Standpunkte Deutschland braucht Cyber-Champions

Es ist ein Paradoxon: Deutschland gilt als Vorreiter in Sachen Datenschutz und regulatorischer Strenge – und hinkt gleichzeitig seinen internationalen Wettbewerbern bei der Cyberinnovation hinterher. Während die USA, China und Israel Start-up-Ökosysteme aufgebaut haben, die Cybersicherheit als geopolitische Schlüsseltechnologie behandeln, befindet sich Deutschland kommerziell noch im Dornröschenschlaf. Eine Bestandsaufnahme, die man bereits aus Zukunftsbranchen wie Biotechnologie oder Künstlicher Intelligenz kennt.

Am Institute for Deep Tech Innovation (DEEP) an der ESMT Berlin führten wir 39 Tiefeninterviews und analysierten einen Großteil im Hinblick auf den Stand der Cyberinnovation in Deutschland und der EU. Das Ziel: jene Hebel zu identifizieren, die Deutschland in die Champions League der Cyberinnovatoren katapultieren könnten. Dabei haben wir sechs Haupthindernisse für Innovatoren identifiziert und daraus klare Handlungsmaßnahmen abgeleitet.

Europas teuerste Lücke ist nicht technischer, sondern kultureller Natur

Im globalen Wettlauf um Cybersicherheit ist Deutschland kein Nachzügler, sondern ein zögerlicher Mittelständler. Unserer Analyse zufolge entstehen hierzulande hochwertige Cyber-Start-ups – die es aber nur selten über die Landesgrenzen hinausschaffen. Warum? Denn es fehlt ihnen, was das Innovationssystem überall sonst antreibt: Kapital, Kunden, Klarheit.

Die Ursachen sind strukturell: ein zu komplexes Fördersystem, fragmentierte Ökosysteme, fehlende Anreize zur Zusammenarbeit und ein lähmender Regulierungsdschungel. Noch gravierender ist aber eine Haltung, die Sicherheit als notwendiges Übel und nicht als strategischen Erfolgsfaktor versteht.

Cybersicherheit ist kein Kostenfaktor. Sie ist der Hebel für digitale Souveränität.

Deutsche Unternehmen – vor allem aus dem Mittelstand – behandeln Cybersicherheit oft als Compliance-Aufgabe. Ganz nach dem Motto: „Tu gerade genug, um nicht aufzufallen.“ Doch wer so denkt, schützt sich nicht selbst, sondern verschließt sich der Innovation. Cybersicherheit ist längst nicht mehr nur ein IT-Thema, sondern das Rückgrat jeder digitalisierten Wirtschaft. Und: eine gigantische Marktchance. Der deutsche Cybermarkt wird im Jahr 2025 rund 13 Milliarden Euro wert sein – Tendenz stark steigend. Doch nur ein Bruchteil dieser Summe landet bei jungen Unternehmen. Das ist ökonomisch kurzsichtig und sicherheitspolitisch gefährlich.

Doch wo genau liegen die Stellschrauben, an denen wir drehen müssen, um jungen Cyber-Champions den Weg zu globalen Märkten zu ebnen und Cybersicherheit in Deutschland vom Nischenthema zum Innovationstreiber zu machen? Welche konkreten Hürden gilt es zu überwinden, damit unser Land im internationalen Vergleich nicht länger hinterherhinkt – sondern selbst zum Vorreiter wird?

Die 6 größten Hindernisse für Innovationen im Bereich Cybersicherheit in Deutschland

1. Konnektivität des Ökosystems – zu viele kleine Fragmente

Effektive Innovation erfordert eine kritische Masse an Teilnehmern des Ökosystems und alle an einem Ort – Gründer, Forscher, erfahrene Manager, Investoren, politische Entscheidungsträger und viele mehr. Anders als an den führenden Standorten weltweit sind die Innovationspuzzleteile nicht nur in München oder Berlin zu finden, sondern auch in Darmstadt, Bochum oder Saarbrücken. Kein ideales Szenario, um Drehscheibe für die Welt zu sein.

2. Institutionelle Prozesse – zu langsam für das Tempo der Bedrohungen

Bürokratie, starre IP-Übertragungen, langwierige Förderverfahren und restriktive Vergaben behindern die Skalierung innovativer Lösungen – insbesondere in der Verwaltung. Neben den Unternehmen als Kunden könnte gemeinsam mit Behörden und der Bundeswehr ein starker Markt entstehen, aber die Schnittstelle funktioniert noch nicht. Leider kein neues Thema.

3. Unternehmenskultur – Cybersecurity als strategische Investition verstehen

Cybersicherheit wird oft nur als Pflichtaufgabe angesehen – nicht als Business Enabler. Vorstandsmitglieder investieren erst nach einem Vorfall. Start-ups müssen mühsam „Bildungsarbeit“ leisten. Die positive Differenzierung vom Wettbewerb, der Erfolg beim Kunden und damit die Marktchance wird bei uns nachrangig betrachtet. Strategische Investition ist der Cyberbereich bei uns noch nicht.

4. Marktzugang – die Brücke zwischen Innovation und etablierten Unternehmen fehlt

Cybersecurity-Start-ups haben es schwer, Kunden zu gewinnen – nicht wegen mangelnder Qualität, sondern wegen fehlender Beziehungen. Viele junge, ambitionierte oder angewandte Start-up-Forscher haben noch nie mit einem CISO gesprochen und kennen die relevanten Geschäftsprobleme nicht. Und wenn die Start-ups Kunden benötigen, um wachsen zu können, sind Unternehmen und öffentliche Auftraggeber zu zögerlich und risikoavers, um neue Lösungen zu testen.

5. Humankapital – zu wenig Fachkräfte, zu wenig fundiertes Know-how

Gerade für Cloud Security, Compliance oder OT Security finden Start-ups und Corporates kaum Fachkräfte. Die Talentschmieden an den Hochschulen produzieren Qualität, aber noch zu wenig davon. Die Aufsichtsräte großer Unternehmen sind mit der Materie nicht ausreichend vertraut, um ihre Kontrollfunktion ideal wahrnehmen zu können.

6. Kapital – zur falschen Zeit am falschen Ort

Deutschland ist in Bezug auf Frühphasenkapital gut aufgestellt. Auch dank einer lebendigen Angel- und Venture-Capital-Tech-Szene. Aber dann geht uns die Puste aus um die großen Gewinner aufzubauen, da das Wachstumskapital knapp bleibt. Start-ups sind gezwungen, sich im Ausland umzusehen, die Expansion zu verzögern oder gar vorzeitig auszusteigen.

Für eine resiliente Cyber-Zukunft „Made in Germany"

Was wir also brauchen, ist ein Strategiewechsel für eine resiliente Cyberzukunft „Made in Germany“. Dazu gehört zunächst ein Umdenken im Umgang mit Innovationsakteuren: Statt Silodenken braucht es Matchmaking – systematische Programme, die Start-ups mit Entscheidern aus Wirtschaft und Verwaltung zusammenbringen. Denn ohne vertrauensvolle Erstkontakte gibt es keine Pilotprojekte, keine Proof-of-Concepts und keinen Durchbruch.

Zudem muss Cybersicherheit vom Risikovermeider zum Wertschöpfer werden. Sie darf nicht länger als reiner Kostenfaktor oder regulatorisches Muss wahrgenommen werden, sondern als Business Enabler. Hierzu braucht es gezielte Aufklärung – insbesondere für Vorstände, KMU-Geschäftsführungen und öffentliche Auftraggeber –, damit der Return on Investment von Sicherheitstechnologien erkannt wird, idealerweise nicht erst nach dem nächsten Angriff.

Gleichzeitig müssen wir Prozesse Start-up-freundlicher gestalten – in Forschung wie in der Verwaltung. Wer Technologien erfolgreich kommerzialisieren will, darf nicht an überholten Transfermodellen oder bürokratischen Prozessen scheitern. Was es stattdessen braucht, sind einheitliche IP-Standards, schnelle Finanzierungsstrukturen und agile Beschaffungswege – gerade im öffentlichen Sektor.

All dies setzt ein Ökosystem mit Haltung voraus. Deutschland verfügt über exzellente Forschung, kluge Gründer und starke Regionen. Was fehlt, ist ein verbindender Rahmen, der aus Talenten tragfähige Teams formt, aus Projekten marktfähige Produkte entwickelt und aus Start-ups internationale Champions macht. Nationale Programme sollten daher nicht nur fördern, sondern auch vernetzen und gemeinsam ausrichten.

Nicht zuletzt braucht es mehr Ambition: Es genügt nicht, gute Technologie zu entwickeln, die dann von amerikanischen Großunternehmen übernommen wird. Wenn Europa technologische Souveränität anstrebt, muss es seine Tech-Champions selbst hervorbringen – das bedeutet größere Finanzierungstickets, mutigere Investoren und klarere Ausstiegsstrategien. Unser Ziel muss es sein, Start-ups mehr Gründe zu geben, in Europa zu bleiben, und weniger Gründe, es zu verlassen.

Zeit für einen neuen Gesellschaftsvertrag für Cybersicherheit

Deutschland hat das Potenzial, ein führender Standort für vertrauenswürdige Cybertechnologie zu werden – mit klugen Köpfen, verlässlicher Regulierung und einem wachsenden Markt. Das wird aber nicht passieren, wenn wir Innovationen weiter bremsen, weil uns das Risiko zu groß ist.

Bei der Cyberabwehr gewinnt nicht derjenige, der sich am wenigsten bewegt, sondern derjenige, der sich am schnellsten anpasst. In Europa haben wir gelernt, komplexe Herausforderungen gemeinsam zu meistern. Jetzt ist es an der Zeit, diesen Mut auch im digitalen Raum zu zeigen.

Thorsten Lambertus ist Managing Director des Institute for Deep Tech Innovation (DEEP) an der ESMT Berlin.