Laut dem Allianz-Risikobarometer liegt Cyberkriminalität noch vor Betriebsunterbrechungen und rechtlichen Veränderungen auf Platz eins der Geschäftsrisiken. Dies bestätigt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) laut dem in Deutschland bereits mehr als 70 Prozent aller Unternehmen Opfer eines Hackerangriffs waren. Ein Viertel dieser Cyberangriffe führte laut der Behörde zu Betriebsausfällen.
Betroffen sind neben Konzernen und Behörden immer häufiger auch Gründer und Start-ups. Die Redaktion von Gründerblatt hat deshalb gemeinsam mit Sicherheitsexperten von IQunit zehn Sicherheitstipps erarbeitet, die auch kleinen Unternehmen ohne großes Budget dabei helfen, ihre Cybersicherheit deutlich zu verbessern.
In den meisten Neugegründeten Unternehmen ist noch kein ausreichendes Budget für einen IT-Sicherheitsspezialisten vorhanden. Es sollte trotzdem ein IT-affiner Mitarbeiter bestimmt werden, der den Überblick über die vorhandene Hard- und Software hat und bei Fragen und Problemen als Ansprechpartner dient. Außerdem sollte der festgelegte Mitarbeiter die Koordination externer IT-Dienstleister übernehmen, deren Hilfe bei Spezialaufgaben wie der Active Directory Security auch in kleinen Unternehmen unumgänglich ist.
In den meisten Start-ups arbeiten zumindest einige Mitarbeiter, die praktisch mit dem Internet aufgewachsen sind. Es handelt sich dabei zwar nicht um ausgebildete IT-Sicherheitsspezialisten, in der Regel reicht deren Wissen aber trotzdem aus, um Bedrohungen wie Phishing-Mails oder zu schwache Passwörter zu erkennen und die Kollegen darüber zu informieren. Eine Frage-Antwort-Kultur ist deshalb speziell im Zusammenhang mit der Cybersicherheit sinnvoll.
Besonders bei Neugründungen ist das IT-Umfeld häufig sehr dynamisch. Ein Mitarbeiter sollte deshalb ein Inventar der verwendeten Hard- und Software pflegen, um einen Überblick über die Infrastruktur zu erhalten. Sicherheitsrisiken wie veraltete Software können so frühzeitig erkannt und behoben werden. Hilfreich ist dafür eine Visualisierung der gesamten Technik. Die einfachste Möglichkeit eine solche Liste zu pflegen ist zum Beispiel der Einsatz von Sharepoint innerhalb eines entsprechenden Microsoft 365 Plans.
Das Ziel professioneller Cyberkrimineller ist fast nie die bloße Zerstörung der IT-Landschaft. In vielen Fällen bemerken Unternehmen deshalb gar nicht, dass ihr Netzwerk seit Monaten infiltriert wurde und wichtige Unternehmensdaten permanent gestohlen werden. Es ist deshalb sinnvoll ein Monitoring der IT-Infrastruktur zu etablieren, das plötzliche Veränderungen wie mehr Datenverkehr oder eine höhere Serverauslastung bemerkt. Moderne Tools können aus diesen Daten mithilfe von Algorithmen oft automatisch einen Cyberangriff erkennen, der ohne ein Monitoring nicht auffallen würde. Unter anderem ein Tool wie Splunk oder ein ELK Stack können hier weiterhelfen und solche Analysen automatisieren.
Eine 2-Faktor-Authentifizierung (2FA) erhöht das Sicherheitsniveau im Vergleich zu Passwörtern enorm und sollte deshalb verwendet werden. Leider unterstützten auch heute viele Programme noch immer nicht deren Nutzung. Es sollte deshalb zumindest darauf geachtet werden, dass im Unternehmen nur sichere Passwörter genutzt werden, die sich bei jedem Account unterscheiden. Um den Überblick trotzdem zu behalten, kann ein Passwortmanager eingesetzt werden. Zum Beispiel kann man sich ganze Sätze einfacher merken als ein Passwort mit kryptischen Zeichen. Aus einem leicht zu merkenden Satz wird so leicht ein sicheres Passwort. Zur Erhöhung der Komplexität kann man in den Satz noch Sonderzeichen einbauen wie % oder !.
Eine Antivirensoftware und eine Firewall können zwar vor vielen Cybergefahren schützen, bieten aber keine komplette Sicherheit. Sicherheit in der IT definiert sich niemals über den einfachen Einsatz von ein paar Produkten. Sie sollten deshalb immer nur als Teilaspekt innerhalb eines Sicherheitskonzeptes gesehen werden und nicht dazu führen, dass Mitarbeiter das Thema IT-Sicherheit vernachlässigen.
Updates von Windows und der eingesetzten Software werden von vielen Mitarbeitern als störend empfunden, sind aber essenziell für die IT-Sicherheit. Es sollte deshalb ein Patch-Management etabliert werden, dass regelmäßige Aktualisierungen garantiert.
In der wachsenden IT-Infrastruktur kommt es durch fehlerhafte Konfigurationen von Hard- und Software, veraltete Protokolle oder Firmware und Schwachstellen schnell zu Sicherheitsrisiken. Es sollte deshalb auch in Start-ups regelmäßig eine Schwachstellenanalyse erfolgen, um diese Sicherheitslücken aufspüren und schließen zu können.
Ein sogenannter Penetrationstest (Härtetest) der IT-Infrastruktur ist eine Prüfung durch einen externen Spezialisten. Durch den unabhängigen Blick und das Expertenwissen können Pentester, die versuchen wie ein Hacker in das System einzudringen, häufig Schwachstellen finden. Unternehmen, die sich diese Sicherheitsdienstleistung nicht leisten können, sollten zumindest eine Software für einen automatisierten Pentest nutzen und diese regelmäßig verwenden.
Auch das beste Sicherheitskonzept ist keine Garantie dafür, dass nicht doch ein Cyberangriff Erfolg haben kann. Es sollte deshalb ein Notfallplan erarbeitet werden, der Erstmaßnahmen definiert, die bei einem erfolgreichen Angriff erfolgen. Wichtig sind dabei unter anderem welche Mitarbeiter und welche externen Dienstleister umgehend verständigt werden müssen. Das BSI hat dazu einen Maßnahmenkatalog erarbeitet, über den alle Mitarbeiter informiert werden sollten.
Auf diesen Seiten stellen wir Ihnen Businessplan-Tools und Handbücher vor, die wir für Sie im Web – ohne Gewähr – recherchiert haben. Damit Sie gut informiert in Ihre Gründung starten können!
Übersicht über unsere drei Businessplan-Tools
(eines davon kostenlos zum Download)
Hinter Gründerblatt selbst steckt ein praxis- erprobtes Netzwerk an Berater/innen, die Sie gerne auch persönlich bei Ihrer Gründung begleiten. Diese Dienstleistung ist kostenpflichtig, kann aber unter bestimmten Konditionen im Rahmen von geförderten Beratungen bis zu 80 % bezuschusst werden.
Mehr zu unserem Beratungsangebot:
Übrigens: Über die „Förderung unternehmerischen Know-hows“ des BAFA können Sie sich auch eine professionelle Unterstützung und Beratung unmittelbar nach Ihrer Gründung fördern lassen – so umschiffen Sie die ersten Hürden, die oft zu Beginn einer Selbständigkeit auftreten!
Viel Erfolg mit Ihrer Existenzgründung!