Deutschland gilt als Land der Hidden Champions: hoch spezialisierte Unternehmen, die in ihrem jeweiligen Segment globale Marktführer sind, ohne regelmäßig Schlagzeilen zu machen. Offenbar macht die Bundesrepublik etwas richtig: Eine starke Mittelstandtradition, gut ausgebildete Fachkräfte und die starke Exportausrichtung der deutschen Wirtschaft haben Produkte „Made in Germany“ zu einem global anerkannten Qualitätsausweis gemacht. Im Sektor Cybersecurity verspricht Software „Made in Germany“ die Einhaltung höchster Sicherheits- und Datenschutzstandards.
DSGVO: Sprungbrett statt Bleischuh
Es gibt vieles, was Gründer:innen an Deutschland schätzen: Vielfältige Finanzierungsmöglichkeiten, eine gut ausgebaute Infrastruktur und nicht zuletzt die Position als finanzstarker Wirtschaftsstandort machen die Bundesrepublik attraktiv für Start-ups. Darüber hinaus profitiert das Land von hoch qualifizierten Fachkräften. Deutsche Universitäten haben einen festen Stand unter den Top 3 der besten universitären Bildungsstandorte weltweit.
Das mag zunächst widersprüchlich zum oft berichteten Fachkräftemangel im Cybersecurity-Bereich klingen. Tatsächlich wird dieser jedoch dadurch verstärkt, dass IT-Fachleute häufig den Großteil ihrer Zeit dafür aufwenden müssen, mühsam nach Sicherheitslücken zu suchen und diese zu beheben. Eine zeitaufwendige und ressourcenintensive Tätigkeit, die zu einer hohen Auslastung der einzelnen Mitarbeitenden führt. Dabei können Unternehmen dies durch eine frühzeitige Einführung von Präventionsmaßnahmen und Tools leicht vermeiden und so die Kapazitäten ihrer Mitarbeitenden sinnstiftender und effektiver einsetzen. Neben den oben genannten Gründen hilft zudem das deutsche Patentsystem Start-ups dabei, sich am Markt zu etablieren.
Gleichzeitig gilt der deutsche Markt in vielerlei Hinsicht als anspruchsvoll. Gerade die strenge Auslegung der Datenschutz-Grundverordnung (DSGVO) treibt mancher Organisation die Sorgenfalten auf die Stirn: Laut einer Studie des Digitalverbands Bitkom sieht jedes dritte IT-Unternehmen hierzulande einen Wettbewerbsnachteil in der Datenschutzverordnung. Doch das ist zu kurz gedacht, vor allem, wenn man Expansionsabsichten hegt.
Obwohl die Umsetzung der DSGVO anfangs kostspielig sein kann, können Unternehmen langfristig Geld sparen, indem sie Datenschutzverletzungen und die damit verbundenen Strafen vermeiden. Darüber hinaus bereiten sich Start-ups, die die DSGVO-Standards umsetzen, auf eine Zukunft vor, in der ähnliche Datenschutzgesetze weltweit die Norm werden. Es ist zum Beispiel deutlich einfacher, ein bereits DSGVO-konformes Produkt in den USA zu launchen, als umgekehrt. Was man US-amerikanischen Unternehmen dafür zugutehalten muss, ist eine größere Experimentierfreude, wenn es um den Einsatz neuer Technologien geht.
Trotz der Innovationskraft, für die Deutschland bekannt ist, haben sowohl Behörden als auch Unternehmen oft Schwierigkeiten, neue Technologien in ihre Prozesse zu integrieren. Ein klassisches Beispiel dafür ist das Faxgerät, das trotz seines veralteten Status immer noch in vielen Organisationen Verwendung findet. Auch hierzu hat der Bitkom konkrete Zahlen vorgelegt: Demnach setzten im Frühjahr 2023 noch immer 82 Prozent aller deutschen Unternehmen das Faxgerät ein, jedes Dritte sogar häufig bis sehr häufig. Zum Vergleich: In den USA verwendeten – Stand: 2021 – noch 46 Prozent der Kleinunternehmen das Fax. Diese hartnäckige Präsenz des Faxes zeigt, dass der Übergang zu moderneren Kommunikationsmitteln manchmal langsam vonstattengeht – trotz berechtigter Sicherheitsbedenken.
Cybersicherheit ist Innovationsfeld
Ein ähnliches Muster wie beim Faxgerät zeigt sich bei der Akzeptanz und Implementierung einer Multi-Faktor-Authentifizierung (MFA). Obwohl eine MFA eine effektive Methode ist, um die Sicherheit von Zugriffen auf sensible Daten zu erhöhen, ist sie immer noch nicht überall gängige Praxis. So herrscht in vielen Unternehmen noch immer das Vorurteil, dass die Implementierung einer MFA mit einem hohen zeitlichen und organisatorischen Aufwand einhergeht, etwa bei der Beschaffung und dem Management von Zweitgeräten wie Security Token, Smartcards usw.
Dabei gibt es in Deutschland durchaus einen starken Antrieb, die Cybersicherheit zu verbessern und Innovationen in diesem Bereich voranzutreiben. Bis zum 17. Oktober 2024 muss die Bundesregierung die EU-Direktive NIS-2 umsetzen. NIS-2 verfolgt mehrere Ziele: Das erste ist die Erhöhung der Cyber-Resilienz. Die Richtlinie verpflichtet alle Einrichtungen, die wichtige Funktionen für die Wirtschaft und die Gesellschaft als Ganzes erfüllen, angemessene Cybersicherheitsmaßnahmen zu treffen.
Ein weiteres Ziel ist die Verringerung von Unstimmigkeiten in der Umsetzung von Cybersicherheitsanforderungen in den verschiedenen EU-Mitgliedstaaten. Ein drittes zentrales Ziel ist die Verbesserung des gemeinsamen Situationsbewusstseins und der kollektiven Vorbereitung und Reaktionsfähigkeit. Hier geht es um Maßnahmen, die das Vertrauen zwischen den zuständigen Behörden stärken, einen verstärkten Informationsaustausch und Regeln und Verfahren für das Auftreten eines groß angelegten Zwischenfalls oder einer Krise.
Der regulatorische Rahmen, um nicht zu sagen Druck, ist offenbar gegeben. Trotzdem müssen IT-Dienstleister im Segment der Cybersicherheit oftmals dicke Bretter bohren, um Unternehmen von dem Einsatz ihrer Lösungen überzeugen können. Doch Deutschlands Ruf als Nation der Bedenkenträger:innen, der sich auch im IT-Sektor widerspiegelt, ist ein Feature und kein Bug.
Gründen in Deutschland? Ja!
Ich habe gute Gründe, warum ich für mein Unternehmen Deutschland als Startrampe gewählt habe – auch wenn dies zunächst mit Mehraufwand verbunden war. So wäre es ein Leichtes gewesen, als Technologieanbieter in den USA zu starten, wo Datenschutz nach wie vor kleingeschrieben wird – Ausnahmen wie Kalifornien bestätigen die Regel. Doch spätestens bei der Expansion nach Europa hätten wir mit einem Produkt, das nicht DSGVO-konform ist, erheblich nachrüsten müssen.
Also sind wir gleich „All-in“ gegangen und haben dafür gesorgt, dass unsere Technologie nicht nur DSGVO-konform ist, sondern zudem durch die Anwendung von Konzepten wie Zero Knowledge und Zero Trust auch als „Secure by design“ bezeichnet werden kann – ein Entwicklungsprinzip, das ebenfalls wichtiger Teil der Cyberstrategie der Bundesregierung ist. Das erleichtert den Export unserer Technologie in andere Länder enorm. Die DSGVO ist, wenn man so will, abwärtskompatibel.
Zudem fand ich in Deutschland eine Kultur, die Qualität, Innovation und Präzision wertschätzt. Die Entscheidung, in dem Land der „Hidden Champions“ zu gründen, war eine Entscheidung, die ich nie bereut habe.
Al Lakhani ist CEO und Gründer der Idee GmbH
