Cyberangriffe sind längst Realität

Stiftungsrecht

Für Stiftungen und Non-Profit-Organisationen sind Daten und Informationen ein immer wichtiger werdender Erfolgsfaktor. Technologisch und finanziell wird es jedoch immer schwieriger, sie zu schützen. Die Liste der digitalen Bedrohungen ist lang.

In diesem Beitrag erfahren Sie mehr über die Gefahr von Cyberangriffen und das breite Spektrum an Bedrohungsszenarien. Mit welchen konkreten Maßnahmen Sie sich vor Angriffen schützen können, lesen Sie in den kommenden Wochen im Blog Stiftungsrecht.

Für Stiftungen und Non-Profit-Organisationen (NPO) sind Daten und Informationen ein immer wichtigerer Erfolgsfaktor. Technologisch ebenso wie finanziell immer schwieriger wird es jedoch, sie zu schützen. Die IT-Infrastruktur ändert sich, beispielsweise durch Cloud und Mobile Computing, kontinuierlich, die Vernetzung der Geschäftsprozesse durch technische Transformationen nimmt zu. Vor allem aber wächst die digitale Bedrohung durch Cyberattacken. Die Angreifergruppen sind heterogen und verfolgen unterschiedlichste Motivationen. Entsprechend sollten sich Organisationen grundsätzlich auf die folgenden Gruppen von Angreifern vorbereiten:

  • „Hacktivisten“: ideologisch inspiriert
  • Organisiertes Verbrechen: Suche nach finanziellen Vorteilen
  • Insider: teils individuelle Motive, teils auch versehentlich
  • Politische Einheiten: Spionage oder Sabotage

Immer häufiger sehen sich Organisationen mit aggressiven und raffinierten Cyberangriffen konfrontiert. Wer nicht angemessen vorbeugt und auf Vorfälle entschlossen und kontrolliert reagiert, handelt unternehmerisch leichtfertig.

Breites Spektrum an Bedrohungen

Die Liste der digitalen Bedrohungen ist lang. Die häufigsten Angriffsmethoden und -szenarien sind Verschlüsselungstrojaner, Datenlecks nach Angriffen und Infektionen mit Schadsoftware. Keine Organisation, sei es Großkonzern, Mittelständler, Stiftung oder NPO, und keine Branche ist gegen Datendiebstahl, Sabotage, Computerbetrug, Schadsoftwarebefall gefeit. Zudem kommen immer neue Methoden wie beispielsweise Erpressungstrojaner (Ransomware), die in letzter Zeit in Erscheinung getreten sind, dazu.

Cyberattacken können massive Konsequenzen haben. Der tatsächliche geldwerte Schaden durch entwendete oder manipulierte organisationssensible Informationen ist dabei vielfach nur der Anfang. Ist der Vorfall erst einmal an die Öffentlichkeit gelangt, droht ein substanzieller Reputationsverlust auf Kunden- wie auf Investorenseite.

Zunehmende Sensibilisierung

Wir nehmen eine deutlich zunehmende Sensibilisierung für Cyberrisiken bei Non-Profit-Organisationen wahr. Dennoch werden Jahr für Jahr neue Vorfälle bekannt, die aufgrund eines inadäquaten Schutzes oder Reaktionsvermögens zum Teil erhebliche Ausmaße annehmen. Es stellt sich daher die Frage, ob dem Thema Cyber Security und Cyber Forensic auch in Non-Profit--Organisationen die angemessene Bedeutung beigemessen wird und ob die richtigen Schlüsse gezogen werden.

Professionelle Vorbereitung auf externe wie interne Angreifer

Die Grundlage eines effektiven und effizienten Cyberschutzes ist die kontinuierliche Auseinandersetzung mit diesem dynamischen Thema. Dazu sind beispielsweise regelmäßige Sicherheitsüberprüfungen nötig. Dabei bestimmen Experten für Prävention, Detektion und Reaktion den Reifegrad des Cyberschutzes, schaffen also Transparenz über den Status quo der Cybersicherheit und geben maßgeschneiderte Empfehlungen zur weiteren Optimierung von Strukturen und Prozessen.
Für den individuell passenden Schutz müssen Organisationen gezielte Vorkehrungen treffen und technische sowie prozessuale Maßnahmen sinnvoll kombinieren. Diese Aufgabe ist nicht zuletzt deshalb sehr komplex, weil Angreifer verschiedene Ziele verfolgen und ihre Attacken entsprechend unterschiedliche Folgen nach sich ziehen können.

Auseinandersetzung mit externen Angreifern

Schadsoftware gibt es in großer Vielfalt. Sie kann für einen Anwendungszweck maßgeschneidert und gezielt eingesetzt werden oder eher ein Massenprodukt sein. Mittlerweile gibt es auch kommerzielle Schadsoftware, die von Cyberkriminellen mit variablem Funktionsumfang als Dienstleistung erworben werden kann. Auf diese Art können selbst technisch wenig versierte Kriminelle erfolgreiche Angriffe durchführen und großen Schaden anrichten.

Sogenannte Advanced Persistent Threats (APTs) sind intelligente, taktisch höchst präzise und manchmal militärisch minutiös durchgeplante Angriffe. Meist stehen hinter den Angreifergruppen Fremdstaaten, Geheimdienste oder professionell organisierte Banden, die mit hoher Qualifikation und Beharrlichkeit erschreckende Erfolgsraten beim Angriff auf Organisationen erreichen. Dabei machen diese auch bei Non-Profit-Organisationen und Stiftungen keine Ausnahme. Ziel kann beispielsweise der Diebstahl von Kunden- und Zahlungsdaten, aber auch von geistigem Eigentum, Strategiedokumenten und Forschungsergebnissen sein. Durch die professionelle und entschlossene Vorgehensweise ist die IT-forensische Aufarbeitung und Mitigation des Angriffs möglich und schafft Transparenz und Handlungsmöglichkeiten für die betroffene Organisation. Eine vollständige Identifikation und Nachverfolgung der örtlich zumeist weit entfernten Angreifergruppe ist allerdings recht schwierig.

Die eigene Cybersicherheit zu kennen und zu verbessern, ist Pflicht

Gemeinnützige Organisationen müssen sich bewusst werden, dass sie bereits heute über sensible Daten verfügen, die gegen den Zugriff unbefugter Dritter zu schützen sind. Dabei geht es nicht nur darum, den regulatorischen Anforderungen der Datenschutzgrundverordnung zu entsprechen. Sie müssen die eigene Handlungsfähigkeit im Falle eines Cyberangriffs sicherstellen und damit massive Reputationsverluste vermeiden. Man mag sich kaum vorstellen, welche Konsequenzen der Missbrauch von Spenderdateien, die Blockade des Zugriffs auf diese Daten oder etwa die unautorisierte Verwendung von Mitgliederinformationen, Patienten- oder Schüler- und Studentendaten für die betroffenen Organisationen nach sich zieht.

Der konkrete Handlungs- und Investitionsbedarf im Einzelfall kann nur durch eine individuelle Sicherheitsüberprüfung ermittelt werden. Gleichzeitig ist dieses Wissen auch wichtig, um mit Fördermittelgebern den gegebenenfalls erforderlichen Investitionsbedarf in personelle Ressourcen und Infrastruktur quantifizieren zu können und diese Ausgaben auch künftig bei den Förderungen zu berücksichtigen.

Der stete technologische Wandel wird fortlaufende Ausgaben erfordern. Bisher werden solche Kosten kaum berücksichtigt. Das muss sich jedoch ändern – übrigens auch, um der Politik gegenüber konkreten Bedarf an Hilfestellung zu benennen.

Autor

Peter Kestner, Partner, Cyber Security, KPMG AG Wirtschaftsprüfungsgesellschaft

KPMG ist Premiumpartner des Bundesverbandes Deutscher Stiftungen. 

Sind Sie cybersicher?

Dieser Beitrag ist ein Auszug aus der KPMG-Broschüre "Sind Sie cybersicher? - Was Non-Profit-Organisationen tun können, um sich gegen Cyberangriffe zu schützen." 

Jetzt herunterladen

Aktuelle Beiträge
Meldungen

Hochwasser-Katastrophe: Stiftungen helfen

Die Überschwemmungen der vergangenen Tage haben katastrophale Auswirkungen. Viele Stiftungen haben kurzfristig Hilfsprogramme und Spendenkonten eingerichtet. Sie finden hier eine Auflistung, die wir regelmäßig aktualisieren werden. 

Mehr
Unsere Demokratie

„Wir haben uns etwas sagen zu lassen“

Als im Mai dieses Jahres der Afroamerikaner George Floyd von einem Polizisten getötet wurde, erklärte sich das Stadtmuseum Berlin als eine von wenigen Stiftungen in Deutschland offen solidarisch mit der weltweit aufkommenden #BlackLivesMatter-Bewegung. Im Gespräch erklären Direktor Paul Spies und Diversitäts-Agentin Idil Efe, wie sie ihr eigenes Haus bunter machen wollen.

Mehr
Impuls

"Menschen zusammenzubringen - das sehe ich als Aufgabe der Stiftungen"

Zusammenhalt war schon vor Corona das große Thema der Soziologin Jutta Allmendinger. Warum sie der Umgang der Deutschen mit der Pandemie dennoch überrascht hat, weshalb sie findet, dass die Politik das Innovationspotenzial der Stiftungen verschenkt, und welche neue Rolle sie auf diese zukommen sieht, erzählt sie im Interview.

Mehr

Mehr zum Thema

Stiftungsrecht

Steuerliche Erleichterungen für gemeinnützige Organisationen bei der Bewältigung der Hochwasserkatastrophe

Unterstützung für die Helfenden: Mit schnellen Hilfsprogrammen und Spendenaktionen engagieren sich viele Stiftungen und andere gemeinnützige Organisationen in den von Überschwemmungen betroffenen Gebieten in Nordrhein-Westfalen und Rheinland-Pfalz. Diese wiederum erhalten nun steuerliche Erleichterungen bei ihrer wichtigen Arbeit vor Ort.

Mehr
Pressemitteilungen

Erfolg für Stiftungen: Bundestag beschließt Stiftungsrechtsreform

In seiner Sitzung vom 24. Juni 2021 hat der Bundestag die dringend notwendige Reform des Stiftungsrechts beschlossen. Der Bundesverband Deutscher Stiftungen begrüßt das neue Gesetz, da es zu mehr Rechtssicherheit führt, sieht jedoch Bedarf für weitere Reformschritte. Stiftungen haben nun mehr Gestaltungsmöglichkeiten für ihre Weiterentwicklung.

Mehr
Stiftungsrecht

Die Stiftungsrechtsreform kommt

Verbesserungen für kleine und große Stiftungen: Das neue Gesetz zur Vereinheitlichung des Stiftungsrechts wurde verabschiedet und tritt am 1. Juli 2023 in Kraft. Rechtsanwältin Marie-Alix Frfr. Ebner von Eschenbach gibt eine Einschätzung zu den wichtigsten Punkten.

Mehr