deFenSIO: Projekt für mehr Bewusstsein gegenüber Cybergefahren

Cyberkriminelle haben es zunehmend auf Organisationen abgesehen, die für die Gesellschaft unverzichtbar sind – darunter auch Hilfsorganisationen wie die Malteser. Angriffe auf diese Strukturen gefährden nicht nur Daten, sondern können auch die Versorgung von Menschen in Not beeinträchtigen. Mit dem Projekt deFenSIO wollen die Malteser einen wichtigen Beitrag leisten, um die digitale Sicherheit und das Bewusstsein der Mitarbeitenden in diesem Bereich nachhaltig zu verbessern.

Darum geht's

• Cyberkriminalität nimmt zu – Was ist deFenSIO genau?
• Hilfsorganisationen besonders gefährdet durch Cyberkriminalität
• Warum ist der digitale Schutz von Hilfsorganisationen so wichtig?
• Was sind spezielle Sicherheitsprobleme bei Hilfsorganisationen?
• Wie kann deFenSIO Hilfsorganisationen wie die Malteser schützen?
• Wo genau setzt deFenSIO an?

Cyberkriminalität ist weltweit auf dem Vormarsch – und nimmt dabei zunehmend auch kritische Infrastrukturen ins Visier. So wurden im Jahr 2023 weltweit über 420 Millionen Angriffe in diesem Bereich registriert. Zu kritischen Infrastrukturen (KRITIS) gehören neben Energie-, Transport- und Telekommunikationsunternehmen auch Hilfsorganisationen wie die Malteser, die Aufgaben im Bevölkerungsschutz und Gesundheitswesen wahrnehmen. Um sich dieser Herausforderung zu stellen, startete 2023 das Projekt deFenSIO unter der Leitung der Malteser.

Ziel des Projektes, das in Zusammenarbeit mit der Bergischen Universität Wuppertal und dem Malteser IT-Dienstleister SoCura GmbH durchgeführt wird, ist die Schaffung einer nachhaltigen Informations- und Kommunikationsstruktur besonders im Umgang mit digitalen Gefahren. deFenSIO soll die Malteser, aber auch andere Organisationen im Hinblick auf die Bedrohung durch Cyberkriminalität stärken. Das auf drei Jahre angesetzte Projekt wird vom Bundesministerium für Bildung und Forschung finanziert und legt besonderen Wert auf das Thema Prävention.

„NGOs werden statistisch am häufigsten angegriffen“, erklärt Merle Medick von den Maltesern, die als wissenschaftliche Mitarbeiterin im Projekt deFenSIO arbeitet, „sie haben oft verhältnismäßig viel Geld, das sie verwalten, und gleichzeitig wenig in Sicherheit investiert.“ NGOs (englisch: non-governmental organizations, deutsch: Nichtregierungsorganisationen) sind unabhängig und engagieren sich meist für soziale Themen – wie etwa humanitäre Hilfe oder die Umwelt. Es sei, so Merle, für Hilfsorganisationen weniger die Frage, ob sie angegriffen würden, sondern vielmehr, wann dies passiere. Hier setzt das Projekt deFenSIO an.

„Bei einem Cyberangriff kann es an sehr vielen unterschiedlichen Stellen zu großen Problemen kommen“, erklärt Merle Medick. Besonders im medizinischen Sektor führen Ausfälle sehr direkt zu Gefahren für die Bevölkerung. Weshalb deFenSIO den medizinischen Bevölkerungsschutz gezielt thematisiert.

• So könne es beispielsweise zu einem Diebstahl von sensiblen Daten (Gesundheits- oder Kontodaten) kommen,
   
• die Systeme könnten sabotiert oder zum Ausfall gebracht werden – und damit die Arbeitsfähigkeit eingeschränkt sein, Alarmierungen könnten gestört werden.
   
• In einem konkreteren Beispiel könnte die Versorgung der ambulanten Pflege ohne Zugriff auf die entsprechenden Programme nicht gewährleistet werden.
   
• In Krankenhäusern könnten Operationen nicht mehr durchgeführt oder Blutwerte nicht mehr bestimmt werden, wenn der Zugriff fehle oder kompromittiert wäre.

„Wir haben bei den Maltesern sehr viele ehrenamtliche Helferinnen und Helfer, die in unterschiedlichsten Bereichen engagiert sind“, sagt Merle Medick, „zwar sind für sie wie für festangestellte Mitarbeitende auch Schulungen im Cybersicherheitsbereich verpflichtend, aber es ist schwieriger, diese Verpflichtung durchzusetzen.“ Zudem könnten die Ehrenamtlichen mit privaten Rechnern oder Handys beispielsweise auf interne Dienstpläne oder andere arbeitsrelevante Daten zugreifen.
Gerade ehrenamtlich engagieren sich von Schülerinnen und Schülern bis zu Rentnerinnen und Rentnern alle Alterstgruppen und ein guter Durchschnitt der deutschen Bevölkerung: „Wir haben also auch eine sehr große Altersspanne und unterschiedliche digitale Vorkenntnisse zu berücksichtigen.“ So habe die Multi-Faktor-Authentifizierung, die vor etwas mehr als einem Jahr eingeführt wurde, erst einmal für viel Frust gesorgt: „Aber uns ist es wichtig, alle Malteser mitzunehmen. Deshalb schauen wir, wie wir die Ehrenamtlichen erreichen können und erklären möglichst genau, warum bestimmte Maßnahmen ergriffen werden.“ Durch gezielte Awarness-Kampagnen sei es wichtig, den Mitarbeitenden klarzumachen: „Es geht nicht um die Daten oder Koten von Einzelnen, sondern darum, dass Kriminelle durch ihr Konto den Zugang zum gesamten Netzwerk bekommen könnten.“

Viele Attacken zielen auf die Menschen ab. Diese Manipulationstechnik wird „Social Engineering“ genannt und nutzt Eigenschaften wie Vertrauen oder Neugier aus. Mitarbeitende geben dann beispielsweise unabsichtlich oder im Irrglauben Informationen preis oder ermöglichen das Aufspielen von Schadsoftware durch das Öffnen von Anhängen in E-Mails.

• Um die Kompetenz bei der Abwehr von digitalen Attacken zu stärken, konzentriert sich das Projekt deshalb auf alle Mitarbeitenden der Malteser. Mit einem besonderen Fokus auf die ehrenamtlichen Kräfte.
   
• Die Universität Wuppertal unterstützt vor allem bei der Entwicklung von Schulungsprogrammen und Awareness-Programmen, um im Ernstfall angemessen reagieren zu können.
   
• Und die SoCura GmbH unterstützt mit technischem Know-how und entwickelt technische Hilfen und Arbeitserleichterungen.

deFenSIO setzt bei jedem einzelnen Mitarbeitenden an, um die Schwachstelle Mensch in einen Schutzschild für die Organisation zu wandeln. „Dreh und Angelpunkt ist dabei das Bewusstsein der Mitarbeitenden für die Bedrohung und ihre Rolle als Verteidiger der Organisationsdaten“, so Merle Medick. Aus Projektsicht gehören dazu Schulungen zur Erhöhung der Aufmerksamkeit für Bedrohungen aus dem digitalen Raum genauso wie die Qualifikation im Umgang mit Risiken und Gefahren. „Langfristig haben wir das Ziel alle Mitarbeitenden zu informieren, zu sensibilisieren und zu fördern“, sagt Merle Deswegen ist das Informations-Sicherheitskonzept ganzheitlich ausgerichtet. Das bedeutet:

• Neben technischen Vorkehrungen stehen organisatorische und personelle Maßnahmen im Fokus.
   
• Dazu gehören Schulungen zur Erhöhung der Aufmerksamkeit für Bedrohungen aus dem digitalen Raum genauso wie die Qualifikation im Umgang mit Risiken und Gefahren. „Langfristig haben wir das Ziel, alle Mitarbeitenden zu informieren, zu sensibilisieren und zu fördern“, sagt Merle Medick.