„Das kann über Sein oder Nichtsein entscheiden“

Herr Koehler, Start-ups und Datensicherheit: Ist das überhaupt ein Thema?

Das ist zweifelsohne ein ganz großes Thema. In der Startphase konzentrieren sich viele Gründer primär auf ihre Idee, ohne dabei deren immateriellen Wert und die Informationssicherheit im Fokus zu haben. Wenn sie so handeln, haben sie im globalen Wettbewerb eigentlich schon verloren. Denn die Idee mit all ihren Informationen ist das Wertvollste, was das Start-up besitzt.

Ab wann wird Datensicherheit relevant?

Die Datensicherheit ist eine Einstellungsfrage; sie ist vom ersten Tag an relevant. Wenn das Start-up seine Idee nicht von Anfang an schützt, dann spielt es mit dem Feuer und riskiert den Verlust seiner Geschäftsidee. Aus meiner Erfahrung sind Start-ups in den ersten 18 Monaten besonders verwundbar, da sie sich in dieser Zeit für mögliche Investoren attraktiv machen. Damit werden sie zugleich zum interessanten Ziel für Start-up-Konkurrenzspionage.

Gibt es ein bestimmtes Muster, nach dem Datenräuber vorgehen?

Die Nomenklatur von Cyber-Kriminellen ist so vielfältig wie die Ideen und Produkte der Start-ups. Gründer, die personenbezogene Daten verarbeiten und Online-Bezahlsysteme nutzen, sind eher das Ziel von Cyber-Kriminellen, während solche, die offene Meinungsforen anbieten, eher von antiwestlichen Nonstate-Hackern angegriffen werden. Das Start-up muss sich darüber klar sein, worin sein materieller und immaterieller Wert liegt und wie es diesen am besten schützt.

Was sollte ein Start-up tun, wenn ihm ein Konkurrent Daten gestohlen hat?

Es sollte sofort Strafanzeige stellen. Viele Start-ups scheuen sich davor, weil sie Angst vor dem Reputationsverlust haben. Aber der Schritt in die Offensive ist kritisch, spätestens wenn es um Patent- oder Haftungsfragen geht. Seit 2016 gibt es die EU-Datenschutzgrundverordnung, die unter anderem eine Meldepflicht von Vorfällen, bei denen personenbezogene Daten gestohlen wurden, vorsieht. Damit will der Gesetzgeber erreichen, dass die Unternehmen präventiver handeln, mehr in den Datenschutz investieren und den Kunden besser schützen beziehungsweise informieren.

„Die Sicherheit muss von vornherein im Geschäftsmodell verankert sein – und zwar so, dass sie die Kreativität nicht einengt, sondern ihr Freiraum verschafft“

Wo soll das Start-up die Ressourcen für die Sicherheit hernehmen?

Wenn der Business-Case die Sicherheitsvorkehrung nicht zulässt, dann ist das Modell falsch. Das Erfolgspotenzial eines Start-ups, das beispielsweise ausschließlich Online-Dienstleistungen anbietet, ohne sich vor Distributed-Denial-of-Service-Angriffen zu schützen, ist minimal! Die Sicherheit muss von vornherein im Geschäftsmodell verankert sein – und zwar so, dass sie die Kreativität nicht einengt, sondern ihr Freiraum verschafft. Hier kann das Start-up auch auf externe Dienstleister zurückgreifen, die sich um die Hard- und Softwaresicherheit kümmern. Das ist gar nicht so teuer.

Was empfehlen Sie einem Start-up, damit es auf der sicheren Seite ist?

Erstens sollte es sich klar darüber sein, welche schützenswerten Daten es besitzt, das heißt, was seine Assets sind. Auf dieser Basis muss es seinen technischen und rechtlichen Schutzwall aufbauen. Zweitens muss es von Anfang an ein Bewusstsein bei allen Mitarbeitern schaffen, dass diese sensiblen Daten geschützt werden müssen. Jeder muss wissen, dass vertrauliche Informationen nicht in eine E-Mail hineingehören und dass E-Mails mit auffälligen Adressen oder Anhängen von Phishern kommen können. Diese Art von Sensibilisierung kostet nichts, aber sie kann über Sein oder Nichtsein entscheiden. Und last, but not least: Gründer sollten nach der Philosophie der digitalen Governance leben, das heißt, die Cyber-Sicherheit als Führungsaufgabe verstehen.

Für weitere Fragen zur Datensicherheit steht Euch Tom Koehler zur Verfügung: thomas.koehler@de.ey.com. Besucht uns auch auf unserem EY-Facebook-Account und auf START-UP-INITIATIVE.EY.COM