Im Internet findet man unzählige Tipps, wie man Startup-Unternehmen den nötigen Aufschwung verleihen kann. Normalerweise wird die Aufmerksamkeit hierbei oft auf Themen wie Geschäftsplanung, Marketingstrategie, Gewinnung zusätzlicher Investitionen etc. gelenkt. Dabei wird in den Artikeln selten das Problem des Aufbaus eines soliden Cybersicherheitssystems behandelt. Das fehlende Verständnis für mögliche Bedrohungen kann ein Startup jedoch ein potenziell erfolgreiches Unternehmen kosten. Deshalb möchten wir in diesem Artikel über die häufigsten Fehler im Bereich der Cybersicherheit sprechen und, was noch wichtiger ist, wie man diese vermeidet.
Der Ursprung des Problems
Es folgt eine klassische Startup-Story: Sie und Ihr bester Freund haben eine brillante Idee, die Sie mit Ihren engsten Freunden und Verwandten teilen, versammeln eine Gruppe von Enthusiasten und voilà: das Dream-Team ist bereit, es mit der ganzen Welt aufzunehmen. So begannen bekanntlich die Erfolgsgeschichten von Airbnb, Pinterest, Twitter, Uber und vielen anderen berühmten Projekten.
Zu Problemen kommt es jedoch meist dann, wenn ein Startup von einer anfänglichen Idee zum Aufbau echter Workflows übergeht und zusätzliches Personal einstellt. An diesem Punkt erweitert sich die kleine Gruppe von Gleichgesinnten und wächst zu einem Team willkürlicher Personen mit unterschiedlichen Lebensansichten und -erfahrungen. In einem solchen Team haben die Mitarbeiter möglicherweise sehr unterschiedliche Vorstellungen davon, welche Informationen als vertraulich zu betrachten sind und wie diese sicher aufbewahrt werden können.
Hier ein Beispiel: Einer der Mitarbeiter findet es unheimlich praktisch, das Passwort für einen bestimmten Online-Dienst für alle zugänglich auf einer Tafel zu verewigen. Sein Gedanke dahinter? Jeder, der es benötigt, kann schnell und einfach darauf zugreifen. Im selben Atemzug postet jedoch ein weiterer Mitarbeiter ein Selfie aus eben diesem Büro in einem sozialen Netzwerk mit der Unterschrift: „Wer würde vertrauliche Informationen auf einer Tafel notieren, die für jeden zugänglich sind“? Diese Art von Missverständnissen ist einer der Gründe, warum junge Startups auf Cybersicherheitsprobleme stoßen können. Und dieses Problem kann nur durch die Entwicklung einer gesunden Cybersicherheitskultur gelöst werden.
Darüber hinaus sind Personen, die sich für den Einstieg in ein Startup-Unternehmen entscheiden, oft Enthusiasten und Abenteurer – sie verlieben sich schnell in eine Geschäftsidee, können andererseits aber auch schnell das Interesse verlieren und das Unternehmen wieder verlassen. Hinzu kommt, dass moderne Startups nicht selten auf IT-Spezialisten angewiesen sind, die im Laufe ihrer Karriere häufig für viele verschiedene Unternehmen arbeiten und sich nicht auf einen Arbeitgeber versteifen.
Das Zusammenspiel dieser beiden Tatsachen kann eine relativ hohe Mitarbeiterfluktuation zur Folge haben. Unter solchen Rahmenbedingungen können sich verschiedene Fehler leicht vermehren, insbesondere solche, die im Zusammenhang mit der Cybersicherheit stehen. Eine Cyberbedrohung, die im Normalfall schnell erkannt werden kann, könnte in diesem Fall beispielsweise schnell übersehen werden.
Cybersicherheit: die häufigsten Fehler
Stellen Sie sich vor: Ihr einst so kleines Startup hat sich scheinbar von einem Augenblick auf den nächsten in ein vollwertiges Unternehmen verwandelt. Welche Cybersicherheitsfehler könnten Sie bisher begangen haben?
Übermäßige Zugriffsrechte
Wenn ein Startup-Mitarbeiter Zugriff auf Unternehmensressourcen oder -dienste benötigt, erhält er häufig sofort Administratorrechte. Die Person, die diese Zugriffsrechte teilt, denkt normalerweise, dass es einfacher ist, einmal den Zugriff auf alle Ressourcen zu gewähren – ohne die wirklichen Bedürfnisse eines bestimmten Mitarbeiters und seine Verantwortlichkeiten zu kennen – als jede Woche neue Zugriffsanfragen zu beantworten. Doch je mehr Zugriffsrechte ein Mitarbeiter hat, desto größer auch die Wahrscheinlichkeit einer Kompromittierung. Wenn Sie die Anzahl von Cybervorfällen minimieren möchten, sollte jeder Workflow-Teilnehmer nur die Zugriffsrechte erhalten, die für seine Aufgaben auch tatsächlich erforderlich sind.
Fehlende Regeln zur Daten- und Dateispeicherung
Im Grunde genommen ist dies ein großer Minuspunkt für jedes Unternehmen. Dennoch ist die Wahrscheinlichkeit, dass sich wichtige Arbeitsdateien eines Tages verlieren, aufgrund der oben erwähnten Personalfluktuation in einem Startup deutlich größer. Höchstwahrscheinlich existieren die benötigten Dateien irgendwo, aber wo genau bleibt vermutlich für immer ein Rätsel – oder das Geheimnis eines Marketingpraktikanten, der das Unternehmen vor kurzem wieder verlassen hat.
Vergessene Passwörter
Ein weiteres häufiges Problem sind vergessene Passwörter für soziale Unternehmensnetzwerke oder andere selten genutzte Dienste. Vielleicht richtet ein neuer Mitarbeiter ein Facebook- oder LinkedIn-Konto ein, um das Geschäft zu fördern, gibt die Kontodaten jedoch nicht an andere Mitarbeiter weiter und wechselt kurz darauf das Unternehmen – die Anmeldeinformationen sind weg, und es besteht kaum eine Chance auf Wiederherstellung.
Gemeinsame Konten & Passwörter
Einige Leute mögen vielleicht denken, dass es eine gute Idee sei, gemeinsame Konten zu verwenden. Aber je mehr Menschen ein Passwort kennen, desto wahrscheinlicher ist es, dass es aufgrund von Phishing, Fahrlässigkeit oder böswilliger Absicht geleakt wird. Darüber hinaus wird die Analyse im Falle eines Vorfalls erheblich erschwert. Stellen Sie sich vor, Angreifer verschaffen sich Zugriff auf eines Ihrer Konten – die Sicherheitsexperten haben die Vermutung, dass das Passwort von Malware abgefangen wurde und wollen den Computer eines Mitarbeiters überprüfen, der Zugriff auf das kompromittierte Konto hatte. Nur um dann festzustellen, dass jeder Mitarbeiter potenziell Zugriff auf das Konto gehabt haben könnte!
Passwörter in Cloud-Diensten
Ein weiterer Fehler ist das Speichern von Passwörtern in einer Google-Docs-Datei; denn eine falsche Einrichtung der Datei bedeutet, dass so gut wie jeder mit Zugriff auf den Link auch auf die Datei zugreifen kann. Der offensichtliche Vorteil ist, dass die jeweiligen Informationen bequem an alle Mitarbeiter weitergegeben werden können. Es reicht aus, alle erforderlichen Passwörter in einem Dokument zusammenzutragen und einen Link zu teilen. Allerdings können solche Google-Dokumente von Suchmaschinen indexiert werden. Mit anderen Worten, die Datei mit all Ihren Passwörtern könnte möglicherweise in die falschen Hände geraten.
Fehlende Zwei-Faktor-Authentifizierung
Einige der genannten Probleme könnten deutlich entschärft werden, wenn Start-ups der Zwei-Faktor-Authentifizierung auf Arbeitskonten mehr Aufmerksamkeit schenken würden. Auf diese Weise können Sie wichtige Daten vor verschiedenen Diebstahlmethoden wie Phishing schützen. Zunächst sollte auf jeden Fall ein zweistufiger Schutz für alle Finanzdienste wie Upwork gelten.
Universelle Tipps zur Prävention von Cyberbedrohungen
Um die „typischen“ Fehler zu vermeiden, die viele Kleinunternehmen und Start-ups begehen, haben wir folgende Tipps für Sie zusammengefasst:
- Wenn es um den Zugriff auf Ressourcen oder Dienste geht, sollten Sie immer dem Zero-Trust-Sicherheitsmodell folgen. Mit anderen Worten: ein Mitarbeiter muss nur über die Zugriffsrechte verfügen, die für die Ausführung seiner Aufgaben notwendig sind.
- Sie sollten genauesten darüber Bescheid wissen, wo wichtige Unternehmensinformationen gespeichert sind und wer Zugriff darauf hat. Darüber hinaus sollten sie grundlegende Richtlinien festlegen, die eine klare Definition darüber enthalten, welche Konten für jeden Mitarbeiter benötigt werden und welche nur für bestimmte Arbeitsrollen eingeschränkt verfügbar sind.
- Eine ausgereifte Cybersicherheitskultur kann dabei helfen, viele Cyberbedrohungen zu verhindern. Erstellen Sie beispielsweise ein Cybersicherheitshandbuch, damit all Ihre Mitarbeiter auf dem gleichen Stand sind. Hier finden Sie ein gutes Beispiel für einen Leitfaden zur Informationssicherheit für neue Mitarbeiter.
- Alle Passwörter müssen in einem sicheren Passwortmanager gespeichert werden. So helfen Sie Ihren Mitarbeitern keine Kennwörter mehr zu vergessen oder zu verlieren, und die Wahrscheinlichkeit zu minimieren, dass Außenstehende Zugriff auf Ihre Konten erhalten. Aktivieren Sie darüber hinaus die Zwei-Faktor-Authentifizierung wann immer möglich.
- Legen Sie Ihren Mitarbeitern ans Herz, ihre Computer zu sperren, wenn sie sich vom Schreibtisch entfernen – auch, wenn es nur eine kurze Kaffeepause ist. Sie sollten bedenken, dass ein Büro immer auch von unbekannten Dritten besucht werden kann, einschließlich Kurieren, Kunden, Subunternehmern oder Arbeitssuchenden.
- Ziehen Sie in Erwägung ein Antivirus zum Schutz Ihrer Geräte vor Viren, Trojanern und anderen schädlichen Programmen zu installieren.
Eine Vielzahl von Bedrohungen kann mit Kaspersky Small Office Security abgewehrt werden. Diese Lösung schützt nicht nur die Geräte Ihrer Mitarbeiter vor Ransomware und anderen gängigen Cyberbedrohungen, sondern integriert darüber hinaus einen Passwort-Manager.