Zum Inhalt springen
NeoGuard

Security-Tools für Gründer: Was Sie vom ersten Tag an brauchen

Security-Tools für Gründer: Was Sie vom ersten Tag an brauchen
Photo by www.kaboompics.com on Pexels

TL;DR

  • Security-Schulden wachsen schneller als technische Schulden. Sicherheit nach einem Vorfall nachzurüsten kostet das 10-fache verglichen mit dem Einbau von Anfang an.
  • Starten Sie mit einem Business-Passwort-Manager, erzwingen Sie 2FA und verschlüsseln Sie alles. Das dauert einen Nachmittag und kostet unter CHF 10/Monat.
  • Das nDSG gilt ab Tag eins. Es gibt keine Schonfrist, weil Sie ein Startup sind.

Sie bauen schnell, liefern Features, schliessen Deals. Security fühlt sich an wie etwas, das man später erledigt: nach dem Product-Market-Fit, nach der ersten Finanzierungsrunde, nachdem jemand eingestellt wurde, der sich damit auskennt.

Dieses «Später» ist der Grund, warum die meisten Vorfälle passieren. Nicht durch raffinierte Angriffe, sondern durch die Anhäufung von Abkürzungen: ein geteiltes Google Doc mit allen Passwörtern, Admin-Zugang, der nie von einem ausgeschiedenen Co-Founder entzogen wurde, ein AWS-Root-Account, der mit dem persönlichen Gmail-Passwort gesichert ist.

Warum Gründer Security nicht aufschieben können

Drei Gründe:

Gesetzliche Pflicht. Das nDSG gilt für jede Organisation, die in der Schweiz Personendaten verarbeitet, unabhängig von Grösse oder Phase. Wenn Sie Kunden-E-Mails sammeln, Nutzerdaten speichern oder Zahlungen verarbeiten, brauchen Sie «angemessene technische und organisatorische Massnahmen» ab dem Moment, in dem Sie starten. Es gibt keine Startup-Ausnahme.

Investoren-Due-Diligence. Die Sicherheitslage ist zunehmend Teil von Fundraising-Gesprächen. VCs und Angels fragen nach Datenschutz, Compliance und Vorfallbereitschaft. Antworten zu haben signalisiert operative Reife.

Kumulative Kosten. Jeder Monat ohne grundlegende Security-Infrastruktur bedeutet mehr Konten mit geteilten Passwörtern, mehr Ex-Contractors mit bestehendem Zugang, mehr unverschlüsselte Kundendaten. Die Kosten der Behebung wachsen mit jedem Mitarbeiter, jedem Tool, jedem Kunden.

Der Gründer Security Stack

Die minimale Security-Basis für ein Startup mit 1-5 Personen. Einrichtung in einem Nachmittag, fast kostenlos.

1. Business-Passwort-Manager

Das Fundament. Alles andere baut darauf auf.

Ein Business-Passwort-Manager (1Password Teams, Bitwarden Organization) bietet:

  • Einzigartige Zugangsdaten für jeden Dienst. Kein «firma123» mehr über alle Tools hinweg.
  • Geteilte Tresore. Teammitglieder greifen auf das zu, was sie brauchen, ohne Passwörter über Slack zu senden.
  • On-/Offboarding. Wenn jemand anfängt, Tresorzugriff gewähren. Wenn jemand geht, entziehen. Eine Aktion, vollständige Credential-Rotation.
  • Audit-Trail. Wissen, wer wann auf was zugegriffen hat, nützlich für nDSG-Compliance-Dokumentation.
  • Phishing-Resistenz. Auto-Fill funktioniert nur auf der korrekten Domain.

Empfehlung: 1Password Business (ca. CHF 8/Nutzer/Monat) für die beste UX und Admin-Kontrolle. Bitwarden Organization (ca. CHF 4/Nutzer/Monat) für engere Budgets.

2. 2FA überall erzwingen

Machen Sie 2FA für jedes Teammitglied auf jedem Business-Tool obligatorisch. Nicht verhandelbar. Diese einzelne Massnahme verhindert die Mehrheit der Kontoübernahme-Angriffe.

Prioritätsreihenfolge:

  1. E-Mail (Wiederherstellungspfad für alle anderen Konten)
  2. Cloud-Infrastruktur (AWS, GCP, Azure)
  3. Code-Repositories (GitHub, GitLab)
  4. Kundendaten-Speicher (CRM, Datenbankzugang)
  5. Finanztools (Banking, Rechnungsstellung, Zahlungsanbieter)

Für Admin- und Infrastruktur-Konten Hardware-Schlüssel (YubiKey) nutzen. Für alles andere reichen TOTP-Apps.

3. Geräte und Daten verschlüsseln

  • Festplattenverschlüsselung auf jedem Teamgerät aktivieren (FileVault, BitLocker)
  • TLS auf allen Web-Properties ab Tag eins nutzen (Let’s Encrypt, kostenlos)
  • Kundendaten in der Datenbank verschlüsseln
  • Backups verschlüsseln

Wenn ein Laptop gestohlen wird oder ein Backup-Laufwerk verloren geht, ist Verschlüsselung das, was den Vorfall von einer meldepflichtigen Datenpanne unterscheidet.

4. VPN fürs Team

Wenn Ihr Team remote arbeitet (und die meisten Startup-Teams tun das), schützt ein VPN den Datenverkehr in nicht vertrauenswürdigen Netzwerken.

Empfehlung: NordVPN Teams oder Proton VPN for Business. Beide bieten Schweizer Server und Admin-Kontrollen für Teamverwaltung.

5. Zugriffskontrollen früh einrichten

Starten Sie mit dem Prinzip der minimalen Rechte:

  • Nicht jeder braucht Admin-Zugang zu allem
  • Separate Konten für Produktions- und Entwicklungsumgebungen verwenden
  • Ein geteiltes Dokument erstellen, das auflistet, wer Zugang wozu hat (monatlich überprüfen)
  • Wenn ein Co-Founder, Contractor oder Mitarbeiter geht: alle Zugänge am selben Tag entziehen

Das ist einfach bei 3 Personen. Bei 30 wird es zum Albtraum.

nDSG-Compliance-Minimum

Als Schweizer Startup dokumentieren Sie:

  • Welche Personendaten Sie sammeln und warum (eine einfache Tabelle reicht zu Beginn)
  • Wo sie gespeichert sind (welche Dienste, welche Länder)
  • Wer Zugang hat (Ihr Zugriffskontrolldokument)
  • Welche Sicherheitsmassnahmen bestehen (Passwort-Manager, 2FA, Verschlüsselung, Backups)
  • Wie lange Sie Daten aufbewahren und Ihr Löschprozess

Diese Dokumentation muss nicht aufwändig sein. Sie muss existieren.

Für FINMA-regulierte Fintech-Startups liegt die Latte höher: obligatorische Multi-Faktor-Authentifizierung, Netzwerksegmentierung, formelle Incident-Response-Pläne und regelmässige Sicherheitsbewertungen.

Welche Kosten kommen auf mich zu?

ToolKostenAbdeckung
1Password Businessca. CHF 8/Nutzer/MoPasswort-Management, geteilte Tresore, Audit-Logs
NordVPN Teamsca. CHF 5/Nutzer/MoVerschlüsselter Verkehr, Schweizer Server
Let’s EncryptKostenlosTLS-Zertifikate
FileVault/BitLockerKostenlosGeräteverschlüsselung
Google AuthenticatorKostenlos2FA

Für ein 3-Personen-Team: ca. CHF 40/Monat. Weniger als ein Team-Lunch, und es deckt die Security-Grundlagen ab, die nach einem Vorfall Tausende kosten würden.

Die Nachmittags-Checkliste

  1. Business-Passwort-Manager einrichten. Alle geteilten Zugangsdaten aus Slack, E-Mail und Tabellen migrieren.
  2. 2FA auf allen Business-Konten aktivieren. Mit E-Mail und Cloud-Infrastruktur beginnen.
  3. Geräteverschlüsselung bei jedem Teammitglied prüfen.
  4. VPN mit Auto-Connect für nicht vertrauenswürdige Netzwerke einrichten.
  5. Zugriffskontrolldokument erstellen (wer hat Zugang wozu).
  6. Minimales Datenverarbeitungsverzeichnis erstellen (welche Daten, wo gespeichert, wer greift zu).
  7. Automatische Backups für kritische Daten aktivieren. Verschlüsselung prüfen.

Sieben Schritte. Ein Nachmittag. Ein Security-Fundament, das mit Ihrem Unternehmen skaliert.

Zuletzt aktualisiert: 07.04.2026