Von Sergej Schlotthauer, VP Security Matrix42 und Geschäftsführer von EgoSecure
Wie der Branchenverband Bitkom berichtete, tun sich Startups ebenso schwer mit der Umsetzung der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) wie große und mittelständische Unternehmen. Während 41 Prozent der von Bitkom befragten Startups dabei sind, Maßnahmen umzusetzen, um den neuen Richtlinien zu entsprechen, setzt sich ein gutes Drittel gerade erst mit der Thematik auseinander.
Aber nicht nur im Zuge der EU-DSGVO sollten sich Startups mit dem Thema Datensicherheit auseinandersetzen, jungen Unternehmen ist zu raten, sich mit der Sicherheit ihrer Daten von Beginn an zu beschäftigen. Eine rundum sichere Datenwelt sollte die Basis eines jeden aufstrebenden Unternehmers sein. Denn es ist einfacher, wenn der Datenschutz von Beginn an ins Geschäftskonzept integriert ist, als später, wenn eine große Menge an Daten bereits vorhanden ist. Gehen Daten durch Diebstahl oder unbeabsichtigt verloren, entstehen große Schäden, die sogar existenzbedrohend sein können. Besonders gefährdet für Angriffe sind dabei die Endgeräte wie PC, Laptop, Smartphone oder Tablet. Sie werden allesamt von Mitarbeitern bedient, die –wie jeder Mensch – auch ab und zu Fehler machen.
Flexibles Arbeiten – eine Herausforderung für die IT-Sicherheit
Im Vergleich zu etablierten Unternehmen laufen zahlreiche Vorgänge in Startups anders ab: Arbeitsprozesse sind häufig weniger routiniert, ganz oft müssen Gründer improvisieren. Aufgrund der eher niedrigen Mitarbeiterzahl gibt es auf dem Gebiet der IT-Sicherheit meist keinen ausgewiesenen Spezialisten. Umso wichtiger, dass sich jemand des Themas von Anfang an annimmt und die Sicherheit der Unternehmensdaten von vorne herein nicht aus den Augen gelassen wird.
Flexibilität spielt gerade in Startups eine große Rolle. Mitarbeiter müssen sich an keine strikten Arbeitszeiten halten und können auch bei der Wahl ihres Arbeitsplatzes variieren, sei es aus dem Homeoffice, dem Café oder Büro, ausgerüstet mit einem Laptop oder Tablet können sie von überall arbeiten. Was für die Mitarbeiter ein Zugewinn an Freiheit bedeutet, stellt für die IT-Sicherheit gleichermaßen eine Herausforderung dar. Viele verschiedene Endgeräte sind im Firmennetzwerk aktiv und mit der Vielzahl an privaten Geräten, die in der digitalen Umgebung agieren, können auch schadhafte Dateien von außen ihren Weg ins Unternehmensnetz finden.
Da sich die Trennung zwischen Arbeitswelt und privater Welt im modernen Arbeitsumfeld immer mehr auflöst, sollten nicht nur Firmengeräte mit einer zuverlässigen Security-Lösung abgesichert werden. Wenn der Arbeitsplatz mobil wird, müssen alle verwendeten Endgeräte, also auch die privaten Rechner, umfassend geschützt werden, sodass sensible Businessinformationen genauso wie private Daten nicht in fremde Hände geraten.
Schutzmaßnahmen anhand der Netzwerksituation ermitteln
Um die verwendeten Endgeräte ausreichend zu sichern, reichen ein gängiger Virenschutz und der Einsatz einer Firewall nicht aus. Sinnvoll ist es, die im Unternehmen benötigten Schutzmaßnahmen anhand der datenschutzrelevanten Situation im Netzwerk zu ermitteln. Auf diese Weise können Gründer sichergehen, dass sich die Sicherheitsarchitektur an den tatsächlich benötigten Schutzfunktionen orientiert. Außerdem kommen Tools zur Netzwerkanalyse auch bei der ständigen Überprüfung des Datenschutzniveaus gemäß der europäischen Datenschutz-Grundverordnung (EU-DSGVO) zum Tragen. Unternehmen stehen in der Pflicht, diese Überprüfung ständig zu dokumentieren.
IT-Sicherheitslösungen, die die Analyse der Netzwerkumgebung mit den Schutzmodulen kombinieren, sind eine sinnvolle Investition, denn sie gewährleisten, dass nur die für das Unternehmen wirklich relevanten Maßnahmen eingesetzt werden.
Für externe Speichermedien oder die Cloud: Automatische Verschlüsselung aller Daten
Werden Informationen via USB-Sticks oder externer Festplatte ausgetauscht, was im Zuge von flexiblen Arbeitsplätzen häufig der Fall ist, besteht die Gefahr, dass vertrauliche Inhalte verloren gehen und dann von Dritten gelesen werden.
Um dies zu verhindern, sollten alle Unternehmen, auch Startups, darauf achten, dass alle Daten immer verschlüsselt werden. Hierzu bietet sich eine dateibasierte Verschlüsselungslösung, die keine zusätzlichen Arbeitsschritte erfordert, besonders an, denn sie verschlüsselt alle Daten automatisch beim normalen Speichervorgang. Werden die Daten verlässlich im Hintergrund verschlüsselt, müssen sich Mitarbeiter mit der Problematik der Verschlüsselung gar nicht weiter auseinandersetzen. Ein tieferes technisches Verständnis ist dann auch gar nicht nötig.
Um auch von verschiedenen Orten aus an gemeinsamen Projekten arbeiten zu können, bietet sich für Startups das Arbeiten in der Cloud an. Zugriff auf Textdokumente, Listen und Präsentationen steht den befugten Nutzern dann jederzeit zur Verfügung. Informationen können, auch wenn sie besonders große Datenmengen beinhalten, unkompliziert ausgetauscht werden. Dies spart Zeit und vereinfacht die Teamarbeit.
Doch auch beim Arbeiten in der Cloud sollte darauf geachtet werden, dass alle dort befindlichen Daten automatisch verschlüsselt werden. Die Verschlüsselungslösungen der großen Cloud-Anbieter bieten sich dafür jedoch nicht an, denn die gängigsten Cloud-Lösungen kommen aus den USA und speichern alle Daten nach amerikanischem Recht. Dies bedeutet, dass neben den Daten auch die Keys den nationalen Sicherheitsbehörden offengelegt werden müssen. Dass es dabei nicht nur um die Terrorabwehr geht, sondern auch um wirtschaftliche Interessen, sollte gerade StartUps, die mit Innovationen einen Markt erobern wollen, besonders vorsichtig agieren lassen. Deshalb gilt ein Grundsatz: Der Verschlüsselungs-Key darf niemals das Unternehmen verlassen.
Passwörter sicher verwahren
Ob bei der Arbeit oder privat, Mitarbeiter sollten für verschiedene Konten, Dienste und Websites zahlreiche sichere Passwörter parat haben – auch wenn aus Bequemlichkeit gerne einfache Wörter und meist dasselbe Passwort verwendet werden. Die Begriffe sollten möglichst nicht auf Post-its, Schreibtischunterlagen oder Dateien vermerkt sein. Stattdessen sollte die Auswahl und Aufbewahrung wirklich sicherer Passwörter lieber einem Passwort-Manager überlassen werden. Dieser kreiert mehrstellige, sichere Kombinationen und verschließt sie in einem Safe, sodass nur ein einziges Passwort nötig ist. Wenn dieser Safe verschlüsselt auf dem Cloud Storage liegt, ist er überall auch von unterwegs verfügbar.
Fazit: Eine sichere Datenwelt schaffen
Startups ist zu raten, sich dem Thema Datensicherheit von Anfang an zu widmen. Hilfreich sind dabei Lösungen, die einmal eingerichtet ein optimales Sicherheitsniveau im Hintergrund sichern, ohne dass zusätzliche Arbeitskraft in sie investiert werden muss, denn diese wird ja zum Aufbau der Geschäftsidee benötigt. Dabei sollten die Unternehmer stets im Auge behalten, dass es nicht nur um eine Firmenumgebung geht, die abgesichert werden muss. Da Mitarbeiter heutzutage weitaus mobiler und flexibler sind, muss auch die IT-Sicherheit dieser Dynamik standhalten. Eine umfassende Datensicherheitslösung, die auch private Endgeräte von Mitarbeitern absichert, schafft eine rundum sichere Datenwelt. Damit können Gründer sichergehen, dass ihre Mitarbeiter die vielen Sicherheitstools, die vor Schadsoftware oder Datendiebstahl bewahren, nicht umgehen und ein weitreichender Schutz aller Unternehmensdaten gewährleistet ist.
