Datendiebstahl trifft im innersten Kern

Datensicherheit und Open-Source
Stiftungsrecht
Foto: adrian_ilie825 - stock.adobe

Stiftungen verwalten oft private und nicht selten höchst sensible Daten der von ihnen Geförderten. Höchste Zeit, dass sie dem auch Rechnung tragen.

Was, wenn es Sie getroffen hätte? Wenn die Öffentlichkeit nun über Ihre E- Mails, Bilder und Dokumente diskutieren würde?

Der jüngste Fall von Doxing – der Veröffentlichung privater Daten von Journalisten, Satirikern und Politikern durch einen Schüler aus Hessen – zeigt einmal mehr, wie wichtig es ist, sich mit dem Thema Datenschutz und Datenverantwortung auseinanderzusetzen – auch in Stiftungen. Der Täter hat inzwischen gestanden. Dass er allein und aus rein persönlichen Motiven gehandelt hat, aus Ärger über Politiker und deren Aussagen – an dieser Version des Zwanzigjährigen gibt es inzwischen erhebliche Zweifel. Vielmehr soll der junge Mann rechtsextreme Positionen im Netz vertreten und sich im Umfeld von politisch rechten Hackern bewegt haben. Was auch immer die Ermittlungen in diesem Fall ergeben werden: Er ist eine deutliche Warnung, auch an Stiftungen. Denn: Angriffe wie die des Schülers aus Hessen sind einfach. Und sie können jeden treffen. Auch Sie.

Ja, auch Sie können Ziel werden

Sie meinen, Ihre Stiftung sei nicht interessant genug für Doxing oder andere Attacken? Selbst wenn Sie recht hätten: Nicht Ihre Ansicht zählt, sondern die des Gegners – und der hat eigene Gründe. Stiftungen mischen sich im besten Sinne ein und geben Anstöße. Kaum jemals ist das ohne Anecken möglich, immer gibt es irgendwo Unzufriedenheit oder gar Widerstand, und sei es „nur“ an den extremen Ecken der Gesellschaft. Der aktuelle Fall zeigt uns, dass dies genug Motivation für einen Angriff sein kann. Gar nicht erst zu sprechen von Stiftungen, die in den Fokus repressiver Regierungen geraten, zum Beispiel in ihrer Förderarbeit im Ausland. Seien es nun Regierungen, die tatsächlich bereits einige der weltgrößten Stiftungen (digital) angegriffen haben, Hackergruppen mit eigenen Motiven oder wütende Einzelpersonen, das Ergebnis ist das Gleiche: Datendiebstahl trifft im innersten Kern.

Was ist der Worst Case?

Was kann nun im schlimmsten Fall passieren? Überlegen Sie selbst: Was könnte man mit Ihren privaten und dienstlichen Daten und Dokumenten alles anfangen? Mit Ihrem Wohnort, Ihrer privaten und dienstlichen Telefonnummer, mit Chatprotokollen, digitalisierten Ausweisdokumenten, gar Bildern von Partnern oder Kindern? Mit den internen Dokumenten Ihrer Stiftung und – schlimmer noch – mit all den Daten, die Sie über andere gespeichert haben, über Familie, Freunde und Kollegen etwa, aber auch mit den Kontaktdaten von Ansprechpartnerinnen und -partnern in anderen Stiftungen und dem gesamten zugehörigen E-Mail-Verkehr? Mit den Daten, die Ihnen Antragsteller und Geförderte anvertraut haben? Sie schulden es diesen Menschen, auf deren Daten gut zu achten.

Fördern Sie diskriminierte Gruppen oder gar Menschenrechtsaktivisten in unsicherer Lage? Dann kann es um Leib und Leben gehen. Den Aktivisten helfen kein Security-Training und keine noch so umfangreichen Vorsichtsmaßnahmen, wenn in der fördernden Stiftung sensibelste Daten (Namen und Adressen der Aktivisten, deren vergangene, aktuelle und geplante Projekte in oft repressiver politischer Umgebung) leicht abgeschöpft werden können. Es gilt hier zuallererst Datenschutz als Datenverantwortung: Don‘t collect what you can‘t protect.

Angriffe sind einfach – wenn man nicht geschützt ist

Ist es für Angreifer nun schwer, an all diese Daten und Dokumente zu gelangen? Nein, das ist es nicht. Es bedarf keiner staatlich unterstützten oder kontrollierten Hackerarmeen, um an sensible Daten zu kommen. Der aktuelle Fall zeigt: Etwaige Angreifer brauchen nicht mehr als basale Technologiekenntnisse und ein wenig Geduld, wenn das Ziel keine adäquaten Sicherheitsmaßnahmen getroffen hat. Ist zum Beispiel Ihr E-Mail-Postfach nur mit einem schwachen oder leicht zu erratenden Passwort geschützt, kann es leicht gehackt werden. Erst kürzlich wurde von böswilligen Hackern etwa eine Datenbank mit 773 Millionen (!) Accounts und zugehörigen persönlichen Daten veröffentlicht. Und wenn Sie dann noch die Zugangsdaten zu weiteren Systemen in Ihren E-Mails aufbewahren und nicht etwa in einem Passwortmanager, ist es für Angreifer von dort aus nur ein kurzer Weg ins Intranet oder in andere geteilte Dienste.

Damit ist der Schutz persönlicher und dienstlicher Daten kein Fall „für die IT-Abteilung“. Für alle Stiftungen, egal ob groß und personalstark oder klein und allein ehrenamtlich geführt, gilt mithin das Gleiche: Alle Mitarbeiterinnen und Mitarbeiter müssen ein angemessenes Sicherheitsbewusstsein der ihnen anvertrauten Daten haben und entsprechende Schutzmaßnahmen anwenden. Die Sicherheitskette ist nur so stark wie das schwächste Glied.

Sicherheitsmaßnahmen sind einfach und schnell zu meistern

Ist das nun kompliziert? Nein, das ist es erfreulicherweise nicht. Die wichtigsten Schritte sind zugleich die einfachsten. Sie sind in wenigen Minuten erledigt und nach wenigen Tagen gemeistert. Was Sie im beruflichen Umfeld an Sicherheitsmaßnahmen lernen, hilft Ihnen im privaten Umfeld genauso – und umgekehrt.

Ein paar Grundlagen: Verwenden Sie sichere Passwörter und einen Passwort-Manager, damit Sie nicht dasselbe Passwort für alle Zwecke benutzen. Zwei-Faktor-Authentifizierung für Ihre Postfächer und Surveillance-Media- (Entschuldigung: Social-Media-)Accounts ist Pflicht. Trennen Sie zwischen privater und dienstlicher Infrastruktur – soweit möglich. Verschlüsseln Sie Ihre E-Mails und Datenträger. Stellen Sie das „Nachladen entfernter Inhalte“ in Ihrem E-Mail-Programm ab, prüfen Sie unbekannte Links vor dem Klicken und verwenden Sie sichere Messenger wie Signal oder Wire.

Hört sich doch kompliziert an? Es gibt Anlaufstellen, die helfen können: In allen größeren und kleineren Städten werden regelmäßig kostenlose Workshops zu digitaler Sicherheit, Datenschutz und Datenverantwortung angeboten. „Cryptoparty“ nennt sich beispielsweise ein Angebot von meist im Chaos Computer Club organisierten Aktivistinnen und Aktivisten für alle Interessierten. Selten ist Zeit so gut und so angenehm investiert. Weitere Ressourcen finden Sie weiter unten aufgelistet.

Digitale Sicherheit kann man fördern

Es gibt noch einen zweiten Weg für Stiftungen, in digitale Sicherheit und Datenverantwortung zu investieren: Unterstützen Sie die Aktivisten, die Technologien wie PGP-Verschlüsselung und sichere Kommunikation (Tor, Tails) entwickeln und als Open-Source-Anwendungen allen kostenlos bereitstellen. Unterstützen Sie die ehrenamtlich Tätigen, die die Öffentlichkeit im Gebrauch dieser Technologien schulen und begleiten. Wer diese sichere digitale Infrastruktur unterstützt, fördert die Sicherheit aller.

 

Hinweis der Redaktion

Der Bundesverband Deutscher Stiftungen möchte seinen Mitgliedern auch in Bereich Online-Sicherheit ganz praktisch Hilfe anbieten. Hierzu wollen wir ein neues Format ausprobieren: Im Rahmen einer Online-Sprechstunde wird Pavel Richter, Leiter Digitalstrategie beim Bundesverband, im Februar Strategien für einen sichereren Umgang mit Daten und Software vorstellen. Zugleich werden die Teilnehmer die Möglichkeit haben, per Chat oder Telefon Fragen zu stellen. Begleitet wird dieses Format durch eine kommentierte Liste an weiterführenden Links. Nähere Informationen zu den Inhalten, zum Zeitpunkt und zu den Teilnahmemöglichkeiten finden Sie im Januar-Newsletter des Bundesverbandes, der Ende des Monats verschickt wird.

Autor

Dr. Martin Modlinger

Aktuelle Beiträge
Kapital und Wirkung

So rentabel ist Betongold wirklich

Wer eine Immobilie als Geldanlage erwirbt, muss Kosten und Ertrag sorgfältig kalkulieren. Im zweiteiligen Blog-Gastbeitrag erklärt Matthias Krieger, Geschäftsführender Gesellschafter der Krieger + Schramm Unternehmensgruppe, worauf Stiftungen beim Kauf achten sollten. Teil 2: Wie Stiftungen die Rendite bestimmen – und ab wann sich die Investition in Betongold lohnt.

Mehr
Globales Engagement

Zusammenarbeiten, um die Kurve abzuflachen

Welche Auswirkungen hat Covid-19 auf die afrikanische Philanthropie? Was sind in Zeiten der Pandemie die größten Heraus­forderungen für den Stiftungssektor in Kenia? Und wie geht er damit um? Wir haben bei Nancy Kairo von der African Venture Philanthropy Alliance und Evans Okinyi vom East Africa Philanthropy Network nachgefragt.

Mehr
Impuls

Der gesamtgesellschaftliche Gewinn wäre gigantisch – Warum sich Sprachförderung lohnt

Am 26. September ist der Europäische Tag der Sprachen, der auf die Vielfalt aller Sprachen aufmerksam macht und die allgemeine Relevanz des Sprachgebrauchs feiert. Leider hat nicht jeder den Zugang und die nötigen Ressourcen, um sprachliche Kompetenzen zu entwickeln. Warum Sprachförderung für unsere Gesellschaft unabdingbar ist, erläutert Alexander Wolf, Geschäftsführer der Stiftung Fairchance, im Interview.  

Mehr
Stiftungs-News

Hochschulen auf dem herausfordernden Weg zum Wintersemester

Die Corona-Pandemie zwang Hochschulen zu einer Vollbremsung: Der Präsenzbetrieb musste eingestellt, neue Online-Angebote organisiert und das Wintersemester geplant werden. Wie gehen Universitäten mittlerweile mit der Ausnahmesituation um?

Mehr
Unsere Demokratie

Oh wie Ostdeutschland – Impulse aus der Zivilgesellschaft

Trotz oder gerade aufgrund der Covid19-Pandemie wird deutlich, dass es einer starken und vielfältigen Zivilgesellschaft bedarf. Die Initiative Zukunftslabor Ost setzt sich für langfristige Partnerschaften und nachhaltiges demokratisches Engagement in Ostdeutschland ein.

Mehr
Geschlechtergerechtigkeit

Philanthropie ist ein feministisches Thema

Soll es voran gehen mit der Menschheit, müssen die Stimmen von Frauen durch philanthropische Mittel unterstützt werden, ihre Wahlmöglichkeiten, Partizipation, Bildung und Existenzgrundlagen.

Mehr

Mehr zum Thema

Stiftungsrecht

Kontoeröffnung: Welche persönlichen Daten müssen erhoben werden?

Steuerumgehungsbekämpfungsgesetz, Geldwäschegesetz: Zur Erhöhung der Transparenz bei Kontoeröffnungen sind auch rechtsfähige Stiftungen verpflichtet, umfangreiche Auskünfte über Personendaten der wirtschaftlich Berechtigten zu liefern.

Mehr
Pressemitteilungen

Stiftungsrechtsreform ist auf dem Weg

Nach Halbzeitbilanz: Bundesregierung setzt die Stiftungsrechtsreform auf ihre Agenda. Zuvor waren zahlreiche Stiftungen dem Aufruf gefolgt, die Bundesregierung und die Bundestagsabgeordneten an ihr Versprechen aus dem Koalitionsvertrag zu erinnern.

Mehr

Vergabeausschuss

Über die Zuerkennung des Qualitätssiegels entscheidet ein Vergabeausschuss, der seine Entscheidung selbstständig und weisungsunabhängig trifft.

Mehr