Die Cybersicherheitslage bei gemeinnützigen Organisationen ist prekär. Während Millionen von Menschen von ihrer Hilfe abhängen – besonders in Notfällen und Katastrophen – operieren diese Institutionen mit erheblichen Sicherheitsdefiziten. Das zentrale Problem: Nonprofits verfügen weder über die finanziellen Mittel noch über spezialisiertes Personal, um sich gegen immer raffiniertere Angriffe zu verteidigen.
Wendy Nather, Senior Research Initiatives Director bei 1Password, bringt es auf den Punkt: “Nonprofits sind kritische Infrastruktur – genauso wie andere Wirtschaftssektoren. Aber sie erhalten weder die Aufmerksamkeit noch die Ressourcen und Unterstützung, die sie bräuchten.” Diese Sicht wird von Sicherheitsexperten wie Kelley Misata, CEO von Sightline Security, und Diana Kelley, CISO bei Noma Security, geteilt.
Ein besonderes Dilemma zeigt sich beim Thema künstliche Intelligenz. Nonprofits nutzen gerne kostenlose KI-Tools wie Claude.ai, weil sie entsprechende Rabatte anbieten. Doch Misata warnt: Die kostenlosen Versionen verwenden oft Nutzerdaten zum Training ihrer Modelle – ein erhebliches Datenschutzrisiko. Viele Organisationen fragen nicht die richtigen Fragen: Brauche ich dieses Tool? Ist es sicher? Das Ergebnis: Sie kaufen “das Tool des Tages”, ohne echte Sicherheitsdefizite zu beheben.
Doch auch zu viel Hilfe kann problematisch sein. Dave Lewis, Global Advisory CISO bei 1Password, und andere Experten warnen davor, dass finanzielle oder technische Zuschüsse überwältigend wirken können – besonders wenn das Fachpersonal fehlt, um diese Lösungen korrekt zu implementieren und zu überwachen.
Ein weiterer kritischer Faktor ist die wirtschaftliche Realität: Große Sicherheitsanbieter ignorieren Nonprofits oft bewusst, da sie kein lukratives Geschäftsmodell darstellen. Gleichzeitig können gemeinnützige Organisationen kaum Fachkräfte halten – diese wechseln schnell zu besser bezahlten Positionen in der Privatwirtschaft.
Die Experten betonen ein fundamentales Umdenken: Nonprofits sollten nicht als homogene “arme” Zielgruppe betrachtet werden. Sie unterscheiden sich in Branchen (Gesundheit, Finanzen), Missionen und Risikoprofilen erheblich. Ein maßgeschneiderter, respektvoller Ansatz ist notwendig.
Misata fasst die Forderung zusammen: “Man muss mit Organisationen in Kontakt treten und sie verstehen.” Einige große Unternehmen wie Microsoft investieren bereits in Unterstützung. Doch es braucht ein grundlegendes Verständnis: Die Mission der Nonprofits kommt vor der Sicherheit – und dieser Realität müssen sich Experten stellen, anstatt unrealistische Standards zu fordern.