CyberkriminalitätDatenschutzSchwachstellen

Cybersicherheit für Kommunen und Nonprofit-Organisationen: Wer füllt die Lücke?

Von CyberDeutsch Redaktion
Cybersicherheit für Kommunen und Nonprofit-Organisationen: Wer füllt die Lücke?
Zusammenfassung

# Forschungszentrum schließt Cybersicherheitslücke für unterversorgte Organisationen Die zunehmende Unterversorgung von Kommunen, Schulen und gemeinnützigen Organisationen mit Cybersicherheitsmitteln stellt ein wachsendes Problem dar. In den USA haben Kürzungen bei der Cybersecurity and Infrastructure Security Agency (CISA) und der Rückzug aus Unterstützungsprogrammen zu einer kritischen Schutzlücke geführt. Das UC Berkeley Center for Long-Term Cybersecurity füllt diese Lücke durch praktische Hilfe, Schulungsprogramme und Forschungsinitiativen. Das Problem betrifft auch Deutschland unmittelbar: Kommunalverwaltungen, Schulen und soziale Organisationen verfügen oft über minimale IT-Budgets und keine dedizierten Cybersicherheitsteams. Sie sind gleichzeitig bevorzugte Ziele für Cyberangreifer, sei es durch Ransomware, Phishing-Betrügereien oder Supply-Chain-Attacken. Während große Unternehmen spezialisierte Security-Dienste finanzieren können, sind kleinere Institutionen auf kostenlose Ressourcen angewiesen – die in Deutschland ebenfalls Mangelware sind. Ein erfolgreich durchgeführter Cyberangriff kann für unterversorgte Organisationen existenzbedrohend sein. Das Modell der UC Berkeley zeigt einen praktikablen Weg zur Lösung dieser Herausforderung durch Partnerschaften, kostenlose Sicherheitsclinics und spezialisierte Unterstützung – ein Ansatz, der auch deutsche Behörden und Organisationen inspirieren könnte.

Die Cybersicherheit von Kommunen und gemeinnützigen Organisationen ist zu einem kritischen Schwachpunkt geworden. Während große Unternehmen teure Sicherheitsdienstleister wie CrowdStrike engagieren können, fehlt kleineren Institutionen sowohl das Budget als auch das Fachwissen. Ein einfaches Betrüger-Rechnungs-E-Mail kann eine unterfinanzierte Hilfsorganisation um 10.000 bis 20.000 Euro bringen — ein Betrag, der manche Organisationen in den Bankrott treibt.

Das Center for Long-Term Cybersecurity (CLTC) der UC Berkeley adressiert dieses Vakuum mit einem praktischen Ansatz: sogenannte Cybersecurity Clinics. Hier führen Studenten — teils Undergraduate-Studierende — kostenlose Sicherheitsbewertungen und Schwachstellenanalysen durch. Das Konzept verbindet Nachwuchsausbildung mit echter Verteidigungshilfe. “Es gibt viele kostenlose Tools, aber sehr wenige kostenlose Services”, erklärt Sarah Powazek, Programmdirektorin für Public Interest Cybersecurity bei CLTC.

Als Forschungshub untersucht CLTC auch die tatsächliche Sicherheitslage: Das Programm “Cybersecurity for Cities and Nonprofits” (CyberCAN) führt Umfragen durch, um die Cybersecurity-Strategien und Bedrohungen für gemeinnützige Organisationen zu dokumentieren. Besonders alarmierend sind Supply-Chain-Angriffe, wie die MOVEit-Schwachstelle zeigte, die zu einem der größten Datenlecks im K-12-Schulbereich führte und persönliche sowie Gesundheitsdaten von Schülern exponierte.

Powazek kritisiert auch die Edtech-Industrie: Weniger als zehn Anbieter kontrollieren 80 Prozent des Schulmarkets, doch nur wenige bieten Bug-Bounty-Programme oder Vulnerability-Disclosure-Prozesse an. Eine erzwungene Einführung von “Secure-by-Design” und Multi-Faktor-Authentifizierung könnte Kaskadeneffekte auf die gesamte Industrie haben.

Ein weiteres CLTC-Projekt sind Cyber-Reserve-Teams auf Bundesstaatsebene, die Kommunen bei der Ransomware-Recovery unterstützen. Der Gedanke dahinter ist klar: Wenn die föderale Unterstützung wegfällt, müssen lokale Kapazitäten aufgebaut werden.

Powazek betont: Communitysicherheit ist nationale Sicherheit. Obdachlosenhilfen, Rechtsberatungen und Lebensmittelbanken haben keine IT-Mitarbeiter, sind aber systemkritisch. Wenn diese schwach sind, entsteht eine riesige Angriffsfläche für das gesamte Land. Dieses Denken sollte auch in Deutschland auf Bundesebene Eingang in Cybersecurity-Strategien finden.

Ähnliche Artikel