Wir verwenden Cookies auf unserer Webseite, um Ihren Besuch effizienter zu machen und Ihnen eine möglichst angenehme Nutzung bieten zu können. Indem Sie diese Website nutzen, erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Bitte lesen Sie unsere DATENSCHUTZERKLÄRUNG. Dort erfahren Sie mehr über die von uns verwendeten Cookies und wie Sie diese löschen oder blockieren können.
  • IT-Sicherheit bei NPOs
Artikel:

IT-Sicherheit bei NPOs

14. Juni 2021

Lars Kündig, IT Consulting |

⏱ 9 min

In Zeiten der Unsicherheit und Veränderung feiern Cyberkriminelle Hochkonjunktur. Dabei sind es nicht immer grosse, finanziell gut positionierte Unternehmen, die Ziel einer Attacke werden. Wo mit wenig Aufwand etwas erreicht werden kann, bieten sich Cyberkriminellen interessante Angriffsflächen. Weil NPOs in der Regel über weniger Schutzmechanismen verfügen, sehen sie sich besonderen Risiken ausgesetzt. Wie Sie Ihre IT-Sicherheit verbessern und sich schützen können, erfahren Sie in diesem Artikel.  

Die IT-Sicherheit stellt für Unternehmen und Non-Profit-Organisationen auch im Jahr 2021 ein omnipräsentes und herausforderndes Problem dar. Insbesondere auch deshalb, weil die Gefahr trotz ihrer Allgegenwärtigkeit kaum greifbar ist. Die Zahl der IT-Sicherheitsvorfälle ist in den letzten zwei Jahrzehnten stetig angestiegen und Organisationen aller Grössen und Formen sind zunehmend gefährdet. In Zeiten der Pandemie, die als Digitalisierungsbeschleuniger gilt, hat das Thema IT-Sicherheit zusätzlich an Bedeutung gewonnen. NPOs sind dabei mit besonderen Risiken konfrontiert, weil sie in der Regel über weniger Schutzmechanismen, kaum dediziertes Personal und kleinere IT-Sicherheitsbudgets verfügen. Cyberkriminelle «gedeihen im Chaos» (dies gilt sowohl für das Chaos der Pandemie als auch eine chaotische IT) und suchen sich ganz im Sinne der Naturgesetze vielfach die Schwächsten. Vor diesem Hintergrund ist es für Non-Profit-Organisationen hilfreich, ein grundlegendes Verständnis dafür zu entwickeln, was ein angemessener Ansatz zur IT-Sicherheit beinhaltet. In diesem Artikel zeigen wir Ihnen auf, wie es um die Gefährdungslage von Non-Profit-Organisationen steht und was zum eigenen Schutz unternommen werden kann — 6 Tipps geben wir Ihnen auf den Weg.
 

Wie steht es um die Gefährdungslage von NPOs und KMU?

Die Zahlen aus Studien verschiedener Unternehmen zeichnen ein ähnliches Bild: IT-Sicherheitsrisiken (z.B. Cyber-Risiken) gehören mitunter zu den Top Risiken für Unternehmen und Organisationen aller Couleur. Im vergangenen Jahr «überholten» IT-Sicherheitsrisiken gar traditionelle Risiken wie Lieferkettenunterbrechungen oder regulatorische Veränderungen. Ein neuer Negativrekord für IT-Sicherheitsrisiken, wenn man so will! Umso besorgniserregender ist es, dass viele Unternehmen und NPOs noch immer über keinen angemessenen Schutz vor Cyberangriffen verfügen. Dies, obwohl die grössten IT-Sicherheitsrisiken und Einfallstore für Schadsoftware mittels einfacher und kosteneffizienter Massnahmen reduziert werden könnten. Fortwährend kursieren Mythen, die Organisationen ein falsches Gefühl von IT-Sicherheit vermitteln. Diese sind nicht nur falsch, sondern auch gefährlich. Denn sie führen vielerorts dazu, dass sämtliche IT-Sicherheitsvorkehrungen stark vernachlässigt und definanziert werden. Der wohl bekannteste Mythos lautet: «Wir sind zu klein, um interessant für Cyberangriffe zu sein». Cyberkriminelle suchen sich nicht nur grosse und finanziell starke Unternehmen aus, sondern sämtliche Organisationen, bei denen mit wenig Aufwand etwas erreicht werden kann. Dabei muss es sich nicht vorderhand um hohe Geldbeträge handeln. Dass nicht nur «die Grossen», sondern Unternehmen aller Grössen und gerade auch KMU interessant für Cyberkriminelle sind, machen die folgenden Zahlen deutlich:

 

  • 36% der KMU in der Schweiz wurden schon Opfer von Cyberkriminalität. [1];
  • Im April 2020 (erste Covid-Welle) gab es in der Schweiz 350 Cyberangriffe auf Unternehmen (Norm liegt zwischen 100-150) [2];
  • über 38'000 Schweizer KMU waren schon Opder einer Cyberattacke, knapp 13'000 davon waren für das Opfer folgenschwer [3];

Das Risiko, einem Cyberangriff zum Opfer zu fallen, darf nicht verharmlost werden. Die Ursache für einen Angriff kann von unterschiedlicher Natur sein. Fast immer ist dabei der Mensch der Ursprung des Sicherheitsvorfalls. Als Beispiele lassen sich diese Ursachen nennen:

  • Unvorsichtiger Umgang mit Daten/Informationen
  • Verlust von Geräten (z.B. Laptop)
  • Phishing/Social Engineering
  • Virus/Trojaner (z.B. über E-Mails oder externe Datenträger wie USB-Sticks)

 

"Fast immer ist dabei der Mensch der Ursprung des Sicherheitsvorfalls." [4];

Die Konsequenzen von IT-Sicherheitsvorfällen sind so vielseitig wie die Ursachen selbst. Dazu gehören zum Beispiel die folgenden:

  • Betriebsunterbruch/Stillstand
  • Verlust/Enthüllung von sensiblen Daten
  • Reputationsverlust Lösegeldforderungen
  • Juristisches/behördliches Nachspiel

Problematisch ist die Situation insbesondere dann, wenn keine angemessenen Massnahmen gegen bestehende Risiken getroffen werden. Geeignete Massnahmen wären unter anderem das Erstellen von Backups, die Sensibilisierung von Mitarbeitenden, Definition und Umsetzung von IT-Sicherheitsrichtlinien, technischer Schutz der Systeme (z.B. sicherer Fernzugriff). Dennoch verzichten gerade kleinere Organisationen oft darauf, die notwendigen Schritte zu unternehmen. Überraschend ist dies gerade dort, wo keine hohen Investitionen oder Aufwände damit verbunden wären. Auch hierzu ein paar Zahlen:


 

  • 47% der Schweizer Unternehmen erfüllen den Schweizer "IKT-Minimalstandard" als Standard für IT-Sicherheit, 53% nicht [5];
  • 55% der Schweizer KMU haben keine Informationssicherheitspolitik [6];
  • Knapp 30% der KMU haben Homeoffice im Jahr 2020 ausgeweitet, Sicherheitsvorkehrungen wurden jedoch nur bei 9% der KMU verstärkt oder angepasst [7];

Vorkehrungen zur Wahrung der IT-Sicherheit sind nicht nur absolut notwendig, sie lohnen sich auch. Unbestritten ist, dass die Ausgaben zum präventiven Schutz der IT weit tiefer sind als der finanzielle Schaden, der aus einem IT-Sicherheitsvorfall entstehen kann: Ganze 130'000 Franken kostet ein Cyberangriff bei Schweizer KMU durchschnittlich.
 

Wie wirkt sich die Arbeit im Homeoffice auf die IT-Sicherheit aus?

In vielen NPOs wurden die Homeoffice-Zugänge und Kollaborationssysteme in aller Eile aufgebaut, wobei mehr darauf geachtet wurde, auf einem pragmatischen Weg den Betrieb am Laufen zu halten als die IT-Sicherheit zu gewährleisten. Hinzu kommt die Anwendung von neuen Tools wie beispielsweise Videokonferenz-Lösungen, die ihrerseits neue Wege für Cyberkriminelle öffnen. Selbst in etablierten Tools wurden in der Vergangenheit immer wieder Sicherheitslücken festgestellt. Auch für NPOs ist es daher unerlässlich, das zugrunde liegende IT-Sicherheitskonzept zu überprüfen und zu validieren. Die unglückliche Realität ist, dass die Coronavirus-Situation ein Segen für Cyberkriminelle ist. NPOs (wie alle anderen Unternehmen auch) sollten die Sicherheit ihrer Systeme und Zugänge angesichts dieser Veränderung umso kritischer hinterfragen und bewusst angehen.
 

Was hat die IT-Sicherheit mit dem Datenschutz zu tun?

IT-Sicherheit ist nicht gleich Datenschutz. In einer digitalisierten Welt liegt es jedoch oftmals an der IT, die gesetzlichen Datenschutzvorgaben umzusetzen. Kommt es in Unternehmen zu einem IT-Sicherheitsvorfall, bei dem Daten verloren gehen oder publik werden, steht zwangsläufig sofort das Thema Datenschutz im Zentrum. Der Datenschutz ist ein wichtiges Gut und die personenbezogenen Daten müssen adäquat geschützt werden. Eine Datenschutzkonformität erreichen NPOs, indem Sie die IT-Sicherheit ernst nehmen und die allgemein bekannten Vorkehrungen richtig umsetzen. Das Datenschutzgesetz (DSG) kann Ihnen als Anhaltspunkt für die IT-Sicherheit dienen. Viele Punkte, die das DSG vorgibt, implizieren, dass eine umfangreiche und funktionierende IT-Sicherheit praktiziert wird. Schauen Sie sich dazu die TOM (technische und organisatorische Massnahmen) im DSG an. So hält es beispielsweise fest, dass (personenbezogene) Daten vor unberechtigten Zugriffen ausserhalb der eigenen Organisation geschützt werden müssen. Dies ist selbstverständlich ein allgemeingültiges Kredo der IT-Sicherheit.
 

Was können NPOs für die Wahrung ihrer IT-Sicherheit tun?

Eine angemessene IT-Sicherheit lässt sich auch mit verhältnismässig geringen Ressourcen realisieren. Wichtig ist dabei, dass definierte Ziele verfolgt und die richtigen Prioritäten gesetzt werden.
6 Tipps für Ihren Schutz:
 

1. Backups erstellen, richtig speichern und testen

Backups zu erstellen, ist wichtig. Diese richtig aufzubewahren und regelmässig zu testen, ist unabdingbar. Wenn Backups nicht richtig gelagert werden und z.B. nicht separiert werden, können sie bei einem Ransomware-Angriff (Verschlüsselungstrojaner mit Lösegeldforderung) auch mitverschlüsselt werden. In diesem Fall kann man nicht mehr viel machen. Besonders ärgerlich ist, dass dieser Vorfall ohne grosse finanzielle Aufwände hätte verhindert werden können. Aus diesem Grund gilt: Machen Sie unbedingt ein Backup Ihrer Daten, denn es bildet das Rückgrad jeder IT-Sicherheitstaktik. Genauso wichtig ist es, dass Sie Ihre Backups auf einem idealerweise phyisch getrennten Medium (z.B. NAS) sichern. Am besten an einem anderen geographischen Standort, um die Daten auch vor Elementarschäden (z.B. Feuer) schützen zu können. Zu guter Letzt sollten Sie die Funktionalität Ihres Backups regelmässig testen. Ein nicht funktionierendes Backup hat genauso wenig Wert wie ein nicht vorhandenes Backup!
 

2. Mitarbeitende sensibilisieren

Der Mensch ist das grösste IT-Sicherheitsrisiko. Deshalb müssen die Mitarbeitenden als wichtige Verteidigungslinie in die IT-Sicherheitsbestrebungen involviert werden. Schulungen und Sensibilisierungen sind notwendig, damit Ihre Mitarbeitenden die Risiken kennen, Gefahren vermeiden und wissen, was zu tun und zu unterlassen ist. Dies ist umso wichtiger, wenn Ihre Mitarbeitenden im Homeoffice arbeiten.
 

3. Sichere Passwörter und Authentifizierungsmethoden

Wir kennen es alle: zig Benutzerkonten auf zig Webseiten. Überall und insbesondere im geschäftlichen Alltag soll die Verwendung der immer gleichen Passwörter verhindert werden. Da es jedoch unzumutbar ist, dass sich Ihre Mitarbeitenden mehrere komplexe Passwörter merken müssen, sollten Sie nicht nur strikte Passwortvorgaben definieren, sondern auch adäquate Hilfsmittel zur Verfügung stellen, damit die Passwörter sicher gespeichert und verwaltet werden können (z.B. Passwort Manager).

Welche Passwörter Ihre Mitarbeitenden wählen, können Sie nur beschränkt beeinflussen. Setzen Sie daher auf Multifaktor-Authentifizierungen (z.B. 2-Faktor Autehntifizierung mittels Handy Pin), um Ihre IT-Sicherheit zusätzlich zu erhöhen. Dies gilt insbesondere auch für das Arbeiten im Homeoffice.
 

4. Sicherheitsziele und Vorgaben definieren

Die (knappen) zur Verfügung stehenden Ressourcen müssen gezielt eingesetzt werden. Setzten Sie sich dafür mit Ihrer IT-Landschaft auseinander und priorisieren Sie Systeme und Schutzmassnahmen. Überlegen Sie sich auch, welche Systeme auf gar keinen Fall ausfallen dürfen. Erstellen Sie daraus eine IT-Sicherheitsrichtlinie und sorgen Sie für deren Bekanntheit innerhalb des Unternehmens. Das steigert auch das IT-Sicherheitsbewusstsein bei den Mitarbeitenden. Aus dem gleichen Prozess soll eine Liste mit Ihren Systemen resultieren, auf der zu sehen ist, was mit welcher Priorität im Notfall wiederhergestellt werden muss. Robuste IT-Sicherheitsrichtlinien können die Wahrscheinlichkeit eines Vorfalls verringern, und eine entsprechende Planung kann der IT schnelle Wege aufzeigen, um den Schaden im Falle eines Angriffs zu minimieren.
 

5. Verantwortlichkeiten wahrnehmen

Die IT ist für die Umsetzung der IT-Sicherheit verantwortlich, nicht aber für die IT-Sicherheit an und für sich. Dieses Thema gehört in die oberste Führungsetage. Die Wichtigkeit der IT-Sicherheit muss verstanden und entsprechend von der Geschäftsleitung gewürdigt werden. Vielerorts kann ohne IT-Systeme nicht mehr gearbeitet werden. Dem muss die Geschäftsleitung entsprechend Beachtung schenken, indem sie die Rahmenbedingungen und Erwartungen für die IT-Sicherheit festlegt - was mitunter auch als Auftrag an die IT verstanden werden soll. Eine 100%-ige IT-Sicherheit kann es nicht geben, deshalb müssen Vorgaben festgelegt werden, wie und wo die vorhandenen IT-Ressourcen eingesetzt werden sollen. Wie sagt man so schön: «IT-Sicherheit ist immer zu teuer, bis einmal etwas passiert und es die günstigere Option gewesen wäre.» Lassen Sie es nicht soweit kommen.
 

6. Hilfe holen

Der beste Weg, dem IT-Sicherheitsrisiko in NPOs mit teilweise eingeschränktem IT-Wissen zu begegnen, ist die Zusammenarbeit mit entsprechenden Experten, die Sie bei der Wahrung der IT-Sicherheit in Ihrer Organisation unterstützen. Es kann sich lohnen, Bestätigung und Unterstützung von externer Stelle einzuholen. Der richtige Experte wird Sie bei der Definition Ihrer IT-Sicherheitsrichtlinie, bei Schulungen von Mitarbeitenden, Sicherheitstests an Systemen, ganzheitlichen Sicherheitsbeurteilungen usw. unterstützen.
 

Zusammenfassung

Wichtig ist, verbreitete IT-Sicherheitskredos zu befolgen, die IT-Sicherheit ernst zu nehmen und zu einem Top-Thema auf der obersten Führungsebene zu machen, technische und organisatorische Massnahmen (aus dem DSG) umzusetzen, Risiken zu minimieren, genügend finanzielle Mittel zu sprechen sowie bei Unsicherheit die Hilfe von Experten zu beanspruchen.

 

Disclaimer:

BDO übernimmt mit diesem Newsletter-Artikel keine Verantwortung über die IT-Sicherheit in Ihrem Unternehmen. Dies gilt insbesondere auch bei der Umsetzung der Tipps. Die angegebenen Tipps dienen dazu, das allgemeine IT-Sicherheitsniveau zu verbessern. Die IT-Sicherheit kann nicht und nie vollständig und umfassend garantiert werden. Das Ziel ist immer, die Angriffsfläche bestmöglich zu reduzieren und für Ernstfälle gewappnet zu sein.


 

[1] Studie von SVV, SQS, ICTswitzerland, ISSS, ISB und der Expertenkommission Bund (2017) Jedes dritte Schweizer KMU wurde bereits Opfer von Cyberattacken | ICTswitzerland

[2] Deloitte 2020 Impact of COVID-19 on Cybersecurity (deloitte.com)

[3] gfs-zürich 2020 Microsoft Word - Schlussbericht_CyberriskKMU_17112020.docx (gfs-zh.ch)

[4] The Human Factor in IT Security: How Employees are Making Businesses Vulnerable from Within | Kaspersky official blog

[5] Redguard 2019 Microsoft Word - Redguard_Security_Survey_2019_druck_de.docx

[6] Hochschule Luzern 2017 Nationale Studie zur Informationssicherheit in Schweizer KMU | Hochschule Luzern (hslu.ch)

[7] gfs-zürich 2020 Microsoft Word - Schlussbericht_CyberriskKMU_17112020.docx (gfs-zh.ch)