von Lindsay Nash | Juli 30, 2021 | Artikel
Dies ist Teil 1 einer fünfteiligen Serie, in der wir untersuchen, warum Sicherheit bei der Fördermittelvergabe wichtig ist und worauf Sie bei der Bewertung eines Fördermittelmanagementsystems achten sollten.
Es scheint, als würden wir jeden Tag mehr über Datenlecks und Datenschutzverletzungen hören. Sie fragen sich vielleicht, wie sich das auf Sie auswirkt. Welche Risiken bestehen speziell für Fördermittel- und Stipendienprogramme?
Von Cyberangriffen bis hin zu physischem Verlust gibt es eine Reihe möglicher Risiken, die bei der Bewertung eines Fördermittelmanagementsystems berücksichtigt werden müssen. Lesen Sie weiter, um mehr über die spezifischen Risiken zu erfahren, denen Ihr Programm ausgesetzt sein kann.
Es gibt verschiedene Formen von Cyberangriffen, die oft in Verbindung miteinander eingesetzt werden. Sie können von einfachen Eindringversuchen technisch Neugieriger bis hin zu ausgewachsenen Katastrophen reichen, die ganze Städte lahmlegen.
Malware ist bösartige Software, die unbefugten Zugriff auf Netzwerke zum Zwecke von Diebstahl, Sabotage oder Spionage ermöglicht. Es gibt verschiedene Arten von Malware, darunter dateilose Malware, Spyware, Adware und Ransomware. Von all diesen ist Ransomware vielleicht die bekannteste. Ransomware-Angriffe verhindern im Kern, dass eine Organisation auf ihre Daten zugreifen kann, es sei denn, ein Lösegeld wird gezahlt.
Im Jahr 2018 wurden die Städte Baltimore und Atlanta in den USA mit Ransomware angegriffen, was alle städtischen Aktivitäten zum Erliegen brachte. Insgesamt kosteten diese Angriffe jede dieser Städte mehr als 17 Millionen US-Dollar.
Phishing tritt auf, wenn ein Angreifer, der sich als vertrauenswürdige Entität ausgibt, ein Opfer dazu verleitet, eine E-Mail, eine Sofortnachricht oder eine Textnachricht zu öffnen. Der Empfänger wird dann dazu gebracht, auf einen bösartigen Link zu klicken, was zur Installation von Malware, zum Einfrieren des Systems als Teil eines Ransomware-Angriffs oder zur Preisgabe sensibler Informationen führen kann, die dann für betrügerische Zwecke gegen ihn verwendet werden können.
Man-in-the-Middle-Angriffe beinhalten, dass Angreifer sich als Relais oder Proxys in eine laufende, legitime Konversation oder Datenübertragung einfügen. Sie nutzen die Echtzeit-Natur von Konversationen und Datenübertragungen aus, um unentdeckt zu bleiben, während sie vertrauliche Daten abfangen oder bösartige Daten und Links auf eine Weise einfügen, die von legitimen Daten nicht zu unterscheiden ist.
Stellen Sie sich dies als eine Art „Abhören“-Angriff vor, bei dem Ransomware, Malware, böswillige Beschädigungen und andere bösartige Aktivitäten vom „Man-in-the-Middle“ ausgeführt werden könnten.
Ein Denial-of-Service (DoS)-Angriff ist eine Art Cyberangriff, der einen Computer oder ein anderes Gerät für seine Benutzer unzugänglich macht, indem er eine Zielmaschine mit Anfragen überlastet oder überflutet.Diese Anfragen stauen sich an, bis normaler Datenverkehr nicht mehr verarbeitet werden kann, was zu einer Dienstverweigerung für zusätzliche Benutzer führt. Im Grunde wird der Computer, der die von Ihnen benötigten Dienste ausführt, nicht funktionieren.
SQL („sequel“) steht für Structured Query Language und ist eine häufig verwendete Programmiersprache. Ein SQL-Injection-Angriff besteht aus dem Einfügen einer SQL-Abfrage durch Hinzufügen von Daten vom Client zur Anwendung. Eine erfolgreiche SQL-Injection kann sensible Daten lesen und ändern und Administrationsoperationen auf der Datenbank ausführen.
Dieser Begriff bezieht sich auf die Zeitspanne zwischen einer neu entdeckten Software-Schwachstelle und dem Zeitpunkt, den der Softwareanbieter hat, um sie zu beheben, die „null Tage“ beträgt, da die Entwickler das gerade aufgedeckte Problem beheben müssen, bevor es von Hackern ausgenutzt wird.
Wenn die Hacker die Sicherheitslücke ausnutzen, bevor der Softwareanbieter das Problem beheben konnte, spricht man von einem Zero-Day-Angriff.
Bots sind Internet-Roboter, die wiederkehrende Aufgaben im Internet ausführen, wie die Indizierung von Suchmaschinen. Bots können jedoch auch so programmiert werden, dass sie bösartige Aufgaben ausführen, wie das Protokollieren von Tastatureingaben, das Weiterleiten von Spam oder andere zerstörerische Aktionen.
Ein Bot-Angriff ist der Einsatz automatisierter Webanfragen, um eine Website, Anwendung, API oder Endbenutzer zu manipulieren, zu betrügen oder zu stören, und kann aus verschiedenen Gründen eingesetzt werden, wie z. B.: Content-Scraping, Kontoübernahme, Missbrauch von Formularübermittlungen, Phishing, DDoS und vieles mehr. Im Kontext von Fördermitteln oder Stipendien sind DDoS und Formularmissbrauch die häufigsten Ziele von Bot-Angriffen und können zu unzähligen falschen Einreichungen oder einer vollständigen Störung Ihrer Plattform führen.
Physische und menschliche Bedrohungen sind eine Realität für jede Organisation – nicht nur für Fördermittel-und Stipendienprogramme. Diese Risiken dürfen nicht übersehen werden, insbesondere bei der Bewertung, ob überhaupt Online-Software verwendet werden soll.
Wenn Ihr Programm über Papieranträge und -bewertungen oder auf einem lokalen Computer gespeicherte Tabellenkalkulationen läuft, sind Sie den Realitäten physischer Risiken wie Feuer, Überschwemmung, elektrischen Fehlern und böswilliger Beschädigung ausgesetzt. Selbst wenn Sie Online-Software verwenden, wie einfach wäre es für einen verärgerten Kollegen, auf Ihre Software zuzugreifen und den Löschknopf für mehrere oder alle Ihrer Programm-Datendateien zu drücken?
Diebstahl, Betrug und Spionage sind erschütternde Realitäten des Lebens. Es mag unwahrscheinlich erscheinen, aber man kann es nie ausschließen. Wenn Sie mit der Verteilung von Fördermitteln zu tun haben, sind Sie besonders gefährdet. Aber es ist auch nicht auf Fördermittelprogramme beschränkt. Haben Sie eine ungesicherte papierbasierte oder Tabellenkalkulationsliste aller zu bezahlenden Bankkonten? Ist es möglich, ein Bankkonto auf dieser Liste hinzuzufügen/zu ändern/zu löschen? Was ist sonst noch ungesichert? Wie einfach ist der Zugriff?
Selbst in Online-Software gespeicherte Daten können gestohlen, ausspioniert oder anfällig für Betrug sein. Teilen Sie Anmeldeinformationen mit einem ganzen Büro? Was hindert jemanden daran, Daten zu ändern? Woher wüssten Sie, wer es getan hat? Ist es dieses Risiko wert?
Programme, die bereits digitale Programme ausführen, sind auch Risiken des Verlusts durch unzuverlässige digitale Systeme oder die unangemessene Verbindung von zwei oder mehr Softwareprodukten als „Hack“-Projekt ausgesetzt, um das Einreichungs- und Bewertungsergebnis zu erzielen.
Viele Programme werden immer noch über zusammengeschusterte Systeme aus Tabellenkalkulationen, Online-Formularen und E-Mails betrieben – von denen keines speziell für die Verwaltung von Fördermittel-, Stipendien- oder Finanzierungsanträgen und deren Bewertung entwickelt wurde.
Diese Softwareprodukte sind völlig ungesichert und leicht zu umgehen. Ohne Softwareanbieter zu nennen, fanden Teenager im COVID-Lockdown heraus, wie man richtige Antworten in einem Online-Fragebogen identifiziert – einfach indem sie die Seite mit ihrem Browser inspizierten.
Ebenso sind diese zusammengeschusterten Systeme fehleranfällig. Sollte ein Softwareprodukt aus irgendeinem Grund ausfallen, könnte das gesamte System mit ihm ausfallen.
Es ist nicht einfach, unseriöse oder unreife Software zu identifizieren. Die Marketing-Websites sagen all die richtigen Dinge und die Software-Oberflächen mögen recht gut sein! Leider sind die meisten dieser Systeme unzuverlässig und instabil – oft stürzen sie in ungünstigen Momenten ab.
Es gibt mittlerweile mehrere Länder/Regionen mit Compliance-Gesetzen bezüglich des Umgangs mit personenbezogenen Daten, und diese Liste der Länder und Regionen wächst stetig. Diese Gesetze sind weitreichend (manchmal kontinentübergreifend) und sehen harte Strafen bei Nichteinhaltung vor. Zum Beispiel können in der Europäischen Union bei Nichteinhaltung der GDPR Bußgelder 10 Millionen Euro oder 2 % des Umsatzes des Vorjahres betragen! Und das gilt für weniger schwerwiegende Verstöße.
Bei schwerwiegenden Verstößen steigt das auf 20 Millionen oder 4 %, je nachdem, welcher Betrag höher ist! Niemand möchte auf der falschen Seite stehen. Zu den bekannteren Compliance-Gesetzen gehören:
Dies ist Teil 1 einer fünfteiligen Serie, die sich mit der Sicherheit von Software für das Fördermittelmanagement befasst. In Teil 2 werden wir behandeln, warum die Verwendung eines Online-Systems als Best Practice und die bevorzugte Option zur Durchführung Ihres Fördermittel- oder Stipendienprogramms gilt.
Möchten Sie mehr erfahren? Laden Sie unser kostenloses E-Book herunter, das eine praktische Checkliste enthält, mit der Sie verschiedene Fördermittelmanagementsysteme bewerten können.
Artikel
Funktionen im Fokus
E-Books
Videos
Veröffentlichungen
Δ