IT-Sicherheit – Startups sollten sich rechtzeitig Gedanken machen

von Marc Fliehe

Seit den Berichten über PRISM, Tempora und andere Abhörmaßnahmen von Geheimdiensten wird hierzulande häufiger über Datenschutz debattiert. Wenn man den Ereignissen etwas Positives abgewinnen will, so ist es dieses gestiegene Bewusstsein für Datensicherheit. Dabei sind Bedrohungen durch Abhörmaßnahmen von Geheimdiensten nur eine Gefahr, für Unternehmen ebenso bedrohlich sind Angriffe von Hackern oder Cyberkriminellen – oder Ausspähaktionen durch die Konkurrenz.

Startups befinden sich in einer besonderen Situation: Auf der einen Seite eine gute, schützenswerte Idee, die nötig ist, um zu wachsen und ein Business zu entwickeln. Und auf der anderen Seite häufig viel zu wenig Mittel, um das zu tun. Irgendwann läuft das Geschäft an und das Unternehmen wächst – oft schneller, als die Strukturen mitwachsen können. Das ist dann der wirklich kritische Zeitpunkt für die IT-Sicherheit.

Die IT muss mit dem Business mitwachsen und gerade in anfangs kleinen Netzen sind die Entwicklungssprünge groß. Vom Einzelplatz zum Netzwerk. Vom lokalen Netzwerk in einem Büro zu einem WAN, einem Wide Area Network, das mehrere Büros und Mitarbeiter an mehreren Standorten miteinander vernetzt.

Auf die Schnelle werden Lösungen für IT-technische Probleme – beispielsweise für die Kollaboration und den Austausch von Daten – ins Leben gerufen, gerne auf kreativste Art und Weise. Was dann möglicherweise gut funktioniert ist dennoch fern von allem, was man mit IT-Sicherheit verbindet.

Sicherheit ist nicht sexy, eher lästig. Es ist so ähnlich wie mit dem Hausputz: Wenn alles gut funktioniert, merkt man nichts. Wenn die Sicherheit oder der Hausputz vernachlässigt wird, dann erst merkt man das – im Idealfall schnell. Bei der IT-Sicherheit kann es allerdings länger dauern. Oft werden die Daten nur entwendet, das merkt man nicht sofort, wohl aber auf lange Sicht. Etwa wenn man auf eine Messe fährt um dort stolz den Prototypen zu präsentieren – und am Stand nebenan steht das Gerät bereits.

Startups sollten bei den oben skizzierten Entwicklungssprüngen aufmerksam werden und unbedingt über ihre IT-Sicherheit nachdenken und welche neuen Anforderungen sie erfüllen muss. Einige Fragen, die in diesen Situationen helfen können, um die Sicherheit der Unternehmensdaten zu gewährleisten:

  • Wer hat Zugriff auf welche Daten?
  • Wie kann ich sicherstellen, dass die Daten nur verschlüsselt übertragen werden?
  • Wie vertrauenswürdig ist der gewählte Anbieter (für Webshops, Datenaustausch über die Cloud, E-Mail)?
  • Welchen Datenschutzbedingungen unterliegen die Daten dort?
  • Wie kann ich sicherstellen, dass alle Anwender sichere Passwörter verwenden?
  • Sind die Daten auf mobilen Endgeräten genauso geschützt, wie auf dem PC?
  • Wie werden die Daten als Backup gesichert?
  • Wie werden die Daten physikalisch gesichert (Stichwort: Alarmanlage, Verschlüsselung der Festplatte)
  • Kommen verschiedene Betriebssysteme und Anwendungen zum Einsatz? Wie kann dort die Versorgung mit Updates sichergestellt werden?

Oft werden auch eigene Privatgeräte in Startups genutzt. Da ist die Gefahr für die Daten durch Angreifer besonders groß, da die Geräte in verschiedensten Netzwerken aktiv und mit beliebig viel Fremdsoftware installiert sein kann.

Die Erfahrung zeigt: Die Sicherheit der Unternehmensdaten ist nur so gut, wie das jeweils schwächste Glied in der Kette ist. Dort werden die Sicherheitsvorfälle am ehesten entstehen.

Marc Fliehe ist Referent für IT-Sicherheit beim BITKOM e.V.

No Comments

Sorry, the comment form is closed at this time.