten zugehörigen E-Mail-Verkehr? Mit den Daten, die Ihnen Antragsteller und Geförderte anvertraut haben? Sie schulden es diesen Menschen, auf deren Daten gut zu achten.

Fördern Sie diskriminierte Gruppen oder gar Menschenrechtsaktivisten in unsicherer Lage? Dann kann es um Leib und Leben gehen. Den Aktivisten helfen kein Security-Training und keine noch so umfangreichen Vorsichtsmaßnahmen, wenn in der fördernden Stiftung sensibelste Daten (Namen und Adressen der Aktivisten, deren vergangene, aktuelle und geplante Projekte in oft repressiver politischer Umgebung) leicht abgeschöpft werden können. Es gilt hier zuallererst Datenschutz als Datenverantwortung: Don‘t collect what you can‘t protect.

Angriffe sind einfach – wenn man nicht geschützt ist

Ist es für Angreifer nun schwer, an all diese Daten und Dokumente zu gelangen? Nein, das ist es nicht. Es bedarf keiner staatlich unterstützten oder kontrollierten Hackerarmeen, um an sensible Daten zu kommen. Der aktuelle Fall zeigt: Etwaige Angreifer brauchen nicht mehr als basale Technologiekenntnisse und ein wenig Geduld, wenn das Ziel keine adäquaten Sicherheitsmaßnahmen getroffen hat. Ist zum Beispiel Ihr E-Mail-Postfach nur mit einem schwachen oder leicht zu erratenden Passwort geschützt, kann es leicht gehackt werden. Erst kürzlich wurde von böswilligen Hackern etwa eine Datenbank mit 773 Millionen (!) Accounts und zugehörigen persönlichen Daten veröffentlicht. Und wenn Sie dann noch die Zugangsdaten zu weiteren Systemen in Ihren E-Mails aufbewahren und nicht etwa in einem Passwortmanager, ist es für Angreifer von dort aus nur ein kurzer Weg ins Intranet oder in andere geteilte Dienste.

Damit ist der Schutz persönlicher und dienstlicher Daten kein Fall „für die IT-Abteilung“. Für alle Stiftungen, egal ob groß und personalstark oder klein und allein ehrenamtlich geführt, gilt mithin das Gleiche: Alle Mitarbeiterinnen und Mitarbeiter müssen ein angemessenes Sicherheitsbewusstsein der ihnen anvertrauten Daten haben und entsprechende Schutzmaßnahmen anwenden. Die Sicherheitskette ist nur so stark wie das schwächste Glied.

Sicherheitsmaßnahmen sind einfach und schnell zu meistern

Ist das nun kompliziert? Nein, das ist es erfreulicherweise nicht. Die wichtigsten Schritte sind zugleich die einfachsten. Sie sind in wenigen Minuten erledigt und nach wenigen Tagen gemeistert. Was Sie im beruflichen Umfeld an Sicherheitsmaßnahmen lernen, hilft Ihnen im privaten Umfeld genauso – und umgekehrt.

Ein paar Grundlagen: Verwenden Sie sichere Passwörter und einen Passwort-Manager, damit Sie nicht dasselbe Passwort für alle Zwecke benutzen. Zwei-Faktor-Authentifizierung für Ihre Postfächer und Surveillance-Media- (Entschuldigung: Social-Media-)Accounts ist Pflicht. Trennen Sie zwischen privater und dienstlicher Infrastruktur – soweit möglich. Verschlüsseln Sie Ihre E-Mails und Datenträger. Stellen Sie das „Nachladen entfernter Inhalte“ in Ihrem E-Mail-Programm ab, prüfen Sie unbekannte Links vor dem Klicken und verwenden Sie sichere Messenger wie Signal oder Wire.

Hört sich doch kompliziert an? Es gibt Anlaufstellen, die helfen können: In allen größeren und kleineren Städten werden regelmäßig kostenlose Workshops zu digitaler Sicherheit, Datenschutz und Datenverantwortung angeboten. „Cryptoparty“ nennt sich beispielsweise ein Angebot von meist im Chaos Computer Club organisierten Aktivistinnen und Aktivisten für alle Interessierten. Selten ist Zeit so gut und so angenehm investiert. Weitere Ressourcen finden Sie weiter unten aufgelistet.

Digitale Sicherheit kann man fördern

Es gibt noch einen zweiten Weg für Stiftungen, in digitale Sicherheit und Datenverantwortung zu investieren: Unterstützen Sie die Aktivisten, die Technologien wie PGP-Verschlüsselung und sichere Kommunikation (Tor, Tails) entwickeln und als Open-Source-Anwendungen allen kostenlos bereitstellen. Unterstützen Sie die ehrenamtlich Tätigen, die die Öffentlichkeit im Gebrauch dieser Technologien schulen und begleiten. Wer diese sichere digitale Infrastruktur unterstützt, fördert die Sicherheit aller.

 

Hinweis der Redaktion

Der Bundesverband Deutscher Stiftungen möchte seinen Mitgliedern auch in Bereich Online-Sicherheit ganz praktisch Hilfe anbieten. Hierzu wollen wir ein neues Format ausprobieren: Im Rahmen einer Online-Sprechstunde wird Pavel Richter, Leiter Digitalstrategie beim Bundesverband, im Februar Strategien für einen sichereren Umgang mit Daten und Software vorstellen. Zugleich werden die Teilnehmer die Möglichkeit haben, per Chat oder Telefon Fragen zu stellen. Begleitet wird dieses Format durch eine kommentierte Liste an weiterführenden Links. Nähere Informationen zu den Inhalten, zum Zeitpunkt und zu den Teilnahmemöglichkeiten finden Sie im Januar-Newsletter des Bundesverbandes, der Ende des Monats verschickt wird.

Autor

Dr. Martin Modlinger

Aktuelle Beiträge
Unsere Demokratie

„Wir haben uns etwas sagen zu lassen“

Als im Mai dieses Jahres der Afroamerikaner George Floyd von einem Polizisten getötet wurde, erklärte sich das Stadtmuseum Berlin als eine von wenigen Stiftungen in Deutschland offen solidarisch mit der weltweit aufkommenden #BlackLivesMatter-Bewegung. Im Gespräch erklären Direktor Paul Spies und Diversitäts-Agentin Idil Efe, wie sie ihr eigenes Haus bunter machen wollen.

Mehr
Meldungen

Interview zur Strategie 2025 des Bundesverbandes Deutscher Stiftungen

Aktive Interessenvertretung, eine starke Stimme der Zivilgesellschaft, zielgruppenspezifische Services und Netzwerke, Einsatz für die Zukunft des Stiftens: Generalsekretärin Kirsten Hommelhoff und die Vorstandsvorsitzende Friederike von Bünau sprachen mit Stifter TV über die Strategie 2025.

Mehr
Globales Engagement

Gemeinsam stärker in Europa und weltweit

Immer mehr Stiftungen denken globaler, tauschen grenzübergreifend Wissen aus, kooperieren bi- oder multinational.

Mehr

Mehr zum Thema

Stiftungsrecht

Grundsteuerreform – Handlungsbedarf für Stiftungen

Die Grundsteuerreform betrifft auch Stiftungen, selbst wenn sie mit ihrem Grundbesitz grundsteuerbefreit sind. Eine erneute Prüfung der Steuerbefreiung ist nicht ausgeschlossen.

Mehr
Pressemitteilungen

Erfolg für Stiftungen: Bundestag beschließt Stiftungsrechtsreform

In seiner Sitzung vom 24. Juni 2021 hat der Bundestag die dringend notwendige Reform des Stiftungsrechts beschlossen. Der Bundesverband Deutscher Stiftungen begrüßt das neue Gesetz, da es zu mehr Rechtssicherheit führt, sieht jedoch Bedarf für weitere Reformschritte. Stiftungen haben nun mehr Gestaltungsmöglichkeiten für ihre Weiterentwicklung.

Mehr
Stiftungsrecht

Häufige Fragen zur Stiftungsrechtsreform

Wann kommt das Stiftungsregister? Wie ist mit Umschichtungsgewinnen zu verfahren? Können Stiftungen künftig leichter fusionieren? Wir geben einen Überblick.

Mehr