Skip to main content

Wer ein Unternehmen gründet, der holt sich spätestens dann Beratung vom Anwalt, wenn es bei der Einrichtung einer Website oder bei der Verwaltung von Kundendaten um die DSGVO geht. Dass die Verarbeitung der Daten von KundInnen und MitarbeiterInnen recht komplizierten Regeln unterliegt, ist inzwischen bekannt. Umso entspannter widmen sich viele junge UnternehmerInnen dann der Realisierung ihres Business-Modells, wenn diese unangenehme Sache geregelt ist.

IT-Sicherheit: Je später du handelst, desto teurer wird es

Aber halt! Genauso wichtig, wenn nicht sogar noch wichtiger, ist die Einführung einer verlässlich sicheren IT-Infrastruktur. Schließlich kann ein Datenleak oder ein erfolgreicher Cyberangriff nicht nur das mühsam erarbeitete Kundenvertrauen kosten, sondern auch erhebliche finanzielle und organisatorische Belastungen nach sich ziehen. Zum Beispiel werden bei Ransomware-Attacken alle Daten im Netzwerk verschlüsselt und erst nach einer Lösegeldzahlung wieder freigegeben. Das kann einem jungen Unternehmen richtig wehtun.

Gefährlicher Irrtümer bei IT-Sicherheit

Bei einem Startup geschieht die Weichenstellung für die IT-Sicherheit meist schon in den ersten Wochen. Die Datenbank und das Netzwerk werden eingerichtet und müssen später dynamisch mitwachsen. Prozesse und Personal werden zugewiesen und bilden die Grundlage für die weitere Entwicklung. Je größer das Unternehmen wird, desto grundlegender sind die Eingriffe, die vorgenommen werden müssen, wenn die IT-Infrastruktur sich als nicht sicher erweist. Wo liegen die Gefahren, und was muss ein Gründer berücksichtigen?

„Bei uns gibt’s doch keine Gefahren!“

Gefährlich sind grundsätzlich alle Schnittstellen, wo sensible Daten mit der „Außenwelt“ verbunden sind. Und das betrifft nicht nur das Netzwerk, das unbedingt mit einer Firewall vom Internet abgeschirmt sein sollte. Beim „Social Engineering“ erweisen sich auch die MitarbeiterInnen als Gefahrenquelle. Sie werden als Schwachstelle ausgenutzt, um Zugriff auf die Daten zu erhalten. Sie klicken auf infizierte Dateien, die sie per E-Mail bekommen. Oder sie nutzen fremde, ungesicherte Netzwerke und Geräte oder geben gar sorglos Zugangsdaten in der Öffentlichkeit preis.

EXTRA: Limited statt GmbH? Das musst du wissen

Niemand ist sicher

Gefährdet sind grundsätzlich alle Branchen. Cyber-Security-Firmen betreiben Server-Parks von so genannten „Honeypots“, also ungesicherten Servern, die automatisierte Angriffe anlocken und dokumentieren. Daher kennen wir die ungeheure Zahl der drohenden Angriffe und wissen, dass mit einer großen Wahrscheinlichkeit jeder Server, der gehackt werden kann, irgendwann auch ins Visier der Angreifer rückt.

Die fünf wichtigsten Sicherheitsmaßnahmen für Startups

Um die Gefahren abzuwehren, sollte jedes Startup von Anfang an die folgenden Grundregeln befolgen:

  1. Systeme schützen – Durch Virenschutz-Software und ähnliche Vorkehrungen werden alle Schnittstellen nach außen abgesichert. Wir Fachleute nennen das „Endpoint Protection“.
  2. Passwörter sichern – Häufig erhalten AngreiferInnen den Zugriff auf die Daten, indem sie Benutzername und Passwort knacken. Hier helfen strikte Regelungen und die Verwendung eines Passwort-Manager-Tools.
  3. Software aktuell halten – Die AngreiferInnen ändern immer wieder ihre Tricks und nutzen neu entdeckte Sicherheitslücken, deshalb müssen stets die neusten Updates aufgespielt werden.
  4. IT-Struktur geschlossen halten – Viele Angriffe erfolgen über ungesicherte WLANs, fremde Geräte oder auch nur einen ungeprüften USB-Stick. Dafür muss auch das Mitarbeiterteam sensibilisiert werden.
  5. Verantwortung vergeben – MitarbeiterInnen müssen die Verantwortung für die IT-Sicherheit übernehmen und stets die unbequemen Fragen stellen. Nur so können alle Risiken entdeckt und minimiert werden.

Übrigens: Nicht nur die Organisation des Unternehmens muss sicher sein – auch das Produkt oder die Dienstleistung, die vertrieben werden sollen. Ein Beispiel hierfür sind viele moderne Geräte im „Internet der Dinge“: eine IP-Kamera oder ein vernetztes Türschloss muss nicht nur gegen direkte Angriffe gefeit sein, sondern auch über eine Routine verfügen, wie automatisiert aktuelle Sicherheitspatches aufgespielt werden können. Wenn du all diese Punkte abhaken kannst, dann kannst du dich ruhigen Gewissens der Realisierung deiner Geschäftsidee widmen.

Ruediger Trost

Als Head of Cyber Security Solutions bei F-Secure DACH berät Rüdiger Trost Unternehmen bei der Erstellung von umfassenden Sicherheitskonzepten und unterstützt diese bei der Implementierung von Sicherheitslösungen. Der Diplom Wirtschaftsinformatiker erarbeitete sich sein fundiertes Wissen über IT Security in verschiedenen technischen Positionen bei namhaften Systemhäusern und Herstellern.

Der Artikel hat dir gefallen? Gib uns einen Kaffee aus!

2 Comments

  • Olaf Barheine sagt:

    Fehlt da nicht der wichtigste Punkt in der Auflistung der Sicherheitsmaßnahmen: regelmäßige Sicherheitskopien? Im Schadensfall ist bei mir je nach Schwere nach spätestens einer Stunde alles wiederhergestellt.

  • Alexander Nagy sagt:

    Es ist ein sehr interessanter und wichtiger Artikel.Startups sind häufige Ziele für Hacker, da sie zwar nicht über das Budget für ein Sicherheitsteam verfügen, aber dennoch einen Wert darstellen. Ich würde noch Sicherheitstests auf der Liste schreiben. Es gibt viele open-source und kostenlose Tools zur Schwachstellenanalyse, um das Firmennetzwerk/Anwendung zu testen.

Leave a Reply