Informationssicherheit ISO 27001

4 Min

Erste Hilfe benötigt? Warum ausgerechnet soziale Einrichtungen gehackt werden

Andrew Whitmore
Andrew Whitmore

Hackerangriffe und Cyberattacken wachsen jährlich. Dabei geraten immer mehr auch soziale Einrichtungen, Rettungsdienste und Hilfsorganisationen wie Caritas, Diakonie, Deutsches Rotes Kreuz, Malteser, Lebenshilfe, Arbeiter-Samariter-Bund vielerorts in den Fokus von Hackern. Diese stehen daher vermehrt vor der Entscheidung eines Investments in die eigene IT-Infrastruktur und Informationssicherheit, oder in den eigenen Service und Dienst. . Erfahren Sie, warum eine Investition in Cyber- und Informationssicherheit langfristig die bessere Entscheidung ist und wie dadurch vor allem das Angebot sozialer Einrichtungen abgesichert wird.  

Was macht Wohltätigkeitsorganisationen für Hacker attraktiv? 

Anders als namhafte Konzerne sind soziale Einrichtungen und Wohltätigkeitsorganisationen nicht gerade für ihren Reichtum und hohe liquide Mittel bekannt. Kein Wunder, die meisten finanzieren ihre wertvolle Arbeit überwiegend aus Spenden und Mitgliedsbeiträgen. Dass sie dennoch ein attraktives Ziel für Cyberkriminelle sind und vermehrt ins Visier geraten, liegt an einem Bündel sich gegenseitig verstärkender Gründe:   

  1. Sensible Daten 
    Um Menschen helfen zu können, brauchen soziale Einrichtungen und wohltätige Organisationen persönliche Daten. Name und Adresse reichen oft nicht aus, etwa wenn es um das Erbringen medizinischer Dienste geht, um konkrete Beratungs- und Unterstützungsangebote oder Lebensmittelhilfen. Erhoben und gespeichert werden dann auch Sozialversicherungsnummern, sensible Gesundheitsdaten oder Kontoinformationen. Diese Daten sind nicht nur essenziell für die Arbeit der Organisationen, sie sind aus Sicht von Hackern auch ideale Angriffsziele und Druckmittel in Erpressungsszenarien.
  2. Veraltete Systeme  
    Wohlfahrtsverbände und soziale Einrichtungen arbeiten häufig mit IT-Systemen, die nicht dem neuesten Stand der Technik entsprechen. Dies gilt auch und insbesondere im Hinblick auf die Sicherheitsarchitektur. Die Entwicklungszyklen in diesem Bereich sind kurz. Kein Wunder, denn vermehrte Hacker-Aktivitäten und zunehmende Cyberrisiken erfordern fortlaufend neue Gegenmaßnahmen. Werden diese nicht konsequent umgesetzt, entstehen Sicherheitslücken. Angreifer haben leichtes Spiel.  
  3. Begrenzte Ressourcen 
    Dass die nötigen Gegenmaßnahmen nicht konsequent umgesetzt werden, liegt in erster Linie an den begrenzten Ressourcen. Diakonie, Caritas und Co. werden in der Regel staatlich, kirchlich oder durch Spenden finanziert. Viele Wohlfahrtsverbände arbeiten daher mit chronisch knappen Budgets und haben nach eigener Einschätzung oftmals weder die personellen noch die finanziellen Mittel, um in robuste Cyber-Sicherheits-Maßnahmen zu investieren. Das macht sie anfällig für Angriffe.
  4. Mangelndes Bewusstsein für IT-Sicherheit 
    Das schwächste Glied in der Verteidigungskette gegen Cyberangriffe ist bekanntlich der Mensch. Das machen sich Kriminelle zunutze, indem sie etwa Phishing-Mails versenden. Wer sich der Gefahren kaum bewusst und nicht geschult im Erkennen solcher Mails ist, gibt schon mal sensible Informationen preis oder lädt leichtgläubig Malware aus dem Netz herunter. Oft mit fatalen Folgen. Regelmäßige Schulungen sind daher unverzichtbar, unterbleiben aufgrund des Budget- und Zeitmangels jedoch oft. 
  5. Komplexe Netzwerke 
    Wohlfahrtsverbände arbeiten meist mit einer Vielzahl von Partnern und Zulieferern zusammen – auch digital und online. Die IT-Landschaften jeder dieser Partner können wiederum eigene Schwachstellen im Bereich der Cybersicherheit aufweisen. So entsteht ein komplexes Netzwerk miteinander verbundener Systeme, das schwer zu sichern ist. Die Wahrscheinlichkeit für erfolgreiche Cyberangriffe steigt weiter. 

Das Zusammenspiel der beschriebenen Schwachpunkte macht soziale Organisationen besonders anfällig. Zumal Konzerne und Großunternehmen aus den Angriffen in der Vergangenheit gelernt haben und sich inzwischen mit großem Aufwand gegen Cyberrisiken schützen. Dadurch rücken weniger abgesicherte Organisationen verstärkt in den Fokus.  

Lesen Sie hier, wie sich in nur 4 Schritten ein IT-Sicherheitskonzept aufbauen. 

 

Cyberangriff gegen den Caritas-Verband München und Freising  

2022 wurden weltweit mehr als 2,8 Milliarden Cyberangriffe gemeldet. Im Vergleich zum Vorjahr ist die Anzahl der Attacken damit erneut gestiegen – diesmal um rund 11 Prozent. Dass die Hacker längst auch soziale Einrichtungen und Wohlfahrtsverbände im Visier haben, belegt ein prominentes Beispiel aus Deutschland. Getroffen hat es im Herbst 2022 die größte bayerische Wohlfahrtsorganisation: den Caritas-Verband in der Erzdiözese München und Freising e.V.  

Die Folge war eine Großstörung zentraler IT-Systeme, welche die Arbeit der rund 10.000 Beschäftigten des Verbandes über Tage und Wochen massiv behindert hat. Über die gewohnten E-Mail-Accounts waren diese beispielsweise nicht mehr erreichbar. Zudem hatten die Täter personenbezogene Daten erbeutet, auch von regelmäßigen Spendern, und für deren digitale Wiederfreigabe ein hohes Lösegeld in der Kryptowährung Bitcoin gefordert. Der Verband hat dieses nach eigener Aussage nicht gezahlt und stattdessen in den Ausbau seiner IT-Security investiert.  

 

Der Konflikt: in direkte Hilfe investieren oder in dauerhaftes Helfen-Können? 

Als Verantwortliche*r einer sozialen Einrichtung oder Hilfsorganisation stehen Sie bei Investitionsfragen vor einem grundlegenden Dilemma: Sollen Sie einen Teil Ihres knappen Budgets in Cyber-Sicherheits-Maßnahmen stecken, oder doch lieber neue Pflegebetten, Rettungswagen und medizinische Ausrüstung anschaffen? Angesichts der sozialen Herausforderungen in unserer Gesellschaft mag im ersten Moment vieles dafürsprechen, die Mittel für unmittelbar wirksame Hilfen auszugeben. Auf lange Sicht und unter Berücksichtigung der Risiken durch mangelnde Informationssicherheit fällt die Abwägung jedoch ganz sicher anders aus.  

Dafür reicht ein Blick auf die möglichen Folgen eines Cyberangriffs: 

  • Erbeutet werden meist sensible personenbezogene Daten 
  • Dies schränkt die Arbeitsfähigkeit betroffener Organisationen stark ein 
  • Es entstehen hohe finanzielle Verluste und Reputationsschäden  
  • Hinzu kommen rechtliche Konsequenzen und ggf. Strafzahlungen 
  • Die Organisation läuft Gefahr, das Vertrauen der Mitglieder und Spender zu verlieren  

Am Ende geht es also um nichts Geringeres als die Arbeitsfähigkeit und Existenz Ihrer Organisation insgesamt. Wer sich dessen bewusst ist, der wird für die eigene Cyber Sicherheit auch ausreichend Mittel einplanen.  

 

Der nächste Schritt: Wie sich Wohlfahrtsverbände wirksam schützen können 

Starke Passwörter einführen, die neuesten Antivirenprogramme nutzen, Mitarbeitende für Cyberrisiken sensibilisieren, mit Datenverschlüsselung und Zwei-Faktor-Authentifizierung arbeiten und die eigene Software auf dem neuesten Stand halten: Es gibt viele Dinge und Maßnahmen, mit denen sich die Sicherheitslage relativ schnell verbessern lässt – zumindest punktuell. Ein umfassender Schutz und wirksame Risikominimierung lassen sich jedoch nur durch den Aufbau konsequenter Strukturen und Abläufe zur Einschätzung und Abwehr von Cyberbedrohungen erreichen. Sprich: Durch das Implementieren eines professionellen Informationssicherheits-Managementsystems (ISMS).  

 

Erste Hilfe und Komplett-Lösungen von DataGuard 

Wenn Sie nun denken: Von jetzt auf gleich lässt sich ein ISMS für unsere Organisation weder planen noch umsetzen, dann haben Sie vollkommen recht. Schon allein für das Ermitteln und Analysieren der IST-Situation müssen Sie je nach Art und Größe Ihrer Organisation einen Aufwand von mehreren Tagen bis Wochen veranschlagen. Zudem benötigen Sie für den Aufbau eines ISMS in aller Regel das Know-how von Experten. DataGuard hat diese Experten und begleitet Sie auf Ihrem Weg zum eigenen ISMS ebenso gerne wie kompetent. Besuchen Sie unsere Plattform für Informationssicherheit und informieren sich selbst über die Leistungen, mit denen wir Sie unterstützen.   

Darüber hinaus unterstützen wir Sie auf Anfrage auch kurzfristig und mit Maßnahmen, die sofort Wirkung zeigen. So können wir Ihnen mit der DataGuard Academy beispielswiese eine bewährte Lernplattform für die Schulung Ihrer Mitarbeiter*innen zur Verfügung stellen – umgehend, online und ohne großen Investitionsaufwand. Gerne definieren wir für Sie in diesem Rahmen auch spezifische Sicherheitsrichtlinien. Im Fokus haben wir dabei den Schutz Ihrer digitalen Vermögenswerte. Die Richtlinien machen klare Vorgaben und erhöhen so die Handlungssicherheit auf Seiten aller Mitarbeitenden.   

Wer noch einen Schritt weitergehen und auf den Fall der Fälle bestens vorbereitet sein möchte, profitiert mit DataGuard auch von professioneller Beratung in puncto Business Continuity Management. Fragen Sie uns einfach, wir beraten und unterstützen Sie gern. 

 
Veröffentlicht am Aktualisiert am
Tags Informationssicherheit ISO 27001

Über den Autor

Andrew Whitmore Andrew Whitmore
Andrew Whitmore

Andrew ist Informationssicherheitsberater bei DataGuard und unterstützt Unternehmen bei der Einführung von Informationssicherheits-Managementsystemen nach den internationalen Standards ISO 27001 und TISAX®. Bevor er zu DataGuard kam studierte er Informatik und Informationsmanagement an der Universität Augsburg. In seiner vorherigen Tätigkeit bei einer renomierten Versicherung war er in der Compliance-Abteilung an der Entwicklung einer automatisierten Sanktionsscreeninglösung beteiligt. Außerdem analysierte Andrew Datenschutz- und Compliance-Herausforderungen von Blockchain-Technologien für die Entwicklung neuer Versicherungsprodukte.

Mehr Artikel ansehen

Diese Themen sollten Sie nicht verpassen:

Weitere Artikel

Welche IT-Systeme gibt es?
Informationssicherheit

6 Min

Welche IT-Systeme gibt es?

Erfahren Sie, wie IT-Systeme moderne Unternehmen stärken, von Hardware und Software bis hin zu Cloud Computing und Cybersicherheit.

Weiterlesen
Risikoanalyse IT-Sicherheit
Informationssicherheit

6 Min

Risikoanalyse IT-Sicherheit

Priorisieren von Risiken in der IT-Sicherheit durch Identifizierung, Bewertung und proaktive Minderung von Bedrohungen und Schwachstellen.

Weiterlesen
IT-Sicherheit: Grundlagen
Informationssicherheit

6 Min

IT-Sicherheit: Grundlagen

Schützen Sie Ihre Daten vor Cyberbedrohungen mit den Grundprinzipien der IT-Sicherheit. Bleiben Sie informiert und verteidigen Sie Ihre IT-Sicherheit.

Weiterlesen
Was ist IT-Grundschutz?
Informationssicherheit

5 Min

Was ist IT-Grundschutz?

Schützen Sie Ihre IT-Systeme mit IT-Grundschutz: Ein Rahmen für effektive Sicherheitskontrollen und Schutz kritischer Daten.

Weiterlesen
Was sind die häufigsten Compliance-Verstöße?
Informationssicherheit

6 Min

Was sind die häufigsten Compliance-Verstöße?

Entdecken Sie mit uns die Bedeutung der Compliance für Unternehmen. Von häufigen Verstößen bis hin zu Präventionsmaßnahmen.

Weiterlesen
Was ist Compliance im Unternehmen?
Informationssicherheit

5 Min

Was ist Compliance im Unternehmen?

Erfahren Sie alles über Compliance: Definition, Bedeutung, Arten, Herausforderungen und Vorteile. Wir decken die Welt der Einhaltung von Vorschriften ab.

Weiterlesen
Beratung Informationssicherheit

Soziale Einrichtung & noch keine Cyber-Strategie?

Sprechen Sie uns an

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt durchstarten

  • Datenschutzkonforme und transparente Einholung von Einwilligungen
  • Konform mit DSGVO, CCPS, LGPD, ePrivacy
  • Langfristig wertvollere Daten
  • Zentraler Überblick: Ihre Single Source of Truth
  • Persönlicher Support durch Experten bei jedem Schritt
  • Einfache Integration in alle Ihre Marketing-Tools und CRM

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Jetzt Termin vereinbaren