So können sich Startups und Scaleups vor Cybercrime schützen

So sehr Startups und Wachstumsunternehmen von der zunehmenden Digitalisierung profitieren, wächst mit ihr andererseits die Gefahr durch Cybercrime. Auch weil sich die Bedrohungslage rasant weiterentwickelt. So stellt das Bundesamts für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Lagebericht fest: Von Mitte 2023 bis Mitte 2024 ist die Anzahl an Schadprogrammvarianten um 26 Prozent angestiegen. 

Wer dabei denkt, dass Cyberangriffe nur große Konzerne betrifft, irrt sich. Insbesondere kleine Unternehmen geraten immer stärker ins Visier externer Angreifer:innen, wie eine Studie der HDI Versicherung belegt. Dies hat einen einfachen Grund: Kleinere Firmen haben oft unzureichende Sicherheitsstrukturen. Dies ist fatal, da erfolgreiche Ransomware-Attacken, Distributed-Denial-of-Service (DDoS)-Angriffe oder Phishing-Kampagnen für Startups und Scale-ups nicht nur Produktionsausfälle oder Reputationsverluste bedeuten können. In einem anhaltend herausfordernden Marktumfeld können sie schlimmstenfalls die Existenz des Unternehmens bedrohen. 

Cybercrime: Ein Risiko mit weitreichenden Folgen
Zu beobachten ist ebenfalls, dass Cyberangriffe in der Europäischen Union immer kostspieliger werden. Allein in Deutschland sind die finanziellen Auswirkungen von Cybervorfällen laut Bundesamt für Verfassungsschutz in den vergangenen 12 Monaten um 29 Prozent gestiegen. Damit haben sie den bisherigen Höchststand aus dem Jahr 2021 übertroffen. 

Zusätzlich verändert KI die Qualität der Cyberbedrohungen erheblich. Angreifende nutzen zunehmend generative KI-Tools: Phishing-Mails werden durch die Technologie personalisiert und täuschend echt gestaltet. Aber Cyberkriminelle erstellen oft auch gefälschte Marketing-E-Mail-Kampagnen, die den Eindruck erwecken, von vertrauenswürdigen Unternehmen zu stammen. Diese E-Mails enthalten häufig Links zu täuschend echten Webseiten, die darauf abzielen, persönliche Daten wie Passwörter oder Kreditkartendetails zu entwenden. Außerdem ermöglichen Deepfake-Technologien Angriffe wie CEO-Fraud. Jahr für Jahr nehmen außerdem DDoS-Attacken zu – sowohl in der Häufigkeit als auch in der Intensität. Laut Cloudflare verzeichnet diese Angriffsform, bei der Abwehrmechanismen in Echtzeit analysiert werden, um Schutzmaßnahmen gezielt zu umgehen, im vierten Quartal 2024 einen Anstieg von fast 50 Prozent.  

Angesichts dieser realen wachsenden Bedrohung sollten Startups und Wachstumsunternehmen ihre IT-Sicherheit frühzeitig priorisieren, um Vertrauen aufzubauen und dadurch Investor:innen, Partner:innen und Kund:innen langfristig zu überzeugen.

Wie Startups und Scale-ups sich effektiv gegen Cybercrime rüsten

Um sich effektiv gegen Cyberangriffe zu wappnen,gilt es sich zunächst einen Überblick über die genutzten Systeme zu verschaffen: Neben einer systematischen Analyse der eigenen Sicherheitsanforderungen gehört dazu eine Schwachstellenanalyse. Sie hilft potenzielle Risiken zu identifizieren und zu priorisieren. Wesentlicher Bestandteil einer ganzheitlichen Sicherheitsstrategie sind ebenfalls gezielte Investitionen in IT-Schutzmaßnahmen. Dazu gehören etwa folgende Präventivmaßnahmen: 

Testen von Back-ups: Sicherheitskopien sind ein essenzieller Baustein einer effektiven IT-Sicherheitsstrategie. Wichtig: Back-ups sollten nicht nur an einem sicheren, externen Ort gespeichert, sondern zudem regelmäßig überprüft werden. So ist gewährleistet, dass Unternehmen wichtige Unternehmensdaten nach einem Angriff schnell wiederherstellen können, den Geschäftsbetrieb im Ernstfall zügig wieder aufnehmen und Ausfallzeiten minimieren können. 

Einführung von Passwortmanagement und gezielten Zugangsbeschränkungen: 8–12 Zeichen, die Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen: Wer seine Passwörter gemäß diesen Mindestkriterien zusammensetzt bzw. eigene strengere Richtlinien definiert, erhöht den Schutz sensibler Daten. Sinnvoll ist zudem eine Zwei-Faktor-Authentifizierung zu nutzen. Generell sollten Startups definieren, wer Zugang zu welchen Systemen und Daten im Unternehmen haben muss, und den Zugriff nur Teammitglieder gewährleisten, die diese für ihre Arbeit benötigen – trotz offener Unternehmenskultur und einer engen Vernetzung zwischen den unterschiedlichen Funktionen.

Durchführung von Schulungen und Awareness-Trainings: Das FBI geht daher davon aus, dass Angreifende Business E-Mail Compromise (BEC), eine Art cyberkriminelle E-Mail-Scam, im Jahr 2025 vermehrt einsetzen. Sind Mitarbeitende jedoch nicht darin geschult, verdächtige E-Mails oder Nachrichten zu erkennen, bieten sie ein potenzielles Einfallstor ins Unternehmen. Startups sollten daher unbedingt in Schulungen und Trainings investieren, um ihre Teammitglieder entsprechend zu sensibilisieren. 

Mögliche Gefahren kennen dank KI-basierten Risikoscan: Ein KI-basierter wöchentlicher Angriffsoberflächen-Scan ermöglicht Unternehmen, Schwachstellen in der IT frühzeitig zu identifizieren und zu beheben. Angeboten wird ein solcher etwa im Rahmen einer Cyberversicherung und kann bereits Teil des Erstgesprächs mit dem entsprechenden  Anbieter sein. Diese Überprüfung verschafft allen beteiligten Parteien Klarheit über den aktuellen IT-Sicherheitsstand des Unternehmens. Ein weiterer Vorteil: Die Kombination aus umfassendem Risikoscan und klaren Risikofragen sorgt für einen schlanken Antragsprozess.

Passender Versicherungsschutz: Indem Startups und Scale-ups eine Cyberversicherung abschließen, positionieren sie sich als professionelle Unternehmen und erfüllen damit direkt eine Due-Diligence-Anforderung vieler Kapitalgeber:innen. Auch deckt ein solcher Schutz nicht nur mögliche Schäden, sondern unterstützt sie von Anfang an proaktiv bei der Risikominimierung. So stellt sie beispielsweise Vorlagen für einen Incident-Response-Plan mit konkreten Handlungsschritten bereit, aber auch Checklisten für Sicherheits-Patches, Back-ups und relevante Kontaktdaten zum Krisenmanagement-Team. 

Für junge Unternehmen aus den Bereichen IT, Software, Technologie und Telekommunikation ist zusätzlich eine IT-Haftpflichtversicherung ratsam. Sie greift im Falle von Fehlern bzw. Fehlleistungen, wie z. B. eine fehlerhafte Software-Installation, Datenverlust aufgrund eines Serverausfalls oder ein Verstoß gegen die Datenschutzbestimmungen. Eine gute IT-Haftpflichtversicherung deckt sogar die Ausfallkosten, wenn eine versicherte Person als Zeuge oder sonstiger Teilnehmer an einem Gerichtsverfahren teilnehmen muss und nicht ihrer eigentlichen Tätigkeit nachkommen kann.

Resilienz als Erfolgsfaktor

Für Startups und Scaleups ist Cybersecurity kein Nice-to-have, sondern ein Must-have. Eine durchdachte IT-Sicherheitsstrategie schützt nicht nur Daten und Geschäftsprozesse, sondern schafft Vertrauen bei wichtigen Stakeholdern wie Investor:innen und Kund:innen. Mit den richtigen Präventivmaßnahmen und einer Kultur der proaktiven IT-Sicherheit können Startups den Herausforderungen der digitalen Welt erfolgreich begegnen und nachhaltig wachsen. Denn Sicherheit und Wachstum gehen Hand in Hand.

Über den Autor
Vincenz Klemm ist Mitgründer und CEO von Baobab Insurance, einem digitalen Assekuradeur technischer Risiken. Vor der Gründung des Unternehmens hat er in San Francisco das InsurTech Gabi mitgegründet und zu einem der führenden Online-Versicherungsmakler der USA aufgebaut. 

Startup-Jobs: Auf der Suche nach einer neuen Herausforderung? In der unserer Jobbörse findet Ihr Stellenanzeigen von Startups und Unternehmen.

Foto (oben): Shutterstock