Security-Tools für Founder: Was du zum Start brauchst

In der Frühphase eines Unternehmens stehen ein schnelles Wachstum und der Fokus auf das eigentliche Produkt im Vordergrund. Über Sicherheit nachzudenken fühlt sich da häufig wie ein Thema an, das man auf später verschieben kann, sobald der Market-Fit des Produkts passt oder die erste Finanzierungsrunde überstanden ist. Währenddessen entstehen die typischen Muster, die später teuer werden können: Passwörter werden in einem geteilten Google Doc gespeichert, dem ausgeschiedenen Mitarbeitenden wurden nie sauber alle Zugänge entzogen (oder doch?), und der GCP-Root-Account hängt an einer privaten Gmail-Adresse.

Genau diese Anhäufung kleiner, unsauberer Lösungen ist der Grund, warum die meisten Vorfälle in jungen Unternehmen passieren.

Warum Founder Security nicht aufschieben sollten

Drei Gründe sprechen dafür, die Basis für Sicherheit früh zu legen, auch wenn das Produkt noch weit davon entfernt ist, hunderte oder tausende Nutzer zu haben.

Gesetzliche Pflicht. Das nDSG gilt für jede Organisation, die in der Schweiz personenbezogene Daten verarbeitet, unabhängig von Grösse oder Phase. Sobald du Kunden-E-Mails sammelst, Nutzerdaten speicherst oder Zahlungen abwickelst, gelten die Anforderungen aus Art. 8 nDSG an «angemessene technische und organisatorische Massnahmen» ab dem ersten Tag. Eine Startup-Ausnahme sieht das Gesetz nicht vor.

Professionelle Wahrnehmung durch Investoren. Die Security-Situation eines neuen Unternehmens ist inzwischen ein fester Bestandteil von Fundraising-Gesprächen. VCs und Angels fragen nach Datenschutz, Compliance und Co. Nachvollziehbare Antworten können als Reifeindikator gesehen werden, der im Gespräch einen Unterschied machen kann. Wer erst während der Due Diligence-Phase anfängt, einen Passwort-Manager und Zugriffskontrollen einzuführen oder einen rudimentären Incident-Response-Ablauf zusammenzustellen, verliert Zeit in einer Phase, in der sie am knappsten ist.

Wachsende Kosten. Mit jedem Monat ohne grundlegende Security-Infrastruktur wird die Situation immer unübersichtlicher. Es werden mehr Konten mit geteilten Passwörtern erstellt, mehr Personen erhalten Zugriff auf immer mehr Systeme und Konten und die Anzahl an Orten, an denen Kundendaten gespeichert werden, nimmt immer mehr zu. Häufig geht dabei leicht der Überblick verloren. Die eigentliche Schwierigkeit ist meist, dass rückwirkend niemand mehr genau sagen kann, wer wann wo Zugriff hatte.

Welche Tools brauche ich von Anfang an?

Die minimale Security-Basis für ein Startup lässt sich relativ schnell aufbauen und ist zu weiten Teilen kostenlos.

1. Business-Passwort-Manager

Ein Passwort-Manager ist ein solider Anfang für eine Sicherheits-Infrastruktur. Ein Business-Passwort-Manager wie 1Password Business oder Bitwarden Organization hilft dir bei mehreren Dingen, die Startups regelmässig brauchen:

• Dedizierte Zugangsdaten für jeden Dienst. Anstatt «startup123!» über alle Dienste hinweg zu verwenden, hilft dir ein Passwort-Manager ganz einfach dabei, ein sicheres, zufällig generiertes Passwort pro Dienst zu verwenden.
• Geteilte Tresore. Teammitglieder können einfach auf gemeinsam verwendete Konten zugreifen, ohne dass die Passwörter hierfür über Teams, Slack oder per E-Mail geteilt werden müssen.
• Sauberes On- und Offboarding. Wer neu im Team anfängt, bekommt Tresorzugriff, wer geht, verliert ihn. Als Admin kannst du das einfach zentral verwalten. Das ist tatsächlich wesentlich einfacher, als dir den Kopf darüber zu zerbrechen, ob und wo du gegebenenfalls lieber die Passwörter ändern solltest.
• Audit-Trail. Ein Passwort-Manager kann dir auch dabei helfen, zu verstehen, wer wann auf welches Konto zugegriffen hatte. Passwort-Manager können eine einfach nachvollziehbare Dokumentation liefern, die auch bei der Erfüllung von Pflichten aus dem nDSG helfen kann.
• Resilienz gegenüber Phishing. Die Auto-Fill-Funktion von Passwort-Managern im Browser oder bei Apps funktioniert nur auf den richtigen Domains. Wenn du auf einer sehr ähnlichen Phishing-Seite landest (z. B. micr0soft.com anstatt microsoft.com), wird dein Passwort nicht automatisch ausgefüllt. Wenn so etwas passiert, solltest du die URL genau überprüfen.

Produkt-Empfehlung: Eine der besten UX und Admin-Funktionen bietet 1Password Business. Bitwarden Organization ist dagegen kostengünstiger und bietet sogar die Möglichkeit, das ganze selbst zu hosten.

2. Zweifaktorauthentifizierung (2FA)

Wenn du 2FA für deine Zugänge im Unternehmen oder bei Kunden aktivierst, ist das eine der wirksamsten Massnahmen gegen Kontoübernahmen. Mit einem zweiten Sicherheitsfaktor wird es wesentlich schwieriger für Angreifer, Zugriff zu erhalten. Dabei solltest du diese Funktion auch bei eigentlich unwichtigen Tools aktivieren. Angreifer brauchen nur einen Einstiegspunkt und der ist nicht immer der offensichtliche.

Wichtige Dienste, bei denen 2FA inzwischen zum Standard gehört:

1. E-Mail (Wiederherstellungspfad für alle anderen Konten)
2. Cloud-Infrastruktur (AWS, GCP, Azure)
3. Code-Repositories (GitHub, GitLab)
4. Kundendaten-Speicher (CRM, Datenbankzugänge)
5. Finanztools (Banking, Accounting, Zahlungsanbieter)

Für Admin- und Infrastruktur-Konten können sich zudem Hardware-Schlüssel wie YubiKey oder Titan Key lohnen. Für alles andere reichen meist TOTP-Apps oder Passkeys, wenn der Dienst sie unterstützt. Passkeys werden derzeit immer beliebter.

3. Geräte und Daten verschlüsseln

Geräteverschlüsselung zu aktivieren ist weder teuer noch kompliziert und in wenigen Minuten erledigt. Du solltest Verschlüsselungsoptionen immer aktivieren, wenn es möglich ist. Zu Beginn zählt hierzu:

• Festplattenverschlüsselung auf jedem Gerät (FileVault auf macOS, BitLocker auf Windows Pro)
• TLS auf allen Web-Properties ab Tag eins (Let’s Encrypt stellt die Zertifikate kostenlos bereit)
• Kundendaten in der Datenbank verschlüsseln, soweit das nicht ohnehin bereits so abläuft
• Backups ebenfalls verschlüsselt ablegen

Der Unterschied wird im Verlustfall relevant. Ein gestohlener, unverschlüsselter Laptop mit Kundendaten kann eine nach Art. 24 nDSG meldepflichtige Verletzung der Datensicherheit darstellen. Ein verlorener, verschlüsselter Laptop ist ärgerlich, aber häufig nur ein Kostenfaktor und nicht zwingend ein Datenschutzvorfall.

4. VPN fürs Team

Sobald Teammitglieder regelmässig remote oder von unterwegs arbeiten, was auf die meisten Startup-Teams zutrifft, schützt ein VPN den Datenverkehr in fremden Netzwerken (Coworking Spaces, Cafés, Hotels, Gäste-WLAN beim Kunden). Er ersetzt zwar weder HTTPS noch einen Virenschutz, er schliesst aber die Lücken, die öffentliche WLANs und unverschlüsselte DNS-Anfragen unabgedeckt lassen.

Empfehlung: Die Dienste NordVPN Teams oder Proton VPN Business bieten beide Schweizer Server und zentrale Admin-Kontrollen für die Teamverwaltung.

5. Zugriffskontrollen früh einrichten

Das Least-Privilege-Prinzip (nur so viele Rechte, wie nötig) ist in der Frühphase eine gute Basis:

• Nicht jede Person braucht Admin-Zugang
• Erstelle separate Konten für Produktions- und Entwicklungsumgebungen
• Halte fest, wer auf welche Systeme zugreifen kann. Schaue dir regelmässig (z. B. alle drei Monate) an, ob die Zugriffe noch sinnvoll sind.
• Dokumentiere den Offboarding-Prozess: wenn ein Co-Founder, Contractor oder Mitarbeitende das Unternehmen verlässt, müssen alle Zugänge am Austrittstag entzogen werden.

Zu Beginn ist der Aufwand meist gering, wenn es wenige Personen betrifft. Wenn du wächst, wird es ohne eine grundlegende Dokumentation schon schwieriger.

nDSG-Compliance-Minimum

Als Schweizer Startup solltest du folgende Punkte dokumentieren:

• Welche Personendaten du bearbeitest und warum (eine einfache Tabelle reicht zu Beginn)
• Wo sie gespeichert werden (welche Dienste, welche Länder)
• Wer Zugang hat (dein oben beschriebenes Zugriffskontrolldokument)
• Welche Sicherheitsmassnahmen bestehen (Passwort-Manager, 2FA, Verschlüsselung, Backups)
• Wie lange du Daten aufbewahrst und wie dein Löschprozess aussieht

Diese Dokumentation muss kein Papiertiger sein, aber du solltest wissen, wo sie liegt und ob sie regelmässig gepflegt wird.

Für FINMA-regulierte Fintech-Startups kommen strengere Anforderungen dazu: obligatorische Multi-Faktor-Authentifizierung, Netzwerksegmentierung, formelle Incident-Response-Pläne sowie regelmässige Sicherheitsprüfungen.

Welche Kosten kommen auf mich zu?

Für ein kleines Team liegt das monatlich in der Grössenordnung eines einzelnen Team-Lunches. Gegenüber den Kosten, die nach einem Vorfall schnell in die Tausende gehen, ist das eine moderate Versicherungsprämie. Aktuelle Preise findest du auf den Websites der jeweiligen Anbieter.

Eine Checkliste für den Freitagnachmittag

1. Richte einen Business-Passwort-Manager ein und migriere die wichtigsten Zugangsdaten. Ergänze mit jedem weiteren Login den Rest.
2. Aktiviere 2FA auf allen Konten, beginnend mit E-Mail-Konten und deiner Cloud-Infrastruktur (sofern nicht bereits Standard).
3. Prüfe die Geräteverschlüsselung und aktiviere sie, wenn sie noch fehlt.
4. Richte ein VPN mit Auto-Connect für unsichere Netzwerke ein und rolle es im Team aus.
5. Erstelle ein Dokument, das festhält, wer Zugang zu welchem Dienst hat und warum.
6. Erstelle ein minimales Datenverarbeitungsverzeichnis: welche Daten werden wo gespeichert sowie wer Zugriff hat.
7. Aktiviere automatische Backups für kritische Daten und prüfe, dass die Backups selbst verschlüsselt sind.

Damit schaffst du ein erstes Sicherheits-Fundament, das mit deinem Unternehmen mitwachsen kann.