Die Gefahr aus dem Netz

Dr. Brigitta Schwarzer, Stiftungsplattform nextgen

Die Zahlen sind wirklich erschreckend: Die EU-Kommission schätzt die Kosten, die durch Cyberkriminalität in der EU entstehen, auf 265 Milliarden Euro pro Jahr. Und die Tendenz ist stark steigend, hat sich doch der durch Cyber-Kriminelle verursachte Schaden zwischen 2013 und 2017 verfünffacht und könnte sich bis 2019 nochmals vervierfachen. Medienberichten zufolge gab es EU-weit gab im Vorjahr 4.000 Cyber-Angriffsversuche – pro Tag! Zuletzt traf im Juni 2017 ein groß angelegter Hacker-Angriff nicht nur mehrere Konzerne in Westeuropa, zahlreiche ukrainische Firmen und den russischen Ölkonzern Rosneft, sondern auch jene Überwachungsanlage, die laufend die Strahlung des Katastrophen-Reaktors Tschernobyl misst. Die „Masche“ war dieselbe wie beim Erpressungstrojaner „WannaCry“ im heurigen Frühjahr: Die Computer wurden über eine durch eine Sicherheitslücke eingeschleuste Software verschlüsselt und dann Lösegeld verlangt. In den USA wurden vor wenigen Wochen von Hackern bei der Wirtschaftsauskunftei Equifax die persönlichen Daten von 143 Millionen Verbrauchern gestohlen, darunter Namen, Adressen, Geburtsdaten, Sozialversicherungs- und Kreditkartennummern. Mit diesen hätten die Betrüger beispielsweise Kredite in fremdem Namen aufnehmen können. Equifax feuerte daraufhin einige seiner Führungskräfte.

Österreich ist bei diesem Thema leider alles andere als eine Insel der Seligen: Laut einer kürzlich präsentierten KPMG-Studie waren in den letzten zwölf Monaten 72 Prozent aller Unternehmen in Österreich Opfer einer Cyberattacke. Fazit der Studien-Autoren: „Es kann und wird jeden treffen.“

Waren Stiftungen schon betroffen?

Damit müssen auch die knapp 3.200 Privatstiftungen, die es derzeit in Österreich gibt, damit rechnen, Ziel einer Attacke aus dem Netz zu werden. Vielleicht ist das sogar schon geschehen, wurde aber nicht publik. Laut der erwähnten KPMG-Studie wird nämlich nur rund ein Drittel aller Cyberangriffe gemeldet. Die Dunkelziffer ist hoch, viele der Opfer von Hacker-Attacken schweigen lieber, meist aus Angst vor Reputationsverlust. Gerade Stiftungen stehen meist nicht gerne in der Öffentlichkeit und könnten daher Cyberangriffe lieber diskret behandeln. Das wird aber bald nicht mehr möglich sein, die ab dem 25. Mai 2018 geltende EU-Datenschutzgrundverordnung (EU-DSGVO) sieht unter anderem auch eine Meldepflicht bei Hackerangriffen und Datenpannen vor. Das sollte man schon deswegen ernst nehmen, weil bei Verstößen gegen die EU-DSGVO saftige Strafen drohen. Die Bußgelder können bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes ausmachen.

Jeder Stiftungsvorstand muss sich heute mit den Themen Cyberkriminalität und Datenschutz beschäftigen. Das gehört zu seinen Kernaufgaben, hat doch der Stiftungsvorstand die Pflicht, das Stiftungsvermögen zu schützen. Und weil Daten das Erdöl der Zukunft sind und in vielen Fällen geschäftskritische Bedeutung haben, gehört heute zum Schutz des Stiftungsvermögens auch die Abwehr der vielfältigen und stark zunehmenden Bedrohungen aus dem Internet. Dabei ist das Bedrohungspotenzial nicht für alle Stiftungen gleich groß. Eine kleinere Stiftung, die lediglich ein Wertpapiervermögen verwaltet, ist vermutlich weniger gefährdet, Ziel einer Hacker-Attacke zu werden, als größere Stiftungen, die eine oder mehrere Firmenbeteiligungen halten.

Warum Stiftungsvorstände besonders gefordert sind, lässt sich leicht erklären: Ebenso wie Aufsichtsräte in Kapitalgesellschaften fungieren sie als Netzwerkknoten. Wer ihren Account knackt, kommt an viele Informationen, auch an die besonders sensiblen – und das in einem einzigen Durchgang und ohne sich mit dem heute oft sehr gut gesicherten Firmennetzwerk herumschlagen zu müssen. Stiftungsvorstände mit ihrem breit gefächerten Insiderwissen sind deshalb ein perfektes Ziel für Angreifer. Weil das vielen von ihnen noch kaum bewusst ist, negieren sie freilich die Gefahr.

IT-Security muss Chefsache sein!

In vielen Unternehmen wird Datensicherheit und Datenschutz nach der Devise „das sollen die Spezialisten erledigen“ an die IT-Abteilung delegiert. Das ist aber völlig falsch, angesichts des enormen Bedrohungspotenzials muss das Thema Chefsache sein! Für Stiftungen heißt das, dass die Verantwortung dafür eindeutig beim Stiftungsvorstand liegt. Er ist für das Risikomanagement der Stiftung zuständig und dazu gehören heute neben dem Schutz der physischen Vermögenswerte unbedingt auch Datenschutz und Datensicherheit. Stiftungsvorstände müssen deshalb keine ausgefuchsten IT-Spezialisten werden und auch kein Informatik-Studium absolviert haben. Sie sollten aber zumindest ein solides Grundwissen besitzen, um zu erkennen, wie „ihre“ Stiftung in Sachen IT-Security aufgestellt ist, wo Handlungsbedarf besteht und notfalls auch mit externen Beratern auf Augenhöhe kommunizieren können. Rechtsanwälte, Wirtschaftsprüfer oder Manager, die ein Mandat als Stiftungsvorstand annehmen, dürfen sich hier nicht aus der Verantwortung stehlen, sondern sollten notfalls ihre Wissenslücken schließen und sich auch über neue Entwicklungen laufend informieren.

Was ist konkret zu tun?

Komplett ausschließen lässt sich ein erfolgreicher Cyber-Angriff nie. Dennoch sollte man als Stiftungsvorstand dafür sorgen, dass alle möglichen technischen und organisatorischen Maßnahmen zum Schutz geschäftssensibler Daten ergriffen werden und zwar bei allen verwendeten Geräten wie Smartphone, iPad, Laptop oder PC. So ist ein ordentlicher Virenschutz heute ein „Muss“. Wird er allerdings nicht in regelmäßigen Abständen aktualisiert, verliert er seine Schutzfunktion. Ebenfalls immer auf den aktuellen Stand gebracht werden müssen Software, Programme etc.

Sehr häufig sind derzeit Erpresser-Attacken, bei denen Angreifer eine Software ins System einschleusen, die alle Dateien verschlüsselt und damit das System komplett lahmlegt. Dann wird die Zahlung von Lösegeld verlangt. Abhilfe gegen diese Betrugs-„Masche“ schafft die regelmäßige Erstellung von Sicherungskopien bzw. Back-ups. Wichtig: diese Daten müssen extern gelagert werden, also auf einer Extra-Festplatte, in der Cloud etc., aber nicht auf dem eigenen Computer! Sensible Informationen sollte man prinzipiell nur verschlüsselt versenden. Sollte es zu einem Datenklau kommen, sind sie damit für den Täter wertlos.

Um für den Ernstfall gerüstet zu sein, sollte jeder Stiftungsvorstand eine To-do-Liste zusammenstellen: Was ist zu tun, wenn es zu einem Cyber-Angriff kommt bzw. ein Virus die Systeme lahmlegt oder wichtige Daten gestohlen werden? Hat man das bereits einmal im Geist durchgespielt, kann man im Ernstfall schnell und richtig reagieren.

Passwörter – ein heikles Thema

Besondere Aufmerksamkeit verdienen Passwörter. Einfach Passwörter wie „123456“ – wird weltweit angeblich am häufigsten verwendet – oder „passwort“ sind für Hacker ein gefundenes Fressen. Weil moderne Computer mehrere Millionen Kombinationen pro Sekunde durchspielen können, sollten auch Geburtstage oder Namen als Passwort tabu sein. Ein sicheres Passwort hat mindestens 10, besser zwölf Zeichen, es enthält Groß- und Kleinbuchstaben sowie Ziffern und Sonderzeichen.

Auch das sicherste Passwort nützt freilich nichts, wenn es unverschlüsselt auf dem PC oder Laptop aufscheint. Spätestens alle paar Monate sollte man das Passwort wechseln und – auch wenn das einen erheblichen Mehraufwand bedeutet – für jedes Endgerät ein eigenes Passwort verwenden. Ein Universalpasswort für Mobiltelefon, Laptop usw. ist einfach zu riskant. Mit einem Passwort-Manager, in dem alle Passwörter verschlüsselt gespeichert sind, kann das Gedächtnis entlastet werden, weil man sich in diesem Fall nur noch das Master-Passwort merken muss.

Vorsicht bei Facebook, LinkedIn & Co.

Weil viele Stiftungsvorstände heute auch in sozialen Netzwerken aktiv sind, noch eine Warnung: Durch gefakte Kontaktanfragen via Facebook, XING oder LinkedIn kann man leicht zum Opfer von Gaunern werden, hier ist Vorsicht geboten. Gmail- oder Hotmail-Adressen können im Privatleben ohne Bedenken verwendet werden, für die Aufgaben eines Stiftungsvorstands, der ja oft vertrauliche Daten versendet oder erhält, bieten sie aber viel zu wenig Sicherheit. Die offizielle Korrespondenz sollte wenn möglich nicht über den privaten Mail-Account laufen, ein gut gesichertes Firmennetzwerk bzw. ein Stiftungs-Account sind weit besser.

Stiftungsvorstände können für die Folgen von Datenschutzverletzungen und Cyber-Angriffen zur Verantwortung gezogen werden. Deshalb sollte auch der Abschluss einer D&O-(directors & officers) Versicherung in Betracht gezogen werden. Diese bietet in einem gewissen Rahmen Schutz, wenn ein Manager – also auch ein Stiftungsvorstand – von Dritten oder vom Unternehmen/der Stiftung selbst wegen eines nicht vorsätzlich verursachten Vermögensschadens zur Kasse gebeten wird. Einige Gesellschaften bieten in Österreich bereits Cyber-Versicherungen an, auch das könnte für manche Stiftungen Sinn machen.

Dieser Beitrag wurde von Mag. Manfred Wieland, TEP am 27.09.2017 auf der Stiftungsplattform www.stiftung-nextgen.at im Bereich „Unternehmen“ neue Beiträge veröffentlicht.