Startups & Informationssicherheit

16 Apr 2019

Für gewöhnlich werden Start-up-Unternehmen von Personen ins Leben gerufen, die eine innovative Idee so schnell wie möglich in die Tat umsetzen möchten. Das Geld ist normalerweise knapp und die Ausgaben für die Produktentwicklung, Werbung etc. relativ hoch. Wenn es um die Verwaltung von Prioritäten geht, vernachlässigen aufstrebende Geschäftsleute dabei gerne Angelegenheiten, die im Zusammenhang mit der Informationssicherheit stehen. In diesem Beitrag möchten wir näher darauf eingehen, warum das der falsche Weg zum Erfolg ist.

Dem Hacker ist’s Speise, dem Startup Gift

Viele Startups vertrauen darauf, dass kleine Unternehmen mit begrenzten Ressourcen für Cyberkriminelle nicht von besonderem Interesse sind, und versuchen deshalb, am falschen Ende zu sparen – nämlich an der Sicherheit. Doch was viele nicht wissen: Jeder kann Opfer von Cybercrime werden. Viele Cyberbedrohungen haben ein massives Ausmaß, was ihren Entwicklern dabei hilft, so viele Fliegen wie möglich mit einer Klappe zu schlagen. Darüber hinaus sind nicht ausreichend geschützte Startups besonders leichte (und damit auch sehr attraktive) Beute für Cyberkriminelle.

Während Großunternehmen manchmal Monate brauchen, um sich von einem Cyberangriff zu erholen, überlebt ein kleines Unternehmen einen solchen Vorfall meist nicht. So führten im Jahr 2014 feindlich gesinnte Aktivitäten von Cyberkriminellen beispielsweise zur Schließung eines Startups namens Code Spaces; ein Hosting-Anbieter, der Tools für das gemeinsame Projektmanagement zur Verfügung stellte. Die Angreifer verschafften sich Zugriff auf die Cloud-Ressourcen des Unternehmens und zerstörten einen erheblichen Teil der Kundendaten. Zwar versuchten die Anbieter so viele Daten wie möglich wiederherzustellen, schafften es jedoch nicht zu ihren normalen Unternehmenstätigkeiten zurückzukehren.

Fehler, die Sie Ihr Unternehmen kosten können

Um Ihr Start-up-Unternehmen auch mit einem begrenzten Budget angemessen zu schützen, ist es sinnvoll, vor der Markteinführung ein spezifisches Bedrohungsmodell zu erstellen, um herauszufinden, welche Risiken für Ihr persönliches Business relevant sind. Im Anschluss haben wir die typischen Fehler vieler Jungunternehmer für Sie zusammengefasst.

1. Mangelndes Wissen über die Gesetze zur Speicherung und Verarbeitung personenbezogener Daten

Viele Regierungen setzen sich für die Sicherheit ihrer Bürger ein. Innerhalb der Europäischen Union sorgt beispielsweise die DSGVO für den Schutz personenbezogener Daten, während es in den USA zahlreiche Rechtsakte für verschiedene Branchen und Staaten gibt. Denken Sie daran: All diese Gesetze gelten; und das auch völlig unabhängig davon, ob Sie sie gelesen haben, oder nicht.

Selbstverständlich können die Strafen für einen Verstoß gegen die geltenden gesetzlichen Bestimmungen unterschiedlich ausfallen, aber gerade fahrlässige Handlungen werden Sie mit großer Wahrscheinlichkeit viel Geld kosten. Im schlimmsten Fall müssen Sie sogar den Betrieb Ihres Unternehmens einstellen, bis jegliche Nichtkonformitäten aus der Welt geschafft sind.

Und noch ein weiteres wichtiges Detail: Manchmal haben Gesetze eine umfassendere Reichweite, als Sie vielleicht erwarten. So gilt die DSGVO beispielsweise für alle Unternehmen, die Daten europäischer Bürger erheben, auch für solche aus Russland oder den USA. Daher ist es am besten, sowohl die inländischen Vorschriften als auch die Ihrer Partner und Kunden zu kennen.

2. Mangelnder Schutz von Cloud-Ressourcen

Viele Startups setzen auf öffentliche Cloud-Dienste wie Amazon AWS oder Google Cloud, aber nicht alle verwenden die richtigen Sicherheitseinstellungen für derartige Speicherplätze. In vielen Fällen werden Container mit Client-Daten oder Web-App-Code lediglich durch viel zu schwache Passwörter geschützt. Interne Unternehmensdokumente hingegen sind oftmals über direkte Links erreichbar oder sogar für Suchmaschinen sichtbar. Dadurch kann jeder an kritische Daten gelangen. In einigen Fällen kann, der Einfachheit wegen, auf wichtige, in Google Docs abgelegte Dokumente von Startups ohne jegliche Einschränkung zugegriffen werden – und das meist deshalb, weil vergessen wurde, den Zugriff zu beschränken.

3. Unerwartete DDoS-Angriffe

DDoS ist eine effiziente Möglichkeit, eine Internetressource außer Gefecht zu setzen. Im Darknet sind solche Dienste relativ kostengünstig und daher sowohl für Konkurrenten als auch für Cyberkriminelle, die sie als Cover für deutlich anspruchsvollere feindliche Vorhaben benötigen, relativ günstig.

Im Jahr 2016 sah sich ein Kryptowährungs-E-Wallet-Service namens Coinkite gezwungen, seinen Betrieb aufgrund fortwährender DDoS-Angriffe einzustellen. Nachdem die Firma dem Kampf mehrere Jahre standgehalten hatte, gab sie schlussendlich auf und konzentriert sich mittlerweile wieder auf Hardware-Wallets.

4. Unzureichendes Sicherheitsbewusstsein der Mitarbeiter

Leider gilt der „Faktor Mensch“ in so gut wie allen Unternehmen als schwächstes Glied. Angreifer sind sich dessen bewusst und verwenden raffinierte Social-Engineering-Methoden, um sich in das Unternehmensnetzwerk zu schleusen oder vertrauliche Informationen abzufangen.

Ein unzureichendes Sicherheitsbewusstsein ist für Unternehmen, die Freiberufler beschäftigen, doppelt gefährlich: Es kann eine große Herausforderung sein, zu kontrollieren, welche Geräte und welche Netzwerke sie für ihre Arbeit verwenden. Daher ist es besonders wichtig, alle Mitarbeiter zu einer sicherheitsorientierten Einstellung zu motivieren.

So hält sich Ihr Start-up über Wasser

Um Cyberkriminellen aus dem Weg zu gehen und Ihr Unternehmen zu schützen, sollten Sie das Thema Cybersicherheit bei der Aufstellung Ihres Geschäftsplans angemessen berücksichtigen:

  • Finden Sie heraus, welche Ressourcen primären Schutz benötigen und welche Sicherheits-Tools anfangs in Ihr Budget passen. Tatsächlich sind viele Schutzmaßnahmen nicht mit hohen Kosten verbunden.
  • Verwenden Sie starke Passwörter, um Ihre Arbeitsgeräte und Konten zu schützen. Unsere Lösung Kaspersky Small Office Security umfasst unseren Kaspersky Password Manager, der Ihnen dabei hilft, starke Passwörter zu generieren, die in verschlüsselten Containern gespeichert werden. Vergessen Sie nie die Zwei-Faktor-Authentifizierung zu aktivieren, falls möglich.
  • Überprüfen Sie alle Gesetze zur Datenspeicherung der Länder, in denen Sie tätig sein möchten, und stellen Sie sicher, dass der Workflow für die Speicherung und Verarbeitung persönlicher Daten Ihres Unternehmens mit diesen Gesetzen kompatibel ist. Falls möglich, wenden Sie sich an spezialisierte Anwälte, die sich mit den Fallstricken eines bestimmten Marktes auskennen.
  • Behalten Sie die Sicherheit von Diensten und Software von Drittanbietern im Auge. Wie gut geschützt ist das von Ihnen verwendete kooperative Entwicklungssystem wirklich? Ist Ihr Hosting-Anbieter sicher? Gibt es bekannte Schwachstellen in den von Ihnen verwendeten Open-Source-Bibliotheken? Diese Fragen sollten Sie mindestens genauso interessieren wie die Verbrauchereigenschaften des Endprodukts.
  • Steigern Sie das Sicherheitsbewusstsein Ihrer Mitarbeiter und animieren Sie alle Angestellten dazu, sich auf eigene Faust mit dem Thema vertraut zu machen. Wenn Ihr Unternehmen keine Cybersicherheitsspezialisten beschäftigt, machen Sie jemanden ausfindig, der sich für das Thema interessiert und engagiert.
  • Vergessen Sie nicht den Schutz Ihrer Computerinfrastruktur. Wir verfügen über eine Lösung für aufstrebende Unternehmen mit begrenztem Budget. Die Lösung hilft Ihnen dabei, die Sicherheitsüberwachung Ihrer Workstations und Server zu automatisieren und sichere Online-Zahlungen zu tätigen. Und noch besser: es sind keine Administrationsfähigkeiten erforderlich.