Recht, Steuern & Finanzen

Cyber Resilienz für Non-Profit-Organisationen: Wichtige Informationen kompakt

Gastbeitrag von Andreas Stemick, Geschäftsführer, BDO Cyber Security GmbH, BDO DIGITAL GmbH / Equity Partner und Prokurist, BDO AG Wirtschaftsprüfungsgesellschaft aktualisiert

Non-Profit-Organisationen verarbeiten sensible Daten, sind auf Vertrauen angewiesen und arbeiten oft mit begrenzten IT-Ressourcen. Ein Cybervorfall kann Betrieb, Reputation und Spendenfluss massiv beeinträchtigen. Cyber Resilienz bedeutet nicht nur, Angriffe zu verhindern, sondern auch, Vorfälle schnell zu erkennen, zu begrenzen und die Dienste rasch wiederherzustellen. Nachfolgend die wichtigsten Informationen, praxisorientiert und priorisiert.

Kernaussagen

  • Resilienz schützt die Mission: Betriebsausfall oder Datenverlust führen direkt zu Leistungseinbußen und Vertrauensverlust bei Unterstützerinnen und Unterstützern.
  • Priorisieren statt alles auf einmal: Fokussieren Sie auf Maßnahmen mit hohem Wirkungspotenzial und geringem Aufwand.
  • Prävention und Wiederherstellung sind gleich wichtig: Schutz reduziert Risiko, Recovery minimiert Auswirkungen.

Sofortmaßnahmen (hoher Nutzen, geringer Aufwand)

  • Multi-Faktor-Authentifizierung (MFA): Aktivieren für E-Mail, Cloud-Services und administrative Konten.
  • Backups nach 3-2-1-Prinzip: 3 Kopien, 2 Medien, 1 offsite/offline; regelmäßige Wiederherstellungs-Tests durchführen.
  • Patching & Basishygiene: Automatische Updates für Betriebssysteme und zentrale Anwendungen; sichere Default-Konfigurationen.
  • Awareness-Basis: Kurzschulung zu Phishing; mindestens jährliche Phishing-Simulationen.
  • Rollen & Verantwortlichkeiten: Zuständigkeiten für IT, Datenschutz und Incident Response festlegen.

Strategische Schritte (mittelfristig)

  • Risikoinventar und Priorisierung: Kritische Assets (Spenderdaten, Finanzsysteme, Kommunikationskanäle) identifizieren.
  • Incident-Response-Plan & Kommunikation: Playbook mit Aufgabenverteilung und Kommunikationsleitfaden (intern/extern, Behörden, Spenderinnen und Spender) erstellen und testen.
  • Least-Privilege und Zugriffsmanagement: Rechte auf das notwendige Minimum beschränken und regelmäßig prüfen.
  • Drittanbieter-Management: Sicherheitsanforderungen vertraglich regeln, Cloud- und Zahlungsprovider prüfen.
  • Monitoring & Log-Grundlage: Basis-Logging einführen; bei Bedarf Managed Security Services (MSSP) nutzen.

Umsetzung bei engen Budgets

  • Priorisieren: MFA, Backups, Patching und Awareness zuerst.
  • Outsourcing gezielt nutzen: Cloud-Backups, E-Mail-Security und MSSP statt teurem Inhouse-Aufbau.
  • Kooperationen: Kooperationen mit anderen NPOs, kommunaler IT oder Hochschulen für Know-how und kostengünstige Angebote eingehen.
  • Fördermittel prüfen: Viele Digitalisierungs- und Sicherheitsförderprogramme adressieren gemeinnützige Träger.

Fazit

Cyber Resilienz ist eine Voraussetzung, um Aufgaben und Vertrauen auch in Krisen zu sichern. Mit einem fokussierten, risikoorientierten Ansatz lassen sich bereits mit begrenztem Aufwand wesentliche Schutz- und Wiederherstellungsfähigkeiten aufbauen.