Cyber Crime: Wieso Start-ups besonders bedroht sind

Commerzbank-Experte erläutert die Gefahren und wie sich junge Unternehmen schützen können

Keine Frage, Cyber Crime stellt heute für fast jedes Unternehmen eine ernste Bedrohung dar – gleich ob für kleine oder große und unabhängig von der Branche. Nach einer Studie der Commerzbank war im letzten Jahr bereits jedes 4. Unternehmen in Deutschland betroffen. Anlass, die verschiedenen Formen von Cyber Security in einer Serie mit einem Experten der Commerzbank zu erläutern und festzuhalten, welche Maßnahmen Start-ups ergreifen können.

Cyber Crime
Photo by FLY:D on Unsplash

Ronny Wolf ist bei der Commerzbank Experte für Cyber Security für Unternehmen und kennt daher die zahllosen Tricks und Kniffe der Cyber-Kriminellen und wie sich Unternehmen dagegen wappnen. Die Commerzbank bietet Kunden spezielle Veranstaltungen zur Cyber Security an und lässt sie an ihrem Knowhow teilhaben. Wolf erläutert hier an einem Beispiel, wie Cyber Crime aussehen kann und worauf Start-ups besonders achten müssen. Denn es gibt keine generellen Lösungen für Cyber Security. Vielmehr gilt es für die Probleme sensibel zu sein und die individuell passenden Lösungen zu finden.

Ransomware stellt eine ebenso anspruchsvolle wie heimtückische Cyber Crime-Bedrohung dar.

Ronny Wolf - Commerzbank

Ransomware als Beispiel für Cyber Crime

Ransomware bedeutet nichts anderes als Verschlüssellungs- oder Erpressungssoftware. Laut Wolf besteht neben Hacks, Infektionen über E-Mail-Anhänge und verseuchte Zielseiten im Internet ein neues Vorgehen darin, Schadcode in Software-Lösungen zu schmuggeln, welche über Lieferketten (Supply Chains) verteilt werden.

So greifen beispielsweise die Hersteller einer Buchhaltungssoftware auf fertige Module eines anderen Anbieters zurück. Durch eine Vertriebskette, teils mit Re-Branding der Produkte, entsteht bis zur Nutzung der Software in verschiedenen Steuerbüros und Betrieben eine Supply Chain. Sobald ein Krimineller einen Schadcode in ein Modul programmieren konnte, gelangt er über die Lieferkette in den Softwarecode des Anbieters von Buchhaltungsprogrammen und in die IT-Infrastruktur der Anwender, die diese Lösung verwenden. „Es wird über die Verwendung einer legitimen Software eine Hintertür zu Mechanismen, Prozessen und IT-Landschaften geschaffen, die diese Software übernommen haben“, erläutert Wolf.

Auf diese Weise können sehr große Zahlen von Endkunden betroffen sein. Der Schadcode verschlüsselt dann bei den Opfern die Daten. Anschließend fordert der Kriminelle für die Herausgabe der Daten bzw. deren Entschlüsselung ein Lösegeld.

Im Falle von Start-ups haben es viele Angreifer auf das Intellectual Property abgesehen, welches oft das eigentliche Kapital des Start-ups darstellt. Wenn das Intellectual Property erst einmal gestohlen wurde, steht das Start-up daher schnell vor dem Aus.

Ransomware stellt also eine ebenso anspruchsvolle wie heimtückische Cyber Crime-Bedrohung dar. „Das wird manchmal so geschickt angestellt, dass sich ein Opfer dagegen nur mit hohem Aufwand wehren kann“, berichtet der Cyber Security-Experte der Commerzbank.

Die besondere Situation von Start-ups

Generell verfügen Start-ups gegenüber großen, etablierten Unternehmen über Vor- und Nachteile. „Start-ups haben den großen Vorteil der Agilität; sie können schnell auf sich ändernde Marktgegebenheiten reagieren“, meint Wolf. Entsprechend rasch könnten auch Lösungen der Cyber Security gefunden und umgesetzt werden.

Doch dies stellt nur die Hälfte der Wahrheit dar. Das schnelle Wachstum, das jedes Start-up anstrebt, bringe ganz besondere Probleme mit sich. Es müsse strukturiert und geplant ablaufen und nicht chaotisch. „Nichts ist schlimmer, als wenn sich ein Start-up in seinem Wachstumsbestreben so sehr verzettelt, dass es am Ende in seiner IT genauso komplex wird wie ein großes Unternehmen“, warnt Wolf. Doch was können Start-ups konkret unternehmen, um den Cyber-Langfingern auf die Finger zu hauen?

Saubere IT-Architektur als oberste Start-up-Pflicht

Start-ups müssen stets auf eine saubere IT-Architektur achten. „Schon beim Aufbau der IT-Architektur muss man sich Gedanken über das künftige Wachstum machen“, sagt der Cyber Security-Experte der Commerzbank. Ein Start-up mit z. B. 30 Mitarbeitern und einem eher noch regionalen Marktauftritt trifft IT-Entscheidungen sicherlich noch anders, als wenn es nach einem Jahr ein internationaler Player ist und vom eigenen Erfolg überrascht wird. Man muss also immer in die Zukunft denken und im Auge behalten, ob ein heute als ideal bewertetes Szenario z. B. mit eher cloudbasierten Lösungen und fremder IT-Infrastruktur morgen auch Nachteile bringen kann. Dies gilt auch und vor allem für die Sicherheitsaspekte von IT-Lösungen. „Die große Aufgabe des Start-ups ist es, einerseits die Flexibilität zu bewahren und andererseits das Wachstum strukturiert zu gestalten“, meint Wolf.

Start-ups benötigen Notfallplan

Da absolute Sicherheit nicht möglich ist, muss jedes Start-up sich frühzeitig für den Fall eines Cyber Crime-Vorfalls einen Notfallplan mit den erforderlichen Schritten zurechtlegen. Konkret heißt dies:

  • Legen Sie sich Kontakte zu IT-Forensikern und der Polizei (den Spezialisten für Cyber Crime) zurecht.
  • Erstellen Sie von wichtigen Daten regelmäßig oder automatisch Sicherheitskopien, die offside und damit nicht immer mit dem Netzwerk verbunden sind.
  • Überlegen Sie sich, wie Sie mit Kunden und Partnern kommunizieren, wenn Sie Opfer eines Cyber Crime-Vorfalls geworden sind.
  • Was benötigen Sie alles, um wieder arbeitsfähig zu werden?

„Bei einem Cyber Crime-Vorfall muss die IT über die Kompetenzen verfügen, sofort zu reagieren“, erläutert Wolf. „Meist sind recht tiefgreifende Eingriffe erforderlich. So müssen alle Server heruntergefahren werden. Damit bekommt auch die Außenwelt mit, dass man ein technisches Problem hat. Anschließend geht das Aufräumen los.“

Start-ups brauchen ein IT-Controlling

Um frühzeitig Angriffe zu erkennen, benötigt ein Start-up überdies ein Controlling der IT-Kernaktivitäten. „Man muss sich regelmäßig anschauen: Mache ich noch das Richtige“, empfiehlt der Commerzbank-Experte. Ansonsten drohen Fehlentwicklungen und übergroße Komplexität. Tatsächlich können Fehlentwicklungen in der IT letztlich sogar die Existenz gefährden. „Viele Start-ups scheitern daran, dass sie das Chaos nicht bewältigt bekommen“, warnt Wolf.

Wann sich Investitionen in Cyber Security lohnen und wann nicht

Mehr Cyber Security kostet auch mehr Geld –, junge Start-ups ohne ausreichenden finanziellen Puffer kommen daher schnell an ihre Grenzen. „Wenn man als Unternehmen eine hundertprozentige Sicherheit erreichen will, dann ist die erforderliche Investition in der Regel höher als der mögliche Schaden“, erläutert Wolf. 

Start-ups müssen also abwägen, gegen welche Risiken sie sich absichern und gegen welche nicht. Dafür gebe es aber ebenfalls keine generelle Regel. Vielmehr müsse jeder Einzelfall abgewogen werden. „Man lässt ein Restrisiko offen und überlegt sich, wie man in einem Schadensfall reagiert.“ Eben daher sei eine Einschätzung zur eigenen Cyber Resilience so wichtig.

In einem zweiten Teil unserer Serie zu Cyber Crime stellen wir einige Tricks vor, die als „Social Engineering“ bekannt sind.