Schutz von Wohltätigkeitsorganisationen vor Cyberkriminalität
Heute beginnt die Charity Fraud Awareness Week, eine Woche, die speziell dafür eingerichtet wurde, Wohltätigkeitsorganisationen wertvolle Ratschläge zu geben, wie sie sich vor der Bedrohung durch Betrug und Internetkriminalität schützen können.
Mit einem jährlichen Gesamteinkommen von über 69 Milliarden Euro sind Wohltätigkeitsorganisationen sehr anfällig für Angriffe und erweisen sich als lukratives Ziel für Cyberkriminelle. Sie haben Zugang zu sensiblen Daten, erhalten riesige Spendenbeträge und verfügen in der Regel über ein geringeres Maß an Cybersicherheit als größere Organisationen.
Wenn es Hackern gelingt, sich Zugang zu diesen sensiblen Daten zu verschaffen, können die Folgen verheerend sein. Schon eine einzige Datenpanne könnte den Ruf einer Wohltätigkeitsorganisation schädigen und die Menschen davon abhalten, Geld zu spenden. Noch schwerwiegendere Folgen könnte es haben, wenn vertrauliche Patientendaten nach außen dringen.
Cyberkriminelle kümmern sich nicht um die guten Zwecke, die Wohltätigkeitsorganisationen unterstützen, sie betrachten sie einfach als weiche Ziele mit vielen attraktiven Schwachstellen, die sie ausnutzen können.
Laut der Cyber Security Breaches Survey 2020 war mehr als ein Viertel der Wohlfahrtsverbände (26 %) in den letzten 12 Monaten von einem Cyberangriff betroffen. Die häufigste Angriffsmethode war Phishing (85 %), gefolgt von Impersonation (39 %) und Viren oder anderer Malware (22 %).
Ransomware war nur für 10 % dieser Sicherheitsverletzungen verantwortlich, erweist sich jedoch weiterhin als erfolgreicher Angriffsvektor, wie der jüngste Angriff auf das Cloud-Computing-Unternehmen Blackbaud zeigt.
Blackbaud ist einer der größten Anbieter von Software für Fundraising, Finanzmanagement und Unterstützerverwaltung für den britischen Wohltätigkeitssektor. Im Mai 2020 wurde das Unternehmen von einem ausgeklügelten Ransomware-Angriff getroffen, von dem über 30 britische Wohltätigkeitsorganisationen betroffen waren.
Das Unternehmen gab an, dass bei dem Angriff keine Kreditkarten- oder Zahlungsdaten kompromittiert wurden, entschied sich jedoch für die Zahlung des Lösegelds, um sicherzustellen, dass die Daten nicht öffentlich zugänglich gemacht oder anderweitig weitergegeben werden.
Aufgrund der großen Menge an persönlichen und finanziellen Informationen, die Wohltätigkeitsorganisationen speichern, müssen sie nach Möglichkeiten suchen, ihre Systeme zu stärken, um Angriffe von Gelegenheitsverbrechern zu verhindern.
Wie können sich Wohltätigkeitsorganisationen schützen?
Um ihre Daten, ihr Vermögen und ihren Ruf zu schützen, müssen Wohltätigkeitsorganisationen die Schlüsselbereiche identifizieren, die von Cyberkriminellen ausgenutzt werden könnten, und einen mehrschichtigen Ansatz zum Schutz ihrer Organisation vor Angriffen umsetzen.
Zu den Präventivmaßnahmen gehören:
Sensibilisierung und Aufklärung des Personals
Es ist leicht anzunehmen, dass die meisten Cyberangriffe auf Hacker zurückzuführen sind, die in die Sicherheitssysteme eingedrungen sind, aber in den meisten Fällen sind sie eine direkte Folge davon, dass ein Mitarbeiter auf einen bösartigen Link geklickt hat. Die Aufklärung der Mitarbeiter über die sich entwickelnden Cyber-Bedrohungen ist eine der wichtigsten Präventionsmaßnahmen, die eine Wohltätigkeitsorganisation ergreifen kann.
Regelmäßige Sicherung der Daten
Wohltätigkeitsorganisationen haben Zugang zu wertvollen Daten. Deshalb ist es wichtig, dass sie regelmäßig Sicherungskopien von wichtigen Dateien auf einer externen Festplatte oder bei einem Online-Speicheranbieter erstellen. So wird sichergestellt, dass die Wohltätigkeitsorganisationen im Falle eines Cyberangriffs ihre wichtigen Daten behalten können.
Beschränkung des Zugriffs auf sensible Daten
Um kritische Daten zu schützen, sollten Wohltätigkeitsorganisationen eine abgestufte Struktur einrichten, die zwischen sensiblen und nicht sensiblen Daten unterscheidet. Dadurch wird der Zugang zu sensiblen Daten eingeschränkt und sichergestellt, dass nur Mitarbeiter mit der höchsten Berechtigungsstufe auf diese wertvollen Informationen zugreifen können.
Anti-Viren-Software
Wohltätigkeitsorganisationen arbeiten mit knappen Budgets, aber es ist wichtig, dass sie in die neueste Antiviren-Software investieren, um Bedrohungen zu erkennen und unbefugten Benutzern den Zugang zu verwehren. Die Software sollte regelmäßig aktualisiert werden, um zu verhindern, dass sich Hacker über Schwachstellen in älteren und veralteten Programmen Zugang zu Systemen verschaffen.
Starke Passwörter
Die Erstellung eines eindeutigen Passworts ist eine der einfachsten Möglichkeiten, um zu verhindern, dass man gehackt wird. Ein sicheres Passwort sollte zwischen 8 und 15 Zeichen lang sein, eine Mischung aus Groß- und Kleinbuchstaben enthalten und Zahlen oder Symbole beinhalten. Zur weiteren Absicherung können die Benutzer eine Passphrase erstellen. Der erste Buchstabe eines jeden Wortes bildet die Grundlage des Passworts, und die Buchstaben können durch Zahlen ersetzt werden. Eine Passphrase ist in der Regel länger als ein Passwort und viel schwerer zu knacken.
Verwalten der Nutzung tragbarer Medien
Mit der zunehmenden Verwendung von tragbaren Mediengeräten sind auch die damit verbundenen Sicherheitsrisiken gestiegen. Ein scheinbar harmloser tragbarer Datenträger kann einen massiven Cyberangriff auslösen, selbst wenn das betroffene Computersystem isoliert und von außen geschützt ist. Menschliches Versagen ist nach wie vor die Hauptursache für alle Cyberangriffe. Daher sollten die Mitarbeiter sicherstellen, dass sie beim Umgang mit Wechseldatenträgern außerhalb des Büros die richtigen Verfahren einhalten.
Verwandte Artikel
Wie Sie Ihr Unternehmen vor dem Schrecken einer Datenschutzverletzung schützen können
Fünf Möglichkeiten zum Schutz Ihrer Daten bei der Arbeit aus der Ferne
Was ist Malware und wie kann man sich vor ihr schützen?
Was ist zu tun, wenn Sie auf einen Phishing-Link klicken?
Identitätsdiebstahl: So schützen Sie sich
Ein Identitätsdiebstahl, auch Identitätsmissbrauch oder Identitätsbetrug genannt, liegt vor, wenn Dritte die Daten einer anderen Person nutzen und damit Straftaten begehen. Kurz gesagt: Identitätsdiebstahl ist Datenklau für unterschiedlichste Formen von Onlinebetrug.
Im Strafrecht gibt es den Tatbestand Identitätsdiebstahl derzeit nicht. Hier ist dann je nach Ausprägung des Betrugs zum Beispiel von Ausspähen und Abfangen von Daten, von Warenkreditbetrug, Mobbing oder Urkundenfälschung die Rede. Am Ergebnis ändert das nichts: Im Fall der Fälle sind Sie der Geschädigte. Wehren Sie sich!
Cyberkriminalität im Kontext von Partnerschaft, Sexualität und Peerbeziehungen: Zur Cyberkriminologie des digitalen sozialen Nahraums
Die Etablierung des Internets als sozialer Raum stellte die größte Umwälzung menschlicher Kommunikations- und Interaktionsformen der letzten Jahrzehnte dar (Rüdiger und Bayerl 2020). Mehr als die Hälfte der Menschheit nutzt regelmäßig das Internet, ein großer Teil davon soziale Medien als festen Bestandteil seiner alltäglichen Kommunikation – bei unverändert steigender Tendenz (z. B. Frees und Koch 2018). Diese Veränderung und Erweiterung grundlegender Interaktionsprozesse auf globaler Ebene bringt zwangsläufig auch negative Begleitphänomene mit sich, die sich u. a. in devianter und delinquenter Form darstellen können – mit all den begrifflichen Schwierigkeiten, die Devianz und Delinquenz in der analogen Welt aufweisen. Ungeachtet dieser Diskussion dürfte es als unbestritten gelten, dass es im virtuellen Raum zu Handlungen kommt, die sowohl in der Allgemeinbevölkerung als auch durch die Strafverfolgungsbehörden mehrheitlich als kriminell eingestuft werden. Beispielhaft sei auf die vielfältigen Formen von Cyberangriffen verwiesen, denen private Internetnutzer/-innen ausgesetzt sind (Dreißigacker et al. 2020) sowie auf die in den letzten Jahren verstärkt diskutierten internetbasierten Anwerbe- und Unterstützungsformen extremistischer und gewaltaffiner, mitunter gar terroristischer Gruppierungen (Nitsch 2020).
Gleichzeitig ist es naheliegend, dass derart gravierende technische und kommunikative Veränderungen sozialer Interaktionsprozesse und -möglichkeiten auch die Gestaltung und das Erleben von Nähe und Beziehungen im sozialen Nahraum verändern: Die Anbahnung und Gestaltung partnerschaftlicher und sexueller Kontakte, das Initiieren und Aufrechterhalten von Freundschaften und Bekanntschaften, aber auch das Austragen (partnerschaftlicher, freundschaftlicher) Konflikte haben sich in den letzten Jahrzehnten verändert und die diesbezüglichen Möglichkeiten wurden erweitert und ergänzt. Bei der Betrachtung und interpretatorischen Einordnung dieser Veränderungen sollten die medientechnischen Entwicklungen jedoch nicht losgelöst von anderen gesellschaftspolitischen Prozessen wie beispielsweise der Individualisierung oder Globalisierung betrachtet werden (Döring 2017). Dies gilt auch für die negativen Effekte der beschriebenen Entwicklungsprozesse, wenn internetbasierte Techniken der Interaktion genutzt werden, um Grenzen zu überschreiten, Menschen zu verletzen oder sexuell, emotional und finanziell auszubeuten. Auch hier kann und sollte die technische Umsetzung der (Straf‑)Tat nicht komplett losgelöst von gesamtgesellschaftlichen Phänomenen und den schon seit jeher bekannten individuellen Motiven erfolgen. Gleichzeitig benötigen forensische und kriminologische Theorien und Erkenntnisse wahrscheinlich eine Adaption an den digitalen Raum und sind nicht eins zu eins übertragbar – eine Aufgabe, die bislang noch in ihren Anfängen steckt (Rüdiger und Bayerl 2020).
Eine etablierte kriminologische Theorie, die auch zur Erklärung unterschiedlicher Cyberkriminalitätsformen herangezogen wurde und wird, ist die „Routine-Activity“-Theorie von Cohen und Felson (1979). Die Grundlage dieser Theorie ist das Zusammenspiel zumindest dreier Komponenten für die Erklärung kriminellen Verhaltens: Neben potenziellen Tätern und einem möglichen Zielobjekt muss es an geeigneten Kontrollinstanzen fehlen, die der Tat wirksam entgegentreten können. Diese Theorie zielt damit besonders auf die Beschreibung von Tatgelegenheitsstrukturen ab und verweist darauf, dass Kriminalität immer auch von Art und Häufigkeit von Täter- und Opferverhalten abhängt. Vor allem routinemäßiges Verhalten erhöht demnach die Risiken für kriminelle Viktimisierungen und kann gleichzeitig Ansätze zur Kriminalprävention bereitstellen. Die Attraktivität der Routine-Activity-Theorie für Erklärungen von Phänomenen im Bereich der Cyberkriminalität ist naheliegend, wenn man – wie zuvor beschrieben – die routinemäßige Durchdringung unseres Alltags durch das Internet bedenkt und daraus die – ebenfalls recht naheliegende – Erklärung ableitet, dass durch diese routinemäßige Internetnutzung vielfältige Tatgelegenheitsstrukturen entstehen.
Ausgehend von dieser theoretischen Überlegung wird deutlich, warum der digitale Raum besonders günstige Tatbegehungsstrukturen aufweist: Zunächst bietet sich ein schier unendlicher sozialer Raum an, in dem potenzielle Opfer kontaktiert werden können, wobei mittels vergleichsweise geringem Aufwand (Versenden einer E‑Mail, Erstellen einer Homepage oder das Hochladen einer Bild‑, Text- oder Videodatei auf eine bereits existierende Plattform) ein großer Personenkreis erreicht werden kann. Dabei bietet das Internet zumindest auf den ersten Blick simpelste Möglichkeiten der Anonymisierung an, die bei etwas höherem Täterbemühen nur mit hohem Aufwand aufgehoben werden kann. Unter Rückgriff auf die Prämissen der „Rational-Choice“-Theorie (Cornish und Clarke 1986) bietet der digitale Raum somit aus Täterperspektive günstige Ausgangsbedingungen: Einem potenziell hohen Nutzen bzw. Gewinn steht ein vergleichsweises geringes Risiko gegenüber. Durch die sich fortlaufend ändernden technischen Möglichkeiten ist es für die potenziell Betroffenen zudem schwierig, unter den permanent verändernden Gegebenheiten die notwendigen Schutzmaßnahmen vor digitalen Angriffen zu aktualisieren, wodurch technisch versierten Tätern bzw. Tätergruppen laufend neue Tatmöglichkeiten geboten werden.
Zuletzt sei die Rolle der Kontrollinstanzen angesprochen, die zunächst eine – in Anbetracht der riesigen Menge an Normbrüchen nachvollziehbare – Überforderung dahingehend aufweisen, die Sanktionspraxis aufrechtzuerhalten und durchzusetzen. Es ist eine kriminalpolitische Binsenweisheit, dass Kriminalität – nicht nur, aber insbesondere auch die Cyberkriminalität – in einem globalisierten Kontext agiert, während Strafverfolgungsbehörden weiterhin überwiegend innerhalb nationalstaatlicher Grenzen operieren (müssen), wodurch ihre Kompetenzen und Wirkmöglichkeiten eng beschränkt werden. Dies kann jedoch dazu führen, dass normverletzendes Verhalten im digitalen Raum über einen längeren Zeitraum sichtbar bleibt und so den Rezipienten/-innen eine „Normalität“ (im Sinne einer Normkonformität) suggeriert, die im analogen Raum kaum denkbar wäre. Wird im öffentlichen Raum ein (schwerwiegendes) Gewalt- oder Sexualdelikt begangen, erinnern ggf. für einige Tage Spuren des Verbrechens an den Normbruch; im Internet können Rechtsbrüche mitunter Jahre sichtbar bleiben bzw. immer wieder, teilweise in leicht veränderter Form, auftauchen.
Dieser Effekt, der auch als „fixierte Kriminalitätstransparenz“ (Rüdiger und Bayerl 2020, S. 5) beschrieben wurde, kann zur Folge haben, dass die Normorientierung weiterer Internetnutzer/-innen untergraben und kriminalpräventive Bemühungen im digitalen Raum damit konterkariert werden. Diese exponentiell gesteigerte Wahrnehmbarkeit von Normbrüchen führte in der Vergangenheit mehrfach zur öffentlichen Diskussion darüber, ob das Internet gar als ein „rechtsfreier Raum“ anzusehen sei (Hoheisel-Gruler 2020). Es ist naheliegend, dass derartige Wahrnehmungen geeignet sind, das Vertrauen in Rechtsstaatlichkeit im Allgemeinen sowie in die Schutzmöglichkeiten der Strafverfolgungsbehörden im Besonderen in weiten Teilen der Bevölkerung zu desavouieren.
Neben den reduzierten Zugriffsmöglichkeiten der formalen Sozialkontrolle durch staatliche Instanzen sind in bestimmten digitalen Interaktionsfeldern auch die Möglichkeiten der informellen Sozialkontrolle beschränkt. Dies trifft beispielsweise dort zu, wo aufgrund der Anonymität Personen nicht oder nur bedingt mit ihrem grenzverletzenden Verhalten konfrontiert werden können oder sich leicht einer Konfrontation entziehen können. Auf streng vorselektierte Nutzerkreise beschränkte Foren verhindern bzw. erschweren informelle Sozialkontrolle zusätzlich. Das Phänomen der dauerhaften, scheinbar oder tatsächlich konsequenz- bzw. sanktionslosen Präsenz des Normbruchs kann darüber hinaus für bestimmte Deliktbereiche, wie beispielsweise im Kontext von „Hate-Speech“-Taten oder bei Fällen des Trennungsstalkings (s. ausführlicher dazu im Folgenden), sogar zusätzlich tatmotivierend wirken.
Diese theoretische Betrachtung verdeutlicht gleichzeitig, wie aus der Routine-Activity-Theorie Ansatzpunkte für Präventionsbemühungen abgeleitet werden können (Ehlert und Rüdiger 2020). Gemäß den theoretischen Grundannahmen könnte kriminalpräventiv bei den potenziellen Opfern angesetzt werden, indem sie für Übergriffe und Viktimisierungserfahrungen sensibilisiert werden und Gefahren frühzeitig erkennen und so besser abwehren können. Auch kann versucht werden, potenzielle Täter durch die gezielte Vermittlung von Normen auf den jeweiligen Plattformen und Kommunikationswegen von ihrem Normbruch abzuhalten. Auf der Ebene der Kontrollinstanzen kann versucht werden, das Risiko, als Täter ermittelt und strafrechtlich verfolgt zu werden, zu erhöhen, sodass internale Abwägungsprozesse dazu führen, eine Straftat nicht zu begehen.