2022 / Datendiebstahl / Datenschutz / IT Security / Strategie

Start-ups und ihre unverzichtbare IT-Security

Start-ups sind in letzter Zeit ein beliebtes Ziel für IT-Angriffe geworden. Mittlerweile versuchen Cyberkriminelle gar nicht mehr zwangsläufig die großen Unternehmen zu erwischen, sondern nisten sich in den IT-Systemen der kleinen Firmen und Betriebe ein. Haben sie dort erst einmal Fuß gefasst, stehen ihnen meist alle Türen offen, denn in IT-Security investieren die meisten kleineren Betriebe leider erst ganz zuletzt oder dann, wenn es schon zu spät ist.

Das Budgetproblem

Eine Einplanung von IT-Sicherheitsmaßnahmen in das Budget ist essentiell. Wenn kein Budget vorhanden ist, fallen die Maßnahmen überwiegend gering aus und dedizierte Mitarbeiter:innen werden in Start-ups ebenfalls nur selten eingesetzt. Ein großes Problem, denn so ist die gesamte Infrastruktur in einem Start-up von Anfang an besonders fragil und somit vergleichsweise einfach angreifbar.

In diesem Beitrag möchten wir genau darauf hinweisen. Besonders fokussieren wir uns darauf, warum IT-Security in Start-ups unfassbar wichtig geworden ist und mit jedem Monat und Tag im Jahr wichtiger wird.

Ideen in einem Start-up sollten geschützt werden

Start-ups sind gut im Prototyping und erfinden von neuen Produkten. Sie betreiben Marketing, nutzen Guerilla-Methoden, um ihre Firma bekannt zu machen, und sind auch sonst besonders agil und somit ständig mit neuen Ideen beschäftigt. Doch genau das ist beim Thema Security der springende Punkt.

Oftmals sind es genau diese neuen Ideen, die ein Start-up überhaupt erst ausmachen. Wertvoll werden Start-ups also durch neue Wege oder gar Technologien, Dinge eben, die sie anders handhaben als die altgedienten Veteranen in der Branche. Kommt nun ein Angreifender an diese Ideen oder den Source Code einer firmeneigenen Software, kann das Start-up immens an Wert verlieren. Es verliert seinen Unique Selling Point.

Solche Ideen müssen in einem Start-up entsprechend geschützt werden. Durch Zugangskontrollen, abgeschlossene Bereiche und sichere Serverstrukturen, die ein Eindringen so schwer wie nur irgendwie möglich machen. Genau das kann auch gelingen, doch dafür muss ein Budget für den Sicherheitsbereich festgelegt werden. Genau wie der Praktikant niemals einen erfahrenen Social Media Manager ersetzen wird, kann ein Laie auch zu keinem Zeitpunkt die gesamte IT-Security in einem Start-up kontrollieren.

Start-ups sind ein beliebtes Angriffsziel für Hacker

Die Cyberangriffe gegen Start-ups werden immer mehr, wobei laut Studie des VDE der Faktor Mensch mit 69% das größte Sicherheitsrisiko darstellt. Längst sind die großen Fische am Markt gar nicht mehr im Fokus der Hacker und Erpresser. Die Start-ups sind es, die am meisten zu verlieren haben und genau das haben auch die Angreifer mittlerweile für sich entdeckt.

Kleine und mittelständische Unternehmen, also auch Start-ups, sind demnach ständigen Angriffen ausgesetzt. Ob sie diese nun bemerken oder nicht, eine frühzeitige Investition Abwehrmechanismen als Schutzschild der eigenen Infrastruktur ist essentiell.

Außerdem wachsen Start-ups größtenteils rasant und Angreifende wissen, dass gerade Start-ups damit schnell überfordert sind. Denn dort, wo plötzlich eine Vielzahl an Daten, Zahlungen, Gelder und Kunden verwaltet werden müssen, muss auch die Technik dahinter nahtlos skalieren. Gelingt das nicht perfekt, entstehen augenblicklich große Sicherheitslücken und Schwachstellen, die dann wiederum gnadenlos ausgenutzt werden.

DSGVO bringt empfindliche Strafen mit sich

Neben dem Datenverlust oder der Erpressbarkeit durch Hackerangriffe, gibt es in Deutschland noch die DSGVO. Die behält sich mittlerweile empfindliche Strafen vor, wenn ein Start-up oder ein anderes Unternehmen nicht dafür Sorge trägt, dass personenbezogene Daten entsprechend geschützt werden.

Schon allein aufgrund der DSGVO ist es also empfehlenswert dafür zu sorgen, dass die IT-Security dem aktuellen Standard entspricht. Ein schneller Online-Check reicht da nicht aus. Es braucht für ein Sicherheitskonzept schon einen entsprechenden Audit und einen Sicherheitsexperten, der die IT-Systeme genauestens im Blick behält und regelmäßig auf Schwachstellen überprüft.

Strafen von bis zu 20 Millionen Euro oder auch 4 Prozent des jeweiligen Jahresumsatzes werden fällig, sollten entsprechend gravierende DSGVO-Verstöße vorliegen. Demnach ist die DSGVO auch nicht auf die leichte Schulter zu nehmen und gerade Start-ups, die noch keine Erfahrung mit der Sicherung personenbezogener Daten besitzen und sich meist auf Drittanbieter oder SaaS verlassen, müssen hier wirklich aufpassen. Dass die Bußgelder auch verteilt werden, zeigte sich 2019. Ein Krankenhaus in Rheinland-Pfalz musste 105.000 EUR bezahlen, wie wir in dem entsprechenden Artikel berichteten.

Wenn Start-ups ihre Reputation und ihr Invest verlieren

Die meisten Start-ups bauen auf Risikokapital oder sind vom Gründer entsprechend vorfinanziert. Je nach Größe, versteht sich, wobei sich der Einsatz kaum voneinander unterscheidet. Immer steht viel auf dem Spiel und sowohl die Reputation als auch das investierte Vermögen sollten keinem unnötigen Risiko ausgesetzt werden.

Was zudem oft unterschätzt wird, ist, dass sich eine umfangreiche IT-Security nicht einfach und schnell über Nacht implementieren oder gar aufsetzen lässt. Vielmehr sollte von Anfang an eine Art Sicherheitskultur im Start-up herrschen. In jedem Prozess muss somit das Verständnis dafür vorhanden sein, dass es sich unter Umständen um einen sicherheitsrelevanten Bereich handelt, der entsprechend geschützt werden muss. Solch eine Kultur entsteht über Jahre, nicht von jetzt auf gleich.

Je früher die IT-Sicherheit also angegangen wird, desto besser funktioniert sie in einem Start-up. Schon von Beginn an sollten sich die Unternehmen mit dem Thema IT-Security befassen und festlegen, welche Rolle diese im eigenen Unternehmen spielen wird. Auf diese Weise bleiben Schwachstellen von Anfang an aus und typische Fehler können im besten Fall gänzlich vermieden werden

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.