Schutz für das, was wirklich wichtig ist: Wie gemeinnützige Organisationen Spenden und Spenderdaten sicher aufbewahren

Cybersicherheit – ein zentraler Punkt für gemeinnützige Organisationen

Gemeinnützige Organisationen und NGOs stehen beim Thema Cybersicherheit vor besonderen Herausforderungen. Spenden helfen der Organisation nicht nur, ihre Mission zu erfüllen, sie finanzieren auch Gehälter, Öffentlichkeitsarbeit und Fundraising-Aktionen. Wenn Spender etwas beitragen, bieten sie so nicht nur finanzielle Unterstützung, sie vertrauen dir auch sensible Informationen wie Kreditkartendaten, E-Mail-Adressen und Telefonnummern an. Ein einziger Cybersicherheitsvorfall kann dieses Vertrauen bereits unterminieren.

Die Folgen von Cyberangriffen betreffen dabei nicht nur die Beziehungen einer Organisation zu ihren Spendern. Sie können sich auch auf jene Menschen auswirken, denen eine gemeinnützige Organisation hilft, ebenso wie auf die wichtigen angebotenen Dienstleistungen und auf die Communitys, die sie unterstützt.

Aktuelle Umfragen zeigen ganz klar, mit welchen Herausforderungen gemeinnützige Organisationen und NGOs beim Thema Cybersicherheit zu kämpfen haben:

• Die Spender sind besorgt. Eine Umfrage aus 2024¹ hat gezeigt, dass 68% der Personen, die zum ersten Mal für einen guten Zweck spenden, sehr besorgt darüber sind, dass ihre Daten gehackt oder gestohlen werden könnten. 27,8% der Befragten gaben an, dass sie bei einem möglichen Hack ihrer unterstützten Wohltätigkeitsorganisation kein Geld mehr spenden würden, während 52% mit ihren zukünftigen Spenden zunächst abwarten würden.
• Cyberangriffe sind ein weit verbreitetes Problem. Im Jahr 2023 gaben 41% der befragten gemeinnützigen Organisationen an, dass sie in den letzten drei Jahren Opfer eines Cyberangriffs wurden.² Alle NGOs, die Opfer von Cybersicherheitsvorfällen wurden, gaben an, dass die Angriffe nicht nur einmal passierten – manche Organisationen wurden täglich angegriffen, während andere nur einmal im Monat oder Jahr damit konfrontiert wurden.
• Organisationen haben auch mit internen Risiken zu kämpfen. So gaben interessanterweise 85% der NGOs an, dass ihre Mitarbeitenden ein wichtiges Element ihrer Cybersicherheit darstellen, während 52% nicht gepatchte Softwaresysteme und unsichere Anmeldedaten als große Risiken betrachten.³
• Webschutz ist essenziell. Eine weitere Umfrage aus dem Jahr 2023⁴, die unter Fachpersonal im gemeinnützigen Sektor in 116 Ländern durchgeführt wurde, zeigte, dass 93% der gemeinnützigen Organisationen, die online Spenden sammeln, diese über ihre Website annehmen, und dass 91% Kreditkartenzahlungen über ihre Website abwickeln, was den Website-Schutz an erste Stelle auf der Liste der Cybersicherheitsprioritäten rücken lässt.
• Den Zugriff auf Daten zu kontrollieren, ist schwierig. Eines der größten Probleme für gemeinnützige Organisationen und NGOs besteht darin, den unerlaubten Zugriff auf ihre Daten zu verhindern⁵, die oft auch Spenderinformationen umfassen. 

Kleine gemeinnützige Organisationen sehen sich oftmals mehr Risiken ausgesetzt als Organisationen, die auf einen größeren Ressourcen-Pool zurückgreifen können. Ohne eigenes IT-Personal, Sicherheits-Tools oder ein Budget für die Sicherheit kann die Handhabung von Phishing-Angriffen oder Datenlecks schwierig sein – oder der Umgang mit den möglichen Folgen davon.

Die größten Cybersicherheitsrisiken für gemeinnützige Organisationen und NGOs

Die Entwicklung einer optimalen Cybersicherheitsstrategie setzt voraus, dass du erst einmal die Risiken kennst, denen sich deine gemeinnützige Organisation typischerweise ausgesetzt sieht. Dies umfasst sowohl zu beobachtende Bedrohungen von außen als auch interne Schwachstellen, die es zu beheben gilt:

1. Gefälschte Spendenformulare und geklonte Websites

Cyberkriminelle erstellen mitunter gefälschte Versionen von Spendenseiten für gemeinnützige Organisationen, um Unterstützer dazu zu bringen, ihre Zahlungsinfos preiszugeben. Gefälschten Seiten und Charity-Betrügereien dieser Art werden meistens über Phishing-E-Mails oder gefälschte Social-Media-Anzeigen verbreitet.

Über solche Websites haben gemeinnützige Organisationen leider keine Kontrolle. Es lohnt sich jedoch, auf der Website deiner Organisation Warnungen zu posten, um Spender vor betrügerischen Websites und Identitäts-Scams zu warnen. Lass deine Spender wissen, dass sie die jeweiligen URLs nochmal prüfen und ausschließlich über offizielle Kanäle spenden sollen.

Profi-Tipp: Du kannst Links schon vor dem ersten Klick auf Betrug überprüfen. Kopiere die verdächtige URL und füge sie in den Link-Checker von NordVPN ein, um die Sicherheit der Website sofort zu checken.

2. Phishing-E-Mails, die es auf Mitarbeitende und Freiwillige abgesehen haben

Phishing gehört weltweit zu den häufigsten Cyberangriffen. Gemeinnützige Organisationen erhalten oftmals betrügerische E-Mails, die wirken, als kämen sie von seriösen Unternehmen, in Wirklichkeit sind sie dafür gedacht, Login-Daten zu klauen, auf Spendenplattformen zuzugreifen oder Mitarbeitende zum Überweisen von Geld zu bringen.

3. Ungesicherte Spendenseiten

Wenn deine Spendenseiten keine SSL/TLS-Verschlüsselung verwenden (also wenn du kein „https“ oder Vorhängeschloss-Symbol im Browser siehst), sind sie während der Transaktionen sehr anfällig für das Abfangen von Daten. Auf diese Weise lassen sich Spenderinfos möglicherweise leichter entwenden.

4. Schwache interne Kontrolle beim Datenzugriff

Ohne angemessene Zugriffskontrolle – z. B. Multi-Faktor-Authentifizierung (MFA) oder rollenbasierte Berechtigungen – sind sensible Spenderdaten möglicherweise für unbefugte Mitarbeitende, Freiwillige oder andere Personen zugänglich.

5. Interne Fehler und unbedachter Gebrauch

Sicherheitsverletzungen passieren oft aus Versehen. Fehler wie das Beantworten von Phishing-E-Mails, der unangemessene Umgang mit Spenderdaten oder die Verwendung schwacher Passwörter machen deine Organisation möglicherweise anfälliger für Angriffe.

Praktische Schritte zur Verbesserung der Cybersicherheit deiner gemeinnützigen Organisation

Auch ohne Profi-IT-Kenntnisse kann deine gemeinnützige Organisation wichtige Maßnahmen zum Schutz von Spenderdaten und Spenden ergreifen. Konzentriere dich auf die folgenden Bereiche, wenn du eine stärkere Cyber-Abwehr aufbauen willst:

Sichere deine Online-Spenden-Kanäle ab

Deine Website und deine Zahlungsdienstleister bilden die erste Abwehrlinie deines Fundraisings, daher solltest du ihre Sicherheit unbedingt gewährleisten. Stelle sicher, dass deine Spendenseite SSL/TLS-Verschlüsselung nutzt (erkennbar am „https://“ in der URL und einem Vorhängeschloss-Symbol im Browser). So werden die Daten verschlüsselt, die zwischen deinen Spendern und deiner Website hin- und hergeschickt werden, was sie unlesbar für alle macht, die diese Daten erbeuten möchten.

Benutze stets vertrauenswürdige Zahlungsdienstleister mit einer optimalen Erfolgsbilanz und starken Sicherheitsmaßnahmen. Unternehmen wie Stripe oder PayPal sowie Spenderplattformen wie DonorBox oder GoFundMe Charity setzen auf Sicherheit. Vermeide Plugins von Drittanbietern oder inoffizielle Tools, es sei denn, du hast sie zuvor gründlich auf Sicherheitsrisiken überprüft.

Sichere den Zugriff auf Konten ab

Eine der einfachsten Möglichkeiten zum Verhindern von unbefugten Zugriffen besteht in sicheren Anmeldedaten. Benutze stets komplexe, einzigartige Passwörter für alle Konten, vor allem für solche, die Zugriff auf sensible Spenderdaten oder Finanzinfos haben. Mit einem Passwort-Manager wie NordPass kannst du komplexe Passwörter erstellen und sicher speichern, sodass du sie dir nicht alle merken musst.

Abgesehen von den Passwörtern selbst solltest du außerdem eine MFA nutzen, wo immer du kannst. Die MFA sorgt für zusätzliche Sicherheit, indem sie nach der Passworteingabe eine Bestätigung der Benutzeridentität mithilfe eines zweiten Faktors verlangt, zum Beispiel mit einem Code aus einer Smartphone-App. Viele Plattformen bieten MFA kostenlos an, womit du das Risiko von gestohlenen Zugangsdaten, die zu einer Sicherheitsverletzung führen könnten, deutlich senken kannst.

Stärke dein Team durch Schulungen

Deine Mitarbeitenden und Freiwilligen sollten über Cyberbedrohungen Bescheid wissen. Biete deinem Team regelmäßige Schulungen zu Themen wie Phishing, damit es gängige Betrugsmaschen erkennen und vermeiden kann. Zeige deinem Team, wie es verdächtige E-Mails, Links oder Nachrichten erkennen kann, die zur Preisgabe sensibler Infos animieren wollen.

Genauso wichtig ist es, dass dein Team einen klaren Weg zum Melden verdächtiger E-Mails kennt. Vermittle deinen Teammitgliedern, dass sie E-Mails mit ungewöhnlichen Links oder Anhängen melden sollten, anstatt darauf zu klicken. Das Melden verdächtiger E-Mails verhindert nicht nur unmittelbaren Schaden, sondern dient auch als Frühwarnsystem für deine Organisation. Wenn zum Beispiel mehrere Teammitglieder dieselbe verdächtige E-Mail melden, kann dein Sicherheitsteam das Muster schnell erkennen, den Absender blockieren und alle anderen Mitglieder warnen. So kann ein größerer Angriff gestoppt werden, bevor er sich ausbreitet.

Schütze deine Daten vor Verlust

Stell dir vor, du verlierst alle deine Spenderdaten oder deinen Verlauf deiner Finanztransaktionen. Eine solche Situation lässt sich ganz einfach verhindern. Richte automatische Backups für alle wichtigen Daten ein, wie Spenderinfos und Finanzunterlagen. Moderne Cloud-Speicheranbieter wie Google Drive oder Dropbox sowie spezielle Backup-Dienste sichern Daten oft automatisch und haben eingebaute Sicherheitsfunktionen.

Doch Backups allein reichen nicht aus – du brauchst auch einen Prozess zur Wiederherstellung der Backups. Das heißt, du brauchst einen Plan, wie du deine Daten wiederherstellen kannst, und du musst deine Backups regelmäßig testen, um sicherzugehen, dass dein Plan dann funktioniert, wenn du ihn am dringendsten brauchst.

Stelle den Datenschutz für Spenderdaten an erste Stelle

Beim Schutz der persönlichen Daten deiner Spender geht es nicht nur um das Verhindern von Datenlecks, sondern auch darum, ihre Daten sorgfältig und mit Respekt für ihre Privatsphäre zu behandeln. Du kennst wahrscheinlich die DSGVO (Datenschutz-Grundverordnung) in Deutschland. In den USA haben viele Bundesstaaten dagegen eigene Regeln, wie Unternehmen personenbezogene Daten sammeln, nutzen und schützen müssen. Deine gemeinnützige Organisation muss sich also je nach Standort gut überlegen, welche Daten sie sammelt, warum sie dies tut und wie sie die Daten aufbewahrt.

Sammle immer nur die Daten, die wirklich nötig sind, speichere sie nur so lange wie nötig und sei gegenüber deinen Spendern transparent im Hinblick auf deine Datenschutzpraktiken. Eine klare Datenschutzerklärung auf deiner Website ist hierbei ein Muss. In dieser Erklärung solltest du darlegen, welche Daten du sammelst, wie du sie verwendest und wie Spender Zugriff auf ihre Daten oder deren Löschung beantragen können. Dieses verantwortungsbewusste Sammeln und Speichern von Spenderdaten verbessert deine Datensicherheit insgesamt.

Schütze deine Geräte und Verbindungen

Jedes für die Arbeit genutzte Gerät kann ein potenzieller Einstiegspunkt für Angriffe von außen sein. Stelle sicher, dass auf allen Arbeitsgeräten, auch von Freiwilligen benutzten Geräten, Antivirensoftware installiert ist und dass diese immer auf dem neuesten Stand ist. Eine solche Software stellt ein grundlegendes, aber wichtiges Tool dar, das Geräte vor Malware, Viren und anderen Cybersicherheitsbedrohungen schützt.

Mitarbeitende und Freiwillige, die von zu Hause aus arbeiten oder ein öffentliches WLAN nutzen, können dagegen von der Verwendung eines virtuellen privaten Netzwerks (VPN) profitieren. Wie? Ein VPN verschlüsselt die Internetaktivitäten und sorgt für einen sicheren Tunnel zwischen dem Gerät und dem Internet. Dadurch werden sensible Daten vor dem Abfangen durch Cyberkriminelle geschützt, vor allem in ungesicherten Netzwerken.

Zeige deinen Spender, dass sie deiner Organisation vertrauen können

Cybersicherheit schützt deine gemeinnützige Organisation nicht nur auf interner Ebene, sondern ist auch ein wirksames Mittel, um Spendern ein Gefühl der Sicherheit zu vermitteln und dauerhaftes Vertrauen aufzubauen. Dein Einsatz für ihre Sicherheit beweist, wie wichtig dir die Integrität deiner Organisation ist.

Hebe deine Sicherheitsmaßnahmen hervor

Gib auf deiner Website nicht nur allgemeine Infos an, sondern zeige klar, welche Sicherheitstools und vertrauenswürdigen Zahlungsdienstleister du nutzt. Zeige zum Beispiel die Logos deiner Gateways für sichere Zahlungen. Ebenso kannst du die Sicherheitszertifikate oder Zertifizierungen deiner Plattformen hervorheben. Diese Transparenz gibt deinen Spendern ein gutes Gefühl bei der Unterstützung deiner Ziele.

Darüber hinaus solltest du sie dabei unterstützen, sich selbst zu schützen. Deine Spender können mit gefälschten Spendenformularen und geklonten Websites konfrontiert werden, daher solltest du sie regelmäßig darüber aufklären, wie sie deine offizielle Website und deine Online-Präsenz in den sozialen Medien erkennen. Weise sie darauf hin, dass sie stets überprüfen sollten, ob die jeweilige URL stimmt, und dass sie ausschließlich Links von deiner offiziellen Website oder aus verifizierten Nachrichten nutzen sollten. Du kannst dafür einen eigenen Abschnitt in deine FAQ aufnehmen, einen Hinweis auf deiner Spendenseite zeigen oder E-Mail-Erinnerungen mit Tipps zum Erkennen seriöser Spendenkanäle anführen, die die Unterscheidungsmerkmale gegenüber Betrugsversuchen hervorheben.

Sei bei Sicherheitsvorfällen transparent

Keine Organisation wird gerne Opfer eines Sicherheitsvorfalls, aber sollte es doch dazu kommen, sagt dein Umgang damit viel über dich aus. Kommt es zu einer Sicherheitsverletzung, gib den betroffenen Personen sofort Bescheid. Gib deinen Spendern klare Schritte an die Hand, die sie umsetzen können. Weise sie beispielsweise darauf hin, dass sie ihre Konten auf ungewöhnliche Aktivitäten überprüfen oder ihre Passwörter auf anderen Websites ändern sollen, falls sie dieselben Zugangsdaten dort verwendet haben, die möglicherweise vom Vorfall betroffen sind.

Wenn du proaktiv kommunizierst, die Situation erklärst und deine Schritte zur Behebung erläuterst, unterstreichst du deine Glaubwürdigkeit und kannst die möglichen Reputationsschäden minimieren.

Bleibe für Spender erreichbar

Bleibe mit deinen Spendern in Kontakt, egal worum es geht. Dazu gehören auch ihre Fragen zu Sicherheit und Datenschutz. Mach es ihnen einfach, Fragen oder Feedback zu hinterlassen, beispielsweise mit einer speziell dafür eingerichteten E-Mail-Adresse (z.B. security@deineorganisation.org) oder einem klar erkennbaren Bereich auf deiner FAQ-Seite. Wenn du gut erreichbar bist und schnell reagierst, fühlen sich deine Spender sicher und vertrauen dir mehr.

Eine kurze Sicherheitscheckliste für gemeinnützige Organisationen

Um die Cybersicherheit deiner gemeinnützigen Organisation zu verbessern, kannst du diese kurze Checkliste nutzen – sie bildet quasi das Einmaleins beim Thema Cybersicherheit ab:

Technologiezuschüsse für gemeinnützige Organisationen

Der Schutz deiner gemeinnützigen Organisation muss nicht teuer sein. Auch wenn es zunächst überraschend klingt: Zahlreiche Institutionen bieten Förderungen speziell für Technologie an. Wirf zunächst einen Blick auf die entsprechenden Behörden auf Bundes-, Landes- und vielleicht auch Kommunalebene. Diese Behörden unterstützen oftmals gemeinnützige Organisationen dabei, ihre Systeme auf den neuesten Stand zu bringen und ihre Dienstleistungen zu verbessern.

Ein weiterer Punkt sind Stiftungen. Hierbei kann es sich um große nationale Stiftungen oder auch kleinere Community-Gruppen handeln, die oft eine zuverlässige Quelle für finanzielle Unterstützung zur Verbesserung deiner technischen Infrastruktur darstellen, darunter wichtige Cybersicherheitstools.

Zudem solltest du Unternehmen nicht vergessen, vor allem große Tech-Firmen wie Google oder Microsoft. Im Rahmen ihrer Community-Unterstützung bieten diese Firmen oft Förderprogramme, um gemeinnützigen Organisationen den Zugang zu den neuesten Tools zu ermöglichen.

Ein guter Ausgangspunkt dafür ist Grants.gov, auch die EU bietet spezielle Förderprogramme an. Außerdem kannst du generelle Förderdatenbanken wie GrantStation durchsuchen. Viele Tech-Firmen bewerben darüber hinaus spezielle Förderprogramme direkt auf ihren eigenen Websites.

Wie NordVPN deiner Organisation helfen kann

Um deine Arbeit sicher und effektiv zu erledigen, brauchst du einen sicheren und privaten Online-Zugang – egal, wo dich deine Arbeit hinführt. Deshalb bieten wir beim NordVPN-Programm für gemeinnützige Organisationen vergünstigte Abos und sogar kostenlose VPN-Lizenzen für Organisationen, die die entsprechenden Voraussetzungen erfüllen, wie zum Beispiel in den Bereichen Menschenrechtsaktivismus und Journalismus.

Unser sicheres, superschnelles VPN verschlüsselt deine Online-Aktivitäten und hilft dir so, sensible Spenderdaten und -kommunikation zu schützen. Es verhindert, dass deine Daten beim Senden und Empfangen abgefangen werden, auch wenn du ungesichertes öffentliches WLAN nutzt. Du kannst dich für das Programm anmelden, indem du einfach das Formular auf der NordVPN-Website für gemeinnützige Organisationen (auf Englisch) ausfüllst.

Die nächsten Schritte

Die Absicherung von Spenderdaten und Spenden ist eine anspruchsvolle Aufgabe, aber jeder Schritt stärkt den Schutz deiner wichtigen Arbeit. Nimm zuerst einige praktische Änderungen vor, die du auf unserer Checkliste findest. Gib deinem Team die besten Tools an die Hand, die du finden kannst, und schau dir die oben erwähnten Technologie-Zuschüsse an, mit denen du noch mehr erreichen kannst. Wenn du das Thema Cybersicherheit wirklich ernst nimmst, schützt du deine Organisation, baust Vertrauen bei Spendern auf und erfüllst deine Aufgabe letztlich noch wirkungsvoller.

Hinweis: NordVPN ist nicht mit den in diesem Blogbeitrag erwähnten Marken, Unternehmen oder Plattformen verbunden, assoziiert, bevollmächtigt, wird nicht von ihnen unterstützt oder ist in irgendeiner Weise offiziell mit ihnen verknüpft.

Die Verwendung dieser Namen dient nur zu Informationszwecken und bedeutet keine Zusammenarbeit oder Sponsoring.

Liste der Referenzen

¹BBB Wise Giving Alliance. (2024). Donor trust report: Trust and giving attitudes across U.S. regions and religious affiliation. Give.org.
https://give.org/news/donor-trust-report-2024-trust-and-giving-attitudes-across-u-s-regions-and-religious-affiliation

^{2, 3}CyberPeace Institute. (2023). Analytical report on NGOs serving humanity at risk. https://cyberpeaceinstitute.org/wp-content/uploads/CyberPeace_Analytical%20Report_NGO.pdf

⁴Nonprofit Tech for Good. (2023). Nonprofit tech for good report. https://www.nptechforgood.com/wp-content/uploads/2023/02/Nonprofit-Tech-for-Good-Report-Final2-2023.pdf

⁵Hulshof-Schmidt, R. (2018, November). State of nonprofit cybersecurity. NTEN. https://word.nten.org/wp-content/uploads/2018/11/NTEN-State-of-Nonprofit-Cybersecurity-Report-2018.pdf