Close Menu
    Die Plattform für Gründerinnen und Gründer
    |
    Die Plattform für
    Gründerinnen & Gründer

    Was Start-ups beim Aufbau eines skalierbaren Sicherheitskonzepts beachten sollten

    Allgemein
    three men laughing while looking in the laptop inside room

    In Unternehmen ist es unerlässlich, dass auf die nötigen Vorkehrungen für die Datensicherheit geachtet wird. Dabei ist es vollkommen egal, ob es sich um ein großes und etabliertes Unternehmen oder ein Startup handelt, welches sich noch im Aufbau befindet. Besonders die jungen Startups sollten einige Aspekte beachten und umsetzen, wenn es um die Implementierung eines guten Sicherheitskonzepts geht.

    Das richtige Verständnis von Sicherheit

    Sicherheit ist kein Thema, welches mit einer einmaligen Umsetzung erledigt ist. Damit Risiken auch auf Dauer im Alltag abgewendet werden können, muss die IT-Sicherheit ein fester Bestandteil  der Unternehmenskultur sein. Es sollte daher von Anfang an darauf geachtet werden, dass das Sicherheitskonzept skalierbar ist und seine Wirksamkeit beibehält, wenn das Unternehmen wächst. Dafür müssen alle Mitarbeiter an einem Strang ziehen und wirklich verinnerlichen, weshalb die Sicherheit so wichtig ist.

    Um dieses Verständnis zu zementieren und dafür zu sorgen, dass alle Mitarbeiter ihre Rolle und deren Wichtigkeit für die Datensicherheit verstehen, sind regelmäßige Schulungen wichtig.

    Dazu gehört auch eine funktionierende Kommunikation, in der sicherheitsrelevante Vorfälle schnell gemeldet werden, damit im Ernstfall schnell und effizient reagiert werden kann.

    Frühzeitige Planung des Sicherheitskonzepts

    Es liegt in der Natur eines erfolgreichen Startups, dass sich die Unternehmensgröße rasant steigern kann. Zumindest, wenn man die Grundlagen beherzigt und schon vor dem Launch alle wichtigen To-dos erledigt. Je größer das Unternehmen, desto schwieriger wird auch die Datensicherheit. Daher sollte möglichst früh mit der Planung begonnen werden.

    Bei der Planung des Sicherheitskonzepts sollte direkt ein mögliches Wachstum des Unternehmens eingeplant werden, damit der Umgang mit den Daten auch nach einer Zeit noch den ISO 27001 Anforderungen entspricht. Ein umfangreiches Sicherheitskonzept beachtet verschiedene Bereiche. Unter anderem sollten folgende Fragen gestellt und beantwortet werden:

    Datenklassifizierung:

    Die Datenklassifizierung ist ein zentraler erster Schritt. Sie dient dazu, verschiedene Datentypen nach ihrer Sensibilität und ihrem Schutzbedarf zu kategorisieren. Ausgehend davon kann geplant werden, wie mit den verschiedenen Kategorien umzugehen ist. In welche Kategorien die Daten unterteilt werden, variiert immer. Gängig sind Aufteilungen wie die folgenden:

    ·  Öffentliche Daten: z. B. Marketingmaterial, Blogartikel – keine besonderen Schutzmaßnahmen notwendig.

    ·  Interne Daten: z. B. interne Projektpläne, Organisationsstrukturen – nur intern zugänglich.

    ·  Vertrauliche Daten: z. B. Kundendaten, Verträge, Finanzdaten – erfordern starke Zugriffsbeschränkungen.

    ·  Kritische Daten: z. B. personenbezogene Daten (nach DSGVO), geistiges Eigentum (IP), sicherheitsrelevante Protokolle – höchste Sicherheitsstufe, inklusive Verschlüsselung und Logging.

    Zugriffsrechte:

    Die Frage, welche Personen Zugriff zu welchen Daten erhalten, ist natürlich besonders wichtig. Den Mitarbeitern müssen feste Rollen zugeteilt werden. Bestenfalls sollte dabei sehr konservativ mit der Rechtevergabe umgegangen werden. Dies sind die Kernprinzipien:

    ·  Least Privilege: Mitarbeitende bekommen nur die minimal notwendigen Rechte.

    ·  Need-to-Know: Zugriff nur, wenn es für die aktuelle Aufgabe erforderlich ist.

    ·  Rollenkonzepte (RBAC): Rechte werden auf Basis von Rollen vergeben (z. B. Entwickler, HR, Admin).

    ·  Zeitlich begrenzte Zugänge: Für externe Partner oder Projekte mit Ablaufdatum.

    Backups und Wiederherstellung:

    Bei der Datensicherheit geht es nicht nur um den Schutz vor dem Verlust, sondern auch um das Auffangen von Schäden. Durch ein gutes Backup können Gefahren durch Hardware- oder Softwarefehler, oder auch menschliches Versagen egalisiert werden. Dadurch wird die Geschäftskontinuität gesichert. Wichtig ist erst einmal, dass die wichtigen Daten im Hintergrund gesichert werden. Im Ernstfall muss natürlich auch die Wiederherstellung ohne Probleme möglich sein. Sonst bringt das beste Backup nichts. Wichtig sind diese Aspekte zu Backups.

    ·  Backup-Strategie definieren: z. B. 3-2-1-Regel (3 Kopien, 2 Medien, 1 extern).

    ·  Automatisierung: Regelmäßige, automatisierte Backups vermeiden menschliche Fehler.

    ·  Versionierung: Mehrere Versionen einer Datei ermöglichen gezielte Wiederherstellung.

    ·  Wiederherstellungszeit (RTO) und Datenverlusttoleranz (RPO) festlegen: Wie schnell kann wiederhergestellt werden? Wie viel Datenverlust ist maximal tragbar?

    Verschlüsselung:

    Ein guter Datenschutz kann nur über eine starke Verschlüsselung der erhobenen Daten sichergestellt werden. Bei der Datenverschlüsselung wird allgemein zwischen zwei verschiedenen Arten unterschieden. „At Rest“ bezieht sich auf die Speicherung der Daten. „In Transit“ bezieht sich auf den Transfer oder Austausch von Daten.

    ·  At rest: Datenbanken, Dateisysteme, Backups sollten mit modernen Algorithmen wie AES-256 verschlüsselt sein.

    ·  In transit: HTTPS, TLS 1.2+ für Webdienste, VPNs oder sichere API-Gateways für Datenverkehr zwischen Diensten.