NGO sind lukrative Ziele für Cyberkriminelle. Die bevorzugte Angriffstaktik: Social Engineering, eine perfide Methode, um Menschen zu manipulieren. Doch es gibt ein Gegenmittel.
Nichtregierungs- und Nonprofit-Organisationen geraten zunehmend ins Visier von Cyberkriminellen. Das ist kein Zufall: NGO agieren häufig in einem sensitiven Umfeld wie beispielsweise der Gesundheitsbranche. Die vertraulichen Daten der Spenderinnen und Spender werden im zunehmend digitalisierten Marketing-Workflow eingesetzt. Gleichzeitig sind die Organisationen gerade im IT- und Security-Bereich oft sehr sparsam aufgestellt – immer im Hinblick auf den optimalen Einsatz der Spendengelder.
NGO besonders bedroht
Diese Situation bietet potenziellen Angreifern, die verstärkt auf Social Engineering setzen, eine verlockende Gelegenheit. Mit dieser Methode wird die menschliche Psyche manipuliert, statt eine technische Schwachstelle mittels Hacking auszunutzen. Die Ansätze sind so vielfältig wie hinterhältig. Relativ simpel sind die so genannten Phishing-Mails. Damit sollen die Empfänger mit unwahren Behauptungen dazu gebracht werden, heikle Daten wie Bankkonten preiszugeben. Im Vorfeld werden nicht selten Social Media Accounts ausgespäht. Hierbei werden Namen von Vorgesetzten oder Kolleginnen und Kollegen gesucht, Abteilungen, Zuständigkeiten oder sogar konkrete Projekte sind ebenfalls von Interesse. Denn je glaubwürdiger der Inhalt einer Phishing-Mail ist, des grösser ist die Gefahr, dass die angepeilte Person auf den Angriff hereinfällt.
Noch ausgefeilter sind Angriffe, die via SMS oder gleich per Telefonanruf erfolgen. Nicht selten wird durch einen vorgetäuschten Notfall zeitlicher Druck aufgebaut. Der Chef sei nicht erreichbar, das Geld müsse aber schnell überwiesen werden, um Schlimmeres zu verhindern. Dass NGO eine Philosophie der Hilfsbereitschaft leben, wird gnadenlos ausgenützt.
Geeignete Gegenmassnahmen
NGO sollten sich bewusst sein, dass sie lohnende Ziele für Cyberkriminelle darstellen. Die Kombination aus wertvollen Daten, einer systeminhärenten Hilfsbereitschaft und knappen finanziellen Mitteln für den technischen Schutz der Daten ist einfach zu verlockend. Entsprechend müssen sich die Organisationen heute gegen Angriffe wappnen. Technisch ist das nicht mehr so herausfordernd wie auch schon und wird mit Vorteil an einen externen Dienstleister delegiert, der das Geschäft und die Philosophie von NGO versteht. Genauso wichtig ist aber auch die Aus- und Weiterbildung der Mitarbeitenden. Denn nur wenn sich die Belegschaft bewusst ist, dass jede Person jederzeit zum Ziel einer Attacke werden kann – auch auf einer ganz persönlichen Ebene – wird das Risiko eines erfolgreichen Angriffs sinken.
Awareness ist zentral
Für das Management von NGO hat es deshalb oberste Priorität, das Sicherheitsbewusstseins der Belegschaft zu steigern. Entsprechende Anstrengungen dürfen sich nicht in einer einmaligen Schulung erschöpfen, sondern müssen laufend auf dem Radar der zuständigen Personen sein. Das beginnt mit dem Onboarding neuen Mitarbeitenden, in dem die Cyber-Bedrohungen genügend Raum einnehmen. Regelmässige Schulungen der Kolleginnen und Kollegen halten das Bewusstsein für die Gefahren wach. zurichnetgroup bietet mit netgroupPREVENTION umfassende und massgeschneiderte Weiterbildungen an. Ganz wichtig: Nicht nur die Belegschaft muss die Schulbank drücken, sondern auch die Führungsetage. Denn gerade dieser Personenkreis ist das bevorzugte Ziel von Attacken. Es gibt unter Fachleuten sogar einen speziellen Begriff dafür: Spear Phishing: Es empfiehlt sich, das Wissen der Belegschaft über die Bedrohungen regelmässig zu testen, um bei Defiziten gezielt vertiefte Weiterbildungen anzustossen.
All diese Massnahmen sind keine Garantie dafür, nicht Opfer eines erfolgreichen Angriffs zu werden. Für diesen Fall braucht es detaillierte Pläne, wie zu reagieren ist, um den finanziellen Schaden und den Reputationsschaden möglichst klein zu halten. Auch für die vorsorgliche Ausarbeitung der Massnahmen empfiehlt sich der Beizug eines Dienstleisters.
Fazit
NGO sind aufgrund ihrer Klientel ein bevorzugtes Ziel für Cyberkriminelle. Dieser Bedrohung lässt sich nicht nur mit technischen Mitteln begegnen, genauso wichtig ist das Sicherheitsbewusstsein der Mitarbeitenden. Denn die Angreifer setzen immer häufiger auf Social Engineering, mit dem Menschen manipuliert werden. Die laufende Aus- und Weiterbildung aller Mitarbeitenden und die Schärfung des Sicherheitsbewusstseins ist ein wichtiger Baustein bei der Abwehr von Cyberangriffen.
Wenn Sie bereit sind, Ihre Reise in die digitale Zukunft anzutreten und von den zahlreichen Vorteilen zu profitieren, zögern Sie nicht, uns unverbindlich zu kontaktieren. Wir stehen Ihnen gerne zur Verfügung, um Ihnen bei der Umsetzung und Implementierung passender Lösungen zu helfen.