IT-Sicherheit & Monitoring

Ja – gerade Vereine und Stiftungen sind 2026 ein beliebtes Ziel, weil Angreifer schwächere Sicherheit vermuten und die Daten (Spender:innen, Mitglieder, Fördermittel-Kontakte) wertvoll sind. Ein erfolgreicher Angriff trifft euch nicht nur technisch, sondern auch im Vertrauen eurer Spender:innen, Mitglieder und Förderer – einmal verlorenes Vertrauen zurückzugewinnen kostet oft mehr als die Sicherheit von Anfang an. Hinzu kommt: Förderer fordern zunehmend Nachweise (z. B. ISO 27001 oder Mindestmaßnahmen), und Cyberversicherungen zahlen bei grob fahrlässigen Versäumnissen oft nicht.

Ein SIEM (Security Information and Event Management) sammelt zentral alle sicherheitsrelevanten Logs eurer Systeme – Logins, Datei-Zugriffe, Netzwerk-Ereignisse – und schlägt Alarm bei Auffälligkeiten (ungewöhnliche Login-Zeiten, Zugriffe aus fremden Ländern, gehäufte Fehl-Passwörter). Für die meisten NGOs reicht eine schlanke Lösung, die in M365 oder Google Workspace integrierte Funktionen mit gezielten Zusatz-Tools kombiniert. Wir richten das nach euren tatsächlichen Risiken ein – kein Enterprise-Overkill mit 100 Dashboards, sondern wenige relevante Alarme, auf die wir tatsächlich reagieren.

Drei Ebenen. Erstens technisch: erweiterte Anti-Phishing-Filter in Microsoft Defender oder Google Workspace, plus SPF, DKIM und DMARC für eure Domain, damit Absender-Spoofing schwieriger wird. Zweitens organisatorisch: klare Meldewege („Ich habe auf einen verdächtigen Link geklickt – was tun?") mit schneller Reaktion ohne Schuld-Zuweisung. Drittens menschlich: regelmäßige Trainings und simulierte Phishing-Kampagnen, bei denen Mitarbeitende in einer geschützten Umgebung lernen, ohne dass im echten Schadensfall etwas passiert.

MFA ist die einzige technische Maßnahme, die wirklich gegen die häufigste Angriffsform schützt: gestohlene Passwörter. Wir aktivieren MFA für alle Accounts mit Zugriff auf Spender-, Mitglieder- oder Finanzdaten – ohne Ausnahme. Standard ist eine Authenticator-App (Microsoft, Google, Authy) oder ein Hardware-Sicherheitsschlüssel (z. B. YubiKey) für besonders kritische Konten. SMS-MFA nutzen wir nur als Notlösung, weil sie über SIM-Swapping angreifbar ist.

Wir haben einen Incident-Response-Plan, den wir vorab mit euch durchsprechen – inklusive Eskalationskette, Kommunikationsvorlagen (für Behörden, Datenschutz, Spender:innen) und definierten Rollen. Im Ernstfall reagieren wir innerhalb weniger Stunden: Schaden begrenzen (Systeme isolieren), Beweise sichern (forensisches Image), parallel Behörden- und Meldepflichten klären (DSGVO: 72-Stunden-Meldefrist) und Wiederherstellung aus Backup einleiten. Wir begleiten euch auch durch die Nachbereitung – Kommunikation, Lessons Learned, Verbesserung der Schutzmaßnahmen.

Erstens: betroffene Systeme sofort vom Netzwerk trennen (physisch oder per VLAN), um die Ausbreitung zu stoppen. Zweitens: wir analysieren den Vorfall (welche Ransomware, wie weit verbreitet, welche Daten sind verschlüsselt). Drittens: Wiederherstellung aus immutable Backups – die Lösegeldforderung wird ignoriert, denn Zahlen löst das Problem nicht und finanziert weitere Angriffe. Parallel klären wir Meldepflichten (DSGVO, ggf. BSI bei kritischer Infrastruktur) und unterstützen euch bei der Spender-/Mitglieder-Kommunikation. Im Idealfall seid ihr ohne Zahlung innerhalb von Stunden bis Tagen wieder arbeitsfähig.

Ja – für mindestens 6 Monate, oft auch länger. Logs sind kritisch für die Forensik nach einem Vorfall (wie kam der Angreifer rein, was hat er getan), für DSGVO-Nachweise (wer hat wann welche personenbezogenen Daten gesehen) und für Förderer-Audits. Wir konfigurieren die Log-Aufbewahrung gemäß euren Compliance-Vorgaben (typischerweise 12 Monate für Standard-Logs, 7 Jahre für Audit-relevante Ereignisse) und sorgen dafür, dass die Logs manipulationssicher gespeichert werden.

Die Kosten hängen stark von Setup-Tiefe und Risiko-Profil ab: für eine kleine NGO mit M365 reicht oft ein Basis-Setup (MFA, Conditional Access, Anti-Phishing, schlankes Monitoring) – für größere oder regulierte Organisationen kommen dediziertes SIEM, externes Schwachstellen-Scanning und 24/7-Bereitschaft dazu. Konkrete Konditionen besprechen wir im Erstgespräch, nachdem wir euer aktuelles Setup und eure Risikolage grob eingeschätzt haben.