16.12.2022

„Cybersecurity ist ein Katz-und-Maus-Spiel, das nie aufhören wird“

Okay Güler ist Cybersecurity-Experte und Founder vom deutschen Startup Cloudyrion. Im brutkasten-Interview erklärt Güler, warum jedes Startup Cybersicherheit beachten muss und wie es das kostengünstig schafft.
/artikel/cybersecurity-fuer-startups
Okay Güler ist Cybersecurity-Experte und Founder von Cloudyrion. (c) Cloudyrion

Spätestens nach dem Start des Russland-Ukraine-Kriegs hat Europa erkannt, dass Konflikte im Jahr 2022 nicht mehr nur an der Kriegsfront, sondern auch im Cyberraum ausgetragen werden. Spricht man von Cyberwar, denken viele an verfeindete Länder, die gegenseitig kritische Infrastrukturen angreifen. “Dabei wird es nicht bleiben. Der Cyberkrieg wird sich vermehrt auf die schwächsten Mitglieder der Kette fokussieren”, sagt Okay Güler, Cybersecurity-Experte und Gründer von Cloudyrion. Davon seien insbesondere Startups betroffen, die sich zu wenig mit IT-Sicherheit beschäftigen.

Für viele Unternehmen – auch für Startups – ist es dennoch schwierig, ihre potenziellen Schwachstellen im Cyberraum zu erkennen. ”Wenn die grundlegenden Security-Hausaufgaben nicht von Anfang an gemacht werden, bedeutet es deutlich mehr Aufwand, diese nachzuholen. Häufig erfährt man erst im Nachhinein, dass es eine Bedrohung oder einen Verstoß gab, dann ist es meistens zu spät”, erklärt der Experte weiter. Im Rahmen des brutkasten-Interviews gibt Güler Tipps für Startups, die ihr Wissen zum Thema Cybersecurity erweitern möchten.

Cybersecurity als Mindset-Thema

Viele Menschen sind der Meinung, dass das Thema Cybersecurity streng mit der Technologie verknüpft ist. “Das ist nicht ganz richtig”, erklärt der Experte und definiert den Begriff IT-Sicherheit wie folgt: ”Cybersecurity fängt viel früher an und ist eine Mentalitätssache, die auf menschlicher Ebene ansetzt. Es geht um die Menschen, die mit der Technologie arbeiten”. Ziel sei es, das Mindset der Menschen zu ändern und verstärkt Awareness dafür zu schaffen, intrinsisch das Richtige zu tun und präventiv zu arbeiten.

Warum ist das Thema Cybersecurity für Startups wichtig?
Güler
: Genauso wie Großkonzerne bieten Startups mit ihren IT-Lösungen Angriffsflächen an. Bei Jungunternehmen besteht die Herausforderung darin, dass man eventuell das Know-how nicht im Team hat, da man auf andere Bereiche fokussiert ist oder nicht aus der IT-Branche kommt. Schützt man diese Angriffsflächen nicht, kann das zum Innovationskiller werden.

Welche Einstellung haben Startups gegenüber Cybersecurity?
Cybersicherheit ist etwas, das man nicht anfassen kann und das nicht direkt zu mehr Umsatz führt. Sie wird als potenzielle Hürde wahrgenommen. Jungunternehmen möchten fürs Erste ihre Produkte auf den Markt bringen, Kund:innen gewinnen und Cybersecurity später integrieren.

Wann und wie sollen Startups beginnen, sich mit dem Thema Cybersecurity zu beschäftigen?
In der Regel so früh wie möglich bzw. bevor man ein Produkt launcht. Zuerst sollte man mit einer Security-affinen Person die Risiken und Schwachstellen des Produkts identifizieren. Danach folgen Fragen wie: Muss ich meine Daten verschlüsseln? Brauche ich Security-Kontrollen, zum Beispiel einen Malware-Scanner? Welche sind wichtig? Diese Evaluierungen dauern in der Regel eine halbe Stunde. Dadurch weiß ich, was ich vor dem Markteinstieg benötige, damit ich nicht kompromittiert werde und meine Daten verliere.

Welche Tipps kannst du Startups geben, die ein geringes Budget für IT-Sicherheit haben?

  • Awareness durch Training: Es gibt kostenlose Lernportale, über die man Mitarbeiter:innen, die sie sich in diesem Bereich weiterbilden möchten, informieren kann. Investiert man wöchentlich eine Stunde in diesen Bereich, wird sich eine gewisse Sicherheits-Awareness im Team bilden.
  • Technische Maßnahmen: Software-Startups sollen Kontrollen durchführen, um potenzielle Bedrohungen zu identifizieren.
  • GDPR: Falls man sehr viel mit Kund:innen-Daten arbeitet, sollte man sich zum Thema Data Privacy beraten lassen. Das ist ein juristisches Thema, das aber viele Verknüpfungen mit der Technologie hat. Startups sollten sich mehr mit GDPR-Regeln auseinandersetzen und versuchen, so gut es geht diese zu implementieren. Falls sie dennoch Unterstützung brauchen, können sich Startups an europäische Kompetenzzentren für Cybersicherheit wenden.
  • Consulting: Der Einsatz von externen Berater:innen ist hilfreich, aber sehr kostenintensiv. Die Frage ist, ob das Startup ein Budget dafür hat. Wenn ja, würde ich empfehlen, zumindest einen Penetration-Test oder eine Ethical-Hacking-Maßnahme durchzuführen.

Was ist das Schlimmste, das passieren kann, wenn Unternehmen keine starken Cybersecurity-Maßnahmen gesetzt haben?
Üblicherweise hängt es davon ab, welches Produkt man entwickelt. Bei manchen Fällen geht es darum, die Intellectual Property zu schützen. Da besteht die Gefahr, dass man genau das verliert. Die Angreifer können eine Umgebung kompromittieren, sind aber nicht sichtbar. Sie löschen oder klauen keine Daten, sondern beobachten das Verhalten, die Funktionen und adaptieren die exakte Kopie auf einem anderen Mark. Das ist ein großer Innovations-Killer. Auch das Thema Datendiebstahl von Kund:innen ist ein großes Problem. Der Vertrauensverlust, der dadurch entsteht, ist nicht in Zahlen zu fassen. Darüber hinaus kommen rechtliche Themen, dass man teilweise zehn Prozent des Gesamtumsatzes an Strafen bezahlen muss, falls es seitens der Kund:innen zu einer Klage kommt. Hierfür gibt es Versicherungen. Man kann sich gegen Cybersecurity-Angriffe versichern lassen. Diese sind aber mittlerweile nicht mehr so kostengünstig, wie sie ursprünglich waren. Und da stellt sich die Frage: Lohnt sich das für ein Startup, eine solche Versicherung abzuschließen? Für den Fall, dass meine Daten gestohlen werden? Könnte ich als Startup verhindern, dass ich durch die Versicherungssumme nicht komplett bankrottgehe?

Auf welche Bedrohungen sollten sich Unternehmen im nächsten Jahr vorbereiten?
Die Marktlage wird sich im Vergleich zum Jahr 2022 nicht viel ändern. Die aktuellen Threats werden uns auch im Jahr 2023 beschäftigen. Meistens sind es hochgebildete Angreifer, die für kriminelle Zwecke arbeiten. Wenn man sich die Zahlen ansieht, kann mit einem Ransomware-Geschäftsmodell mehr Geld gemacht werden. Aktuell rekrutieren unterschiedliche Player Team-Mitglieder für kriminelle Verzweigungen. Dadurch bilden sich Angreifer-Gruppen. Das ist ein vorhandenes Problem und wird sich auch im Jahr 2023 nicht lösen.

Es fällt deutlich auf, dass wie in vielen anderen MINT-Berufen, wenige Frauen in der Cybersecurity-Branche tätig sind. Woran liegt das und wie bekommt man mehr Frauen in diese Branche?

In vielen europäischen Ländern hat man in diesen Berufsfeldern mit Stereotypen gearbeitet. Der ITler ist ein Nerd, der nur vor dem Computer sitzt, seine Brille auf hat und keine Sozialkontakte kennt. Das hat sehr viele Frauen verschreckt. Man beobachtet das primär im europäischen Raum. Wenn man sich andere Länder im russischsprachigen, chinesischen oder iranischen Raum anschaut, hat man diese Problematik nicht im gleichen Umfang, wie es in europäischen Ländern der Fall ist.

Das hat seinen Anfang auch in der Schule, wo junge Mädchen von diesen Berufsfeldern ferngehalten werden. Das ist sehr schade, weil man dadurch das Potential nicht vernünftig nutzt. Das wieder zu korrigieren geht dadurch, indem man zum Beispiel Kampagnen startet. Man sollte auch Quereinsteiger:innen in dieser Branche unterstützen. Natürlich ist der Weg ein bisschen komplizierter und dauert länger. Man muss auch mehr Geduld haben, aber das wird sich rentieren. Es wird uns nichts anderes übrig bleiben, als diesen Weg zu gehen.

Deine ungelesenen Artikel:
15.07.2026

Entgelttransparenzrichtlinie: Diese neuen Verpflichtungen kommen auf Unternehmen zu

Die Frist zur Umsetzung der EU-Entgelttransparenzrichtlinie ist bereits abgelaufen, doch der österreichische Gesetzesentwurf wird aktuell erst verspätet ausgearbeitet - begleitet von Diskussionen. Obwohl die genaue Ausgestaltung abzuwarten bleibt, stehen einige neue Verpflichtungen für Unternehmen - die Mindestanforderungen der Richtlinie - bereits fest.
/artikel/entgelttransparenzrichtlinie-diese-neuen-verpflichtungen-kommen-auf-unternehmen-zu
15.07.2026

Entgelttransparenzrichtlinie: Diese neuen Verpflichtungen kommen auf Unternehmen zu

Die Frist zur Umsetzung der EU-Entgelttransparenzrichtlinie ist bereits abgelaufen, doch der österreichische Gesetzesentwurf wird aktuell erst verspätet ausgearbeitet - begleitet von Diskussionen. Obwohl die genaue Ausgestaltung abzuwarten bleibt, stehen einige neue Verpflichtungen für Unternehmen - die Mindestanforderungen der Richtlinie - bereits fest.
/artikel/entgelttransparenzrichtlinie-diese-neuen-verpflichtungen-kommen-auf-unternehmen-zu
Die EU-Entgelttransparenzrichtlinie soll den Gender Pay Gap verringern | (c) Marek Studzinski via Unsplash
Die EU-Entgelttransparenzrichtlinie soll den Gender Pay Gap verringern | (c) Marek Studzinski via Unsplash

Sie soll den Gender Pay Gap verkleinern, indem Unternehmen etwa konkrete Auskünfte über Gehälter geben müssen: Bereits 2023 beschloss das EU-Parlament die Entgelttransparenzrichtlinie. Mit einer Frist von drei Jahren sollte sie von den Mitgliedstaaten bis 7. Juni 2026 umgesetzt werden. Weil es eine Richtlinie (und keine Verordnung) ist, hatten die Nationalstaaten dabei einen gewissen Gestaltungsspielraum.

Begutachtungsentwurf im Alleingang zu Frist-Ende

Dieser führte wohl auch dazu, dass Sozialpartner und Regierung in Österreich sich nicht zeitgerecht auf die konkrete gesetzliche Umsetzung einigen konnten – ähnliches passierte übrigens in mehreren EU-Staaten. Nachdem es ein Ultimatum gestellt hatte, legte das SPÖ-geführte Sozial- und Arbeitsministerium zum Ablauf der Frist im Juni einen in Eigenregie erstellten Begutachtungsentwurf vor – zum Ärger mehrere Sozialpartner, etwa der Industriellenvereinigung (IV), die eine “Bürokratielawine” befürchtet.

Öffentlich ist dieser Entwurf noch nicht verfügbar. IV, Wirtschaftskammer, Gewerkschaftsbund (ÖGB) und Co., die ihn vorliegen haben, diskutieren aber längst per Presseaussendungen zu den Inhalten weiter. Während die konkreten vorgesehen Maßnahmen erst mit dem offiziellen Entwurf klar sein werden, steht bereits fest: Auf die eine oder andere Weise müssen die neuen Transparenzpflichten aus der Richtlinie von Unternehmen am Ende umgesetzt werden. Denn diese gibt klare Mindestanforderungen für die Nationalstaaten vor.

EU sieht Intransparenz als Ursache des Gender Pay Gap

Die EU will mit der Entgelttransparenzrichtlinie das bekanntlich in der Praxis nicht ausreichend umgesetzte Recht auf gleichen Lohn für gleiche oder gleichwertige Arbeit sichern. Und bisher scheiterte die Bekämpfung der ungleichen Bezahlung von Männern und Frauen laut Analysen der EU-Kommission vor allem an der mangelnden Transparenz der betrieblichen Gehaltssysteme. Ziel der Richtlinie ist nichts weniger als ein grundlegender Kulturwandel in den Personalabteilungen: weg von historisch gewachsenen, intransparenten Gehaltsstrukturen hin zu nachvollziehbaren, geschlechtsneutralen Systemen.

Das sind die Eckpunkte der Richtlinie:

  • Gehaltstransparenz schon im Bewerbungsprozess: Arbeitgeber müssen Jobsuchenden das Einstiegsgehalt oder eine entsprechende Gehaltsspanne bereits vor dem ersten Gespräch mitteilen (z. B. direkt im Inserat). Die Frage nach dem letzten Gehalt beim vorherigen Arbeitgeber ist künftig gesetzlich verboten.
  • Individuelles Auskunftsrecht: Beschäftigte können schriftlich Auskunft darüber verlangen, wie viel Kolleg:innen im Durchschnitt verdienen, die eine gleiche oder gleichwertige Arbeit verrichten – aufgeschlüsselt nach Geschlecht. Unternehmen müssen diese Daten innerhalb von maximal zwei Monaten liefern und die Belegschaft einmal jährlich proaktiv über dieses Recht informieren.
  • Schluss mit Schweigeklauseln: Vertragliche Klauseln, die Mitarbeitenden verbieten, über ihr Gehalt zu sprechen, werden ungültig.
  • Offenlegung der Aufstiegskriterien: Die Maßstäbe für die Festlegung des Gehalts und die Karriereentwicklung müssen für alle Beschäftigten leicht zugänglich sein. Betriebe mit weniger als 50 Beschäftigten können von der Pflicht zur Offenlegung der Aufstiegskriterien ausgenommen werden.
  • Verpflichtende Gehaltsberichte (Gender Pay Gap): Größere Betriebe müssen regelmäßig Kennzahlen zum geschlechtsspezifischen Lohnunterschied berechnen und veröffentlichen. Dafür gilt ein gestaffelter Zeitplan:
    • Ab 250 Beschäftigten: Jährliche Berichterstattung, erstmals zum 7. Juni 2027.
    • 150 bis 249 Beschäftigte: Berichterstattung alle drei Jahre, erstmals zum 7. Juni 2027.
    • 100 bis 149 Beschäftigte: Berichterstattung alle drei Jahre, erstmals zum 7. Juni 2031.
  • Pflicht zum Lohnaudit: Weist dieser Bericht in einer Beschäftigtengruppe eine ungerechtfertigte Lohnlücke von 5 Prozent oder mehr auf, die nicht innerhalb von sechs Monaten korrigiert wird, muss der Arbeitgeber gemeinsam mit der Arbeitnehmervertretung eine formelle, tiefgehende Entgeltbewertung durchführen und konkrete Gegenmaßnahmen einleiten.
  • Strengere Haftung und Beweislast: Werden die Transparenzpflichten verletzt, kehrt sich vor Gericht die Beweislast um: Dann muss das Unternehmen beweisen, dass keine Diskriminierung vorlag. Zudem haben Betroffene Anspruch auf ungedeckelten, vollständigen Schadensersatz (inklusive Nachzahlungen und entgangener Chancen), und es drohen empfindliche, umsatzbasierte Strafen.

Konträre Ansichten der Sozialpartner

Die österreichische Umsetzung könnte dann noch etwas strenger ausfallen – das legen zumindest Reaktionen auf den besagten Begutachtungsentwurf nahe. IV-Generalsekretär Christoph Neumayer spricht in einer Aussendung etwa von „nationalem Gold Plating“ und ortet „ein Bürokratiemonster für die Betriebe“. Nachdem nicht nur Österreich, sondern die Mehrheit der EU-Staaten die Richtlinie noch nicht umgesetzt hätten, fordert Neumayer überhaupt eine Überarbeitung dieser. „Wer Einkommensunterschiede nachhaltig reduzieren will, muss an den tatsächlichen Ursachen ansetzen. Zusätzliche Berichtspflichten schaffen keine gerechtere Bezahlung“, meint der IV-Generalsekretär.

Gänzlich konträr beurteilt man die Richtlinie und deren geplante Umsetzung wenig überraschend beim ÖGB. Dort will man per Aussendung „Mythen“ (also die Argumentation der politischen Gegenseite) entkräften und meint abschließend: „Die innerstaatliche Umsetzung der Richtlinie bietet die Chance, gleiche Bezahlung von Frauen und Männern, die gleiche und gleichwertige Arbeit im Betrieb verrichten, zu erreichen, ohne jemandem etwas wegzunehmen, der bisher mehr verdient hat.“

Toll dass du so interessiert bist!
Hinterlasse uns bitte ein Feedback über den Button am linken Bildschirmrand.
Und klicke hier um die ganze Welt von der brutkasten zu entdecken.

brutkasten Newsletter

Aktuelle Nachrichten zu Startups, den neuesten Innovationen und politischen Entscheidungen zur Digitalisierung direkt in dein Postfach. Wähle aus unserer breiten Palette an Newslettern den passenden für dich.

Montag, Mittwoch und Freitag

AI Summaries

„Cybersecurity ist ein Katz-und-Maus-Spiel, das nie aufhören wird“

AI Kontextualisierung

Welche gesellschaftspolitischen Auswirkungen hat der Inhalt dieses Artikels?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

„Cybersecurity ist ein Katz-und-Maus-Spiel, das nie aufhören wird“

AI Kontextualisierung

Welche wirtschaftlichen Auswirkungen hat der Inhalt dieses Artikels?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

„Cybersecurity ist ein Katz-und-Maus-Spiel, das nie aufhören wird“

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Innovationsmanager:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

„Cybersecurity ist ein Katz-und-Maus-Spiel, das nie aufhören wird“

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Investor:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

„Cybersecurity ist ein Katz-und-Maus-Spiel, das nie aufhören wird“

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Politiker:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

„Cybersecurity ist ein Katz-und-Maus-Spiel, das nie aufhören wird“

AI Kontextualisierung

Was könnte das Bigger Picture von den Inhalten dieses Artikels sein?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

„Cybersecurity ist ein Katz-und-Maus-Spiel, das nie aufhören wird“

AI Kontextualisierung

Wer sind die relevantesten Personen in diesem Artikel?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

„Cybersecurity ist ein Katz-und-Maus-Spiel, das nie aufhören wird“

AI Kontextualisierung

Wer sind die relevantesten Organisationen in diesem Artikel?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

„Cybersecurity ist ein Katz-und-Maus-Spiel, das nie aufhören wird“