Die Cybersicherheitsfehler, die Tech-Start-ups laut einem Experten machen

Wenn es eine Sache gibt, die dein Tech-Start-up aus dem Jahr 2025 mitnehmen sollte, dann die, dass kein Unternehmen zu klein ist, um ein Ziel für Cyberkriminelle zu sein. Tatsächlich sind KMU jetzt aufgrund ihrer begrenzten Ressourcen und wertvollen Kundendaten attraktivere Ziele für Ransomware als etablierte Unternehmen.

Oft fehlen Start-ups das Wissen oder die Ressourcen, die sie benötigen, um frühzeitig gute Entscheidungen in ihrem Unternehmen zu treffen. Wir haben uns an einen IT-Sicherheitsexperten gewandt, der häufig mit Tech-Start-ups zusammenarbeitet, um Einblicke zu gewinnen, was Unternehmen wissen müssen, wenn sie gerade erst anfangen.

Gary Power, COO und Director of Client Services bei Power Consulting(neues Fenster), verfügt über 25 Jahre Erfahrung in der ausgelagerten IT-Branche. Power Consulting arbeitet eng mit Unternehmen aller Größen in allen Branchen zusammen und bietet Dienstleistungen wie Managed IT Services, strategische IT-Planung sowie Cybersicherheitsaudits und -services an.

Wir haben mit Gary gesprochen, um zu verstehen, wo Tech-Start-ups in ihren Unternehmen frühzeitig Fehler machen.

Dein Unternehmen ist nicht zu klein für Cybersicherheitsmaßnahmen

Mit unserem Data Breach Observatory verfolgte Proton geleakte Geschäftsdaten im Dark Web, um zu verstehen, wen Hacker ins Visier nahmen und wie Unternehmen gehackt wurden. Wir deckten 794 Datenlecks auf, insgesamt mehr als 300 Millionen geleakte Datensätze, und es wurde offensichtlich, dass kleinere Organisationen zunehmend gefährdet sind.

Dein Unternehmen kann davon profitieren, zu untersuchen, wie und warum andere Unternehmen von Datenlecks betroffen waren. Die Erkenntnisse aus dem Data Breach Observatory sowie unsere Cybersicherheitsempfehlungen für Tech-Start-ups findest du in unserem neuesten eBook, The breaches that broke 2025.

E-Book herunterladen

Ob ihr Anmeldedatenmanagement unzureichend war oder sie Schutzmaßnahmen wie Ende-zu-Ende-Verschlüsselung nicht nutzten, es scheint, dass KMU entscheidende Fehler in ihren Sicherheitspraktiken machen. Und wenn kleine Unternehmen weiterhin anfällig für Cyberbedrohungen bleiben, wird dies letztendlich Branchen und Innovationen auf der ganzen Welt schaden, indem es das Unternehmenswachstum einschränkt.

Gary merkt an, dass ein wichtiger Teil des angemessenen Schutzes deines Unternehmens darin besteht, deine Denkweise in Bezug auf die von dir eingesetzten Sicherheitsmaßnahmen zu ändern.

„Am Anfang stellen Gründer normalerweise reaktive Fragen wie ‚Brauchen wir das?‘ oder ‚Ist das übertrieben für unsere Größe?‘ Wenn sie reifen, verschieben sich die Fragen zu ‚Was würde uns tatsächlich daran hindern, gehackt zu werden?‘ und ‚Wie skalieren wir sicher, ohne das Unternehmen zu verlangsamen?‘“

Anstatt Schritte zu überspringen, wenn sich dein Unternehmen etabliert, investiere von Anfang an in deine Cybersicherheit. Schließlich sagt Gary: „Die erfolgreichsten Gründer erkennen, dass Sicherheit ein Ermöglicher ist, kein Hindernis.“

Herkömmliche Tools sind nicht automatisch sicher

Wenn es an der Zeit ist, die Tools auszuwählen, wie die E-Mail-, Drive– und Passwort-Manager-Lösungen, die dein Unternehmen nutzen wird, macht deine Wahl einen großen Unterschied. Gary warnt davor, anzunehmen, dass beliebte und moderne Lösungen automatisch die sicherste Option sind.

„Der größte blinde Fleck ist die Annahme, dass Sicherheit ‚implizit‘ ist, weil sie moderne Tools oder Cloud-Plattformen verwenden. Gründer glauben oft, dass Microsoft 365, Google Workspace oder AWS automatisch sicher bedeuten. In Wirklichkeit stammen die meisten Datenlecks von Fehlkonfigurationen, schwachen Identitätskontrollen, schlechter Zugriffshygiene und mangelnder Überwachung – nicht von exotischen Hacking-Techniken.“

Das mag nicht positiv klingen, ist es aber: Es ist viel schwieriger, ausgefeilte Hacking-Techniken vorherzusagen und zu verhindern, als starke Identitätsmanagement- und Überwachungspraktiken in deinem Netzwerk aufzubauen. Die von Gary hervorgehobenen Probleme können wie folgt angegangen werden:

• Gründliche Sicherheitspraktiken für Webanwendungen, die es dir ermöglichen, potenzielle Bedrohungen für deine Umgebung zu identifizieren und zu mindern.
• Identitätsmanagement-Maßnahmen wie Single Sign-On (SSO) und Zwei-Faktor-Authentifizierung (2FA), die dein Unternehmensnetzwerk schützen und es gleichzeitig für Teammitglieder einfacher und sicherer machen, auf dein Unternehmensnetzwerk zuzugreifen.
• Dark Web-Überwachung ist ein hilfreiches Tool, das dich informieren kann, wenn deine Geschäftsdaten im Dark Web auftauchen, sodass du schnell handeln und ein Datenleck verhindern kannst.

Menschliches Versagen ist eine ernste Bedrohung

Es spielt keine Rolle, ob deine Tools sicher sind, wenn sie nicht sicher verwendet werden. Menschliche Fehler sind tatsächlich eine der größten Cybersicherheitsbedrohungen für dein Unternehmen. Angriffsflächen wachsen exponentiell dank der Komplexität moderner Unternehmensnetzwerke, die von Teammitgliedern verlangen, Dutzende von Konten mit einzigartigen Passwörtern zu erstellen und möglicherweise von ihren persönlichen Geräten auf diese Konten zuzugreifen.

„Ein weiteres großes Versäumnis ist die Unterschätzung des menschlichen Risikos: Phishing, Wiederverwendung von Anmeldedaten und nicht verwaltete Geräte sind normalerweise das Einfallstor.“

Diese Risiken können auf mangelndes Bewusstsein für Cybersicherheit und unklare Erwartungen darüber zurückgeführt werden, wie oder ob über die persönlichen Geräte von Teammitgliedern auf dein Unternehmensnetzwerk zugegriffen werden kann. Glücklicherweise können sie leicht mit einem zweigleisigen Ansatz aus Richtlinien und Bildung angegangen werden:

• Unternehmensweite Schulungen darüber, wie man Phishing-Betrug und andere Arten von Malware(neues Fenster) erkennt, helfen jedem Teammitglied, dein Unternehmensnetzwerk zu schützen
• Eine Richtlinie für Remote-Arbeit und eine Bring-Your-Own-Device (BYOD)-Richtlinie, falls für dein Unternehmen relevant
• Ein sicherer Passwort-Manager für Unternehmen stellt sicher, dass deine Passwort-Richtlinien durchgesetzt werden und dass sensible Anmeldedaten an einem zentralen Ort gespeichert und bei Bedarf sogar sicher teilbar sind.

„Frühe Entscheidungen werden zu dauerhaften Standards“, sagt Gary. „Identitätsmodelle, Datenstandorte, Administratorzugriff und Gerätestandards sind unglaublich schwer später rückgängig zu machen – besonders wenn Kunden, Investoren und Regulierungsbehörden involviert sind. Sicherheitsschulden häufen sich genau wie technische Schulden an. Es ist weitaus billiger und weniger störend, frühzeitig gute Leitplanken zu setzen, als Kontrollen nach einem Datenleck, einem Prüfungsausfall oder einer Ablehnung der Cyberversicherung nachzurüsten.“

Sicherheitsgrundlagen sind wichtiger als Tools

Tools sind nicht die einzige Überlegung, die Unternehmen anstellen müssen, wenn sie auf den Markt kommen. Deine IT-Infrastruktur bestimmt, wie sicher Teammitglieder arbeiten können, wie gut du Risiken erkennen und wie schnell du Probleme mindern kannst.

Gary erklärt, wie die Experten von Power Consulting den Aufbau der IT- und Cybersicherheitsinfrastruktur für Start-ups angehen. „Wir konzentrieren uns auf Grundlagen vor glänzenden Tools.“

• Richte starke Richtlinien für Identitäts- und Zugriffsmanagement ein, einschließlich MFA und „Least Privilege“, was bedeutet, dass Personen nur Zugriff auf die Systeme haben sollten, die sie benötigen.
• Sichere deine Endpunkte, einschließlich der persönlichen Geräte der Mitarbeiter, vom ersten Tag an. Geräteverwaltungssoftware kann dir helfen, den Überblick zu behalten, wer sich wo in dein Netzwerk einloggt.
• Nutze zentralisierte Protokollierung und Überwachung, damit Probleme wie unbefugter Zugriff oder Kontodatenlecks nicht unbemerkt bleiben.
• Bereite dich mit geeigneten Sicherungs- und Wiederherstellungstools auf einen Vorfall vor, wie z. B. unveränderliche Backups (die nach ihrer Erstellung nicht mehr geändert werden können) oder Offsite-Schutz, bei dem kritische Daten gesendet und abseits deines Hauptgeschäftsstandorts gespeichert werden.

Indem du dein Unternehmen auf soliden Grundlagen aufbaust, investierst du letztendlich in ein sichereres Unternehmen für deine Zukunft. Die Zeit, die du in den Aufbau einer sicheren Infrastruktur investierst, ist das Geld wert, das du sparen wirst, und das Risiko, das du langfristig vermeidest.

Nimm dir die Zeit für eine ordnungsgemäße Einrichtung

Gary empfiehlt, sich auf deine Identitätsarchitektur zu konzentrieren, da dies der Bereich mit den größten Auswirkungen auf die Sicherheit ist. Jedes Teammitglied hat eine digitale Identität, die ihm Zugriff auf die Daten und Tools ermöglicht, die es in deinem Unternehmensnetzwerk benötigt, und dies gut zu konfigurieren, macht später den Unterschied.

„Schlechte Identitätsarchitektur ist am schwersten rückgängig zu machen – geteilte Konten, schwache MFA-Akzeptanz und zu viele Administratoren schaffen langfristiges Risiko“, erklärt Gary. „Unstrukturierte Datenflut ist ein weiteres großes Problem; sobald sensible Daten über persönliche Drives, E-Mail-Posteingänge und nicht verwaltete SaaS-Apps verstreut sind, ist es schmerzhaft, die Kontrolle zurückzugewinnen. Schließlich führt ein Mangel an Dokumentation und Eigentum frühzeitig zu Verwirrung und blinden Flecken, wenn Teams wachsen.“