cyber attacke it sicherheit startups

Viren und Co kommen nicht immer harmlos daher. IT-Sicherheit ist ein ernstzunehmendes Thema – gerade für Startups.

Risiken jenseits des Cashflows

Im vergangenen Jahr schufen 388 Millionen Unternehmer weltweit neue Arbeitsplätze. In der Europäischen Union gingen 85 Prozent aller neuen Arbeitsplätze zwischen 2002 und 2010 auf das Konto kleiner und mittelständischer Unternehmen. Doch Startups sind diversen Gefahren ausgesetzt, denn ein Unternehmen ist am schwächsten, wenn es gerade durchstartet. Die Budgets sind oft sehr knapp und gerade zu Beginn gehen die Jungunternehmer Risiken ein, um später die Früchte zu ernten. Vielleicht haben sie sogar ein paar grundlegende Maßnahmen getroffen, um ihre große Idee zu schützen. Sie waren vorsichtig dabei, wen sie eingestellt und wem sie ihren Businessplan gezeigt haben.

Anzeige
Aber es gibt Risiken, die weit über einen negativen Cashflow und falsche Angestellte hinausgehen – in der modernen digitalen Wirtschaft sind Informationen die eigentliche Währung und Cyberkriminelle sind darauf aus, diese von Unternehmen zu stehlen. Bei Startups machen sie keine Ausnahme: Im vergangenen Jahr wurden Unternehmen mit weniger als 250 Beschäftigten am häufigsten angegriffen. 31 Prozent aller gezielten Angriffe 2012 hatten kleine Unternehmen im Visier – eine Verdreifachung im Vergleich zu 2011.

Startups als Sprungbrett für Cyberkriminelle

Was macht Startups so attraktiv für Angreifer? Erstens sind sie in der Regel einfachere Ziele. Bei der Gründung einer neuen Firma ist es für den frühen Erfolg wichtig, eine gute Online-Präsenz zu schaffen. Hier zählt das Motto „Zeit ist Geld“, weshalb die Jungunternehmer ihre Website so schnell wie möglich online stellen. Viele neue Webseiten werden so ohne Rücksicht auf deren Sicherheit angelegt, so dass sie besonders anfällig für Angriffe sind. Eine solche Attacke kann für ein gerade erst geborenes Startup-Unternehmen verheerende Folgen haben. Auch wenn keine finanziellen Informationen oder sensible Daten verloren gehen, kann ein Angriff die Website für Wochen lahmlegen oder gar die Computer neuer Kunden infizieren, die diese Webseite besuchen.

Ein alarmierender Trend zeigt sich zudem darin, dass kleine Unternehmen oftmals nicht das endgültige Ziel eines Angriffs sind – sondern nur ein „Sprungbrett“. Die Cyberkriminellen brechen in die Infrastruktur kleiner Geschäftspartner ein, um sie als Hintertür zu nutzen und von dort in Konzerne einzudringen, die Waren und Dienstleistungen der kleinen Unternehmen für ihr Geschäft brauchen. Eine junge Firma, die sich selbst nur schwach vor Angriffen schützt, nimmt mehr Risiko als nötig in Kauf. Ein erfolgreicher Angriff kann ausreichen, um frühzeitig den Ruf zu schädigen, noch bevor das Unternehmen richtig Fuß gefasst hat.

Vier von fünf Unternehmen betroffen

Es ist ein Irrglaube, dass ein junges Unternehmen vor den Angreifern eine Weile unbemerkt bleibt. Sobald eine Web-Domain eingerichtet und die ersten E-Mails oder Instant Messages gesendet oder empfangen wurden, beginnen die Angriffe auf die entsprechenden Benutzerkonten. Einige der Angriffsmethoden kennt man zur Genüge, so etwa Spam-Mails mit bösartigen Links oder web-basierte Malware, die die Kontrolle über Rechner übernimmt.

Im Jahr 2012 stieg die Zahl der web-basierten Angriffe um 30 Prozent. Ein normaler Anwender erhält innerhalb von zwei Monaten Dutzende von Spam-Mails, von denen nur einige wenige schädlich sind. Wenn das Startup ein knappes halbes Jahr alt ist, sind es pro Anwender bereits mehrere Hundert Spam-Nachrichten mit Dutzenden von gefährlichen Links oder Anhängen. Einige Unternehmen werden förmlich bombardiert, weil Cyberkriminelle deren Domains stärker ins Visier nahmen; zum Beispiel, weil ein Mitarbeiter seine geschäftliche E-Mail in einem öffentlichen Forum oder Blogs verwendete, die von Hackern zum Sammeln von E-Mail-Adressen aufgesetzt wurden. Innerhalb von zehn Monaten verbreiten sich diese feindlichen Inhalte dann innerhalb der Firma auf andere Konten. Nur ein einziger Mitarbeiter muss dann auf den scheinbar unverdächtigen Link klicken, um seinen Rechner zu infizieren und die darauf gespeicherten Daten zu gefährden.

Insgesamt gibt es bei vier von fünf kleinen Unternehmen im Laufe des ersten Jahres einen IT-Sicherheitsvorfall.

Die große Idee schützen

Wie können sich Startups heutzutage vor den neuen Bedrohungen schützen? Sie sollten jetzt einen vollständigen Plan für den Schutz ihrer Informationen entwickeln.

Wissen, was geschützt werden muss: Die Firma ist ein kleines Startup, also reicht auch eine kleine Lösung? Falsch. Entscheidend ist, in welcher Branche das Startup tätig ist. Für eine kleine Pizzeria bedeutet IT wahrscheinlich nur: ein paar Online-Einträge und eine Lösung, mit der sie die Zahlungsinformationen ihrer Kunden schützt. Ein kleiner Finanzdienstleister dagegen muss strenge Verschlüsselungsrichtlinien der Branche einhalten und genau wissen, wo seine Daten liegen. Er muss beim Thema IT-Sicherheit ähnliche Anforderungen erfüllen wie Konzerne. Startups müssen daher mit ihrem (Technologie-)Anbieter sehr genau diese Anforderungen abklären, damit sie das für sie passende Sicherheitsniveau erhalten.

Sichern der Online-Aktivitäten: Mit einer starken Authentifizierung und Secure-Sockets-Layer-(SSL)-Zertifikaten kann ein Startup sich und seine Kunden bestens schützen. Im Internet wimmelt es von Webseiten, die bösartig und infiziert sind, auch wenn sie vetrauenswürdig aussehen. Solche Seiten stehlen die Informationen potenzieller Kunden, sobald diese die Seite besuchen. Ein SSL-Zertifikat authentifiziert die Identität der Firmenseite und ist ein sichtbarer Indikator, dass dem Startup Sicherheit am Herzen liegt. Das schafft Vertrauen bei den potenziellen Webkunden. Außerdem ist mit dem Zertifikat auch eine Verschlüsselung möglich. Damit können Informationen, die über die Webseite ausgetauscht werden, nicht abgefangen oder von Unbefugten gelesen werden.

Einsetzen einer Anti-Malware-Lösung: Typischerweise sichern Startups ihre Web Domain recht schnell ab, Emails und Endpunkte dagegen werden tendenziell vernachlässigt. Das macht das Unternehmen verwundbar für diverse Bedrohungen. Außerdem ist es mit einer Anti-Virus Software alleine nicht getan. Moderne Sicherheitslösungen können weit mehr, als vor Viren und Spam zu schützen: Sie überprüfen regelmäßig, ob die Größe eines Files sich plötzlich verändert. Die Lösungen scannen verdächtige Programme, die bekannter Malware ähnlich sehen, dubiose Email-Anhänge und bei anderen Warnzeichen. Auch die Aktualität der Lösung ist ein wichtiger Aspekt, wenn es um den Schutz der Informationen geht. Täglich werden neue Viren, Würmer, Trojaner und andere Malware geschrieben, und Mutationen von diesen können von einer Software unbemerkt bleiben, wenn sie nicht up-to-date ist.

Nutzen der Cloud: Security aus der Cloud ist weit mehr, als Kosten sparen. Mit Security aus der Cloud können Startups ihr Geschäft schnell und einfach schützen. Die meisten Sicherheitsprobleme treten auf, weil Systeme nicht gepatcht wurden und unzureichend konfiguriert sind. Mit einer Cloudlösung werden diese Probleme automatisch behoben, so dass junge Firmen jederzeit vor den neuesten Viren und anderen Schädlingen geschützt sind. Außerdem sichert ein Cloud-Backup die Daten vor Verlust, wobei die Kosten für eine Cloudlösung vergleichsweise gering sind – unabhängig davon, ob es sich um eine Zehn-Mann-Agentur oder um einen weltweit agierenden Automobilhersteller handelt. Startups sind etablierten Firmen weit voraus, was den Einsatz von Cloudlösungen zum Informationsschutz angeht – 83 Prozent der Unternehmen, die es seit ein bis zwei Jahren gibt, haben in den letzten 24 Monaten in den Bereich investiert, 37 Prozent planen es für das nächste Jahr. Im Vergleich dazu haben nur 30 Prozent der Unternehmen, die sechs bis zehn Jahre alt sind, Cloud Security gekauft – und nur 24 Prozent planen es für das kommende Jahr.

Einen zuverlässigen Partner finden: Normalerweise fehlt es Startups an dezidiertem IT-Personal, das ihnen beim Schutz ihrer Informationen unter die Arme greift. Die Jungfirmen können aber von den Managed Service Providern (MSPs) profitieren, derer es immer mehr auf dem Markt gibt. Diese bieten Backup und Security Services und die gleiche Cloud-Technologie zu günstigen Preisen an. „Set it and forget it“ sollte das Ziel sein, vor allem, da es keinen Angestellten braucht, der sich noch um die Technologie kümmern muss. Der Provider sollte alle wichtigen Technologien bereitstellen wie Anti-Malware, Web Security, Datensicherung, Verschlüsselung und Data Loss Prevention.

Fazit: Sicherheit von Anfang an

Startups können es sich im wahrsten Sinne nicht leisten, sich für zu klein zu halten und deswegen das Thema Sicherheit zu ignorieren. Cyberkriminelle arbeiten rund um die Uhr an neuen Attacken und ausgefeilten Methoden, mit denen sie die traditionelle Erkennung umgehen. Wenn bereits die kleinste Schwachstelle schonungslos ausgenutzt werden kann, wird es zur echten Herausforderung, geschützt zu bleiben.

Anzeige
Startups sollten Cyber-Sicherheit daher von Anfang an als erfolgskritische Investition betrachten, die so selbstverständlich ist, wie eine Geschäftslizenz zu bekommen oder Rechner zu kaufen. Andernfalls sind sie gefährdet, sobald ihre Domain live geht. Junge Unternehmen können heute von umfangreichen Lösungen profitieren, die Bedrohungen über Email, Web bis hin zu Instant Messaging abwehren. So bleiben ihre Informationen von dem Moment an geschützt, in dem der Gründer seinen ersten Kaffee auf- und seine brilliante Idee in die Realität umsetzt.

Weiterführende Quellen:

Global Entrepreneurship Monitor
Symantec Internet Security Threat Report Volume 18

Bild: Flickr/LaMenta3