Startups sind schnell, wendig und oft eine Handvoll Leute. Das macht Sicherheitsarbeit schwer und es hängen schon sehr früh sehr viele kritische Dinge an wenigen Konten: Mails, Quellcode, Zahlungsdaten, Kundendaten, Verträge. Ein einziger kompromittierter Zugang reicht, um Betriebsausfall, Datenabfluss oder teure Wiederherstellung ins Leben zu rufen.
Der richtige Zeitpunkt für Mindeststandards ist also nicht „wenn wir größer sind“, sondern bevor der erste Vorfall passiert.
Gemeint ist nicht ein dickes bürokratisches Programm, sondern eine kleine Sammlung von wenigen Regeln, die sich auch im Alltag einhalten und mit dem Team wachsen lassen.
Wo sind die typischen Schwachstellen in Startups und warum sind sie so häufig?
Die meisten Risiken sind aus nachvollziehbaren Gründen entstanden. Teams arbeiten mit geteilten Logins, weil’s schnell gehen muss. Adminrechte bleiben lange, weil sonst das und das nicht mehr geht. Tools werden ad hoc eingesetzt, weil ein Feature fehlt… Backups werden zwar angelegt, aber kaum getestet. Ein Klassiker ist auch das Rollenwechsel Problem. Wenn Mitarbeitende das Unternehmen verlassen oder Aufgaben abgeben, bleiben Zugriffe bestehen, die niemand mehr auf dem Schirm hat.
Schaut man sich die Konto-Landschaft an, merkt man den Wildwuchs am schnellsten. Ein Startup hat ganz schnell Dutzende Dienste am Laufen. CRM, Ticketing, Cloud Storage, Analytics, Payment, Newsletter, Hosting, Git. Wenn dort überall verschiedene Passwörter benutzt werden und kein zweiter Anmeldeschritt existiert, dann wird ein Leak hier schnell zum Dominoeffekt.
Das Ziel von Mindeststandards ist es eben diese typischen Muster zu durchbrechen. Nicht durch Kontrolle um der Kontrolle willen, sondern durch transparente, wiederholbare Abläufe.
Cloud und Zugriffsrechte: weniger Wildwuchs, mehr Übersichtlichkeit
Startups basteln sich ganz oft ihre Systeme in der Cloud zusammen. Das ist effizient, bedeutet aber einen besonderen Druck auf Berechtigungen. Ein zentraler Fehler hier ist „alle sind Admin“. Das spart heute fünf Minuten, kostet später Tage. Gut ist das Prinzip der minimalen Rechte. Mitarbeitende erhalten nur das, was sie für ihren Job brauchen, Adminrechte werden gezielt vergeben, zeitlich begrenzt oder über Freigaben abgesichert.
Hilfreich ist hier eine klare Rollenlogik: Owner, Admin, Standard Nutzer. Für jedes Kernsystem wird festgelegt, wer Owner sein darf, wer Admin sein muss und wer nur Nutzer ist. Abseits dieser Rollen sollte es einen festen Prozess geben, wie Zugriffsanfragen auf Systeme aussehen. Sonst wird die Regel im Alltag umgangen.
Ebenso wichtig ist Transparenz. Ein Startup muss wissen, welche SaaS Tools genutzt werden, welche Daten dort liegen und wer Zugriff hat. Ein simples Tool Register reicht. Name des Dienstes, Zweck, Datenkategorie, Owner, Abrechnung. Das hilft auch finanziell, weil doppelte Tools und vergessene Abos sichtbar werden.
Wenn ein Team keine Kapazität hat, Betrieb und Security dauerhaft selbst zu stemmen, kann externe Unterstützung Sinn machen. Ein Galaxyweb Managed Service Provider ist zum Beispiel auch eine gute Wahl für wiederkehrende Arbeiten wie Geräteverwaltung, Patch Routine, Zugriffsmanagement und Support Prozesse, ohne sofort eine eigene IT Stelle aufbauen zu müssen.
Mindest Setup in 30 Tagen: MFA, Geräteschutz, Updates, Backups
Realistisch geht der Einstieg in einem Monat, auch ohne Security Team. Wichtig ist, fokussiert vorzugehen und nicht alles auf einmal.
An erster Stelle steht die Multi Faktor Anmeldung. Für alle kritischen Konten ist ein zweiter Faktor verpflichtend: E Mail Konten, Cloud Admin Accounts, Code Repositories, Payment Systeme, Admin Zugänge für Domains.
Der zweite Schritt darf über eine Authenticator App oder einen Hardware Schlüssel erfolgen. Wichtig ist nicht die Methode, sondern die Verbindlichkeit. Gleichzeitig braucht es einen Standard für Passwörter. Ein Passwortmanager spart Zeit, weil niemand ewig lange Passwörter auswendig lernen muss, und er verhindert Wiederverwendung. Für Startups ist das mit eines der günstigsten Maßnahmen mit höchster Wirkung. Dazu auch gleich noch die Wiederherstellungsdaten checken. Alte Telefonnummern oder private Mailadresse als Recovery Konto sind ein unnötiges Risiko
Für den Geräteschutz brauchen wir nicht viel mehr als die Basics. Geräteverschlüsselung aktivieren, Bildschirm automatisch sperren lassen, lokale Adminrechte so weit wie möglich beschränken. Wer Gerätemanagement frühzeitig einführt, spart sich später beim Onboarding viel Zeit. Neue Mitarbeitende bekommen dann nicht „irgendwie“ ein Gerät, sondern ein standardisiertes Setup.
Updates sind ein weiterer Hebel. Ein großer Teil der erfolgreichen Angriffe nutzt bekannte Schwachstellen. Betriebssystem automatisch updaten lassen, den Browser. Für zentrale Tools wie Office, PDF Software und Kommunikationsapps braucht es eine einfache Wiederholung: einmal im Monat einmal alles checken, ob alles aktuell ist. Kritische Updates nicht schieben.
Backups klingen banal, sind aber vielfach der Unterschied zwischen kurzer Störung und existenzbedrohender. Wichtig ist eine Backup Logik, die auch bei Ransomware funktioniert. Das heißt: mindestens eine Kopie, die nicht dauerhaft am selben System hängt. Und noch wichtiger: ein Test. Ein Backup, das noch nie zurückgespielt wurde, ist nur ein Gefühl. Ein Test pro Quartal reicht meist, um sicher zu sein, dass Wiederherstellung geht.
Notfall und Kommunikation: Was im Ernstfall vorher festgelegt sein sollte
Ein Incident Plan muss nicht dick sein. Für Startups reicht oft eine Seite mit klaren Verantwortlichkeiten. Wer entscheidet, ob Systeme vom Netz müssen? Wer informiert die Kunden? Wer spricht mit Dienstleistern? Welche Konten sind zuerst zu sperren? Welche Backups werden genutzt?
Praktisch ist eine „erste Stunde“ Checkliste. Zugangsdaten sichern, Adminkonten checken, laufende Sessions beenden, Zahlungszugänge checken. Dazu eine Kommunikationsregel: intern schnell, extern nur mit bestätigten Informationen. Viele Schäden geschehen nicht nur durch den Angriff, sondern durch hektische, sich widersprechende Kommunikation.