Letzten Fruehling oeffnete eine Elternbeirats-Kassenwartin in einem Vorort von Ohio eine scheinbar routinemaessige E-Mail von der Buchhaltung ihres Schulbezirks. Darin wurde sie gebeten, einen Zahlungslink zu verifizieren. Sie klickte, gab ihre Zugangsdaten ein, und innerhalb weniger Stunden erhielt jeder Elternteil auf der Mailingliste eine ueberzeugende Rechnung fuer "jaehrliche Schul-Technologiegebuehren", die Zahlungen auf ein betruegerisches Konto leitete. Bis jemand merkte, was passiert war, hatten siebzehn Familien Geld an Betrueger geschickt, und das E-Mail-Konto des Elternbeirats war genutzt worden, um Tausende von Spam-Nachrichten zu versenden. Die Kassenwartin war weder fahrlassig noch inkompetent. Sie war beschaeftigt, vertrauensvoll und voellig unvorbereitet auf einen gezielten Angriff. Diese Geschichte wiederholt sich jedes Jahr tausendfach in Gemeinschaftsorganisationen jeder Art, und die Folgen reichen von peinlich bis verheerend.

Warum Gemeinschaftsorganisationen Ziele sind

Hier ist eine unbequeme Wahrheit: Cyberkriminelle zielen gezielt auf Gemeinschaftsorganisationen. Nicht trotz ihrer Groesse, sondern gerade deswegen.

Die Logik ist eindeutig. Gemeinnuetzige Organisationen und Gemeinschaftsgruppen besitzen wertvolle Daten -- Mitgliederverzeichnisse mit Namen, E-Mails, Telefonnummern und manchmal Finanzinformationen aus Beitraegen und Spenden. Sie arbeiten oft mit knappen Budgets und wenig oder keiner dedizierten IT-Unterstuetzung. Und sie basieren stark auf Vertrauen, was ihre Mitglieder eher dazu bringt, auf einen Link zu klicken oder auf eine Anfrage zu reagieren, die scheinbar von einer bekannten Fuehrungskraft kommt.

Die Zahlen bestaetigen dies. Laut dem 2025 Nonprofit Tech for Good Report sind 27 % der gemeinnuetzigen Organisationen weltweit bereits Opfer von Cyberangriffen geworden, und der Sektor verzeichnete einen 30%igen Anstieg woechentlicher Angriffe im Jahresvergleich 2024. Cloudflares Projekt Galileo meldete einen alarmierenden Anstieg von 241 % bei Cyberangriffen gegen gemeinnuetzige Organisationen zwischen 2024 und 2025.

Das ist nicht nur ein Problem fuer grosse Wohltaetigkeitsorganisationen. Ihr Nachbarschaftsverein, Ihr Pfarrgemeinderat, der Elternausschuss Ihrer Pfadfindergruppe, das Verwaltungsbuero Ihrer freiwilligen Feuerwehr -- alle besitzen genau die Art von Daten, die Angreifer wollen, und keiner von ihnen hat typischerweise ein Sicherheitsteam als Wache.

Die groessten Risiken, an die Sie wahrscheinlich nicht denken

Sie muessen keine Netzwerkarchitektur verstehen, um zu begreifen, wo Ihre Organisation verwundbar ist. Die haeufigsten Angriffsvektoren auf Gemeinschaftsgruppen sind ueberraschend Low-Tech.

Phishing bleibt die Bedrohung Nummer eins. Geschaetzt beginnen 91 % aller Cyberangriffe mit einer Phishing-E-Mail. Neun von zehn Sicherheitsverletzungen beginnen damit, dass jemand auf einen Link klickt oder einen Anhang in einer Nachricht oeffnet, die legitim aussehen soll. Und diese Nachrichten sind bemerkenswert ausgeklugelt geworden -- KI-generierte Phishing-E-Mails machen jetzt 40 % der geschaeftlichen E-Mail-Kompromittierungsversuche aus.

Schwache und wiederverwendete Passwoerter sind die zweitgroesste Verwundbarkeit. Die haeufigsten Passwoerter sind immer noch "123456", "password" und "qwerty". Wenn Ihr Chorleiter dasselbe Passwort fuer die Facebook-Seite der Organisation, Ihr E-Mail-Newsletter-Tool und sein persoenliches Amazon-Konto verwendet, wird ein Einbruch irgendwo zu einem Einbruch ueberall.

Gemeinsam genutzte Konten sind endemisch in ehrenamtlichen Organisationen. Das Social-Media-Login des Gemeinschaftsgartens wird auf einem Klebezettel herumgereicht. Die Bankzugangsdaten des Sportvereins sind drei verschiedenen Kassenwarten bekannt, die in den letzten fuenf Jahren gedient haben.

Persoenliche Geraete fuer Organisationsgeschaefte schaffen massive blinde Flecken. Erstaunliche 71 % der gemeinnuetzigen Organisationen erlauben Mitarbeitern und Ehrenamtlichen, ungesicherte persoenliche Geraete zu nutzen, um auf organisatorische E-Mails und Dateien zuzugreifen.

Ungepatchte und veraltete Software rundet die Top Fuenf ab. Der Einbruch beim Internationalen Komitee vom Roten Kreuz 2022 -- der Daten von ueber 515.000 Personen offenlegte -- geschah wegen einer einzigen ungepatchten Software-Schwachstelle.

Praktische Sicherheitsschritte, die jeder umsetzen kann

Sie brauchen keinen Informatik-Abschluss oder ein grosses Budget, um die Sicherheitslage Ihrer Organisation dramatisch zu verbessern.

Beginnen Sie mit einem Passwort-Manager. Das ist die einzelne Massnahme mit dem groessten Effekt. Tools wie Bitwarden (kostenlos fuer Einzelpersonen, erschwinglich fuer Organisationen) oder 1Password generieren einzigartige, komplexe Passwoerter fuer jedes Konto und speichern sie sicher.

Schalten Sie ueberall Zwei-Faktor-Authentifizierung ein. Zwei-Faktor-Authentifizierung (2FA) bedeutet, dass selbst wenn jemand ein Passwort stiehlt, er ohne einen zweiten Verifizierungsschritt nicht hereinkommen kann. Trotzdem nutzen nur 27 % der kleinen Organisationen mit weniger als 25 Personen 2FA.

Schulen Sie Ihre Leute, Phishing zu erkennen. Bringen Sie allen drei Regeln bei: (1) Klicken Sie nie auf einen Link in einer E-Mail, die Sie auffordert, sich einzuloggen -- gehen Sie stattdessen direkt zur Website. (2) Seien Sie misstrauisch gegenueber Dringlichkeit -- Nachrichten, die "sofort handeln" sagen, sind fast immer Betrug. (3) Ueberpruefen Sie unerwartete Anfragen ueber einen anderen Kanal.

Fuehren Sie Zugriffskontrollen ein. Nicht jeder braucht Zugang zu allem. Ueberpruefen Sie, wer worauf Zugriff hat, und entziehen Sie Zugangsdaten sofort, wenn jemand eine Fuehrungsrolle verlaesst.

Sichern Sie alles Wichtige. Ransomware war an 44 % aller Datenverletzungen 2025 beteiligt. Wenn Sie ein aktuelles Backup haben, das separat von Ihren Hauptsystemen gespeichert ist, koennen Sie Ihre Daten wiederherstellen, ohne einen Cent zu zahlen.

Halten Sie Software aktuell. Jedes Geraet und jede Anwendung, die fuer Organisationsgeschaefte genutzt wird, sollte automatische Updates aktiviert haben.

Ihre Datenschutzverantwortung

Wenn Ihre Organisation irgendwelche persoenlichen Informationen ueber Mitglieder sammelt, haben Sie eine rechtliche und ethische Verpflichtung, diese Daten zu schuetzen.

Unter der DSGVO (die gilt, wenn Sie auch nur ein Mitglied in der EU haben) gelten Gemeinschaftsorganisationen als Verantwortliche. Das bedeutet, Sie sind verantwortlich fuer:

  • Nur das zu sammeln, was Sie brauchen.
  • Zu wissen, was Sie haben und wo es gespeichert ist.
  • Ordnungsgemaesse Einwilligung einzuholen.
  • Zu loeschen, was Sie nicht mehr brauchen.
  • Ehrenamtliche zu schulen, die mit Daten umgehen.

Ihre Mitglieder vertrauen Ihnen ihre persoenlichen Informationen an. Dieses Vertrauen ernst zu nehmen ist sowohl eine rechtliche Anforderung als auch eine grundlegende Fuehrungsverantwortung.

Was tun, wenn etwas schiefgeht

Trotz bester Bemuehungen passieren Vorfaelle. Einen grundlegenden Reaktionsplan zu haben bedeutet den Unterschied zwischen einem eingedaemmten Problem und einer ausgewachsenen Krise. Sie brauchen Antworten auf fuenf Fragen:

1. Wie werden wir es erfahren? Benennen Sie eine Person als Ansprechpartner fuer Sicherheitsbedenken.

2. Wer trifft die Entscheidungen? Etablieren Sie eine kurze Befehlskette.

3. Was sind die sofortigen Schritte? Passwoerter aendern, Zugaenge sperren, Mitglieder benachrichtigen, wenn ihre Daten betroffen sein koennten.

4. Wer muss benachrichtigt werden? Unter der DSGVO muessen Sie die Aufsichtsbehoerde moeglicherweise innerhalb von 72 Stunden benachrichtigen.

5. Wie verhindern wir, dass es wieder passiert?

Eine Sicherheitskultur aufbauen

Die effektivste Cybersicherheitsmassnahme ist kein Tool oder eine Richtlinie -- es ist eine Kultur, in der Menschen sich wohlfuehlen, Fragen zu stellen und Bedenken zu melden.

Machen Sie es einfach, das Richtige zu tun. Wenn ein Passwort-Manager komplizierter ist als Passwoerter auf Klebezettel schreiben, werden die Leute Klebezettel nutzen.

Gehen Sie mit gutem Beispiel voran. Wenn Sie Ehrenamtliche bitten, Zwei-Faktor-Authentifizierung zu nutzen, stellen Sie sicher, dass jedes Vorstandsmitglied sie zuerst aktiviert hat.

Gemeinschaftsorganisationen laufen auf Vertrauen. Cybersicherheit bedeutet nicht, Technikexperte zu werden -- es bedeutet, ein verantwortungsvoller Verwalter dieses Vertrauens zu sein. Und die gute Nachricht ist, dass eine Handvoll einfacher Schritte, konsequent angewendet, Ihre Gemeinschaft vor der ueberwiegenden Mehrheit digitaler Bedrohungen schuetzen kann.

Communify nimmt Sicherheit ernst, damit Sie kein Experte sein muessen -- verschluesselte Daten, rollenbasierter Zugriff, automatische Backups und eingebaute DSGVO-Konformitaet. Schuetzen Sie die Informationen Ihrer Mitglieder ohne Kopfschmerzen. Treten Sie der kostenlosen Beta bei und halten Sie Ihre Gemeinschaft sicher.