Die Meldungen über gehackte Firmenserver überschlagen sich zurzeit. Was können IT- und Webstartups tun, um ruhiger zu schlafen?

IT-Sicherheit (Bild: istockphoto)In einem Ingenieurbüro, in dem ich vor langer Zeit einmal gearbeitet habe, trat eines Montagmorgens der Ernstfall ein: Einbruch, Server inklusive Sicherungsbänder sowie verschiedene Rechner geklaut. Niemand hatte je daran gedacht, das Sicherungsbänder auch geklaut werden.

Insgesamt waren mehr als drei Monate an Daten verschwunden – Adressen von Kunden, ihre offiziellen Aufträge sowie die statischen Berechnungen einer Brücke, die bereits im Bau war. Nur mit einigen Investitionen und viel Überstunden konnten existenzbedrohende Kosten für das Unternehmen abgewendet werden.

Gerade Internet-Startups sollten sich von Anfang an Gedanken um Datenschutz und IT-Sicherheit machen. Wenn wichtige Daten abhanden gekommen oder Teile Deiner IT zusammengebrochen sind und monatelange Arbeit im Nirvana verschwunden ist, ist Dein Startup existenzgefährdet. Deswegen hier 12 Tipps zur IT-Sicherheit, zusammengesucht an den verschiedensten Stellen in Web und Print:

  1. Cybersecurity sollte die Verantwortlichkeit des Chefs sein (und falls an jemand anders delegiert, sollte IT-Sicherheit nicht eine Unteraufgabe der IT sein, sondern ein Extra-Verantwortungsgebiet)
  2. Idealerweise machst Du mindestens einmal pro Jahr ein IT-Sicherheits-Audit (bringe erfahrene Hacker ins Unternehmen, die Dein Startup angreifen: Du lernst viel über Angriffsarten, -orte, mögliche Verteidigung)
  3. Investiere in Software, die Deinen Netzwerk-Traffic aufzeichnet, insbesondere nach draußen gehende Verbindungen (und überwache diese Aufzeichnungen)
  4. Patche und update Deine Software regelmässig
  5. Identifiziere die kritischsten Deiner Daten und isoliere sie vom Netzwerk (z.B. Kreditkarten-Daten Deiner Kunden, deren Verschwinden eine Katastrophe wäre)
  6. Eine Perimeter-Verteidigung ist mittlerweile nutzlos, also organisiere Deine IT-Sicherheit in verschiedenen Ebenen (z.B. können Angestellte unwissend verseuchte USB-Sticks andocken etc.)
  7. Verschlüssle alle Kundendaten und achte darauf, wo Du sie speicherst (wichtig bei der Nutzung von Cloudserving und -hosting!)
  8. Sei vorsichtig beim mobilen Zugriff: entweder Du sicherst alle mobilen Geräte Deiner Angestellten ab oder Du limitierst den Zugriff von außen
  9. Schule alle Deine Mitarbeiter in IT-Sicherheit
  10. Sei vorsichtig in der Vergabe von Admin-Rechten, z.B. auf den PCs Deiner Mitarbeiter etc.
  11. Aus eigener Erfahrung: Mache lieber zuviele Backups als zu wenige und richte ein, dass regelmässig Backups sicher außerhalb der Firma gelagert werden!
  12. Falls vorhanden: Trainiere Deinen Hund darauf, weniger freundlich zu Leuten mit aufgesetzten Skimasken zu sein!