Eine wachsende Herausforderung ist laut den Teilnehmern, wie gemeinnützige Organisationen mit neuer, fortgeschrittener Technik Schritt halten sollen, solange sie nicht einmal die Grundlagen beherrschen. Beispiel künstliche Intelligenz: Selbst reifere Organisationen tun sich schwer damit, KI sicher einzusetzen.

Non-Profits seien darauf konditioniert, bei Werkzeugen wie Claude.ai zuerst zu prüfen, ob es Sonderkonditionen für gemeinnützige Einrichtungen gebe, erklärte Misata. Aus Sicht einer Sicherheitsfachfrau schrillten dabei die Alarmglocken: Die Rabatte mögen attraktiv sein, doch die Risiken könnten noch größer ausfallen. Die kostenlosen Versionen vieler dieser Werkzeuge könnten Nutzerdaten zum Training von Modellen heranziehen und so Informationen kompromittieren. Die Organisationen stellten nicht die richtigen Fragen – ob sie das Werkzeug überhaupt brauchen und ob es sicher ist –, weshalb das eigentliche Sicherheitsproblem ungelöst bleibe.

“Sie lieben all diese Lösungen, besonders die verlockenden wie die KI-Werkzeuge, aber sie wissen aus Sicherheitssicht nicht, was sie brauchen”, sagte Misata. Sie orientierten sich nur am jeweils Angesagten. Nather ergänzte: Kostenlose Software helfe nicht weiter, wenn die Leute und das Fachwissen fehlten, um sie zu betreiben – etwa für die Auswertung von Protokolldaten, einen zentralen Baustein guter Sicherheit.

Diana Kelley warnte, dass auch zu viel Geld von Anbietern oder Partnern überfordern könne, ähnlich wie neue Technik. Übermäßige Sicherheit könne belastend und wenig nützlich sein, und ein überstürzter Einstieg in neue Technologien könne dazu führen, dass diese nicht vollständig sicher eingeführt würden.

Auch der menschliche Faktor stellt ein Hindernis dar. Viele in der Branche unterstützten Non-Profits schlicht nicht, weil es finanziell nicht in ihrem Interesse liege, sagte Lewis. Zudem könnten sich viele Organisationen keine Sicherheitsfachkräfte leisten, die bei privaten Firmen deutlich mehr verdienten. Die finanzielle Lage habe sich im vergangenen Jahr verschärft: Wenn Mittel zurückgingen und Spender weniger gäben, suchten Non-Profits nach neuen Finanzierungsmodellen – was zulasten von Sicherheitsmaßnahmen gehe.

“Lücken bei versiegender Finanzierung füllen zu müssen, macht sie verzweifelt, ängstlich und abgelenkt”, sagte Misata. Entsprechend schwer falle es ihnen, bei der ohnehin neuen und anspruchsvollen Sicherheit am Ball zu bleiben.

Kelley beobachtete, dass manche großen Sicherheitsanbieter gemeinnützige Organisationen “bewusst ignorieren”, weil diese nicht über die Budgets gewinnorientierter Firmen verfügten. Misata kritisierte das verbreitete Denkmuster, alle Non-Profits in eine Schublade zu stecken – nach dem Motto “ihr seid arm, ihr seid weniger wert”. Aus Sicherheitsperspektive sei das gefährlich. Stattdessen müsse man sie als Unternehmen betrachten; das verändere das Gespräch. Non-Profits ließen sich nicht über einen Kamm scheren: Sie reichten vom Gesundheits- bis zum Finanzwesen, hätten unterschiedliche Aufträge, Risikoprofile und Bedrohungslagen.

Manche Großkonzerne engagierten sich durchaus philanthropisch, betonte Kelley, frühere Chief Technology Officer bei Microsoft, und nannte ihren ehemaligen Arbeitgeber als Beispiel. Ihr Rat an gemeinnützige Organisationen: “Findet die Unternehmen, die das tun.”

Nather mahnte abschließend, Sicherheitsfachleute müssten die Haltung “Sicherheit ist das Wichtigste” ablegen. Bei jeder Organisation kämen geschäftliche Prioritäten vor der Sicherheit – bei Non-Profits stehe der Auftrag an erster Stelle. “Wir sagen vielleicht: ‘Ich kann nicht glauben, dass ihr SMS für die Zwei-Faktor-Authentifizierung nutzt.’ Währenddessen erfriert jemand an der Straßenecke. Man braucht die richtige Perspektive, wenn man mit kritischer Infrastruktur wie Non-Profits arbeitet.”