Wie die Salzburg AG mit einer neuen Crowdinvesting-Plattform die Energiewende vorantreibt

29.08.2024

VC-Markt

Lucanus Polagnoli: „Es braucht ein Ende der Gartenzaun-Mentalität“

Interview. Lucanus Polagnoli, Founding Partner & CEO von Calm/Storm, spricht darüber, wie der Kapitalmarkt für europäische Startups gestärkt werden könnte. Unter anderem nimmt er am European Forum Alpbach Bezug zum jüngsten Vorschlag von Wirtschaftsminister Martin Kocher zur Schaffung eines Dachfonds für institutionelle Investoren.

/artikel/lucanus-polagnoli-interview-european-forumalpbach

✨ AI Kontextualisierung

Europäische Startups stehen vor besonderen Herausforderungen, wenn es darum geht, Kapital zu beschaffen – insbesondere im Vergleich zu ihren US-amerikanischen Pendants. Obwohl die Innovationskraft und das Potenzial in Europa groß sind, sind die Bedingungen auf dem Markt oft weniger günstig. Zu den Faktoren zählt unter anderem die fragmentierte Finanzlandschaft. Schon länger werden unterschiedliche Maßnahmen diskutiert, um den Kapitalmarkt für Startups zu stärken.

Wir haben bei Lucanus Polagnoli am European Forum Alpbach nachgefragt, welche Maßnahmen es braucht, um die Finanzierungslandschaft zu stärken. Polagnoli ist Founding Partner und CEO von Calm/Storm, einer der aktivsten HealthTech-Fonds in Europa. Unter anderem gab Calm/Storm erst unlängst das erste Closing seines zweiten Fonds bekannt.

brutkasten: Calm/Storm hatte sein First Closing des zweiten Fonds. Auf welche Entwicklungen könnt ihr 2024 bislang zurückblicken?

Lucanus Polagnoli: In den letzten sechs Monaten hat sich bei Calm/Storm einiges getan. Erstens haben wir das First Closing für unseren zweiten Fonds erfolgreich abgeschlossen und bereits 20 Investments getätigt. Dazu zählen Investments in Unicorn-Gründer, wie die Gründer von Gorillas, die aktuell ein neues, noch in Stealth befindliches Startup im Health-Bereich aufbauen. Zudem haben wir auch in das neue Startup von einem der Gründer von Truepill investiert, einem Unicorn aus den USA.

Was den Dealflow betrifft, sind wir wirklich sehr gut positioniert. In Europa ist es immer schwierig, sich als Nummer eins zu bezeichnen, aber wir gehören definitiv zu den Top 3 digital HealthTech-Investoren. Wir wollen mit dem zweiten Fonds aber nicht nur eine Fortsetzung des ersten Fonds machen, sondern streben an, eine langfristig aufgestellte Venture Capital Firm aufzubauen.

Ein großer Schritt in diese Richtung war, dass Ekaterina Ginaelli an Bord gekommen ist, die zuvor zehn Jahre lang General Partner bei InVenture (ein Fund aus den Nordics) war. Sie wird nun schrittweise bei Calm/Storm als zweiter General Partner einsteigen. Ekaterina ist eine erfahrene Investorin und so wie ich eine „Kaufmann Fellows“-Alumna. Ihre Erfahrung wird uns als Unternehmen enorm weiterhelfen. Außerdem haben wir von mehreren Cornerstone-Investoren, die bereits in unseren ersten Fonds investiert hatten, Zusagen für den zweiten Fonds erhalten. Darunter ist auch ein US-Amerikaner, Dan Tierney, der quasi “double down on Calm/Storm” macht und auch im zweiten Fund als Cornerstone Investor einsteigen will.

Du sprichst den Dealflow an. Wie zeichnet sich dieser konkret aus?

Unser Dealflow ist noch besser als je zuvor, und wir sind inzwischen für fast alle Digital Health-Gründer die bevorzugte Wahl in ganz Europa, sei es in Estland, Portugal oder anderswo.

Lucanus Polagnoli | (c) brutkasten / Viktoria Waba

Woran liegt es, dass der Dealflow nun besser ist als zuvor?

Das liegt vor allem an unserer starken Marke, die wir in Europa aufgebaut haben, insbesondere im Digital Health-Bereich. In Österreich werden wir als Founders Fund wahrgenommen, was ebenfalls zu unserem Vorteil ist. International werden wir nicht als irgendein Fonds aus Wien gesehen, sondern als einer der aktivsten Player im digitalen Gesundheitssektor.

Und welche Rolle spielt dabei das Marktumfeld?

Die besten Deals waren schon immer hart umkämpft, unabhängig davon, wie das Marktumfeld gerade aussieht. Wenn ein ehemaliger Unicorn-Gründer ein neues Startup gründet, wollen alle Fonds investieren, egal, wie die Märkte stehen. Ich bin wahnsinnig froh, dass der Markt auf ein gesundes Niveau zurückgekehrt ist und viele der Freeriders verschwunden sind. Das hat den Markt eher verzerrt und hat abgelenkt von den eigentlich wirklich guten Gründern, die wirkliche Business bauen und nicht nur Luft. Im Gesundheitsbereich ist es besonders wichtig, denn hier geht es nicht nur um Luft, sondern um ganz wichtige Lösungen, die am Ende einen positiven Einfluss auf unser aller Gesundheit und damit uns als Gesellschaft haben.

In der VC-Szene wird in Europa immer wieder das Fehlen eines funktionierenden IPO-Marktes thematisiert. Wie nimmst du das wahr?

In Europa gibt es bis dato keinen funktionierenden IPO-Markt für Startups bzw. Scaleups. Gleichzeitig ist es für große Fonds besonders schwierig, ihre Volumen mehrmals zurück zu verdienen (also eine hohe Rendite zu erwirtschaften), wenn sie nicht zumindest einen IPO im Portfolio haben. Damit schaut alles in die USA – dort gibt und gab es immer viel mehr IPOs, und in Wahrheit essen uns die Amerikaner in dieser Hinsicht den Lunch weg.

Daher braucht es in Europa auch einen starken Kapitalmarkt, nur dann können wir mit den Amerikanern gleich ziehen. Viele sagen dann sofort, dass Europa mehr Growth Capital braucht. Ich sehe das aber differenzierter. Ich würde nicht sagen, dass wir ausschließlich mehr Growth Capital brauchen. In der Pre-Seed-, Seed- und Early-Stage-Phase, was wir klassisch Series A nennen, und auch in der Growth-Stage, brauchen wir mehr Kapital und zwar eine andere Form von Kapital. Insbesondere am Anfang müssen wir weg vom Fokus auf staatlichen Förderungen, die den Markt komplett verzerren.

Das ist eine harte Kritik am derzeitigen System. Was wäre deiner Meinung nach sinnvoller?

Förderungen sind nicht immer schlecht, aber so wie wir das machen, ist das oft kontraproduktiv. Meiner Meinung nach sollten wir 70 Prozent der staatlichen Förderungen stoppen und dieses Geld in private Kapitalfonds stecken, um privates Kapital zu verdoppeln. Der Staat war noch nie ein guter Unternehmer, und in der Early-Stage hat er überhaupt keinen Plan. Die Leute, die für den Staat arbeiten, sind falsch incentiviert. Schauen wir uns nur den Gründungsfonds der aws an – 70 Millionen Euro vom Staat über Direct Investment zu tätigen, finde ich idiotisch. Vielmehr sollte das Geld via Dach-Funds in bereits bestehende europäische Fonds investiert werden. Herr Kocher hat ja auch hier in Alpbach gesagt, dass er einen Dachfonds unterstützen würde. Die Frage ist nur, warum sich immer jeder auf den anderen ausredet, warum etwas nicht geht, anstatt etwas gutes durchzusetzen.

Und dann braucht es noch etwas ganz entscheidendes: Ein Ende der “Gartenzaun-Mentalität”. Ich bin ein großer Fan eines Single European Market, um IPOs in Europa zu ermöglichen. Aber ein solcher Markt funktioniert nur, wenn wir etwas Ähnliches schaffen wie damals beim GSM-Standard oder bei Kreditkarten-Transaktionen. Wir brauchen einen europaweiten Standard, der es ermöglicht, dass auch Pensionsfonds aus verschiedenen Ländern problemlos in europäische Fonds investieren können und nicht immer nur lokal. Es geht darum, einen großen, starken Markt zu bauen, statt unseren kleinen, lokalen Markt zu schützen. Man muss in Gründer investieren und nicht in “nationale” Startups basierend auf dem Ort, wo die GmbH registriert ist. Die Startup-Founder arbeiten längst remote oder hybrid. Es ist völlig unerheblich, ob sie in Bratislava oder St.Pölten gründen. Es ist vollkommen gegen die europäische Vision, Geld an Landesgrenzen zu binden.

Welche Regelungen braucht es in diesem Kontext?

Wir brauchen definitiv Regulierungen, aber sie müssen richtig ausgerichtet sein. Derzeit sind unsere Regulierungen zu kleinteilig und verteidigen lediglich kleine lokale Interessen. Stattdessen sollten wir Regulierungen haben, die einen großen europäischen Markt schaffen. Der deutsche KFW kann als Fund of Fund auch in „nicht-deutsche“ also „europäische“ VC-Funds investieren. Warum sollte das z.B. ein österreichischer Dachfonds nicht dürfen? Es braucht also einheitliche europäische Regeln wie Pensionsfonds, Banken, Versicherungen oder Corporates aber auch die Staaten ihr Geld anlegen können. Hier bräuchte es Anreize wie steuerliche Förderungen. Wenn unser gesamtes Pensionsgeld in Amerika angelegt wird, ist das natürlich ein Blödsinn.

Ihr habt bereits Investments in US-amerikanische Startups getätigt. Plant ihr künftig einen stärkeren Fokus auf den US-amerikanischen Markt zu legen?

Wir investieren in den USA, wenn es einen starken europäischen Bezug gibt, sei es durch einen europäischen Co-Founder oder einen anderen relevanten Zusammenhang. Unser Ziel ist es nicht, die Sandhill Road entlang zu schlendern und uns als bessere Alternative zu Andreessen Horowitz oder Sequoia zu präsentieren. Wir bleiben unserem Fokus treu und investieren nur dann in den USA, wenn es einen klaren Bezug zu Europa gibt und es in unser Industrie-Fokus-Schema passt.

Was motiviert dich am European Forum Alpbach teilzunehmen, und was erwartest du von deiner Teilnahme?

Alpbach ist für mich mehr als nur ein Ort für Diskussionen. Es zeigt, dass Österreich viel mehr zu bieten hat als nur Sound of Music, Berge und Skifahren. Österreich ist im Herzen einer europäischen Innovationslandschaft und ein Treffpunkt für brillante Köpfe, sowohl aus dem In- als auch dem Ausland. Für mich ist Alpbach eine Gelegenheit, Österreichs Innovationskraft zu präsentieren und Kontakte zu knüpfen, die sonst vielleicht schwer zu erreichen wären.

Linktippzur Page von Calm/Storm

Deine ungelesenen Artikel:

Carolin Desirée Töpfer

02.06.2026

Cybersecurity: Was tun, wenn die KI angreift?

Gastbeitrag: Während große Konzerne aufgrund des regulatorischen Drucks ihr Cybersicherheits-Level hochschrauben, werden kleine Unternehmen für Angreifer immer interessanter. Mithilfe von Künstlicher Intelligenz erreichen Hacker ganz neue Umsatz-Dimensionen.

/artikel/cybersecurity-was-tun-wenn-die-ki-angreift

Carolin Desirée Töpfer

02.06.2026

Cybersecurity: Was tun, wenn die KI angreift?

/artikel/cybersecurity-was-tun-wenn-die-ki-angreift

Carolin Desirée Töpfer ist externe Chief Information Security Officer, Cybersecurity-Strategin und Gründerin von Cyttraction mit Fokus auf kosteneffizientes Risikomanagement, sichere KI-Nutzung und Cybersecurity-Zertifizierungen. Mit praxisnahen Lernformaten und strategischer Expertise unterstützt sie regulierte Unternehmen dabei, Sicherheitsanforderungen effizient umzusetzen und nachhaltige digitale Resilienz aufzubauen. In ihrem Beitrag warnt sie vor KI-Cyberangriffen und rät Startups und kleinen Unternehmen Cybersicherheit frühzeitig strategisch zu verankern.

„Wir konzentrieren uns jetzt erst mal auf Produkt, Teamaufbau und Sales – Cybersicherheit machen wir dann später.“ Ein Satz, den ich so oder ähnlich häufig von Gründer:innen höre – und der einige Unternehmen schon Multi-Millionen gekostet hat.

Identität stehlen

Cyberkriminelle haben seit KI ihr Repertoire erweitert und finden Milliarden von bereits geleakten Datasets, mit denen sie arbeiten können. Das Ergebnis sind nicht nur technische Attacken, die es in die Headlines internationaler Medien schaffen. Viel schmerzhafter ist es für Unternehmen, wenn es Angreifer zwischen Arbeitsprozesse schaffen, E-Mails und Nachrichten zwischen Team-Mitgliedern, Geschäftspartnern und mit Kunden manipulieren. Anweisungen versenden, die zweifellos echt aussehen und dann mit ganzen Sammlungen an sensiblen Daten verschwinden. Die Identität des CxO stehlen oder Entführungen von Führungskräften vortäuschen, um dem Unternehmen zu schaden.

Neben dem Zeitverlust, der Budget-Verschwendung und den Aufräum-Kosten, kommt dann auch noch der Vertrauensverlust am Markt hinzu, gegenüber Kunden und Investoren. Dinge, auf die Gründer:innen oft erst kommen, wenn es bereits zu spät ist.

„Gesunder Menschenverstand“ oder „Hausverstand“ existiert nicht in der Cybersicherheit!

Aufgrund der oft vernachlässigten digitalen Bildung in Schulen und da viele Arbeitgeber immer noch nicht in effektive Trainings investieren, kommen in jedem Unternehmen Menschen mit ganz unterschiedlichen digitalen Fähigkeiten zusammen. Das gilt für Startup-Teams, Kunden und Investoren gleichermaßen. Hinzu kommen volle ToDo-Listen, Stress-Situationen und die eigene Scham.

Angreifer lieben gestresste, beschämte Arbeitstiere!

Ob jemand in so einem Umfeld eine gefälschte KI-Mail erkennt, die im schlimmsten Fall noch aus dem echten Postfach eines gehackten Geschäftspartners kommt, ist nur noch Glücksfall.

Trotzdem gibt es Teams, die tägliche Angriffe auf allen Ebenen erfolgreich abwehren – weil sie eine holistische Cybersicherheits-Strategie implementiert haben. Diese besteht je nach Geschäftsmodell und Branche aus einem präzisen Projektmanagement und zwischen 60 und 90 Einzelmaßnahmen. Zweck ist in erster Linie der umfassende Schutz der eigenen Arbeit. Gleichzeitig erfüllt das Unternehmen damit Anforderungen von Kunden sowie regulatorische Vorgaben, von denen Gründer:innen oft nicht einmal wissen.

Erste Basis-Maßnahmen sind auch für Startups mit kleinem Budget machbar!

Jede/ r hat heutzutage Angst, gehackt zu werden, Geld zu verlieren und seine eigenen sensiblen Informationen öffentlich im Internet zu finden. Das sehe ich nicht nur an den Fragen, die ich über meine „Social Media“-Kanäle bekomme. Dabei können schon 30-Minuten-Team-Meetings einen enormen Unterschied machen. Offen über Angriffsszenarien und Ängste sprechen, gleichzeitig die aktuellen Sicherheits-Maßnahmen ins Gedächtnis rufen, erhöhen die Aufmerksamkeit für Cyber-Themen sofort!

Auch um Ruhe reinzubringen. Denn wer sowieso immer gleich springt, wenn eine neue Aufgabe um die Ecke kommt, wird wahrscheinlich auch die Aufgaben von Hackern erfüllen. Klare Arbeitsprozesse, 4-Augen-Prinzip und die allgemeine Erlaubnis im Team, Dinge kritisch zu durchdenken, noch zweimal nachzufragen, oder einfach mal kurz durchzuatmen, hat schon so einige teure Fehler verhindert.

Verantwortlichkeiten in ruhigen Zeiten klären

Den größten Hebel haben dabei Gründer und Entscheider. „Founder Mode“ bedeutet oft auch, vieles selbst zu machen. IT Systeme und Sicherheits-Lösungen sind mittlerweile aber so komplex, dass sich das Investment in einen seriösen IT-Dienstleister lohnt. Viele bieten auch eine Hotline für Notfälle an.

Wesentlich günstiger ist es allerdings, diese Notfälle zu verhindern. Denn nach meiner Erfahrung brauchen selbst schnelle kleine Unternehmen sechs bis zwölf Monate, um eine funktionierende Cybersicherheits-Strategie mit allen Maßnahmen aufzubauen. Neben den technischen Upgrades, müssen dabei auch die organisatorischen Strukturen sitzen.

Wo klar ist, wer was wann macht und auch, wer sich um die Cybersecurity Maßnahmen kümmert, Aufräum-Aktionen, Updates und Backups organisiert, geht weniger schief. Bei kleinen Unternehmen muss die Person nicht einmal einen IT-Hintergrund mitbringen. Es beginnt mit Interesse am Thema, Projektmanagement-Skills und der Bereitschaft, das Team regelmäßig mit aktuellen Informationen zu versorgen.

Konflikte eingehen, um sichere Lösungen zu finden

Und auch darum, Konfliktsituationen smart zu lösen. Zum Beispiel beim Thema „Zugriff und Zutritt„: Nicht jeder sollte Zugriff auf alles haben. Dabei geht es nicht darum, Team-Mitglieder zu degradieren, sondern eine saubere Segmentierung zu schaffen. Am stärksten trenne ich hier zwischen Marketing und Kern-Business.

Alles, was sowieso für die Öffentlichkeit und mit verschiedenen Partnern produziert wird, findet bei mir selbst sogar in einer anderen Firma statt. Für Kunden richten wir technische Lösungen und Prozesse ein, die kreatives Marketing erlauben, Kunden-Kommunikation klar strukturiert und gleichzeitig das eigentliche Geschäftsmodell und die damit verbundenen Daten auf einem hohen Level schützt. Wer mit besonders sensiblen Informationen arbeitet, seine Patente aus Forschung und Entwicklung schützen will oder an einer einzigartigen Datenbasis für KI-Modelle arbeitet, kann über Segmentierung kosteneffizient Datenintegrität dort gewährleisten, wo sie wirklich notwendig ist.

Solche Konzepte stehen und fallen mit sicheren Login-Lösungen und der Bereitschaft aller Nutzer, diese auch zu nutzen. Die Aktivierung von 2 Faktor- oder Multi-Faktor-Authentifizierung führt dabei immer wieder zu Diskussionen.

Passwörter reichen schon lange nicht mehr aus, um Accounts zu schützen. Häufig bekommen Nutzer nur über die Abfrage des 2. Faktors mit, dass gerade ein Angreifer versucht, in ihren Account zu kommen.

Keine Schatten-IT, keine Schatten-KI

Wesentlich einfacher wird es, wenn alle im Team wirklich nur die Accounts nutzen, die sie wirklich für ihre tägliche Arbeit brauchen – und die sichere Funktion dieser über regelmäßige Tests oder technisches Tracking sicherstellen. So lässt sich auch vermeiden, dass das eigene Unternehmen zehn Tage offline und per E-Mail nicht erreichbar ist. Wie es zuletzt einer Wiener Geschäftsinhaberin passiert ist.

Auch aus wirtschaftlichen Gründen, kaufen Unternehmen kaum noch komplette Enterprise-Lizenzen für alle Mitarbeiter. Und auch bei Startups lohnt es sich, Lizenzen mindestens einmal im Jahr auszumisten und den jeweiligen Support zu bitten, vorhandene Daten EU DSGVO-konform zu löschen. Denn Accounts die ordentlich gelöscht wurden, können auch nicht zu Datenlecks führen.

Das gleiche gilt für alle KI Tools. Wer ein klares Prüfschema verfolgt, sich nicht vom Hype treiben lässt, unkontrolliertes Vibe Coding verhindert und auch hier ungenutzte Accounts wieder ordnungsgemäß löscht, kann von KI Effizienz profitieren, ohne seine eigene Arbeit oder gleich das ganze Unternehmen zu zerstören.

Toll dass du so interessiert bist!
Hinterlasse uns bitte ein Feedback über den Button am linken Bildschirmrand.
Und klicke hier um die ganze Welt von der brutkasten zu entdecken.

brutkasten Newsletter

Aktuelle Nachrichten zu Startups, den neuesten Innovationen und politischen Entscheidungen zur Digitalisierung direkt in dein Postfach. Wähle aus unserer breiten Palette an Newslettern den passenden für dich.

Montag, Mittwoch und Freitag