Von Anfang an sicher

Eine geniale Geschäftsidee, ein ausgeklügeltes Konzept sowie engagierte Gründer – fertig ist das erfolgreiche Start-up! Aber ganz so einfach gestaltet es sich leider nicht. Denn potenzieller Erfolg birgt auch Risiken. Schöpferische Innovationen und neue Konzepte, die den Wert des Unternehmens bilden, müssen besonders vor Außenstehenden geschützt werden. Sicherheitsexperte Markus Weidenauer von der SecCon Group GmbH spricht über das Tabuthema Unternehmenssicherheit und klärt über Gefahren und Risiken bei unzureichendem Risikomanagement auf.

Warum sind Start-ups besonders anfällig für Sicherheitslücken?

Anders als bei großen Konzernen, die sich den gesteigerten Sicherheitsanforderungen schon vor Jahren angepasst haben, gibt es bei Startups aber auch bei KMUs oft keine entsprechenden Strukturen für Unternehmensschutz und Krisenmanagement. Viele Jungunternehmer, aber auch alteingesessene Traditionsbetriebe in Familienhand unterschätzen das Interesse der Konkurrenz an ihren Produkten, Patenten und ihrem sonstigen Know-how. Dementsprechend verfügen die meisten Firmen weder über ein präventives Sicherheitskonzept noch über einen grundlegenden Krisenplan, um auch im Ernstfall kritische Situationen zu bewältigen. Hier ist Aufklärung in Form von professioneller Beratung gefragt und im Anschluss eine erste Umsetzung zumindest kleiner Schritte.

Wo liegen die größten Schwachstellen in Unternehmen?

Zwar sind mittlerweile auch Start-up-Unternehmer und mittelständische Betriebe für Themen wie Produktmanipulation oder Sabotage sensibilisiert, in den seltensten Fällen berücksichtigen Führungskräfte dabei aber den internationalen Bezug. Und so bleiben bestimmte Deliktfelder wie Wirtschaftsspionage, Informationsabfluss oder Entführung rein abstrakte Bedrohungsszenarien. Hinzu kommt, dass Corporate Security oft nicht als gesamtunternehmerische Aufgabe wahrgenommen wird, sondern als eine Verpflichtung einzelner Abteilungen. Das führt dazu, dass Verantwortliche ein Schutzkonzept für ihren Zuständigkeitsbereich entwickeln, zum Beispiel für die IT-Sicherheit. Ein Unternehmen ist jedoch kein statisches System, sondern ein vielschichtiges Gebilde. Entsprechend sollte ein ganzheitlicher Ansatz verfolgt werden, in dessen Zentrum ein angepasstes Sicherheitskonzept steht. Neben der Beobachtung und Bewertung relevanter Bedrohungen und Risiken auf allen Ebenen erfordert das vor allem die Implementierung präventiver Maßnahmen. Außerdem gilt es den Faktor Mensch miteinzubeziehen. Denn in der Praxis zeigt sich immer wieder, dass vor allem beim Thema Informationsschutz schnell leichtsinnige Fehler passieren, wenn Mitarbeiter nicht ausreichend sensibilisiert sind.

Welche Konsequenzen ergeben sich aus unzureichendem Risikomanagement?

Zunächst bedeutet unzureichendes Risikomanagement für jedes Unternehmen Kosten – egal, ob DDoS-Attacken den Unternehmensserver lahmlegen, bei Sabotage der Fertigungsanlagen oder anderen Sicherheitsvorfällen. Besonders bei noch jungen Unternehmen und mittelständischen Betrieben können diese schnell existenzgefährdend werden und im schlimmsten Fall zur Insolvenz führen. Unternehmenssicherheit bedeutet also immer auch Vermögensschutz. Entsprechend wichtig ist es, auch im Ernstfall handlungsfähig zu bleiben. Hier greift ein ausgearbeiteter Notfallplan, um den Schaden zu begrenzen. Dieser verschafft Klarheit über Handlungsweisen und führt auch in Ausnahmesituationen zu besser aufeinander abgestimmten Entscheidungen und effizientem Handeln. Grundsätzlich sollte aber für existenzbedrohende Ereignisse ein Krisenmanagement auf strategischer Ebene bestehen. Um trotz Totalausfall der IT-Infrastruktur oder der Sabotage von Fertigungsanlagen die Fortführung der Geschäfte zu gewährleisten, sind bestimmte Organisationsmerkmale von Bedeutung.

Welche Sicherheitsmaßnahmen müssen bereits frühzeitig berücksichtigt werden, um Sicherheitslücken zu vermeiden?

In der Regel benötigen Unternehmen keinen riesigen Sicherheitsapparat, sondern individuell ausgearbeitete Konzepte, die sinnvolle Technik mit entsprechendem Personal und organisatorischen Maßnahmen verbinden. Diese lassen sich auch in Start-ups und mittelständischen Unternehmen einfach implementieren. Dazu gehören neben Sicherheits-Policys auch technische Schutzvorkehrungen, angefangen mit einer Gefahrenmeldeanlage bis hin zu hochwertigen Datensicherungsschränken. Damit einhergehen sollten unbedingt auch Awareness-Trainings für Mitarbeiter, die das Hauptaugenmerk auf den richtigen Umgang mit Firmendaten und Social Engineering legen. Entscheidend ist, dass die geplanten Maßnahmen ineinandergreifen.

Wie lassen sich Sicherheitskonzepte im Unternehmen implementieren?

Wer über keine Inhouse-Spezialisten im Bereich Unternehmensschutz verfügt, findet Hilfe bei externen Beratern der Sicherheitsbranche. Diese Experten sind auf das Analysieren von Gefahren, das Erkennen von Schwachstellen und das Erstellen von individuellen Sicherheitskonzepten und Krisenplänen sowie deren Umsetzung spezialisiert. Dabei ist es wichtig, sich für eine Firma mit entsprechenden Kompetenzen zu entscheiden, denn die fachliche und soziale Kompetenz erfahrener Mitarbeiter ist die Voraussetzung für eine erfolgreiche Abwicklung. Letztendlich sollte das Ziel eines jeden erfolgreichen Sicherheitsmanagements immer sein, nicht nur zu reagieren, sondern zu agieren.