de

Cyber Security für Non-Profits: 8 einfach umzusetzende Tipps

Je digitaler NonProfits werden, desto wichtiger ist es, sich über IT Sicherheit Gedanken zu machen. Denn Spendenorganisationen sammeln Daten, die für Kriminelle Gold wert sind: Denk an all die Namen, Bankdaten, Kreditkartendaten, Adressen, E-Mail-Adressen und all die weiteren Informationen, die Du über Deine Spender*innen hast. Zudem gelten gemeinnützige Organisationen als leichtes Ziel: Sie haben nur selten ausgereifte Cyber Security- Strategien, geschweige denn Personal, dass eine Cyber Attacke zeitnah abwehren kann. 

Mit der Pandemie und dem Ausbau von Homeoffice hat sich dieses Problem noch verschärft. Ungesicherte Netzwerke, private Hardware und mangelndes Wissen der Mitarbeitenden können Schadsoftware Tür und Tor öffnen. Deswegen haben wir hier ein paar einfach umzusetzende Tipps zusammengetragen, damit Du Deine Non-Profit auf ein sicheres IT-Fundament stellen kannst.

 

Mögliche Cyber Security Risiken

Die Methoden, mit denen Hacker vorgehen, sind vielfältig und ändern sich auch immer wieder. Das sind einige der größten Risiken, auf die Du vorbereitet sein solltest:

Datenlecks

Wenn Hacker in Deine Systeme gelangen, können Sie im schlimmsten Fall die Daten Deiner Spender*innen, Ehrenamtlichen, Newsletter-Abonnent*innen, Mitarbeitenden, Unternehmensspender*innen etc. stehlen und nutzen. Das ist dann nicht nur ein Problem für die Betroffenen, sondern auch für Deine Organisation: Du verlierst damit das Vertrauen Deiner Unterstützer*innen, die sich vermutlich zweimal überlegen werden, ob sie Deiner Organisation nochmal spenden. 

Social Engineering

Wenn Hard- und Software gut abgesichert sind, müssen Hacker kreativ werden. Bei Social Engineering / Social Hacking handelt es sich um eine Art des Cyber Angriffs, bei dem Mitarbeitende der Organisation im Fokus stehen. Dabei werden also Menschen davon überzeugt, Daten (z. B. Login-Daten) herauszugeben. Erst 2020 war Twitter von einer solchen Attacke betroffen: Die Hacker gaben sich gegenüber einem Mitarbeiter als Kolleg*innen aus, die Zugriff auf verschiedene Twitter-Konten brauchten. Mit diesen Daten war es ihnen möglich, Fake-Tweets zu veröffentlichen und sogar Accounts zu verkaufen.

Solltest Du also von einem*r vermeintlichen Kolleg*in nach Zugangsdaten gefragt werden, versichere dich, dass es sich wirklich um diese Person handelt! 

Ganz generell sollten Login-Daten nicht per E-Mail verschickt werden. Hier kann der Passwort-Manager hilfreich sein: Direkt in Deinem “Tresor” kannst Du Zugangsdaten für Deine Kolleg*innen freischalten (und auch bestimmen, ob sie die Daten nur nutzen oder das Passwort auch tatsächlich einsehen können). Mehr zum Thema Passwortmanager liest du weiter unten unter Punkt 1: Starke Passwörter.

Forced Downtime

Manche Hacker zielen darauf ab, die Systeme einer Non-Profit zu sabotieren. Das geschieht z. B. aufgrund unterschiedlicher, ideologischer Ansichten und bezweckt, eure Arbeit stillzulegen.

Ransomware

Eine weitere Taktik von Cyber-Kriminellen ist sozusagen die “Geiselnahme” Deines Gerätes. Sobald sie Zugriff haben, sperren Sie dich aus Deinen eigenen Systemen aus und geben sie erst wieder gegen Bezahlung frei.

 

Wenn Du mehr über die Techniken der Hacker erfahren möchtest, gibt es hier auf Wikipedia eine gute Übersicht: Hacker – populäre Techniken 

 

Mehr Cyber Security für Deine Non-Profit

1. Starke Passwörter

Diesen Tipp sollte mittlerweile jede*r zumindest schon mal gehört haben. “Passwort123” ist einfach keine gute Wahl, wenn es darum geht, seine Arbeitsmittel und Daten zu schützen. Auch Geburtsdaten oder die Namen von Kindern und Haustieren sollten zumindest nicht ohne weitere Wörter und Zeichen verwendet werden. 

Ein sicheres Passwort sollte:

  • mind. 8 Zeichen lang sein;
  • Ziffern, Groß- und Kleinbuchstaben und Sonderzeichen beinhalten;
  • im Optimalfall kein richtiges Wort sein, sondern eine willkürliche Abfolge diverser Zeichen;
  • niemals notiert werden – weder digital noch auf einem Post-it;
  • nicht direkt im Browser gespeichert werden.

Und wer soll sich solche Passwörter merken? 

Mit diesem Problem bist Du nicht allein. Doch es gibt eine praktische und sehr sichere Lösung: Passwortmanager. Diese Programme (z. B. LastPass oder die OpenSource-Lösung KeePass) funktionieren quasi wie ein Safe: Sie bewahren all Deine Passwörter sicher auf, Du musst Dir nur noch das Master-Passwort – also die Safe-Kombination – merken. Außerdem helfen sie Dir dabei, sichere Passwörter zu generieren und diese sicher mit Kolleg*innen zu teilen. 

 

2. Nutze die Zwei-Faktor-Authentifizierung

Sichere Passwörter sind ein erster, guter Schritt – noch sicherer ist es aber, Zwei-Faktor-Authentifizierung zu nutzen. Das bedeutet, dass neben dem Passwort noch eine weitere Sicherheitsschranke überwunden werden muss, um Zugang zu haben. Du kennst das vielleicht schon von Online-Banking: Neben Deinen Log-in-Daten benötigst Du auch ein Handy mit der Bank-App oder einen TAN. So sind Deine Konten also auch geschützt, sollte jemand Dein Passwort herausfinden oder erraten.

Sehr einfache Möglichkeiten, Zwei-Faktor-Authentifizierung in Deiner Non-Profit einzuführen, sind z.B. Google Authenticator oder der YubiKeyDiese lassen sich übrigens auch mit der FundraisingBox nutzen: Google Authenticator mit der FundraisingBox verknüpfen und Yubico: Überblick und YubiKey mit der FundraisingBox verknüpfen.

 

3. SCA für Dein Online-Spendenformular

SCA – “Strong Customer Authentification” – ist im Grunde auch eine Zwei-Faktor-Authentifizierung, die jedoch speziell elektronische Zahlungen im Internet sicherer machen soll. Sie wurde mit der Zahlungsdienstrichtlinie II (Payment Services Directive II bzw. PSD2) eingeführt und gilt für die EU, den EWR und UK. Sofern Du die Spendenformulare der FundraisingBox nutzt, musst Du nichts weiter machen – wir kümmern uns um die richtlinienkonforme Umsetzung von SCA in Deinen Formularen. 

Solltest Du z. B. ein selbstprogrammiertes Spendenformular nutzen, musst Du Dich rechtzeitig darauf vorbereiten, den zweiten Authentifizierungsschritt zu integrieren und ausführlich zu testen. Denn ein fehlerhafter oder schleppender Spendenvorgang kann Deine Spender*innen verärgern und Dich viele Spenden kosten! 

Ursprünglich hätte SCA schon ab September 2019 eingeführt werden sollen – dieser Termin hat sich aber verschoben. Damals sprach man von 18 Monaten Aufschub – also bis ca. März 2021. Einen genauen Termin gibt es aber noch nicht.

Wenn Du mehr über SCA erfahren willst, empfehlen wir unseren Artikel dazu: SCA für Non-Profits

 

4. Meide öffentliche Netzwerke

Homeoffice bietet viele Vorteile: Zum Beispiel das Arbeiten von überall aus. Auch wenn es verlockend ist, sich bei einer guten Tasse Kaffee im Gastgarten ins öffentliche WLAN einzuwählen um zu arbeiten: Öffentliche Netzwerke sind nicht sicher. Abhilfe kann z.B. ein mobiler WLAN-Stick bringen, der mit einem guten Passwort geschützt ist.

 

5. Berufliches und Privates trennen

Was ganz generell im Leben ein guter Rat ist, gilt auch für die Hardware: Auch im Homeoffice sollten Du und Deine Kolleg*innen auf gar keinen Fall auf privaten Geräten arbeiten. Diese werden häufig auch für riskantere Dinge verwendet (z. B. Streamen von “halblegalen” Plattformen, Downloads unsicherer Programme, etc.) und könnten mit Viren oder Schadsoftware belastet und damit ein Sicherheitsrisiko sein. Non-Profits sind – wie übrigens jedes Unternehmen auch – also gut beraten, Ihren Mitarbeitenden vernünftige Arbeitsgeräte zur Verfügung zu stellen. Bei stifter-helfen.de gibt es aufbereitete, gebrauchte Geräte für gemeinnützige Organisationen zu einem kleinen Preis: Hardware wie neu

Das gilt übrigens auch für USB-Sticks und ähnliche Speichermedien: Auch sie können Schadsoftware zwischen Geräten übertragen!

 

6. Updates machen

Wir alle kennen die oft nervigen Update-Benachrichtigungen, die immer dann aufpoppen, wenn man sich gerade nicht damit beschäftigen möchte. Allerdings ist es sehr wichtig, diese Updates durchzuführen. Viele Sicherheitslücken in Programmen entstehen durch fehlerhafte Programmierung, die dann mit einem Update geschlossen werden. Lasse also am besten die automatischen Updates aktiviert!

 

7. Sicherheits-Einschulung und klare Regeln für Mitarbeitende

Das beste Cyber Security-Konzept nützt nichts, wenn Deine Kolleg*innen nicht für das Thema sensibilisiert sind. Informiere Sie über also über die Gefahren, gib klare Anweisungen zu Passwörtern und dem Umgang damit und erkläre auch, welche Risiken mit den sensiblen Daten, mit denen ihr arbeitet, einhergehen. Inkludiere diesen Punkt am besten auch gleich in die Einschulung neuer Mitarbeiter*innen – denn zu diesem Zeitpunkt werden Zugänge geteilt und Passwörter vergeben.

 

8. Backups anlegen

Es ist ratsam, von Deinen wichtigsten Daten Backups anzulegen. Das kann z.B. auf einer externen Festplatte sein, oder auch in der Cloud. So geht nichts verloren, selbst wenn eines der Geräte Deiner Organisation mit Schadsoftware infiziert ist.

 

Cyber Security: Sicherheit für Spendende und Organisationen

Auch wenn es vielleicht nicht das spannendste Thema ist: Cyber Security ist ein integraler Bestandteil für das Fundraising moderner Non-Profits. Deine Spender*innen erwarten sich einen sorgsamen Umgang mit ihren Daten und vertrauen darauf, dass diese bei euch in guten Händen sind. Passiert dann doch etwas, führt das zu einem Vertrauensverlust – was fatal für euer Fundraising ist. Denn wie Du als Fundraiser*in weißt: Nur wer vertraut, spendet auch. In diesem Fall ist das abgedroschene Sprichwort also hoch aktuell: Vorsicht ist besser als Nachsicht! 

 

Du möchtest mehr über Digitalisierung in NGOs wissen? Lies unsere Themen-Seite: Digitalisierung in NGOs: Tools, Skills und Ressourcen

 

Hat Dir dieser Artikel gefallen? Dann abonniere unseren Newsletter und verpasse keinen Beitrag mehr! 

Speichern
Nach oben
Bleibe up-to-date:
Neues rund um NPOs und Fundraising direkt in Deine Mailbox!

Ca. einmal im Monat erwarten Dich im Newsletter unsere aktuellsten Blogartikel, Neuigkeiten aus der Non-Profit-Welt und über die Produkte der FundraisingBox.

Melde Dich gleich an!

Mit der Anmeldung zum Newsletter erklärst Du Dich mit unserer Datenschutzerklärung einverstanden. Du kannst den Newsletter natürlich jederzeit abbestellen.