Blog
Security & Compliance8. März 20268 min

Banking-IT-Lektionen für Startup-Sicherheit

Schweizer Banking-IT betreibt die strengsten Sicherheitsanforderungen weltweit. Hier sind die Prinzipien, die jedes Startup übernehmen sollte — und wie man es ohne Banking-Budget umsetzt.

Schweizer Banking-IT arbeitet unter den strengsten Sicherheitsanforderungen der Welt. FINMA-Regulierungen, kombiniert mit den Erwartungen institutioneller Kunden, haben eine Sicherheitskultur geschaffen, die Jahrzehnte vor den meisten SaaS-Startups liegt. Nach 30 Jahren in der Schweizer Banking-IT-Infrastruktur habe ich die wichtigsten Prinzipien identifiziert.

Prinzip 1: Defense in Depth — Nie auf eine einzige Kontrolle verlassen

  • SSO + MFA für alle internen Tools und Infrastruktur verlangen
  • Nie nur auf VPN für Produktionszugang setzen — mit Service-Level-Authentifizierung schichten
  • Datenbankzugang sollte separate Credentials von Anwendungs-Credentials erfordern
  • Jeden privilegierten Vorgang in einem unveränderlichen Audit-Trail protokollieren

Prinzip 2: Least Privilege — Zugang entspricht Bedarf

  • Rollenbasierte Zugriffskontrolle (RBAC) von Beginn an implementieren
  • Produktionszugang sollte separate Genehmigung erfordern und protokolliert werden
  • Zugang innerhalb von 24 Stunden nach Mitarbeiterverlassen widerrufen
  • Vierteljährliche Access-Reviews

Prinzip 3: Daten kennen — klassifizieren und entsprechend schützen

  1. 1.Alle Datenflüsse kartieren: welche Daten sammeln, speichern, verarbeiten und teilen Sie
  2. 2.Daten nach Sensitivität klassifizieren: öffentlich, intern, vertraulich, streng vertraulich
  3. 3.Kontrollmaßnahmen entsprechend der Klassifikation anwenden
  4. 4.Alles dokumentieren — Regulatoren und Enterprise-Kunden werden fragen

Prinzip 4: Breach annehmen — planen für Wann, nicht Ob

  • Security-Monitoring (SIEM) deployen — selbst ein Basis-Setup erfasst 80 % der Vorfälle
  • Alarmierung bei ungewöhnlichen Zugriffsmustern einrichten
  • Incident-Response-Plan haben, bevor Sie ihn brauchen
  • Breach-Meldeprozess für DSGVO 72-Stunden-Anforderungen definieren

Was Startups heute leisten können

  • SSO + MFA: Google Workspace oder Microsoft 365
  • Secrets Management: HashiCorp Vault, AWS Secrets Manager oder Infisical (Open Source)
  • Log-Aggregation: Datadog, Grafana Cloud oder selbst gehosteter ELK-Stack
  • Vulnerability-Scanning: Snyk (kostenloser Tier deckt die meisten Startup-Bedürfnisse ab)
  • Compliance-Automatisierung: Vanta oder Drata (ab ca. CHF 1.000/Monat)

Bereit, Ihre Technologiestrategie zu stärken?

Sprechen Sie mit einem erfahrenen Fractional CTO, der den DACH-Markt kennt.

Kontakt aufnehmen