Hackerangriffe und Cyberattacken wachsen jährlich. Dabei geraten immer mehr auch soziale Einrichtungen, Rettungsdienste und Hilfsorganisationen wie Caritas, Diakonie, Deutsches Rotes Kreuz, Malteser, Lebenshilfe, Arbeiter-Samariter-Bund vielerorts in den Fokus von Hackern. Diese stehen daher vermehrt vor der Entscheidung eines Investments in die eigene IT-Infrastruktur und Informationssicherheit, oder in den eigenen Service und Dienst. . Erfahren Sie, warum eine Investition in Cyber- und Informationssicherheit langfristig die bessere Entscheidung ist und wie dadurch vor allem das Angebot sozialer Einrichtungen abgesichert wird.
Was macht Wohltätigkeitsorganisationen für Hacker attraktiv?
Anders als namhafte Konzerne sind soziale Einrichtungen und Wohltätigkeitsorganisationen nicht gerade für ihren Reichtum und hohe liquide Mittel bekannt. Kein Wunder, die meisten finanzieren ihre wertvolle Arbeit überwiegend aus Spenden und Mitgliedsbeiträgen. Dass sie dennoch ein attraktives Ziel für Cyberkriminelle sind und vermehrt ins Visier geraten, liegt an einem Bündel sich gegenseitig verstärkender Gründe:
- Sensible Daten
Um Menschen helfen zu können, brauchen soziale Einrichtungen und wohltätige Organisationen persönliche Daten. Name und Adresse reichen oft nicht aus, etwa wenn es um das Erbringen medizinischer Dienste geht, um konkrete Beratungs- und Unterstützungsangebote oder Lebensmittelhilfen. Erhoben und gespeichert werden dann auch Sozialversicherungsnummern, sensible Gesundheitsdaten oder Kontoinformationen. Diese Daten sind nicht nur essenziell für die Arbeit der Organisationen, sie sind aus Sicht von Hackern auch ideale Angriffsziele und Druckmittel in Erpressungsszenarien. - Veraltete Systeme
Wohlfahrtsverbände und soziale Einrichtungen arbeiten häufig mit IT-Systemen, die nicht dem neuesten Stand der Technik entsprechen. Dies gilt auch und insbesondere im Hinblick auf die Sicherheitsarchitektur. Die Entwicklungszyklen in diesem Bereich sind kurz. Kein Wunder, denn vermehrte Hacker-Aktivitäten und zunehmende Cyberrisiken erfordern fortlaufend neue Gegenmaßnahmen. Werden diese nicht konsequent umgesetzt, entstehen Sicherheitslücken. Angreifer haben leichtes Spiel. - Begrenzte Ressourcen
Dass die nötigen Gegenmaßnahmen nicht konsequent umgesetzt werden, liegt in erster Linie an den begrenzten Ressourcen. Diakonie, Caritas und Co. werden in der Regel staatlich, kirchlich oder durch Spenden finanziert. Viele Wohlfahrtsverbände arbeiten daher mit chronisch knappen Budgets und haben nach eigener Einschätzung oftmals weder die personellen noch die finanziellen Mittel, um in robuste Cyber-Sicherheits-Maßnahmen zu investieren. Das macht sie anfällig für Angriffe. - Mangelndes Bewusstsein für IT-Sicherheit
Das schwächste Glied in der Verteidigungskette gegen Cyberangriffe ist bekanntlich der Mensch. Das machen sich Kriminelle zunutze, indem sie etwa Phishing-Mails versenden. Wer sich der Gefahren kaum bewusst und nicht geschult im Erkennen solcher Mails ist, gibt schon mal sensible Informationen preis oder lädt leichtgläubig Malware aus dem Netz herunter. Oft mit fatalen Folgen. Regelmäßige Schulungen sind daher unverzichtbar, unterbleiben aufgrund des Budget- und Zeitmangels jedoch oft. - Komplexe Netzwerke
Wohlfahrtsverbände arbeiten meist mit einer Vielzahl von Partnern und Zulieferern zusammen – auch digital und online. Die IT-Landschaften jeder dieser Partner können wiederum eigene Schwachstellen im Bereich der Cybersicherheit aufweisen. So entsteht ein komplexes Netzwerk miteinander verbundener Systeme, das schwer zu sichern ist. Die Wahrscheinlichkeit für erfolgreiche Cyberangriffe steigt weiter.
Das Zusammenspiel der beschriebenen Schwachpunkte macht soziale Organisationen besonders anfällig. Zumal Konzerne und Großunternehmen aus den Angriffen in der Vergangenheit gelernt haben und sich inzwischen mit großem Aufwand gegen Cyberrisiken schützen. Dadurch rücken weniger abgesicherte Organisationen verstärkt in den Fokus.
Lesen Sie hier, wie sich in nur 4 Schritten ein IT-Sicherheitskonzept aufbauen.
Cyberangriff gegen den Caritas-Verband München und Freising
2022 wurden weltweit mehr als 2,8 Milliarden Cyberangriffe gemeldet. Im Vergleich zum Vorjahr ist die Anzahl der Attacken damit erneut gestiegen – diesmal um rund 11 Prozent. Dass die Hacker längst auch soziale Einrichtungen und Wohlfahrtsverbände im Visier haben, belegt ein prominentes Beispiel aus Deutschland. Getroffen hat es im Herbst 2022 die größte bayerische Wohlfahrtsorganisation: den Caritas-Verband in der Erzdiözese München und Freising e.V.
Die Folge war eine Großstörung zentraler IT-Systeme, welche die Arbeit der rund 10.000 Beschäftigten des Verbandes über Tage und Wochen massiv behindert hat. Über die gewohnten E-Mail-Accounts waren diese beispielsweise nicht mehr erreichbar. Zudem hatten die Täter personenbezogene Daten erbeutet, auch von regelmäßigen Spendern, und für deren digitale Wiederfreigabe ein hohes Lösegeld in der Kryptowährung Bitcoin gefordert. Der Verband hat dieses nach eigener Aussage nicht gezahlt und stattdessen in den Ausbau seiner IT-Security investiert.
Der Konflikt: in direkte Hilfe investieren oder in dauerhaftes Helfen-Können?
Als Verantwortliche*r einer sozialen Einrichtung oder Hilfsorganisation stehen Sie bei Investitionsfragen vor einem grundlegenden Dilemma: Sollen Sie einen Teil Ihres knappen Budgets in Cyber-Sicherheits-Maßnahmen stecken, oder doch lieber neue Pflegebetten, Rettungswagen und medizinische Ausrüstung anschaffen? Angesichts der sozialen Herausforderungen in unserer Gesellschaft mag im ersten Moment vieles dafürsprechen, die Mittel für unmittelbar wirksame Hilfen auszugeben. Auf lange Sicht und unter Berücksichtigung der Risiken durch mangelnde Informationssicherheit fällt die Abwägung jedoch ganz sicher anders aus.
Dafür reicht ein Blick auf die möglichen Folgen eines Cyberangriffs:
- Erbeutet werden meist sensible personenbezogene Daten
- Dies schränkt die Arbeitsfähigkeit betroffener Organisationen stark ein
- Es entstehen hohe finanzielle Verluste und Reputationsschäden
- Hinzu kommen rechtliche Konsequenzen und ggf. Strafzahlungen
- Die Organisation läuft Gefahr, das Vertrauen der Mitglieder und Spender zu verlieren
Am Ende geht es also um nichts Geringeres als die Arbeitsfähigkeit und Existenz Ihrer Organisation insgesamt. Wer sich dessen bewusst ist, der wird für die eigene Cyber Sicherheit auch ausreichend Mittel einplanen.
Der nächste Schritt: Wie sich Wohlfahrtsverbände wirksam schützen können
Starke Passwörter einführen, die neuesten Antivirenprogramme nutzen, Mitarbeitende für Cyberrisiken sensibilisieren, mit Datenverschlüsselung und Zwei-Faktor-Authentifizierung arbeiten und die eigene Software auf dem neuesten Stand halten: Es gibt viele Dinge und Maßnahmen, mit denen sich die Sicherheitslage relativ schnell verbessern lässt – zumindest punktuell. Ein umfassender Schutz und wirksame Risikominimierung lassen sich jedoch nur durch den Aufbau konsequenter Strukturen und Abläufe zur Einschätzung und Abwehr von Cyberbedrohungen erreichen. Sprich: Durch das Implementieren eines professionellen Informationssicherheits-Managementsystems (ISMS).
Erste Hilfe und Komplett-Lösungen von DataGuard
Wenn Sie nun denken: Von jetzt auf gleich lässt sich ein ISMS für unsere Organisation weder planen noch umsetzen, dann haben Sie vollkommen recht. Schon allein für das Ermitteln und Analysieren der IST-Situation müssen Sie je nach Art und Größe Ihrer Organisation einen Aufwand von mehreren Tagen bis Wochen veranschlagen. Zudem benötigen Sie für den Aufbau eines ISMS in aller Regel das Know-how von Experten. DataGuard hat diese Experten und begleitet Sie auf Ihrem Weg zum eigenen ISMS ebenso gerne wie kompetent. Besuchen Sie unsere Plattform für Informationssicherheit und informieren sich selbst über die Leistungen, mit denen wir Sie unterstützen.
Darüber hinaus unterstützen wir Sie auf Anfrage auch kurzfristig und mit Maßnahmen, die sofort Wirkung zeigen. So können wir Ihnen mit der DataGuard Academy beispielswiese eine bewährte Lernplattform für die Schulung Ihrer Mitarbeiter*innen zur Verfügung stellen – umgehend, online und ohne großen Investitionsaufwand. Gerne definieren wir für Sie in diesem Rahmen auch spezifische Sicherheitsrichtlinien. Im Fokus haben wir dabei den Schutz Ihrer digitalen Vermögenswerte. Die Richtlinien machen klare Vorgaben und erhöhen so die Handlungssicherheit auf Seiten aller Mitarbeitenden.
Wer noch einen Schritt weitergehen und auf den Fall der Fälle bestens vorbereitet sein möchte, profitiert mit DataGuard auch von professioneller Beratung in puncto Business Continuity Management. Fragen Sie uns einfach, wir beraten und unterstützen Sie gern.