Gastbeitrag
So bauen sich Startups eine sichere IT-Infrastruktur auf
Die eigene Firma. Für viele ein Traum, eine Lebensaufgabe. Um das eigene Unternehmen zum Erfolg zu führen, müssen Daten und Ideen geschützt werden. Ein geleaktes AI Model? Baupläne, die sich noch vor Patentierung im Internet finden? Eine Horrorvorstellung für jeden Gründer. Und auch die anstehende DSGVO droht mit empfindlichen Strafen, sollten persönliche Daten der Kunden abhandenkommen.
Cloud oder nicht Cloud?
Die Entscheidung, Daten in der Cloud zu speichern, kann in den entsprechenden Kreisen durchaus einen religiösen Charakter annehmen. Hier soll daher ein Überblick gegeben werden, damit Gründer das Für und Wider abschätzen können.
Zuerst einmal gibt es die sogenannten Cloud-Dienste: Diese Anwendungen werden im Web bereitgestellt und der Nutzer hat keine Kontrolle über die Verwendung der Daten oder das Sicherheitsniveau. Beispiele dafür sind Slack, Office365, Dropbox. Hier tauscht man Full-Service gegen kompletten Kontrollverlust: Keiner weiß wirklich, wann ein Cloud-Dienst Daten löscht oder an wen er sie weitergibt.
Die zweite Kategorie sind Cloud-Plattformen wie AWS oder Azure. Hier können mit flexiblen Bedingungen virtuelle Maschinen angemietet werden. Während der Nutzer den Fluss der Daten komplett kontrollieren kann, sollte jedem bewusst sein, dass der Plattformanbieter theoretisch Einblick in alle Vorgänge hat.
Zuletzt sollten noch Hostinganbieter wie Hetzner oder EuServ genannt werden. Diese erlauben es Firmen potente Hardware für wenig Geld zu mieten. Da es sich um physische Maschinen handelt, ist die Datensicherheit hier zweifelsohne am höchsten.
Hosting in der eigenen Cloud
Hat man sich für ein Angebot entschieden, steht im zweiten Schritt das Hosting der Apps in der eigenen Cloud an. Mittlerweile hat sich eine ganze Landschaft an Open-Source Unternehmensanwendungen herausgebildet. Vom File-Server über ERP, CRM bis hin zu Source-Code-Management und Lifecycle Lösungen ist alles vertreten. Die Software gibt es meist gratis, der Support kostet. Als Hürde bleibt nur noch die Installation der Anwendung. Diese lässt sich allerdings meist durch einen vorkonfigurierten Docker Container lösen, der von Dritten bereitgestellt wird. Hierbei wurde von anderen Personen die gesamte Applikation fertig in eine Art Paket verpackt und kann nun ohne großen Aufwand installiert werden. Hierbei sollte natürlich geprüft werden, ob die Installation sauber durchgeführt wird. Doch nach der Installation aller Anwendungen muss die Firma auch für den reibungslosen Betrieb sorgen.
Sicherheit an erster Stelle
Während ein Server noch relativ einfach zu kontrollieren ist, so können mehrere Server den Aufwand schnell vervielfachen. Durch den Abgleich der Konfigurationen können die Systeme fast automatisiert verwaltet werden. Denn für einen sicheren Betrieb steht die Versorgung mit Updates an erster Stelle. Hierfür empfiehlt sich ein Konfigurationsmanagement wie Ansible, Chef oder Puppet. Mit ihnen lassen sich gängige Aufgaben wie Updates oder sogar komplexe Dinge wie die komplett automatische Einrichtung von Servern umsetzen. So bleiben alle Systeme im Blick und keines außen vor. Zusätzlich sollten Ratgeber wie „Applied Crypto Hardening“ genutzt werden. Diese enthalten eine ganze Reihe von Konfigurationsratschlägen, die einfach übernommen werden können und das Sicherheitsniveau erhöhen. So gelingt auch mit einem kleinen Team die Verwaltung des gesamten Serverparks ohne Angreifern die Tür zu denen eigenen Daten zu öffnen.
Plattformangebote und Appliances nutzen
Einen besonderen Stellenwert in der eigenen IT nehmen die sogenannten Appliances ein. Diese sind fertig konfigurierte Systeme, welche eine oder mehrere Applikationen enthalten. Der Vorteil ist, dass diese Systeme schlüsselfertig sind. Sie müssen nur ins Netzwerk integriert werden und können dann direkt genutzt werden. Oft kümmern sich auch die Hersteller um Sicherheitsupdates, dies spart Zeit.
Ein anderes Angebot, welches sich vor allem an Startups richtet, sind Plattformen, die Self-Hosting einfacher machen. Hier sind die Applikationen mit einem Klick installierbar und werden vom Hersteller der Plattform mit Updates versorgt. So hat das junge Unternehmen alle Fäden in der Hand und muss nur wenig Zeit für die Administration aufwenden.
Über den Autor
Roman Leuprecht ist Gründer und technischer Leiter bei Uniki, einer Plattform für Online-Zusammenarbeit und Business-Anwendungen mit hochsicherer lokaler Datenspeicherung. Nach seinem Informatik-Studium arbeitete er als Linux Admin und Full-Stack-Developer. Sein Fachwissen im Bereich IT-Sicherheit und Netzwerktechnik machten ihn zu einem Verfechter von Privatsphäre und privater IT, was ihn 2016 dazu veranlasste, gemeinsam mit Matthias Bollwein die Uniki GmbH zu gründen.
Kennt Ihr schon unseren #StartupTicker? Der #StartupTicker berichtet tagtäglich blitzschnell über die deutsche Start-up-Szene. Schneller geht nicht!
Mehr Startup-Substanz im Newsfeed – folgt ds auf Facebook
Startup-Jobs: Auf der Suche nach einer neuen Herausforderung? In der unserer Jobbörse findet Ihr Stellenanzeigen von Startups und Unternehmen.