Während die Zahl und Raffinesse von Deepfakern, Betrügern und Identitätsdieben zunimmt, wächst auch die Landschaft der Cybersicherheitstechnologie. Heutzutage reicht es nicht mehr aus, an dasselbe Passwort, das Sie für alles verwenden, ein Ausrufezeichen anzuhängen (im Ernst, tun Sie das nicht).

Die weltweite Zunahme von Internetkriminalität und Datensicherheitsproblemen hat die Aufmerksamkeit globaler politischer Entscheidungsträger auf sich gezogen, die mit der Verabschiedung neuer Vorschriften reagiert haben, vom California Consumer Privacy Act bis hin zur umfassenden Datenschutz-Grundverordnung (DSGVO) der EU. Solche Regelungen werden regelmäßig aktualisiert und daher empfehle ich Gründern häufig, Sicherheitsdienste mit der Aktualisierung der Datenbanken mindestens vierteljährlich zu beauftragen.

Als Mitbegründer des Open-Source-Cybersicherheits-Startups Bridgecrew* lernte ich aus erster Hand den Einfluss der Regulierung auf Geschäftsmöglichkeiten und die Bedeutung einer gewissenhaften Einhaltung gesetzlicher Vorschriften kennen.

Bridgecrew, eine Cloud-basierte Sicherheitsplattform, arbeitet innerhalb des Cloud Native Application Platforms (CNAPP)-Ökosystems. Viele unserer Kunden, die Compliance-Anforderungen wie SOC2 Typ 2, ISO 27001 und CIS- Benchmarks unterliegen, legen großen Wert auf eine kontinuierliche Überwachung ihrer Systeme im Laufe der Zeit, sowohl hinsichtlich der Sicherheit als auch der Compliance.

Angesichts der zunehmenden Regulierungsaufsicht ist es von entscheidender Bedeutung, dass die heutigen IT- und Cybersicherheits-Startups die Bedeutung der Compliance-Aufsicht und die Bedeutung der Zusammenarbeit mit den Regulierungsbehörden erkennen. Und dieser Fokus sollte nicht im Kleingedruckten versteckt sein! Ein organisatorischer Fokus auf die Einhaltung gesetzlicher Vorschriften kann ein starkes, positives Signal Ihres Unternehmens an Ihre Kunden sein.

Aufbauend auf meinen Erfahrungen als Unternehmensgründer und meiner Zeit als Risikokapitalgeber, der mit jungen Startups im Bereich Cybersicherheit zusammengearbeitet hat, empfehle ich Gründern Folgendes zu berücksichtigen.

Bleiben Sie informiert: Information ist Macht

Wenn es für Startups eine wichtige Erkenntnis hinsichtlich der Einhaltung der US-Cybersicherheitsvorschriften gibt, dann ist es diese: Es gibt keine einheitliche, übergreifende US-Cybersicherheitsrichtlinie. Compliance ist vielmehr ein mehrschichtiger Ansatz, der Folgendes berücksichtigt:

• Branchenvorschriften: Bestimmte Branchen, wie etwa das Gesundheitswesen (HIPAA) oder der Finanzsektor (PCI DSS), unterliegen spezifischen Datenschutzvorschriften. Identifizieren Sie Ihre, um die Einhaltung sicherzustellen.
• Datenschutzgesetze: Je nachdem, welche Art von Daten Ihr Unternehmen verarbeitet, können Gesetze wie das CCPA bestimmte Datenschutz- und Sicherheitspraktiken vorschreiben.
• Frameworks des National Institute of Standards and Technology (NIST): NIST bietet freiwillige Frameworks , die bewährte Vorgehensweisen zur Datensicherung beschreiben. Sie stellen eine gute Grundlage für jedes Startup dar.

Die neuesten Richtlinien und Kontrollen von NIST und ISO (Internationale Organisation für Normung) zur IT-Sicherheit finden Sie in den folgenden offiziellen Ressourcen:

• NIST richtet eine öffentliche Arbeitsgruppe für Multi-Cloud-Sicherheit (MCSPWG) ein, um Best Practices zur Sicherung komplexer Cloud-Lösungen mit mehreren Dienstanbietern und mehreren Clouds zu erforschen. Es steht im Einklang mit der Executive Order des Weißen Hauses zur „Verbesserung der Cybersicherheit der Nation“, in der hervorgehoben wird, dass „die Bundesregierung mutige Veränderungen und erhebliche Investitionen vornehmen muss, um die lebenswichtigen Institutionen zu schützen, die die Grundlage der amerikanischen Lebensweise bilden, indem sie“ die gesamte Bandbreite ihrer Befugnisse in den Mittelpunkt stellt.
• Die US-Regierung investiert massiv in Cloud Computing als zentralen Treiber ihrer eigenen digitalen Transformation. Dies ist eine direkte Folge der Open-Government-Richtlinie von Präsident Obama aus dem Jahr 2009 an die Bundesbehörden, in der diese die erforderliche digitale Transformation vorschrieben, um Cloud-basierte IT der nächsten Generation zu ermöglichen. Angesichts der zunehmenden Verbreitung von Multi-Cloud-Umgebungen konzentriert sich die Multi-Cloud-Sicherheitsarbeitsgruppe des NIST auf die Erforschung und Entwicklung von Best Practices zur Sicherung komplexer Cloud-Lösungen, an denen mehrere Cloud-Dienstanbieter und Cloud-Umgebungen beteiligt sind.
• NIST Special Publication (SP) 800-53 Rev. 5: Diese Veröffentlichung bietet einen umfassenden Katalog von Sicherheits- und Datenschutzkontrollen für Informationssysteme und Organisationen. Es deckt ein breites Spektrum an Bedrohungen und Risiken ab, darunter feindliche Angriffe, menschliches Versagen, Naturkatastrophen und Datenschutzbedenken.
• NIST SP 800-171, SP 800-171A, SP 800-172und SP 800-172A: Schutz kontrollierter nicht klassifizierter Informationen, bezieht sich auf nichtbundesstaatliche Systeme und Organisationen, die für Bundesbehörden von entscheidender Bedeutung sind. Der Schwerpunkt der Leitlinien liegt auf dem Schutz der Vertraulichkeit von CUI und empfiehlt spezifische Sicherheitsanforderungen zur Erreichung dieses Ziels. Die aktuellsten Updates wurden im Februar veröffentlicht. 21, 2024.
• NIST AI RMF Playbook – vs. NIST RMF: Das neue KI-Playbook des NIST ist informativ und eine Reaktion auf das EU-KI-Gesetz.
• ISO/IEC 42001:2023(E): Obwohl diese Regelung nicht erneut veröffentlicht werden kann (hier ist eine Vorschau), können wir sie als Sicherheitsreferenzkontrollen beschreiben, die einer Organisation eine Referenz für die Erreichung organisatorischer Ziele und den Umgang mit Risiken im Zusammenhang mit der Entwicklung und dem Betrieb von KI-Systemen bieten.
• Modell-Governance-Framework für künstliche Intelligenz: Dies ist ein Framework zur Datenschutz-Governance, das von der Personal Data Protection Commission in Singapur befürwortet und weltweit übernommen wurde.

Hier sind einige wichtige Punkte, die Gründer berücksichtigen sollten:

• Konzentrieren Sie sich auf den Schutz Ihrer wertvollsten Datenbestände. Nicht alle Vorschriften gelten gleichermaßen. Priorisieren Sie die Kontrollen daher auf der Grundlage Ihres Risikoprofils.
• Cybersicherheit sollte nicht zweitrangig sein. Implementieren Sie von Anfang an wirksame Verfahren und skalieren Sie diese, während Ihr Unternehmen wächst.
• Compliance kann komplex sein. Ziehen Sie in Erwägung, Cybersicherheitsexperten zu konsultieren und Automatisierungsplattformen zu verwenden, um Ihre Risiken zu bewerten und einen Plan zu entwickeln.

Sie können an der Schaffung neuer Regelungen mitwirken

In manchen Fällen übertreffen die von den Regulierungsbehörden und Arbeitsausschüssen empfohlenen Best Practices die auf dem Markt verfügbaren Mainstream-Lösungen um Längen. Wenn diese Empfehlungen weithin angenommen werden, können sie als Startrampe für Innovationen neuer Start-ups dienen, die Unternehmen auf kreative Weise dabei helfen, die neuesten Best Practices einzuhalten.

Dies ist in der Vergangenheit bereits geschehen. Neben den staatlichen Aktivitäten im Verschlüsselungsbereich beteiligten sich auch Unternehmen wie RSA und Verisign an der Diskussion über bewährte Vorgehensweisen, entwickelten sich mit den Empfehlungen des Amtes zur Verschlüsselung weiter und waren Teil der Diskussion, die ein sichereres Internet ermöglichte.

Angesichts des Booms bei Cloud- und Container-Workloads waren Unternehmen wie Twistlock (übernommen von PANW) als Autoren an der Erstellung des NIST-Leitfadens zur Containersicherheit beteiligt. Checkov (ein Tool, an dessen Entwicklung ich bei Bridgecrew beteiligt war) wurde von der CISA empfohlen und hat im Rahmen dieser Aktivitäten dazu beigetragen, durch seine Vordenkerrolle Aufmerksamkeit zu erregen und die Cloud zu einem sichereren Ort zu machen.

Angesichts der KI-Revolution und neuer Vorschriften – wie etwa dem neuen KI-Playbook des NIST als Reaktion auf das KI-Gesetz der EU –, die neue Empfehlungen zur Handhabung von KI-Workloads hervorbringen, haben Startups in den Bereichen Cybersicherheit und Governance nun eine hervorragende Gelegenheit, an Regulierungsdiskussionen teilzunehmen und bei der Automatisierung einiger der Best Practices mitzuhelfen.

Wir sehen weiterhin, wie Infrastruktur-Startups im Battery-Portfolio diese Chance nutzen: von MineOS*, das KI-Governance-Modelle entwickelt hat , um Unternehmen bei der Verwaltung und Einhaltung des EU-KI-Gesetzes zu unterstützen, über Contrast Security*, wo das Sicherheitskernteam des Unternehmens zu den Top 10 für LLM-Sicherheit der Open Source Foundation for Application Security (OWASP) gehört, bis hin zu Normalyze Security*, das dabei hilft, Abweichungen von Compliance-Kontrollen bei Cloud-Infrastrukturen und Datenspeichern zu erkennen , und darüber hinaus sind wir begeistert, wenn Gründer und Führungsteams technische Lösungen für diese Herausforderungen anwenden.

So können Sie loslegen

Meiner Ansicht nach können die Gründer von IT- und Cybersicherheits-Startups durchaus eine Zukunft schaffen, in der geschäftliche Innovationen parallel zur digitalen Abwehr der nächsten Generation florieren. Aber die Reise beginnt mit informiertem Bewusstsein.

Gründer können sich einen Vorsprung verschaffen, indem sie sich mit den oben genannten Vorschriften und Branchenstandards zur Cybersicherheit vertraut machen. Die Teilnahme an Workshops und Branchenveranstaltungen mit Schwerpunkt auf politischen Diskussionen ist ein weiterer Schritt hin zu mehr Information und Engagement.

Aber Gründer können und sollten mehr tun, als nur zuzuhören. Startups stehen oft an der Spitze des technologischen Fortschritts und können sich lautstark für innovationsfördernde Maßnahmen einsetzen. Sie können den Politikern ihr Wissen über neu auftretende Bedrohungen mitteilen und mögliche Lösungen vorschlagen sowie an Regierungsinitiativen wie Arbeitsgruppen und Pilotprogrammen teilnehmen.

Gründer können außerdem Initiativen leiten, die die Kluft zwischen Startups und Cybersicherheitsexperten überbrücken, indem sie gemeinsam Workshops veranstalten oder Veranstaltungen zum Wissensaustausch durchführen und so einen Raum schaffen, in dem beide Seiten lernen und wachsen können.

Die Vorteile dieser Zusammenarbeit sind weitreichend. Durch proaktive Zusammenarbeit mit politischen Entscheidungsträgern können anpassbare Richtlinien entstehen, die mit der sich schnell verändernden Startup-Landschaft Schritt halten. Startups wiederum erhalten wertvolle Einblicke in zukünftige regulatorische Entwicklungen und können so ihre Sicherheitsmaßnahmen strategisch planen.

Letztlich können beide Seiten – Gründer und politische Entscheidungsträger – durch den Austausch von Fachwissen dazu beitragen, ein sichereres und innovativeres digitales Ökosystem für alle Beteiligten aufzubauen.