Welche Gefahren in jungen Unternehmen realistisch sind und wie du dich vor ihnen präventiv bestmöglich schützt.

Für den Erfolg eines Start-up-Unternehmens braucht es eine innovative Idee, ein ausgeklügeltes Konzept sowie eine gute Portion Gründeroptimismus. Doch damit ist es leider nicht getan. Was Gründer bei der Etablierung ihrer Produkte oder Dienstleistungen am Markt häufig unterschätzen, ist die Relevanz eines entsprechenden Sicherheitskonzepts. Besonders wenn es mit der Produkteinführung schnell gehen soll, bleiben Sicherheitsvorkehrungen häufig auf der Strecke. Dabei zeigen sich in der Realität unterschiedliche Gefahren und Risiken, mit denen sich Unternehmen aller Größenordnungen frühzeitig auseinandersetzen sollten.

Risiken und Sicherheitslücken

Neben den allgemeinen, meist finanziellen Risiken einer Existenzgründung birgt ein Unternehmensstart zahlreiche weitere Gefahren. Ob wirtschaftliche Konkurrenzsituationen, Frustrationen bei Geschäftspartnern, politische Überzeugungen oder niedere Beweggründe – aus den unterschiedlichsten Motivationen heraus werden auch Start-ups immer häufiger Opfer gezielter Attacken. Schöpferische Innovationen und neue Konzepte, die den Wert des Unternehmens bilden, müssen besonders vor Außenstehenden geschützt werden. Informationsabfluss, Industriespionage sowie Mitbewerberausspähung im Allgemeinen und Lauschangriffe im Besonderen stellen daher eine ernstzunehmende Bedrohung dar.

Je nach Kerngeschäft kann neben dem Know-how eines Betriebes auch die Sicherheit von Produkten zum Angriffsziel werden. Daran gekoppelt ist in der Regel der Vorsatz der Erpressung, um sich auf Kosten des Unternehmens finanziell zu bereichern. Dabei machen kriminell Motivierte auch vor gewaltvollen Handlungen nicht Halt: Bedrohungen von Managern sowie Mitarbeitern in höheren Positionen bis hin zu Entführungen gehören ebenfalls zu möglichen Szenarien. Hier steigt die Gefahr mit wachsenden Auslandseinsätzen und Dienstreisen, die aufgrund der zunehmenden weltweiten Vernetzung immer mehr ins Job-Portfolio von Mitarbeitern unterschiedlichster Branchen und Unternehmensgrößen gehören.

Die meisten Angriffe auf Unternehmen bleiben allerdings für die breite Masse unbemerkt. Aufgrund eines drohenden Imageschadens und um Verunsicherung bei Kunden und Mitarbeitern zu vermeiden, sind Firmen bemüht, derartige negative Vorfälle möglichst nicht in die Öffentlichkeit gelangen zu lassen. Häufig verbietet sich sogar aufgrund laufender Ermittlungsverfahren eine öffentliche Inkenntnissetzung. Grundsätzlich bietet auch das Image eines Unternehmens eine breite Angriffsfläche für Attacken durch Außenstehende.

Angefangen bei einzelnen schlechten Bewertungen auf stark frequentierten Suchmaschinen-Programmen, Online-Portalen oder Webseiten bis hin zu sogenannten DDoS-Attacken, die durch eine gezielte Server-Überlastung ganze Rechner lahmlegen. Je nach Angriffsziel sabotieren Kriminelle mit derartigen Cyber-Attacken sogar ganze Fertigungsanlagen und Produktionsprozesse oder unterbrechen die Strom- oder Energieversorgung eines Firmenstandortes. Das Ergebnis: verärgerte Käufer, Vertrauens- und Kundenverlust, wirtschaftliche Einbußen oder Produktionsengpässe.

Vorsicht ist besser als Nachsicht

Wer negative Vorfälle im Unternehmen vermeiden möchte, sollte frühzeitig handeln. Selbst wenn das Sicherheitsrisiko als relativ gering eingeschätzt wird, sollten Start-ups prüfen, inwiefern ihre Sicherheitsstrukturen – falls vorhanden − auf verschiedene Bedrohungsszenarien hin ausgelegt sind. Grundsätzlich empfiehlt es sich, bereits an dieser Stelle fachkundige Beratungsunternehmen der Sicherheitsbranche hinzuzuziehen. Diese Experten sind auf das Analysieren von Gefahren, das Erkennen von Schwachstellen und das Erstellen von individuellen Sicherheitskonzepten und Krisenplänen sowie deren Umsetzung spezialisiert. In der Regel benötigt es keinen riesigen Sicherheitsapparat, sondern individuell ausgearbeitete Konzepte, die sinnvolle Technik mit entsprechendem Personal und organisatorischen Maßnahmen verbinden. Je nach Kerngeschäft umfasst Corporate Security unterschiedliche technische und organisatorische Maßnahmen zum Objekt-, Personen- und Informationsschutz.

In Bezug auf digitale Daten gehören beispielsweise neben den klassischen Schutzmaßnahmen wie Antiviren-Programme und Firewalls auch spezielle Sicherheitssoftware und Verschlüsselungstechniken dazu. Ferner ist die Aufklärung, Sensibilisierung und Schulung von Mitarbeitern nicht außer Acht zu lassen. Hier gilt es das Personal in speziellen Awareness-Trainings auf Bedrohungen aller Art aufmerksam zu machen und bestimmte Verhaltensregeln, beispielsweise für den Umgang mit Passwörtern, aufzustellen. Nur wer über die von elektronischen Kommunikationsmöglichkeiten und sozialen Netzwerken ausgehenden Gefahren informiert ist, kann aktiv mit seinem Verhalten zum Unternehmensschutz beitragen.

Was tun im Schadenfall?

Tritt der Ernstfall trotz Präventionsmaßnahmen ein, gilt es vorbereitet zu sein und vor allem schnell und strukturiert zu handeln. Ein im Vorfeld ausgearbeiteter Notfallplan verschafft in Krisenfällen Klarheit über Handlungs- und Entscheidungsgewalten und gibt vor, welche Schritte als Erstes eingeleitet werden müssen. Dazu zählen neben der Festlegung der Kommunikationskanäle und der Einrichtung eines Krisenstabes auch Vorkehrungen, die einen möglichen Imageverlust so gering wie möglich halten. Hier greift ein entsprechendes Reputationsmanagement.

Das bedeutet nicht nur, die externe Kommunikation zu steuern und beispielsweise entsprechende Sprachregelungen zu treffen. Besonders im Zusammenhang mit IT-Vorfällen geht es auch darum, Ursachen schnell zu erkennen, um Angriffe zeitnah aufzuklären. Wer hier über keine eigenen Spezialisten im Bereich Unternehmenssicherheit und IT-Forensik verfügt, findet Hilfe bei externen Beratern der Sicherheitsbranche. Diese Experten geben nicht nur Maßnahmenempfehlungen, sondern untersuchen im Rahmen professioneller Ermittlungsarbeit auch verdächtige Vorfälle durch genaue Erfassung, Sicherung, Analyse und Auswertung digitaler Spuren. Denn um den Tätern auf die Schliche zu kommen, müssen sowohl das Angriffsziel als auch der genaue Zeitraum sowie der Umfang und die Ursache aufgedeckt werden.

Der Autor Markus Weidenauer ist Gründer und geschäftsführender Gesellschafter der SecCon Group GmbH in München. Die SecCon Group ist bundesweit spezialisiert auf das Erstellen von individuellen Sicherheitskonzepten (Personenschutz, Event-Schutz, Notfall- und Krisenmanagement für Unternehmen) und deren Umsetzung.