Cyberangriffe sind längst Realität

Stiftungsrecht
28.06.2018
Stiftungsrecht
Zurück zur Übersicht

Für Stiftungen und Non-Profit-Organisationen sind Daten und Informationen ein immer wichtiger werdender Erfolgsfaktor. Technologisch und finanziell wird es jedoch immer schwieriger, sie zu schützen. Die Liste der digitalen Bedrohungen ist lang.

In diesem Beitrag erfahren Sie mehr über die Gefahr von Cyberangriffen und das breite Spektrum an Bedrohungsszenarien. Mit welchen konkreten Maßnahmen Sie sich vor Angriffen schützen können, lesen Sie in den kommenden Wochen im Blog Stiftungsrecht.

Für Stiftungen und Non-Profit-Organisationen (NPO) sind Daten und Informationen ein immer wichtigerer Erfolgsfaktor. Technologisch ebenso wie finanziell immer schwieriger wird es jedoch, sie zu schützen. Die IT-Infrastruktur ändert sich, beispielsweise durch Cloud und Mobile Computing, kontinuierlich, die Vernetzung der Geschäftsprozesse durch technische Transformationen nimmt zu. Vor allem aber wächst die digitale Bedrohung durch Cyberattacken. Die Angreifergruppen sind heterogen und verfolgen unterschiedlichste Motivationen. Entsprechend sollten sich Organisationen grundsätzlich auf die folgenden Gruppen von Angreifern vorbereiten:

  • „Hacktivisten“: ideologisch inspiriert
  • Organisiertes Verbrechen: Suche nach finanziellen Vorteilen
  • Insider: teils individuelle Motive, teils auch versehentlich
  • Politische Einheiten: Spionage oder Sabotage

Immer häufiger sehen sich Organisationen mit aggressiven und raffinierten Cyberangriffen konfrontiert. Wer nicht angemessen vorbeugt und auf Vorfälle entschlossen und kontrolliert reagiert, handelt unternehmerisch leichtfertig.

Breites Spektrum an Bedrohungen

Die Liste der digitalen Bedrohungen ist lang. Die häufigsten Angriffsmethoden und -szenarien sind Verschlüsselungstrojaner, Datenlecks nach Angriffen und Infektionen mit Schadsoftware. Keine Organisation, sei es Großkonzern, Mittelständler, Stiftung oder NPO, und keine Branche ist gegen Datendiebstahl, Sabotage, Computerbetrug, Schadsoftwarebefall gefeit. Zudem kommen immer neue Methoden wie beispielsweise Erpressungstrojaner (Ransomware), die in letzter Zeit in Erscheinung getreten sind, dazu.

Cyberattacken können massive Konsequenzen haben. Der tatsächliche geldwerte Schaden durch entwendete oder manipulierte organisationssensible Informationen ist dabei vielfach nur der Anfang. Ist der Vorfall erst einmal an die Öffentlichkeit gelangt, droht ein substanzieller Reputationsverlust auf Kunden- wie auf Investorenseite.

Zunehmende Sensibilisierung

Wir nehmen eine deutlich zunehmende Sensibilisierung für Cyberrisiken bei Non-Profit-Organisationen wahr. Dennoch werden Jahr für Jahr neue Vorfälle bekannt, die aufgrund eines inadäquaten Schutzes oder Reaktionsvermögens zum Teil erhebliche Ausmaße annehmen. Es stellt sich daher die Frage, ob dem Thema Cyber Security und Cyber Forensic auch in Non-Profit--Organisationen die angemessene Bedeutung beigemessen wird und ob die richtigen Schlüsse gezogen werden.

Professionelle Vorbereitung auf externe wie interne Angreifer

Die Grundlage eines effektiven und effizienten Cyberschutzes ist die kontinuierliche Auseinandersetzung mit diesem dynamischen Thema. Dazu sind beispielsweise regelmäßige Sicherheitsüberprüfungen nötig. Dabei bestimmen Experten für Prävention, Detektion und Reaktion den Reifegrad des Cyberschutzes, schaffen also Transparenz über den Status quo der Cybersicherheit und geben maßgeschneiderte Empfehlungen zur weiteren Optimierung von Strukturen und Prozessen.
Für den individuell passenden Schutz müssen Organisationen gezielte Vorkehrungen treffen und technische sowie prozessuale Maßnahmen sinnvoll kombinieren. Diese Aufgabe ist nicht zuletzt deshalb sehr komplex, weil Angreifer verschiedene Ziele verfolgen und ihre Attacken entsprechend unterschiedliche Folgen nach sich ziehen können.

Auseinandersetzung mit externen Angreifern

Schadsoftware gibt es in großer Vielfalt. Sie kann für einen Anwendungszweck maßgeschneidert und gezielt eingesetzt werden oder eher ein Massenprodukt sein. Mittlerweile gibt es auch kommerzielle Schadsoftware, die von Cyberkriminellen mit variablem Funktionsumfang als Dienstleistung erworben werden kann. Auf diese Art können selbst technisch wenig versierte Kriminelle erfolgreiche Angriffe durchführen und großen Schaden anrichten.

Sogenannte Advanced Persistent Threats (APTs) sind intelligente, taktisch höchst präzise und manchmal militärisch minutiös durchgeplante Angriffe. Meist stehen hinter den Angreifergruppen Fremdstaaten, Geheimdienste oder professionell organisierte Banden, die mit hoher Qualifikation und Beharrlichkeit erschreckende Erfolgsraten beim Angriff auf Organisationen erreichen. Dabei machen diese auch bei Non-Profit-Organisationen und Stiftungen keine Ausnahme. Ziel kann beispielsweise der Diebstahl von Kunden- und Zahlungsdaten, aber auch von geistigem Eigentum, Strategiedokumenten und Forschungsergebnissen sein. Durch die professionelle und entschlossene Vorgehensweise ist die IT-forensische Aufarbeitung und Mitigation des Angriffs möglich und schafft Transparenz und Handlungsmöglichkeiten für die betroffene Organisation. Eine vollständige Identifikation und Nachverfolgung der örtlich zumeist weit entfernten Angreifergruppe ist allerdings recht schwierig.

Die eigene Cybersicherheit zu kennen und zu verbessern, ist Pflicht

Gemeinnützige Organisationen müssen sich bewusst werden, dass sie bereits heute über sensible Daten verfügen, die gegen den Zugriff unbefugter Dritter zu schützen sind. Dabei geht es nicht nur darum, den regulatorischen Anforderungen der Datenschutzgrundverordnung zu entsprechen. Sie müssen die eigene Handlungsfähigkeit im Falle eines Cyberangriffs sicherstellen und damit massive Reputationsverluste vermeiden. Man mag sich kaum vorstellen, welche Konsequenzen der Missbrauch von Spenderdateien, die Blockade des Zugriffs auf diese Daten oder etwa die unautorisierte Verwendung von Mitgliederinformationen, Patienten- oder Schüler- und Studentendaten für die betroffenen Organisationen nach sich zieht.

Der konkrete Handlungs- und Investitionsbedarf im Einzelfall kann nur durch eine individuelle Sicherheitsüberprüfung ermittelt werden. Gleichzeitig ist dieses Wissen auch wichtig, um mit Fördermittelgebern den gegebenenfalls erforderlichen Investitionsbedarf in personelle Ressourcen und Infrastruktur quantifizieren zu können und diese Ausgaben auch künftig bei den Förderungen zu berücksichtigen.

Der stete technologische Wandel wird fortlaufende Ausgaben erfordern. Bisher werden solche Kosten kaum berücksichtigt. Das muss sich jedoch ändern – übrigens auch, um der Politik gegenüber konkreten Bedarf an Hilfestellung zu benennen.

Autor

Peter Kestner, Partner, Cyber Security, KPMG AG Wirtschaftsprüfungsgesellschaft

KPMG ist Premiumpartner des Bundesverbandes Deutscher Stiftungen. 

Sind Sie cybersicher?

Dieser Beitrag ist ein Auszug aus der KPMG-Broschüre "Sind Sie cybersicher? - Was Non-Profit-Organisationen tun können, um sich gegen Cyberangriffe zu schützen." 

Jetzt herunterladen

Aktuelle Beiträge
Impuls

"Zum Wohle der Witwen und Waisen" – neu interpretiert

Fünf soziale Einrichtungen, darunter einen Seniorentreff, unterhält die Koepjohann’sche Stiftung. In der DDR hatte der Berliner Stiftung, die in diesem Jahr 230 Jahre alt wird, noch das Aus gedroht. Ein Gespräch mit den ehemaligen und amtierenden Kuratoriumsvorsitzenden der Stiftung über die ewige Angst vor Enteignung und die Neuerfindung der Stiftung nach dem Mauerfall. 

Mehr
Geschlechtergerechtigkeit

Die Kraft der Frauen

Auch zum 100. Jubiläum des internationalen Frauentages gibt es in Sachen Gleichberechtigung noch viel zu tun. Nur langsam ändern sich Jahrhunderte alte Gesellschaftsstrukturen von Machtverteilung und Diskriminierung. Wie es gehen kann, zeigt die erfolgreiche Arbeit der Vicente Ferrer Stiftung zur Stärkung der Frauen im ländlichen Indien.

Mehr
Unsere Demokratie

„Wir haben uns etwas sagen zu lassen“

Als im Mai dieses Jahres der Afroamerikaner George Floyd von einem Polizisten getötet wurde, erklärte sich das Stadtmuseum Berlin als eine von wenigen Stiftungen in Deutschland offen solidarisch mit der weltweit aufkommenden #BlackLivesMatter-Bewegung. Im Gespräch erklären Direktor Paul Spies und Diversitäts-Agentin Idil Efe, wie sie ihr eigenes Haus bunter machen wollen.

Mehr

Mehr zum Thema

Stiftungsrecht

Grundsteuerreform – Handlungsbedarf für Stiftungen

Die Grundsteuerreform betrifft auch Stiftungen, selbst wenn sie mit ihrem Grundbesitz grundsteuerbefreit sind. Eine erneute Prüfung der Steuerbefreiung ist nicht ausgeschlossen.

Mehr
Pressemitteilungen

Erfolg für Stiftungen: Bundestag beschließt Stiftungsrechtsreform

In seiner Sitzung vom 24. Juni 2021 hat der Bundestag die dringend notwendige Reform des Stiftungsrechts beschlossen. Der Bundesverband Deutscher Stiftungen begrüßt das neue Gesetz, da es zu mehr Rechtssicherheit führt, sieht jedoch Bedarf für weitere Reformschritte. Stiftungen haben nun mehr Gestaltungsmöglichkeiten für ihre Weiterentwicklung.

Mehr
Stiftungsrecht

Häufige Fragen zur Stiftungsrechtsreform

Wann kommt das Stiftungsregister? Wie ist mit Umschichtungsgewinnen zu verfahren? Können Stiftungen künftig leichter fusionieren? Wir geben einen Überblick.

Mehr