FinTechs sind heutzutage in aller Munde. Herkömmliche Banken müssen sich neu orientieren: Ihre Kunden verlangen nach Online-Services. Das große Problem der Banken sind aber starre Strukturen innerhalb des Betriebs, unflexible Entscheidungen und ein knarrender Innovationsmotor. Dabei wäre gerade jetzt die richtige Zeit, neue Konzepte zuzulassen.
Wie schwer es ist, bei etablierten Geldhäusern etwas zu verändern, weiß Birgit Storz. In mehreren Großbanken hat die 39-Jährige versucht, Innovationen voranzutreiben – und war dabei häufig der Verzweiflung nahe. „Wenn Sie eine neue Idee haben, die Teile eines bestehenden Geschäftsmodells kannibalisiert, ist deren Realisierung häufig komplex“, sagt die Commerzbank-Managerin. Zudem sei es bei großen Finanzinstituten grundsätzlich schwierig, schnell Ressourcen und Geld für neue Themen freizuschaufeln.
Storz sucht deshalb zusammen mit ihrem Kollegen Christian Hoppe das Gespräch mit dem Commerzbank-Vorstand. 2013 überzeugen sie ihn, den Main Incubator ins Leben zu rufen – eine autarke Einheit, die mit Finanz-Startups aus der Internet- und IT-Welt (FinTechs) zusammenarbeitet und dabei neue Ideen aufschnappen soll. Eingerichtet wird der Inkubator in einem Backsteinbau im Westen Frankfurts, der „Sicherheitsabstand“ zur Commerzbank-Zentrale im Stadtzentrum beträgt rund drei Kilometer. Die Atmosphäre beim Main Incubator ist locker: Auf dem Gang steht ein roter Billard-Tisch, im Kühlschrank liegen Bier und Red Bull. Anzugträger sucht man vergebens.
Viele namhafte Finanzinstitute versuchen so oder ähnlich, mit Startups in Kontakt zu kommen. Die Geldhäuser müssen darauf reagieren, dass ihre Kunden immer mehr Geschäfte im Internet erledigen. Da ihre eigenen IT-Abteilungen im World Wide Web in den vergangenen Jahren keine großen Neuheiten entwickelt haben, hoffen sie nun auf Impulse von außen. Banken-Kritiker sind der Ansicht, dass manche Institute FinTechs auch deshalb unter ihre Fittiche nehmen, um sie besser kontrollieren zu können und ihre eigene Existenz abzusichern. Die Investitionen in FinTechs liegen meist im niedrigen Millionen-Bereich oder darunter – und fallen bei Großbanken somit kaum ins Gewicht.
Der Run auf die FinTechs ist ein grenzüberschreitendes Phänomen: Die britische Großbank Barclays setzt auf einen „Accelerator“, die Schweizer UBS auf die Startup-Schmiede „Level 39“ und der Züricher Börsenbetreiber SIX auf den Incubator „F10“. Ende 2015 wird auch die Deutsche Bank auf den Trend aufspringen und Versuchslabore in Berlin, London und im Silicon Valley eröffnen. Diese sollen „eine Brücke zwischen Startups und den verschiedenen Geschäftsbereichen der Bank“ bilden, erklärt Vorstand Henry Ritchotte.
Dass ein Großteil der FinTechs, die in Incubatoren gepäppelt werden, am Ende scheitern, ist allen Beteiligten bewusst. UBS-Verwaltungsratspräsident spricht sogar von 80 Prozent.
„80 Prozent der Entwicklungen, die wir dort mit Startups zusammen betreiben, werden nicht funktionieren“, sagt UBS-Verwaltungsratspräsident Axel Weber.
Aber wenn nur ein kleiner Teil erfolgreich sei, könne das der UBS enorm weiterhelfen. „Wir sind in einem Experimentier-Modus“, betont SIX-Manager Andreas Iten. Oft sei nicht klar, wo man am Ende lande. Aber angesichts der Umwälzungen in der Finanzbranche kann es sich niemand leisten, nichts zu tun. Neue Wettbewerber könnten den Platzhirschen in den kommenden Jahren Erträge von 4,7 Billionen Dollar und Gewinne von 470 Milliarden Dollar streitig machen, prognostizieren die Analysten von Goldman Sachs.
Kein Wunder, dass bei den Angreifern Goldgräberstimmung herrscht. Laut Accenture haben sich die weltwfeiten Investitionen in FinTechs im vergangenen Jahr mehr als verdreifacht auf 12,2 Milliarden Dollar. Der Großteil des Geldes fließt in die USA, Deutschland ist mit 82 Millionen Dollar ein FinTech-Entwicklungsland. Nach Einschätzung von Experten hinkt die einheimische FinTech-Szene den angelsächsischen Ländern, wo Geldgeber schneller Millionen für riskante Investments lockermachen, etwa zwei Jahre hinterher.
Allerdings mehren sich die Zeichen, dass die Bundesrepublik aufholt. In Berlin und anderen Städten schießen Startups derzeit wie Pilze aus dem Boden. Laut der Unternehmensberatung LSP Digital gibt es inzwischen rund 140 FinTechs mit Hauptsitz in Deutschland. Zu den bekanntesten zählen Kreditech, Number26, Vaamo, Zencap, Auxmoney, Weltsparen, TransferWise und Lendstar. „Es ist eine Branche, die sich revolutioniert, was viele Chancen birgt, ähnlich wie in der Medienbranche vor 10 bis 15 Jahren“, glaubt Fabian von Trotha, Geschäftsführer des Investors Dieter-von-Holtzbrinck Ventures.
Gastbeitrag: Während große Konzerne aufgrund des regulatorischen Drucks ihr Cybersicherheits-Level hochschrauben, werden kleine Unternehmen für Angreifer immer interessanter. Mithilfe von Künstlicher Intelligenz erreichen Hacker ganz neue Umsatz-Dimensionen.
Gastbeitrag: Während große Konzerne aufgrund des regulatorischen Drucks ihr Cybersicherheits-Level hochschrauben, werden kleine Unternehmen für Angreifer immer interessanter. Mithilfe von Künstlicher Intelligenz erreichen Hacker ganz neue Umsatz-Dimensionen.
@ Tina Schön/schoenfotografiert Wien/Canva - Carolin Desirée Töpfer.
Carolin Desirée Töpfer ist externe Chief Information Security Officer, Cybersecurity-Strategin und Gründerin von Cyttraction mit Fokus auf kosteneffizientes Risikomanagement, sichere KI-Nutzung und Cybersecurity-Zertifizierungen. Mit praxisnahen Lernformaten und strategischer Expertise unterstützt sie regulierte Unternehmen dabei, Sicherheitsanforderungen effizient umzusetzen und nachhaltige digitale Resilienz aufzubauen. In ihrem Beitrag warnt sie vor KI-Cyberangriffen und rät Startups und kleinen Unternehmen Cybersicherheit frühzeitig strategisch zu verankern.
„Wir konzentrieren uns jetzt erst mal auf Produkt, Teamaufbau und Sales – Cybersicherheit machen wir dann später.“ Ein Satz, den ich so oder ähnlich häufig von Gründer:innen höre – und der einige Unternehmen schon Multi-Millionen gekostet hat.
Identität stehlen
Cyberkriminelle haben seit KI ihr Repertoire erweitert und finden Milliarden von bereits geleakten Datasets, mit denen sie arbeiten können. Das Ergebnis sind nicht nur technische Attacken, die es in die Headlines internationaler Medien schaffen. Viel schmerzhafter ist es für Unternehmen, wenn es Angreifer zwischen Arbeitsprozesse schaffen, E-Mails und Nachrichten zwischen Team-Mitgliedern, Geschäftspartnern und mit Kunden manipulieren. Anweisungen versenden, die zweifellos echt aussehen und dann mit ganzen Sammlungen an sensiblen Daten verschwinden. Die Identität des CxO stehlen oder Entführungen von Führungskräften vortäuschen, um dem Unternehmen zu schaden.
Neben dem Zeitverlust, der Budget-Verschwendung und den Aufräum-Kosten, kommt dann auch noch der Vertrauensverlust am Markt hinzu, gegenüber Kunden und Investoren. Dinge, auf die Gründer:innen oft erst kommen, wenn es bereits zu spät ist.
„Gesunder Menschenverstand“ oder „Hausverstand“ existiert nicht in der Cybersicherheit!
Aufgrund der oft vernachlässigten digitalen Bildung in Schulen und da viele Arbeitgeber immer noch nicht in effektive Trainings investieren, kommen in jedem Unternehmen Menschen mit ganz unterschiedlichen digitalen Fähigkeiten zusammen. Das gilt für Startup-Teams, Kunden und Investoren gleichermaßen. Hinzu kommen volle ToDo-Listen, Stress-Situationen und die eigene Scham.
Ob jemand in so einem Umfeld eine gefälschte KI-Mail erkennt, die im schlimmsten Fall noch aus dem echten Postfach eines gehackten Geschäftspartners kommt, ist nur noch Glücksfall.
Trotzdem gibt es Teams, die tägliche Angriffe auf allen Ebenen erfolgreich abwehren – weil sie eine holistische Cybersicherheits-Strategie implementiert haben. Diese besteht je nach Geschäftsmodell und Branche aus einem präzisen Projektmanagement und zwischen 60 und 90 Einzelmaßnahmen. Zweck ist in erster Linie der umfassende Schutz der eigenen Arbeit. Gleichzeitig erfüllt das Unternehmen damit Anforderungen von Kunden sowie regulatorische Vorgaben, von denen Gründer:innen oft nicht einmal wissen.
Erste Basis-Maßnahmen sind auch für Startups mit kleinem Budget machbar!
Jede/ r hat heutzutage Angst, gehackt zu werden, Geld zu verlieren und seine eigenen sensiblen Informationen öffentlich im Internet zu finden. Das sehe ich nicht nur an den Fragen, die ich über meine „Social Media“-Kanäle bekomme. Dabei können schon 30-Minuten-Team-Meetings einen enormen Unterschied machen. Offen über Angriffsszenarien und Ängste sprechen, gleichzeitig die aktuellen Sicherheits-Maßnahmen ins Gedächtnis rufen, erhöhen die Aufmerksamkeit für Cyber-Themen sofort!
Auch um Ruhe reinzubringen. Denn wer sowieso immer gleich springt, wenn eine neue Aufgabe um die Ecke kommt, wird wahrscheinlich auch die Aufgaben von Hackern erfüllen. Klare Arbeitsprozesse, 4-Augen-Prinzip und die allgemeine Erlaubnis im Team, Dinge kritisch zu durchdenken, noch zweimal nachzufragen, oder einfach mal kurz durchzuatmen, hat schon so einige teure Fehler verhindert.
Verantwortlichkeiten in ruhigen Zeiten klären
Den größten Hebel haben dabei Gründer und Entscheider. „Founder Mode“ bedeutet oft auch, vieles selbst zu machen. IT Systeme und Sicherheits-Lösungen sind mittlerweile aber so komplex, dass sich das Investment in einen seriösen IT-Dienstleister lohnt. Viele bieten auch eine Hotline für Notfälle an.
Wesentlich günstiger ist es allerdings, diese Notfälle zu verhindern. Denn nach meiner Erfahrung brauchen selbst schnelle kleine Unternehmen sechs bis zwölf Monate, um eine funktionierende Cybersicherheits-Strategie mit allen Maßnahmen aufzubauen. Neben den technischen Upgrades, müssen dabei auch die organisatorischen Strukturen sitzen.
Wo klar ist, wer was wann macht und auch, wer sich um die Cybersecurity Maßnahmen kümmert, Aufräum-Aktionen, Updates und Backups organisiert, geht weniger schief. Bei kleinen Unternehmen muss die Person nicht einmal einen IT-Hintergrund mitbringen. Es beginnt mit Interesse am Thema, Projektmanagement-Skills und der Bereitschaft, das Team regelmäßig mit aktuellen Informationen zu versorgen.
Konflikte eingehen, um sichere Lösungen zu finden
Und auch darum, Konfliktsituationen smart zu lösen. Zum Beispiel beim Thema „Zugriff und Zutritt„: Nicht jeder sollte Zugriff auf alles haben. Dabei geht es nicht darum, Team-Mitglieder zu degradieren, sondern eine saubere Segmentierung zu schaffen. Am stärksten trenne ich hier zwischen Marketing und Kern-Business.
Alles, was sowieso für die Öffentlichkeit und mit verschiedenen Partnern produziert wird, findet bei mir selbst sogar in einer anderen Firma statt. Für Kunden richten wir technische Lösungen und Prozesse ein, die kreatives Marketing erlauben, Kunden-Kommunikation klar strukturiert und gleichzeitig das eigentliche Geschäftsmodell und die damit verbundenen Daten auf einem hohen Level schützt. Wer mit besonders sensiblen Informationen arbeitet, seine Patente aus Forschung und Entwicklung schützen will oder an einer einzigartigen Datenbasis für KI-Modelle arbeitet, kann über Segmentierung kosteneffizient Datenintegrität dort gewährleisten, wo sie wirklich notwendig ist.
Solche Konzepte stehen und fallen mit sicheren Login-Lösungen und der Bereitschaft aller Nutzer, diese auch zu nutzen. Die Aktivierung von 2 Faktor- oder Multi-Faktor-Authentifizierung führt dabei immer wieder zu Diskussionen.
Passwörter reichen schon lange nicht mehr aus, um Accounts zu schützen. Häufig bekommen Nutzer nur über die Abfrage des 2. Faktors mit, dass gerade ein Angreifer versucht, in ihren Account zu kommen.
Keine Schatten-IT, keine Schatten-KI
Wesentlich einfacher wird es, wenn alle im Team wirklich nur die Accounts nutzen, die sie wirklich für ihre tägliche Arbeit brauchen – und die sichere Funktion dieser über regelmäßige Tests oder technisches Tracking sicherstellen. So lässt sich auch vermeiden, dass das eigene Unternehmen zehn Tage offline und per E-Mail nicht erreichbar ist. Wie es zuletzt einer Wiener Geschäftsinhaberin passiert ist.
Auch aus wirtschaftlichen Gründen, kaufen Unternehmen kaum noch komplette Enterprise-Lizenzen für alle Mitarbeiter. Und auch bei Startups lohnt es sich, Lizenzen mindestens einmal im Jahr auszumisten und den jeweiligen Support zu bitten, vorhandene Daten EU DSGVO-konform zu löschen. Denn Accounts die ordentlich gelöscht wurden, können auch nicht zu Datenlecks führen.
Das gleiche gilt für alle KI Tools. Wer ein klares Prüfschema verfolgt, sich nicht vom Hype treiben lässt, unkontrolliertes Vibe Coding verhindert und auch hier ungenutzte Accounts wieder ordnungsgemäß löscht, kann von KI Effizienz profitieren, ohne seine eigene Arbeit oder gleich das ganze Unternehmen zu zerstören.
Aktuelle Nachrichten zu Startups, den neuesten Innovationen und politischen Entscheidungen zur Digitalisierung direkt in dein Postfach. Wähle aus unserer breiten Palette an Newslettern den passenden für dich.
