Cybersecurity für Startups: Kein Luxus, sondern Überlebensstrategie
Viele Schweizer Startups begehen den gleichen Fehler: Sie schieben das Thema IT-Sicherheit auf, bis sie «gross genug» sind. Doch Angreifer wählen ihre Opfer nicht nach Unternehmensgrösse aus – sie wählen nach Schwachstellen. Und junge Unternehmen, die schnell wachsen, neue Systeme einführen und dabei Sicherheitsprozesse vernachlässigen, sind für Cyberkriminelle ausgesprochen attraktive Ziele.
Die gute Nachricht: Schweizer Startups müssen keine grossen Sicherheitsbudgets haben, um grundlegenden Schutz aufzubauen. Wer die richtigen Prioritäten setzt, kann mit überschaubarem Aufwand die gefährlichsten Angriffsvektoren schliessen – und sich gleichzeitig für Investorengespräche und Enterprise-Kundenanfragen positionieren, bei denen Cybersecurity zunehmend due-diligence-relevant ist.
Laut Swiss Startup Association gibt es in der Schweiz über 1’100 aktive Startups mit Risikokapitalfinanzierung. Zürich, Zug (Crypto Valley) und Basel sind die führenden Ökosysteme. Diese Konzentration hat einen Nebeneffekt: Angreifer wissen, wo sie suchen müssen.
Warum Startups besonders gefährdet sind
Schnelles Wachstum schlägt Sicherheitsprozesse
Startups befinden sich in einem konstanten Spannungsfeld zwischen Speed und Sorgfalt. Neue Mitarbeitende werden mit IT-Zugängen ausgestattet, bevor HR-Prozesse definiert sind. Cloud-Dienste werden ohne Security-Review eingeführt. Code geht in Produktion, bevor ein Security-Audit stattgefunden hat. Jeder dieser Kompromisse ist verständlich – und jeder davon erhöht das Risiko.
Besonders kritisch ist die Phase zwischen Seed und Series A: Das Team wächst schnell, die Systeme werden komplexer, aber dedizierte Security-Ressourcen fehlen noch. In dieser Phase entstehen die meisten technischen Schulden – auch in der IT-Sicherheit.
Wertvolle Daten trotz kleiner Grösse
Auch kleine Startups verfügen über schützenswerte Assets:
- Quellcode und proprietäre Algorithmen
- Kundendaten und Vertragsunterlagen
- Investoren-Pitchmaterialien und Finanzprojektionen
- Zugang zu Banking und Bezahlsystemen
- API-Schlüssel und Cloud-Zugangsdaten
Für einen Konkurrenten oder Angreifer kann schon der Quellcode eines frühen Fintech-Startups enormen Wert haben. Und im Crypto Valley Zug, wo zahlreiche Blockchain-Startups angesiedelt sind, sind die Einsätze noch höher: Ein kompromittierter privater Schlüssel kann Millionen in Sekunden transferieren.
Insider-Risiken in kleinen Teams
In kleinen Teams kennt jeder alles und hat Zugang zu fast allem. Das ist kulturell oft gewünscht – Transparenz und flache Hierarchien sind typisch für Startup-Kulturen. Aber es bedeutet auch: ein einziger kompromittierter Mitarbeitender-Account kann das gesamte Unternehmen gefährden.
Laut dem Verizon Data Breach Investigations Report 2024 sind bei kleinen Unternehmen unter 1’000 Mitarbeitenden Social Engineering und Phishing die häufigsten Angriffsmethoden. Phishing-Angriffe richten sich nicht nach Unternehmensgrösse – sie richten sich nach Zugangsdaten.
Investor Due Diligence: Cybersecurity als Dealbreaker
Ein Thema, das in Schweizer Startup-Kreisen noch zu wenig diskutiert wird: Cybersecurity ist zunehmend ein formaler Bestandteil von Investor-Due-Diligence-Prozessen. Enterprise-VCs, Corporate Venture Arms und strategische Investoren fragen systematisch nach:
- Vorhandensein einer dokumentierten Security Policy
- Umgang mit sensiblen Kundendaten (DSG/DSGVO-Compliance)
- Penetrationstest-Berichte und Schwachstellen-Management
- Incident-Response-Pläne
- SOC-2-Zertifizierung (relevant vor allem für US-Investoren und SaaS-Produkte)
Ein Startup ohne grundlegende Sicherheitsdokumentation hat es schwerer, institutionelles Kapital zu gewinnen – besonders wenn potenzielle Kunden aus dem Finanz-, Gesundheits- oder Pharmabereich kommen. Mehr zu den regulatorischen Anforderungen in unserer nDSG-Checkliste für KMU.
“Wir haben in den letzten zwei Jahren bei fast jedem unserer Portfolio-Investments eine formale Security-Review durchgeführt. Startups, die keine grundlegende Sicherheitsdokumentation vorweisen können, kommen gar nicht erst in die engere Auswahl für Series-A-Runden.” – Investorin, Schweizer Tech-VC (anonym)
Crypto Valley und Fintech: Erhöhtes Risikoprofil
Das Crypto Valley in Zug ist international bekannt als Zentrum für Blockchain- und Krypto-Unternehmen. Diese Startups haben ein ausserordentlich hohes Risikoprofil:
Digitale Assets als direktes Angriffsziel: Im Gegensatz zu traditionellen Startups, deren Wert in Daten und Code liegt, verwalten Krypto-Startups direkt monetisierbare Assets. Smart-Contract-Schwachstellen, kompromittierte Wallets und gestohlene private Schlüssel führen zu sofortigen, irreversiblen Verlusten.
Zielgerichtete Angriffe durch organisierte Gruppen: Bekannte Hackergruppen wie Lazarus (Nordkorea) haben sich auf Krypto-Unternehmen spezialisiert und setzen dabei ausgeklügelte, mehrstufige Angriffe ein, die auch kleine Teams treffen können.
Regulatorische Anforderungen: Die FINMA hat für Krypto-Unternehmen spezifische Anforderungen an KYC/AML-Compliance, die auch Implikationen für die IT-Sicherheit haben.
Für Fintech-Startups gelten die gleichen FINMA-Anforderungen, die im Cybersecurity-Leitfaden für den Finanzsektor beschrieben sind.
Priorisierte Sicherheitsmassnahmen für Startups mit begrenztem Budget
Die gute Nachricht: Viele der wichtigsten Sicherheitsmassnahmen kosten wenig oder nichts. Die schlechte: Sie müssen konsequent umgesetzt und gepflegt werden.
Stufe 1: Quick Wins (0-2 Monate, geringes Budget)
Multi-Faktor-Authentifizierung (MFA) für alle Accounts ist die einzeln wirksamste Massnahme gegen Phishing und Credential-Diebstahl. Google Authenticator, Microsoft Authenticator oder Hardware-Tokens wie YubiKey sind kostengünstig und einfach einzuführen. Priorität: alle Admin-Accounts, Cloud-Zugänge, Code-Repositories, E-Mail.
Passwort-Manager schaffen die Wiederverwendung von Passwörtern ab – einen der häufigsten Angriffsvektoren bei kleinen Teams. 1Password, Bitwarden (Open Source) oder ähnliche Lösungen kosten wenige Franken pro Monat und User.
Regelmässige Backups nach der 3-2-1-Regel: 3 Kopien, auf 2 verschiedenen Medien, 1 davon offsite oder in der Cloud. Backups sind die wichtigste Ransomware-Prävention.
Geräte-Verschlüsselung aktivieren: FileVault (macOS) und BitLocker (Windows) sind bereits im Betriebssystem integriert und kosten nichts extra.
Basis-Security-Awareness: Alle Mitarbeitenden sollten wissen, wie ein Phishing-Link aussieht und was zu tun ist, wenn man einen erhält. Ein einstündiges Onboarding-Training ist ausreichend für den Start.
Stufe 2: Skalierbare Sicherheit (2-6 Monate, moderates Budget)
Identity and Access Management (IAM): Zugangsrechte werden nach dem Prinzip «least privilege» vergeben – jeder bekommt nur, was er tatsächlich braucht. Beim Austritt eines Mitarbeitenden werden alle Zugänge sofort gesperrt (Offboarding-Checkliste).
Endpoint Detection and Response (EDR): Lösungen wie SentinelOne, CrowdStrike oder Microsoft Defender for Business gehen weit über klassischen Antivirenschutz hinaus und können viele Angriffe automatisch erkennen und stoppen.
Secrets-Management: API-Schlüssel, Datenbankpasswörter und andere Secrets gehören nicht in den Code – weder im Repository noch in Konfigurationsdateien. Tools wie HashiCorp Vault oder AWS Secrets Manager verwalten diese sicher.
Security als Teil des Development-Prozesses (DevSecOps): Automatisierte Security-Scans im CI/CD-Pipeline, Dependency-Checks (z.B. mit Snyk oder Dependabot) und Code-Reviews mit Security-Fokus kosten wenig und verhindern viele Schwachstellen.
Stufe 3: Enterprise-Readiness (6-18 Monate)
Penetrationstest: Ein externer Penetrationstest – idealerweise bevor Enterprise-Kunden anfragen oder vor einer Due-Diligence-Runde – gibt objektive Evidenz über die Sicherheitslage. Mehr dazu in unserer Cybersecurity-Checkliste für KMU.
SOC 2 Typ II: Für SaaS-Startups, die Enterprise-Kunden in den USA gewinnen wollen, ist SOC 2 Typ II zunehmend eine Grundvoraussetzung. Die Vorbereitung dauert 6-12 Monate und erfordert Investitionen in Prozesse und Dokumentation.
Red Teaming: Für Startups, die schnell skaliert haben und signifikante Kundendaten verwalten, ist ein Red Teaming-Einsatz der nächste Schritt über einen Penetrationstest hinaus.
SOC 2: Was Schweizer SaaS-Startups wissen müssen
SOC 2 (Service Organization Control 2) ist kein gesetzlich vorgeschriebener Standard – aber er ist faktisch zum Branchenstandard für SaaS-Unternehmen geworden, die Enterprise-Kunden bedienen wollen. Viele US-amerikanische und auch europäische Unternehmenskunden verlangen heute einen aktuellen SOC 2 Typ II Bericht als Voraussetzung für eine Zusammenarbeit.
Die fünf Trust Service Criteria:
- Security: Schutz gegen unbefugten Zugriff
- Availability: System-Verfügbarkeit wie vereinbart
- Processing Integrity: Korrekte und vollständige Verarbeitung
- Confidentiality: Schutz vertraulicher Informationen
- Privacy: Umgang mit personenbezogenen Daten
Für die meisten Startups sind Security und Availability die primär relevanten Kriterien. Ein SOC 2 Audit ist aufwändig, aber die Investition zahlt sich bei Enterprise-Sales-Prozessen schnell aus.
“Vor zwei Jahren haben wir unseren ersten SOC 2 Typ II Bericht abgeschlossen. Seither haben wir drei Enterprise-Deals gewonnen, bei denen der Bericht ausschlaggebend war. Die Investition hat sich bereits im ersten Jahr mehrfach amortisiert.” – Gründer, Züricher SaaS-Startup (anonym)
Rapid Scaling: Wenn Wachstum die Sicherheit überrollt
Eine spezifische Risikoperiode für Startups ist der Übergang von 10 auf 50 oder von 50 auf 200 Mitarbeitende. In dieser Phase:
- Werden neue Tools und Systeme schnell eingeführt, ohne Security-Review
- Wächst die Anzahl der SaaS-Integrationen und damit die Angriffsfläche
- Verliert das Founding-Team den Überblick darüber, wer Zugang zu was hat
- Werden erste dedizierte Sicherheitsressourcen erst dann eingestellt, wenn es Probleme gibt
Eine Übersicht aller eingesetzten SaaS-Tools mit Datenzugang, Authentifizierungsmethoden und Administratoren ist in dieser Phase entscheidend. Was nicht erfasst ist, kann nicht geschützt werden.
Der Vergleich Red Teaming vs. Penetrationstest gibt einen guten Überblick darüber, welche Art von Sicherheitsüberprüfung in welcher Wachstumsphase sinnvoll ist.
Das Zürich-Startup-Ökosystem: Spezifische Risiken
Zürich ist das führende Startup-Ökosystem der Schweiz mit Stärken in Fintech, DeepTech, HealthTech und Enterprise Software. Diese Sektoren haben jeweils spezifische Sicherheitsanforderungen:
HealthTech: Gesundheitsdaten sind besonders schützenswert unter dem Schweizer DSG und europäischer DSGVO. HealthTech-Startups, die Patientendaten verarbeiten, müssen von Beginn an Privacy-by-Design implementieren.
DeepTech / AI: ML-Modelle und Trainingsdaten sind wertvolles geistiges Eigentum. Model-Stealing-Angriffe und Datenvergiftung sind reale Bedrohungen.
Enterprise Software: Startups, die in Unternehmensnetzwerke integriert werden, müssen die Sicherheitsstandards ihrer Kunden erfüllen. Ein Sicherheitsvorfall beim Startup kann zum Sicherheitsvorfall beim Kunden werden.
Die Kosten für einen Red Teaming-Einsatz variieren je nach Umfang und Reifegrad des Unternehmens – für Startups in der Wachstumsphase gibt es pragmatische Ansätze.
Fazit
Cybersecurity ist für Schweizer Startups keine Option, die man sich «leisten kann oder nicht». Sie ist eine Grundvoraussetzung für nachhaltiges Wachstum, vertrauenswürdige Kundenbeziehungen und erfolgreiche Finanzierungsrunden. Die gute Nachricht: Man muss nicht alles auf einmal tun. Eine priorisierte, schrittweise Vorgehensweise – von MFA und Passwort-Manager bis hin zu SOC 2 und Red Teaming – erlaubt es, auch mit begrenztem Budget eine solide Sicherheitsbasis aufzubauen.
Wer früh investiert, vermeidet die teuren Reparaturen nach einem Vorfall – und positioniert sich als vertrauenswürdiger Partner für Enterprise-Kunden und institutionelle Investoren.
Bereit für den nächsten Schritt?
Mit einem Red Teaming-Einsatz von CybersecuritySwitzerland testen wir Ihre Sicherheitsmassnahmen unter realen Bedingungen – pragmatisch, skalierbar und auf die spezifischen Anforderungen von wachsenden Startups ausgerichtet.
Red Teaming für Startups ab CHF 11’900 – inklusive Executive Summary für Investorengespräche und priorisiertem Massnahmenplan.