Wie die Salzburg AG mit einer neuen Crowdinvesting-Plattform die Energiewende vorantreibt

09.06.2020

Investitionskontrollgesetz: Das Kind mit dem Badewasser ausschütten?

Gastkommentar. Rudolf Kinsky, Präsident des österreichischen Venture Capital-Dachverbands AVCO, beurteilt das geplante Investitionskontrollgesetz aus VC-Sicht.

/artikel/investitionskontrollgesetz-gastkommentar-rudolf-kinsky

✨ AI Kontextualisierung

Viel ist in den ersten Reaktionen zum geplanten Investitionskontrollgesetz („InvKG“) bereits gesagt worden. Jetzt gilt es, zu vertiefen und den Impact auf unser Ökosystem zu bewerten.

+++ Investitionskontrolle: Schramböck deutet EU-Verordnung zu Krisenabwehr um +++

Zweck ist der Schutz vor außereuropäischen Bedrohungen für die Sicherheit oder öffentliche Ordnung durch Investitionen in heimische Unternehmen. Anders ausgedrückt möchte die Regierung den Standort stärken und vor Abfluss von systemrelevanten Technologien schützen. Bei gewissen Großinvestitionen in Schlüsselindustrien ist dies auch nachvollziehbar. Bei Startups und innovativen KMU aber besteht die Gefahr, dass der Gesetzesentwurf genau das Gegenteil bewirkt, weil diese Unternehmen im raschen Wachstum auf internationale Investoren angewiesen sind. Es ist zu befürchten, dass Österreich als Innovations- und Startup-Standort nachhaltig Schaden nehmen würde.

Video-Talk zum geplanten Investitionskontrollgesetz:

Warum sehe ich das so dramatisch? Neben der grundsätzlichen Fragwürdigkeit einer Kapitalkontrolle in einer Marktwirtschaft, legt der Entwurf zum Investitionskontrollgesetz innovativen Unternehmen große Hindernisse zu lebenswichtigen Kapitalquellen aus nicht-EU Ländern in den Weg. Die sehr breite Erfassung von Industrien, die Definition der Gefährdung und die vorgesehenen Verfahrensbestimmung werden dazu führen, dass in Zukunft für erfolgreiche und wachsende Startups und innovative KMU keine ausreichenden Finanzierungen zur Verfügung stehen werden.

Bei Unternehmensverkäufen werden nicht-EU Investoren Zielunternehmen in Europa seltener ins Auge fassen. Es ist nicht auszuschließen, dass ausländische Käufer die aufwendige staatliche Prüfung, und damit die erhöhte Unsicherheit für Transaktionen, mögliche Mehrkosten und Zeitverlust in der Transaktionsabwicklung zumindest mit Bewertungsabschlägen abbilden werden. Was das Gesetz für europäische Private Equity oder Venture Capital Fonds mit großen Anteilen internationaler institutioneller Investoren (in den Fonds) bedeuten würde, ist aktuell noch unklar.

Alternativen zur Kapitalkontrolle

Besser als durch überbordende Kontrollen zu verhindern, dass Technologien bzw. Startups und KMU in ausländische Hände fallen, wäre vorrangig die Konzentration aller Kräfte und Ressourcen des Landes auf die Entwicklung marktgängiger und skalierbarer Technologien in Verbindung mit einem starken PE- und VC-Sektor. Wollen wir unseren zukünftigen Wohlstand nicht gefährden, müssen wir Innovationen weiter fördern, ausbauen und ausreichend mit Kapital ausstatten! Dazu braucht Österreich die Mobilisierung von institutionellen Anlegern durch verbesserte Rahmenbedingungen und Anreize für Pensionskassen, Versicherungen und Stiftungen. Insbesondere hochskalierbare Technologieunternehmen sollen international wachsen können und ein Umfeld vorfinden, ihren Sitz für immer hier zu behalten.

Die Investitionen aus Asien und den USA in europäische Startups machen aktuell 46 Prozent aller Startup-Investitionen in Europa aus – Tendenz steigend. Wenn wir unsere Innovationen nicht zu einem signifikanten Ausmaß von außereuropäischen Investoren finanziert sehen wollen, müssen wir für eine breit angelegte, gesetzlich incentivierte Eigenkapitalmobilisierung sorgen.

Investitionskontrollgesetz: Ausnahme für Startups und Scaleups

Das vorgesehene Genehmigungsverfahren erfasst grundsätzlich alle Direktinvestitionen von Investoren außerhalb der EU bzw. EWR bzw. Schweiz. Das heißt, es würde auch Investoren aus dem Londoner Markt betreffen. Ausgenomen sind Startups mit weniger als zehn MitarbeiterInnen und einem geringeren Umsatz als zwei Millionen Euro. Das hieße, dass alle Scaleups, insbesondere in den Bereichen DeepTech, MedTech, Energy, KI, Data Science, Life Science und BioTech, spätestens bei der ersten Anschlussfinanzierung (Series A) unter die Bestimmung des Gesetzes fallen würden. Genau dort, wo in Österreich bereits der Funding Gap beginnt! Vorschlag der AVCO: Diese Grenze sollte daher zumindest auf 100 Mitarbeiter und 20 Millionen Euro Umsatz oder Jahresbilanzsumme erhöht werden.

Die Genehmigungspflicht in den Bereichen Arzneimittel und Medizinprodukte (Zahl 6 auf der Liste besonders sensibler Bereiche) bereits bei einem Erwerb von zehn Prozent der Stimmrechte ist aus unserer Sicht zu niedrig. Es könnte breite Bereiche in BioTech und HealthTech betreffen. Eine entsprechende Beteiligung (also unter 25 Prozent) führt üblicherweise nicht zu einem Einfluss auf oder gar einer Kontrolle über ein Unternehmen. (Die zehn Prozent-Bestimmung in diesen Branchen tritt allerdings zum 31.12.2022 außer Kraft).

Gleichzeitig ist der Mindeststimmanteil nicht die einzige Barriere, kann es bei einem Erwerb eines „beherrschenden Einflusses“ auch zu einer Genehmigungspflicht kommen, wenn der Mindeststimmanteil gar nicht erreicht wurde. Dies führt zu einer unklaren Situation und damit Unsicherheit bei Investoren, sind doch Startup-Investmentverträge durch komplexe Corporate Governance-Regeln, insbesondere Zustimmungsrechte der Investoren, und Exit relevante Regelungen gekennzeichnet, die einen beherrschenden Einfluss alsbald vermuten lassen. Hier braucht es mehr Klarheit.

Staatliches Genehmigungsverfahren

Das zweiphasige, bis zu 3-Monate dauernde Genehmigungsverfahren bereitet uns Sorgen. Es wird zuerst in einem der zuständigen Ministerien geprüft und entschieden werden, ob es zu einem vertiefendem Prüfverfahren kommt. Dieser erste Schritt dauert jedenfalls einen Monat. In der zweiten Phase – sofern ein Verdacht vorliegt – kommt es zu einer eingehenden Untersuchung und vor Bescheid-Erteilung noch zur Befassung des Falles durch das „Komitee für Investmentkontrolle“, wo Mitglieder einer Reihe von Ministerien und Vertreter der betroffenen Bundesländer einen Sitz haben. Dabei können auch noch Sachverständige hinzugezogen werden, u.a. aus der ÖBAG. Das kann weitere zwei Monate dauern.

Das Genehmigungsverfahren ist zu kompliziert und die Dauer zu lang. Die Verpflichtung einer rascheren Abarbeitung und einer wesentlich kürzeren Gesamtdauer sind anzustreben. Begrüßenswert ist die Möglichkeit einer Unbedenklichkeitsbescheinigung, die allerdings auch zwei Monate dauert. Unklar ist, ob die im Entwurf vorgesehenen extensiven Kooperationsmechanismen mit der Europäischen Kommission und den EU-Mitgliedstaaten den Prozess nicht noch weiter verlängern (bis zu 40 Tage), auch weil man auf diese Instanz wenig Einfluss in Hinblick auf Zeit oder Effizienz hat.

Bedenklich erscheint u.a. auch §18 des Entwurfs, der ein Überwachungsregime durch das zuständige Ministerium postuliert. Danach können Beamte und „geeignete Sachverständige“ ohne gerichtlichem Beschluss Einrichtungen des überprüften Unternehmens betreten, Personal befragen und Einsicht in Dokumente nehmen. High-Tech Firmen dürfen nicht unter den Generalverdacht gestellt werden. Dieser Paragraph ist dringend zu überarbeiten.

Konsequenzen für ausländische Investoren

Es ist schwer vorstellbar, dass sich z.B. UK oder US-Investoren dem Kostenrisiko eines solchen Verfahrens von Amtswegen unterziehen wollen. Sie werden einfach nicht mehr investieren! Der mit dem Genehmigungsverfahren einhergehende zeitliche und finanzielle Aufwand, würde Investitionen und Exit-Angebote von Drittstaaten maßgeblich behindern, wenn nicht sogar verhindern. Allein die Unsicherheit hinsichtlich des Ausgangs des Verfahrens könnte potentielle Investoren dazu veranlassen, von Investitionsüberlegungen Abstand zu nehmen.

Ausländische Investoren verschaffen Startups strategische Vorteile, wie z.B. ortsspezifisches bzw. internationales Know-how, Netzwerke bei den Eintritten in neue Märkte. Die Wichtigkeit der Vernetzung in ausländische Märkte hat auch die WKÖ erkannt und Startup-unterstützende Programme weltweit entwickelt. Insofern konterkariert der Gesetzesentwurf die Bemühungen Österreichs, internationale Investorenkontakte herzustellen und Markteintritte zu unterstützen.

Investitionskontrollgesetz als Verletzung der Eigentumsrechte?

Der Entwurf zum Investitionskontrollgesetz ist im Lichte der Vertragsfreiheit und der Eigentumsrechte von Gründerteams und Investoren, die ihre Anteile veräußern wollen, kritisch zu sehen. Die so dringend benötigten Investitionen in das österreichische Startup-Ökosystem, gleichermaßen von europäischen und internationalen Investoren, werden nur getätigt, wenn diese davon ausgehen können, dass sie die so erworbenen Anteile bei einem späteren Unternehmensverkauf auch wieder mit einer marktgerechten und risikoadäquaten Rendite veräußern können. Der Zugang zum internationalen – vor allem dem anglo-sächsischen – M&A Markt ist daher entscheidend – und das schon für die erste Finanzierungrunde von Startups.

Mangelnde lokale Verfügbarkeit von privatem Kapital

Die zu erwartende Reduzierung von Investitionen aus Drittstaaten muss unbedingt mit Maßnahmen einhergehen, die auf die Mobilisierung heimischen Wagniskapitals abzielen. Im „OECD-Review of Innovation Policy Austria“ wurde auf die mangelnde private Eigenkapitalfinanzierung in Österreich für Innovationen bereits hingewiesen.

Wir brauchen dringend begleitende, kapitalmarkt-entwickelnde Maßnahmen, wie den von der AVCO vorgeschlagenen Dachfonds, der über eine Milliarde Euro an neuem Kapital hebeln und einen lokalen Finanzmarkt entstehen lassen würde. Andernfalls wären die Auswirkungen für die Zukunftsfähigkeit des Gründungsstandorts mit seiner Innovationskraft für die gesamte Wirtschaft fatal.

Ich hoffe, dass das Gesetz im Interesse der Startup Community noch wesentlich überarbeitet wird. Die AVCO wird im Rahmen der Begutachtung noch eine detaillierte Kommentierung abgeben und steht mit seinen Experten für Beratungen jederzeit zur Verfügung.

Zum Autor

Rudolf Kinsky ist geschäftsführender Präsident der AVCO – Austrian Private Equity and Venture Capital Organisation. Darüber hinaus vertritt er als Senior Partner Austria die DPE Deutsche Private Equity GmbH, einen in München ansässigen GP mit Schwerpunkt auf mittelständische Transaktionen im deutschsprachigen Raum, ist Mitglied des Advisory Boards der APEX Ventures GmbH, eines in Wien ansässigen Wagniskapitalfonds und betreibt eine Advisory-Boutique, Kinsky Capital Management GmbH.

Kinsky blickt auf eine über 40-jährige internationale Karriere in den Bereichen Private Equity, Investment Banking und Unternehmensberatung in den USA, Großbritannien, Deutschland, Österreich und CEE zurück. Er arbeitete bei 3i Group, Charterhouse, der Dresdner Bank, McKinsey & Co. und der First Boston Corporation.

Kinsky lebt in Wien, verheiratet, 5 Kinder. Er erhielt einen Abschluss in Rechtswissenschaften von der Universität Salzburg, einen LL.M. von der Harvard Law School und einen MBA von der Harvard Graduate School of Business Administration.

⇒ Zur Page der AVCO

Redaktionstipps

Investitionskontrolle: Schramböck klärt Startup-Szene nach Kritik auf

03.06.2020

Stimmen zur Investitionskontrolle: „So blöd kann man eigentlich nicht sein“

28.05.2020

Deine ungelesenen Artikel:

die Redaktion

27.05.2026

Schwache Glieder im IT-Ökosystem der Unternehmen als Einladung für Cyber-Attacken

Der jüngste KI-Betrugsfall rund um das niederösterreichische Startup poptop zeigt, wie professionell und erfolgreich Cyberkriminelle inzwischen vorgehen. Eine aktuelle KPMG-Studie bestätigt den Trend: Angriffe werden nicht nur häufiger, sondern durch den Einsatz von KI auch deutlich raffinierter – und stellen Unternehmen zunehmend vor neue Sicherheitsrisiken.

/artikel/schwache-glieder-im-it-oekosystem-der-unternehmen-als-einladung-fuer-cyber-attacken

die Redaktion

27.05.2026

Schwache Glieder im IT-Ökosystem der Unternehmen als Einladung für Cyber-Attacken

/artikel/schwache-glieder-im-it-oekosystem-der-unternehmen-als-einladung-fuer-cyber-attacken

Cyberangriffe auf heimische Unternehmen sind in den vergangenen zwölf Monaten – auch wenn diese bereits auf hohem Niveau waren – noch einmal mehr geworden. 25 Prozent der Befragten in einer aktuellen KPMG-Studie sagen, dass Cyberangriffe auf ihr Unternehmen stark bzw. eher zugenommen haben. Jeder achte registrierte Cyberangriff war dabei erfolgreich und überwand die Sicherheitsbarrieren der Unternehmen. Der Trend, der sich abzeichnet: Cyberangriffe werden effizienter, nicht harmloser. Heute dominieren unauffällige und mit KI strategisch orchestrierte Angriffe das Bild.

Diese Erkenntnisse aus der KPMG-Studie lassen sich mit einem konkreten Beispiel der jüngsten Vergangenheit gut belegen und zeigen, wie gefährlich Unachtsamkeit in so einem Fall sein kann.

Niederösterreichisches Startup als jüngstes Beispiel

Letzte Woche wurde – wie brutkasten berichtete – das NÖ-Kindermöbel-Startup poptop Opfer eines KI-Scams. Und überwies 41.000 Euro an eine dubiose US-Firma. Dabei wurden interne Zahlungsfreigaben per KI-generierter Mail täuschend echt imitiert. Man konnte den überwiesenen Betrag mithilfe der Bank zurückbekommen.

Doch KI- und Cyberangriffe kommen nicht nur über E-Mail, wie die Untersuchung weiter ausweist.

Die Top-Angriffsarten sind in diesem Jahr Malware über E-Mail-Anhänge (von 78 Prozent der Unternehmen berichtet), (Spear-)Phishing über Links (69 Prozent), die Ausnutzung von Hardware-/Software-Schwachstellen (58 Prozent), Business-E-Mail-Compromise, also CEO-/CFO-Fraud (57 Prozent), sowie Scam-Anrufe (52 Prozent).

Abgenommen haben im Vergleich zum Vorjahr Denial-of-Service-Attacken, Scam-Anrufe und (Spear-)Phishing-Angriffe. Gestiegen sind unter anderem die Umgehung der Multifaktor-Authentifizierung (MFA) sowie Angriffe gegen Industriesteuerungsanlagen (OT).

Neu hinzugekommen ist das Ausnutzen von Hardware-/Software-Schwachstellen, was verdeutlicht, dass KI die Art der Angriffe in den letzten zwölf Monaten wesentlich verändert hat.

Die Hälfte aller Angriffe (50 Prozent) lässt sich auf organisierte Kriminalität zurückführen.
Jeder zehnte Angriff wird von staatlich unterstützten Akteuren ausgeführt.
Jedes vierte von Ransomware betroffene Unternehmen gibt an, die Lösegeldforderungen bezahlt zu haben.
In 40 Prozent der Angriffsfälle war ineffektives Patch-Management das Einfallstor.

Künstliche Intelligenz verändert die Spielregeln

„Wir stehen mit KI an einem Wendepunkt und bewegen uns weg von einer Welt, die auf klaren Regeln, bekannten Mustern und nachvollziehbaren Reaktionen basiert, hin zu Systemen, die Entscheidungen zunehmend autonom treffen und die wir nicht immer vollständig nachvollziehen können. Die zentrale Frage ist daher nicht nur, ob KI eingesetzt wird, sondern ob sie steuerbar bleibt“, beschreibt KPMG-Partner und Studienautor Robert Lamprecht die aktuelle Lage.

Besonders kritisch sei zudem die Verkürzung der Zeitspanne zwischen dem Auffinden von Schwachstellen und deren Ausnutzung durch die Angreifer. Was früher Tage oder Wochen gedauert hat, kann heute in wenigen Stunden passieren. Gleichzeitig herrsche in Unternehmen eine spürbare Skepsis, ob KI tatsächlich zur Verbesserung der Cybersicherheit beiträgt (nur 33 Prozent Zustimmung), da die Vorteile aktuell stärker aufseiten der Cyberkriminellen gesehen werden.

Für jedes zweite befragte Unternehmen (50 Prozent) stellen KI-unterstützte Cyberangriffe die größte Herausforderung dar.
47 Prozent geben an, dass bei Cyberangriffen gegen ihr Unternehmen verstärkt KI eingesetzt wird. 28 Prozent haben sich mit dem Einsatz von KI zur Verbesserung der eigenen Cybersicherheit beschäftigt.
Bei 61 Prozent führten Anwender:innenfehler bei der Nutzung von KI zu Cybersicherheits- und Datenschutzvorfällen sowie Know-how-Abfluss.

Laut der, zum elften Mal in Folge veröffentlichten, Studie bringen zudem KI-Systeme und zunehmende Vernetzung Unternehmen unter Druck, da Kontrolle und Überblick über komplexe Abhängigkeiten schwinden. Besonders die Lieferkette gilt als kritisches Einfallstor: Angreifer nutzen gezielt schwache Glieder im IT-Ökosystem, wodurch ganze vernetzte Strukturen gefährdet werden.

So waren bei 39 Prozent der Unternehmen die eigenen Dienstleister oder Lieferanten innerhalb der letzten zwölf Monate Opfer eines Cyberangriffs; bei weiteren 14 Prozent gab es zumindest einen entsprechenden Verdacht. Derartige Vorfälle bleiben oft nicht ohne direkte Konsequenzen für die Auftraggeber: Mehr als jedes fünfte Unternehmen (22 Prozent) berichtet, dass ein Vorfall bei einem Dienstleister oder Lieferanten in der Folge auch zu einem Angriff auf das eigene Haus geführt hat. Dementsprechend groß ist die Verunsicherung hinsichtlich der IT-Sicherheit in der Lieferkette. 31 Prozent der Betriebe treibt die Sorge um, dass ihre Zulieferer nicht dieselben hohen Sicherheitsstandards einhalten wie sie selbst und dadurch zu einem gefährlichen Einfallstor für Angreifer werden.

„Es geht nicht darum, Lieferanten als Risiko zu sehen. Entscheidend ist die Erkenntnis, dass unsere Vernetzung unsere größte Stärke und gleichzeitig unsere größte Verwundbarkeit ist“, betont KPMG-Partner Andreas Tomek.

Digitale Souveränität als Antwort auf Cyber-Attacken

Digitale Souveränität – so der Bericht weiter – sei ein Eckpfeiler wirksamer Cybersicherheit: Nur wer Kontrolle über Daten und Infrastruktur behalte, könne Abhängigkeiten reduzieren und im Ernstfall handlungsfähig bleiben. Laut Studie sind jedoch 70 Prozent der Unternehmen stark von digitalen Technologien aus dem Ausland abhängig, 69 Prozent beziehen Cybersicherheitsanwendungen von dort – und mehr als die Hälfte könnte im Ernstfall nicht länger als drei Monate ohne diese auskommen.

Außerdem ende Cybersicherheit nicht bei technischen Schutzmaßnahmen: Fallen Cloud-Lösungen oder Plattformen plötzlich aus, geraten Unternehmen schnell in reale Existenzprobleme. Andreas Tomek dazu: „Für digitale Souveränität ist es notwendig, dass Unternehmen ihre strategische Ausrichtung neu denken und Abhängigkeiten klar identifizieren und analysieren.“

Staat doch gefragt

All dies sowie steigende Komplexität und Dynamik der Bedrohungslage führen den Autoren zufolge zu einer zentralen Erkenntnis: Cybersicherheit sei nicht länger ein optionales Investitionsthema, sondern eine Voraussetzung für stabile Geschäftsmodelle in einer digitalisierten Wirtschaft.

Unternehmen sehen hierbei den Staat zunehmend als aktiven Partner in Sachen Cybersicherheit: „Wir brauchen nicht nur das Miteinander von Unternehmen, Behörden sowie Forschungs- und Technologieeinrichtungen auf nationaler Ebene: Vielmehr braucht es eine gemeinsame europäische Kraftanstrengung in einem geopolitisch volatilen Umfeld, um die digitale Sicherheit von Unternehmen zu unterstützen“, sagt Michael Höllerer, Präsident des KSÖ (Kompetenzzentrum Sicheres Österreich) und aktuell noch Generaldirektor von Raiffeisen NÖ-Wien.

„Eine Welt, in der wir den Angreifern gezeigt haben, wie schnell verwundbar wir sind“

Und Robert Lamprecht ergänzt: „Es ist eine Welt, in der wir den Angreifern gezeigt haben, wie schnell wir heute verwundbar sind. Im Wettlauf gegen die Cyberkriminellen sind wir um viele Plätze zurückgefallen, und das Momentum liegt eindeutig auf der Seite der Angreifer. Angriffe werden dort erfolgreicher, wo Verteidigung zu spät, zu langsam oder zu bequem ist. Das ist kein Grund für Alarmismus, aber ein guter Grund für Cybersecurity. Wer hier noch auf Zeit spielt, wird irgendwann überholt. Nicht die Bedrohung ist neu. Neu ist nur die Geschwindigkeit. Die entscheidende Frage für Unternehmen lautet heute nicht mehr, ob sie in Cybersicherheit investieren sollen, sondern ob sie es sich leisten können, es nicht zu tun.“

Toll dass du so interessiert bist!
Hinterlasse uns bitte ein Feedback über den Button am linken Bildschirmrand.
Und klicke hier um die ganze Welt von der brutkasten zu entdecken.

brutkasten Newsletter

Aktuelle Nachrichten zu Startups, den neuesten Innovationen und politischen Entscheidungen zur Digitalisierung direkt in dein Postfach. Wähle aus unserer breiten Palette an Newslettern den passenden für dich.

Montag, Mittwoch und Freitag