Skip to main content
Subscribe
Subscribe to our Newsletter Subscribe
Cybersicherheit

Maximale Sicherheit bei minimalen Kosten: Tipps von einem Startup-Cybersicherheitsprofi

Johnny Fitrakis
By
Johnny Fitrakis
Johnny Fitrakis

More about Johnny
QUICK SUMMARY

Startups sind beliebte Ziele für Angriffe, aber begrenzte Ressourcen erschweren die Verteidigung. Erfahre, wie du mit kostengünstigen und wirkungsvollen Maßnahmen das Beste aus deiner Cybersicherheitsstrategie herausholst.

TABLE OF CONTENTS Warum Startups mit Cybersicherheit kämpfen Das meiste aus dem Cybersicherheitsbudget herausholen Mit weniger mehr erreichen
CTO-Maximizing-Security-and-Minimizing-Cost-featured-image-2

Das Management von Cybersecurity-Risiken ist für Unternehmen jeder Größe schwierig. Besonders herausfordernd ist es jedoch für Startups, denen häufig Personal und finanzielle Ressourcen fehlen, um in eine robuste Cybersecurity-Software zu investieren – eine Tatsache, die ich aus meiner Erfahrung als Mitverantwortlicher für Cybersecurity in einem Startup im Bereich Cloud-Kostenmanagement gut kenne.

Glücklicherweise ist es durchaus möglich, Wege zu finden, das Budget für Cybersecurity optimal einzusetzen. Das beginnt damit, „Low-Hanging Fruit“ zu nutzen – also Maßnahmen, die Unternehmen mit geringem Aufwand, aber hohem Sicherheitsgewinn umsetzen können.

Im Folgenden zeige ich Beispiele für solche Praktiken und erläutere, warum kostenbewusste Startups sie als Möglichkeit nutzen sollten, ihre Risiken zu reduzieren, ohne das Wachstum einzuschränken.

Warum Startups mit Cybersecurity zu kämpfen haben

Bevor wir uns effektive und kostengünstige Maßnahmen ansehen, mit denen Startups Sicherheitsrisiken minimieren können, betrachten wir, warum gerade Startups oft keine gute Bilanz in Sachen Cybersecurity vorweisen können.

Der Hauptgrund ist einfach: Die meisten Startups befinden sich im Wachstumsmodus und es ist nur allzu verlockend, das Thema Sicherheit dem Wachstum unterzuordnen. Im Eifer, Produkte auf den Markt zu bringen und Umsätze zu erzielen oder zu steigern, wird Sicherheit viel zu oft zur Nebensache.

Hinzu kommt, dass den meisten Startups schlicht das Geld und die personellen Ressourcen fehlen, um sich umfassend den Sicherheitsherausforderungen zu widmen. Selbst wenn das Thema ernst genommen wird, fehlen oft die Mittel, Sicherheitsmaßnahmen so konsequent umzusetzen, wie man es eigentlich gerne würde.

Das meiste aus dem Cybersecurity-Budget herausholen

Nur weil Security für Startups eine Herausforderung darstellt, müssen sie sich nicht unnötigen Risiken aussetzen. Selbst junge Unternehmen mit sehr begrenzten Ressourcen können dank Praktiken wie den folgenden ihre Sicherheit mit geringem oder gar keinem Kostenaufwand verbessern.

A WEEKLY 5 MINUTE READ
Upgrade your inbox with more tech leadership wisdom for delivering better software and systems.

Upgrade your inbox with more tech leadership wisdom for delivering better software and systems.

This field is for validation purposes and should be left unchanged.
By submitting you agree to receive occasional emails and acknowledge our Privacy Policy. You can unsubscribe at anytime.

1. Durchführung von Security-Awareness-Trainings

Phishing zählt nach wie vor zu den verbreitetsten Arten von Cybersecurity-Bedrohungen. Über 90 Prozent der Unternehmen sahen sich 2023 einem Phishing-Angriff ausgesetzt.

Die gute Nachricht: Security-Awareness-Trainings für Mitarbeitende sind nachweislich wirksam, um das Risiko eines erfolgreichen Phishing-Angriffs zu senken. Zudem sind sie nicht sehr teuer – insbesondere für kleine Unternehmen. Das Training kann in Form von kurzen Präsentationen durch Sicherheitsbeauftragte erfolgen, und das Testen mit simulierten Phishing-Nachrichten, um zu prüfen, wer auf bösartige Inhalte klickt.

Ich habe diese Praxis in meinem Startup eingeführt und freue mich, sagen zu können, dass wir nach ein paar Trainingsrunden eine Klickrate auf simulierte Phishing-Inhalte von null Prozent erreicht haben – das heißt, alle unsere Mitarbeitenden zeigen das Sicherheitsbewusstsein, das unser Training vermitteln sollte.

2. Kostenlose Security-Add-ons aktivieren

Viele Anwendungen und Dienste bieten kostenlose, aktivierbare Sicherheitsfunktionen an. So gibt es beispielsweise bei den meisten Cloud-Anbietern optionale Multi-Faktor-Authentifizierung (MFA) ohne zusätzliche Kosten. Häufig können Sie auch Funktionen wie standardmäßige Datenverschlüsselung oder Einschränkung des öffentlichen Zugriffs einrichten, sofern Sie Letzteres nicht explizit konfigurieren.

Das Nutzen solcher Add-ons ist ein einfacher und praktisch kostenloser Weg, die Sicherheit zu verbessern. Der einzige Aufwand ist die kurze Zeit, die das Aktivieren der Features in Anspruch nimmt – und diese Investition ist im Verhältnis zum Zugewinn für die Gesamtsicherheit mehr als gerechtfertigt.

3. Patches installieren, installieren, installieren

Mehr als 50 Prozent erfolgreicher Cyberangriffe gehen auf einen einfachen Fehler zurück: nicht aktualisierte Software, also Anwendungen, die von Unternehmen nicht auf dem neuesten Stand gehalten werden.

Aus eigener Startup-Erfahrung weiß ich, wie überlastet IT-Teams oft sind und warum das Patchen manchmal nicht zur Priorität gemacht wird. Aber da viele Applikationen Updates automatisch installieren können, gibt es eigentlich keinen triftigen Grund, das Patchen zu vernachlässigen.

Es ist zudem wichtig, einen Patch-Prozess zu etablieren, der es dem Team ermöglicht, Updates vor der Verteilung mit automatisierten Tools zu prüfen und zu testen. Auch hier zahlt sich der geringe zeitliche Aufwand für die Einrichtung und Pflege einer Patch-Routine durch die zusätzliche Sicherheit langfristig deutlich aus.

4. Ressourcen taggen

Das Taggen von Ressourcen – also das Vergeben von Labels, die angeben, was die Ressource macht, wer sie angelegt hat, usw. – gilt als grundlegende Best Practice zur Kostenkontrolle, weil es erleichtert, überflüssige oder unnötig bezahlte Ressourcen zu erkennen.

Doch das Tagging spielt auch für die Sicherheit eine wichtige Rolle: Sind Ihre Ressourcen konsequent getaggt, lässt sich im Falle eines Sicherheitsvorfalls schnell herausfinden, wer die Zuständigkeit für eine Ressource trägt und gegebenenfalls reagieren. Damit bieten Tags eine kostengünstige Möglichkeit, die Mean Time to Remediate (MTTR), also die durchschnittliche Behebungsdauer von Sicherheitsereignissen, zu senken – ein zentraler Wert beim Messen der Cybersicherheit.

5. RBAC aktivieren

Die rollenbasierte Zugriffskontrolle, oder RBAC, ist eine weitere Funktion der meisten Softwareanwendungen oder Plattformen, die Sie kostenlos aktivieren können, aber die von Startups zu oft vernachlässigt wird. Anstatt jedem Nutzer ein Zugriffsniveau zu gewähren, das seiner Rolle gemäß dem Prinzip der geringsten Privilegien entspricht, neigen Startups dazu, beispielsweise alle zu Administratoren zu machen, weil es schneller und einfacher ist.

Aber auch hier ist der Aufwand, das sicherere Vorgehen zu wählen—also RBAC zu aktivieren und granulare Zugriffskontrollen für jeden Nutzer einzurichten—viel geringer als die Zeit und Kosten einer Sicherheitsverletzung, die durch überprivilegierte Nutzerkonten ausgelöst wird. Egal wie klein Ihr Unternehmen ist, nutzen Sie RBAC.

6. Das Passwortmanagement optimieren

Der ideale Weg, Passwörter zu verwalten, ist die Implementierung einer Single Sign-On (SSO)-Lösung, mit der Mitarbeitende sich einmal anmelden und auf alle Ihre Apps und Dienste zugreifen können. So wird die Angriffsfläche durch Zugangsdaten stark verkleinert. Allerdings können SSO-Dienste teuer sein und oft müssen Unternehmen Entwicklungsressourcen einsetzen, um solche Dienste zu integrieren. Aus beiden Gründen ist SSO nicht immer eine praktikable Lösung für Startups.

Passwortmanager sind die nächstbeste Option. Sie generieren Passwörter für einzelne Anwendungen automatisch und entsperren sie über ein Master-Passwort, das die Mitarbeitenden eingeben. Die meisten Passwortmanager kosten etwas Geld, sind aber günstiger als SSO-Dienste und benötigen keine Unterstützung von Entwicklern.

Der Punkt ist: Auch mit begrenztem Budget sollten Sie Maßnahmen ergreifen, um das Risiko zu minimieren, dass Angreifer Zugangsdaten missbrauchen – wenn nicht per SSO, dann über einen Passwortmanager.

Mehr erreichen mit weniger Mitteln

In einer perfekten Welt hätte jedes Startup unbegrenzte Ressourcen, um in Sicherheit zu investieren. In der Realität jedoch haben nur wenige Startups dieses Privileg, weshalb sie sich auf Maßnahmen konzentrieren müssen, die den größten Nutzen zum niedrigsten Preis bieten.

Mit diesem Ansatz minimieren kleine Unternehmen nicht nur ihre Risiken, sondern schützen auch ihre langfristigen Wachstumschancen. Schließlich ist die Fähigkeit, die Einhaltung von Best Practices der Cybersicherheit nachzuweisen, oft entscheidend im Kontakt mit Investoren und Unternehmenskunden und um die Zertifizierungen zu erhalten, die für den Markteintritt notwendig sind.

Das bedeutet: Investitionen in kosteneffiziente Cybersecurity-Praktiken sind nicht nur aus Sicherheitsgründen sinnvoll, sondern auch ein kluger Schachzug für Startups.

Weitere Tipps zur Cybersicherheit erhalten Sie, wenn Sie den Newsletter des CTO Clubs abonnieren.

You may also like