Immer mehr Menschen wollen beruflich eigene Wege gehen und sich mit einer guten Geschäftsidee selbstständig machen. Gründer sollten sich von Anfang an auf ihren Betrieb fokussieren können, damit die Erfolgschancen steigen. Allerdings sollte in einem Businessplan nicht nur die finanzielle Risikobewertung eine Rolle spielen – auch mit Cyber-Risiken kommen Unternehmen mittlerweile täglich in Berührung.
So sorgen Startups auch Netzwerk-technisch für den optimalen Ablauf in der kompletten Gründungsphase und sind entsprechend vorbereitet!
Nicht nur Unternehmen aus dem IT-Sektor, sondern auch Firmen aus diversen Geschäftsbereichen sind von einer guten technologischen Infrastruktur abhängig. Dadurch können sie allerdings auch jederzeit zum Ziel für Cyber-Attacken werden. Laut einer Umfrage des Dachverbandes Information & Communication Technology (ICT) waren bereits rund 23.000 Schweizer KMU von solchen Bedrohungen betroffen – 209.000 KMU wurden schon Opfer von Viren oder anderer Malware.
So wappnen sich Startups gegen Cyber-Risiken:
Der erste Schritt: Technisch umsetzen
Gründer sollten von Anfang an grossen Wert auf eine sichere IT-Infrastruktur legen, damit erst gar keine Cyber-Bedrohung aufkommt. Auch wenn sich die Technik stetig verändert und es für KMU dadurch besonders schwierig sein kann, ihre Systeme zu aktualisieren, lohnt sich der Erhalt einer sicheren Infrastruktur.
Sperren von auffälligen Webseiten
Internetadressen sind nicht einfach zu lesen, sie werden im Hintergrund automatisch in leicht verständliche Domainnamen übertragen (z. B. startwerk.ch). Technisch ist das Sperren von Webseiten kein Problem. Webseiten sind auf Servern gespeichert und jeder Server verfügt über eine individuelle IP-Adresse. So kann jede Webseite mit unerwünschten Inhalten oder auffälligen Aktivitäten gesperrt und der Zugriff auf die eigene Webseite verweigert werden.
Das beste Beispiel für eine solche Netzsperre ist die Blockade von nicht in der Schweiz lizenzierten Anbietern von Onlinespielen durch das Parlament: „Die jetzt beschlossenen Netzsperren funktionieren, indem die Webseiten der ausländischen Online-Casinos im ‹Domain Name System› (DNS) der Internet-Provider gesperrt bzw. umgeleitet werden“, so Stefan Thöni, Co-Präsident der Piratenpartei Schweiz. Die Netzsperre bedeutet auch, dass die grosse Kammer die Konzession für Schweizer Spielbanken um das Recht erweitert hat, Casino-Spiele online durchzuführen – damit erschliesst sich ein neuer Markt, der trotzdem mit einigen Regeln des Online Pokers in der Schweiz von der Gesetzgebung reguliert wird. So kann die Seriosität von Glücksspielen gewährleistet werden.
Back-up erstellen
Um auf Cyber-Attacken entsprechend vorbereitet zu sein, bietet sich eine vollautomatisierte Back-up-Lösung an. So werden alle Daten mindestens einmal die Woche auf externen Servern, z. B. in einer Cloud, hinterlegt. So kann in Fällen von Hackerangriffen, Datendiebstählen oder gar bei Bränden jederzeit auf diese gesicherten Daten zurückgegriffen werden. Auch wenn solche Sicherungen ebenso wenig von Cyber-Angriffen ausgenommen sind, bieten sie dennoch eine zusätzliche Möglichkeit der Rekuperation.
Zwei-Faktoren-Authentifizierung
Beim Zugriff auf Daten kann dieser Identitätsnachweis sehr nützlich sein: Ein Nutzer muss seine Identität mittels zweier unterschiedlicher und insbesondere unabhängiger Kombinationen nachweisen. Beispielsweise bei Bezugnahme auf Bankdaten erhöht die Zwei-Faktoren-Authentifizierung die Sicherheit enorm.
Notfallplan und Cyber-Versicherung
Trotz Umsetzung aller möglichen Schritte, um sein Unternehmen zu schützen, sind Angriffe trotzdem denkbar. Deshalb sollten Firmen einen Notfallplan aufstellen, wie in solchen Fällen verfahren wird und wem welche Aufgabe zukommt. Ausserdem können Unternehmen sogenannte Cyber-Versicherungen abschliessen, um sich finanziell gegen Schäden resultierend aus folgenden Risiken abzusichern:
- Cyber-Risiken wie Datenverlust, Erpressung oder Unterbrechung des Betriebs sowie
- Bedienfehler oder menschliches Versagen
Während übliche Betriebs- oder Berufshaftpflichtversicherungen Cyber-Risiken nur unzureichend absichern, deckt die spezialisierte Cyber-Versicherung gezielt Schäden ab, die aus böswilligen Cyber-Angriffen resultieren. Solche Versicherungen schützen Firmen vor Vermögensschäden durch etwaige Cyber-Attacken. Denn die Kosten sind im Schadensfall nicht zu unterschätzen. Neben Wiederherstellungsausgaben für Programme und Systeme deckt die Versicherung auch mögliche Zusatzkosten, wie die Überzeit vom Personal oder die Gewinnlücke. Ferner kommen Cyber-Versicherungen beim Aufbau und der Umsetzung effektiver Sicherheitsmassnahmen zur Hilfe.
Risiko für Unternehmen kennen
Obschon die meisten Schweizer KMU über entsprechende Antivirenprogramme und Firewalls verfügen, kommt es immer wieder zu Sicherheitsdurchbrüchen. In der Regel sind Grossunternehmen besser gegen Cyber-Attacken vorbereitet als KMU. Deshalb versuchen Hacker oft über kleinere Unternehmen, die zum Lieferanten- oder Kundenstamm eines Grossbetriebs gehören, an deren Daten zu gelangen. KMU, die mit Grossunternehmen zusammenarbeiten, sollten das in ihrer IT-Infrastruktur berücksichtigen und entsprechende Sicherheitsvorkehrungen treffen. Das sind weitere häufige Cyber-Risiken für KMU:
- Unwissende Mitarbeiter
- Social Engineering
- Unternehmenskenntnis
- CEO Betrug
Unwissende Mitarbeiter
Gemäss ICT besteht vor allem bei der Schulung des Personal grosser Handlungsbedarf. Eines der grössten Risiken in Unternehmungen ist das Anwählen eines infizierten Links in sogenannten Phishing-Mails – so geben sie Betrügern Unternehmensdaten preis. Deshalb sollten Arbeitnehmende sensibilisiert und weitergebildet werden, sodass sie verdächtige E-Mails früh erkennen und Phishing-Versuchen entgehen. Aufgrund der unsteten Kenntnis der Mitarbeiter über Malware sollte die Firma so strukturiert sein, dass nur das IT-Departement Software und Programme installieren kann.
Social-Engineering und Unternehmenskenntnis
Hierbei versuchen die Angreifer nicht durch Hacking, sondern durch Täuschung oder legale Datenbeschaffung an möglichst viele Informationen über eine Firma zu gelangen. Die Täter nutzen etwa die sozialen Medien, um sich die nötigen Informationen zu beschaffen. Es gab bereits Fälle, in denen geheime Daten publik wurden, weil sie im Hintergrund von Selfies der Arbeitnehmenden am Arbeitsplatz zu sehen waren.
Je besser Angreifer die Abläufe einer Firma kennen, desto eher gelingt eine betrügerische Attacke. Ist beispielsweise bekannt, dass ein Unternehmen am ersten Werktag eines Monats gewisse Abrechnungen erhält, wird zum selben Zeitpunkt einfach eine täuschend echte gefälschte Rechnung ausgestellt. Solche Betrugsmaschen fallen vor allem in grösseren und international arbeitenden Betrieben meist erst spät auf.
CEO-Betrug
Ein weiteres Risiko, dass Start-ups kennen sollten, ist der sogenannte CEO-Betrug. Die Täter hacken die Computer eines Unternehmens, um Zugangsdaten wie bestenfalls für Mail-Accounts oder aber Mobiltelefonnummern abzugreifen. Folgend senden die Hacker im Account des CEO eine Zahlungsanweisung mit grossen Summen an die Buchhaltung. Da sich das Personal gegenüber dem vermeintlichen CEO zur Diskretion genötigt fühlt, wird der Diebstahl oft erst zu spät entdeckt. Bei der anderen Form des CEO-Betrugs senden die Hacker im Namen des Chefs Nachrichten an zentrale Arbeitnehmende mit einer gewissen Aufforderung. So gelangen die Betrüger an Eingangs- oder Tresorschlüssel für das Unternehmen oder andere wichtige Gegenstände.
Fazit
Um ein Startup zu gründen bedarf Vieles: Selbstvertrauen, Ausdauer, finanzielles Startkapital und natürlich eine gute Idee, für die es einen Markt gibt. Einiges ist im Voraus planbar und abschätzbar, so auch die Basis für eine sichere Infrastruktur. Doch Gründer wissen, dass man eben mit allem rechnen muss. Dann sind eine gut aufgestellte Firewall sowie ein zuverlässiges Antivirenprogramm gefragt.
Selbst wenn die IT-Infrastruktur noch so gut geschützt ist, kann es zu kriminellen Angriffen kommen. Eine Cyber-Versicherung schützt vielleicht nicht gegen eine solche Attacke, unterstützt jedoch im Schadensfall – insbesondere dann, wenn sensible Kundendaten verwaltet werden und das Unternehmen gerade erst gegründet wurde.
Eine Cyber-Versicherung ist jedoch keine Investierung in IT-Sicherheit, sondern vielmehr eine Prävention für den Fall eines Angriffs, um die Kosten dann zu minimieren. Trotzdem sollte stets ein technischer Schutz der IT-Infrastruktur vorangehen.
