#Gastbeitrag – Zu klein für Hacker? Warum das ein Irrtum ist!

Viele Startups halten Cyberangriffe noch immer für ein Problem der anderen: Konzerne, Behörden, kritische Infrastruktur. Die eigene Firma erscheint zu klein, zu jung, zu irrelevant. 

Aus unserer Arbeit mit Early-Stage-Unternehmen sehen wir ein anderes Bild: Gerade junge Companies sind ein besonders attraktives Ziel. Denn Angreifer suchen nicht nur große Namen, sie suchen leichte Ziele. Und davon gibt es im Startup-Ökosystem viele.

Wir sehen regelmäßig, wie Cyberangriffe in der Praxis ablaufen. Die meisten Vorfälle haben dabei wenig mit komplexen technischen Hacks zu tun, sondern mit sehr konkreten, oft überraschend einfachen Angriffsmustern. Auf Basis dieser Erfahrungen haben wir typische Angriffsszenarien ausgewertet und konkrete Gegenmaßnahmen zusammengestellt.

Warum Early-Stage-Startups besonders verwundbar sind

Teams sind klein, Rollen überschneiden sich, Prozesse entstehen oft erst im laufenden Betrieb. Geschwindigkeit ist ein Vorteil im Markt, wird aber schnell zum Risiko, wenn sie auf sensible Freigaben, Zahlungsprozesse oder Account-Zugänge trifft. 

Für Startups ist das besonders kritisch, weil sie genau das besitzen, wonach Angreifer suchen. Dazu gehört natürlich Geld, aber eben nicht nur. Junge Unternehmen bündeln häufig wertvolles geistiges Eigentum, sensible Kundendaten, Forschungsstände, Produktpläne und privilegierte Zugänge zu Banken, Dienstleistern, Lieferanten oder Investoren.

Ein einziger Vorfall kann finanzielle Schäden verursachen, die unmittelbar auf die Runway durchschlagen. Der Verlust von proprietärem Know-how kann den Wettbewerbsvorteil nachhaltig schwächen. Werden Kund:innen- oder Partnerdaten kompromittiert, leidet das Vertrauen und damit häufig auch Vertrieb, Fundraising und strategische Beziehungen. Kommen regulatorische Pflichten hinzu, etwa im Umgang mit personenbezogenen Daten, wird aus einem operativen Problem sehr schnell auch ein rechtliches.

Cybersecurity sollte deshalb gerade bei Startups kein Randthema sein. Angriffe sind ein operatives Geschäftsrisiko – und damit am Ende Führungsverantwortung.

Die häufigsten Angriffsmuster bei Startups

Wer bei Cyberrisiken zuerst an komplexe Software-Schwachstellen denkt, denkt oft am eigentlichen Problem vorbei. Die häufigsten Vorfälle sind viel banaler.

1. Phishing: Der Einstiegspunkt für fast alles

Phishing ist nach wie vor der häufigste Ausgangspunkt für Angriffe und durch KI mittlerweile deutlich schwerer zu erkennen. Die meisten erfolgreichen Angriffe beginnen mit einer überzeugend formulierten Nachricht. Eine E-Mail mit Login-Link. Eine Signaturanfrage. Ein angeblich freigegebenes Dokument. Eine Bitte, schnell etwas zu prüfen.

Best Practice:

  • verpflichtendes MFA auf allen kritischen Systemen
  • Passwort-Manager keine Wiederverwendung von Credentials
  • Default-Skepsis bei E-Mails („Habe ich das erwartet?“)
  • Verifikation über einen zweiten Kanal bei Unsicherheit

2. Zahlungsbetrug & Fake-Invoices

Besonders gefährlich sind Angriffe auf Zahlungsprozesse. Typischer Fall: Jemand gibt sich per Mail oder Messenger als Founder, CFO oder externer Finance-Dienstleister aus und drängt auf eine dringende Überweisung. Alternativ werden Bankdaten auf einer Rechnung „aktualisiert“. Solche Angriffe funktionieren, weil sie Druck erzeugen. Es soll schnell gehen, diskret sein, möglichst ohne Rückfrage.

Best Practice:

  • Verpflichtende Verifikation außerhalb von E-Mail (Telefon/Video, bekannte Nummern)
  • Dual Approval für Zahlungen über definiertem Schwellenwert
  • Klare Regel: „Urgent“ ist kein Grund, Prozesse zu umgehen

3. Zugriffsmanagement 

Ein unterschätztes Risiko liegt im eigenen Setup. Ehemalige Mitarbeitende, Dienstleister oder Berater:innen haben oft noch Zugriff auf Systeme, die längst hätten entzogen werden müssen. Gleichzeitig sammeln sich in wachsenden Teams schnell zu weitgehende Berechtigungen an.

Best Practice:

  • Security-Setup (MFA, Policies) als Teil von Day 1
  • sofortige Deaktivierung aller Zugänge beim Offboarding
  • konsequentes „Least Privilege“-Prinzip

4. Unsichere Arbeit unterwegs und im Remote-Alltag

Arbeiten aus dem Café, Hotel oder Coworking-Space gehört für viele Teams längst zum Alltag. Aber das schafft auch neue Angriffsflächen. Öffentliche oder geteilte Netzwerke sind riskant, vor allem wenn darüber sensible Vorgänge abgewickelt werden: Zahlungen freigeben, Verträge signieren, Admin-Zugänge nutzen.

Best Practice:

  • bevorzugt Mobile Hotspot statt Public WiFi
  • VPN als Mindeststandard
  • keine sensiblen Aktionen in unsicheren Netzwerken
  • Geräte immer verschlüsselt und gesperrt

5. Unkontrollierte Nutzung von GenAI-Tools

Ein neuer, schnell wachsender Risikobereich ist der unkontrollierte Einsatz generativer KI. Mitarbeitende kopieren vertrauliche Informationen, Kundendaten, Vertragsinhalte, Finanzzahlen oder Code in öffentliche Tools, ohne sich über die Folgen im Klaren zu sein.

Best Practice:

  • klare AI-Usage-Policy
  • keine Nutzung persönlicher Accounts für Business-Daten
  • Freigabe nur für geprüfte Tools
  • Sensibilisierung im Team

Die Maßnahmen, die mit wenig Aufwand den größten Unterschied machen

Die gute Nachricht: Startups müssen nicht in Enterprise-Bürokratie verfallen, um ihr Risiko massiv zu senken. Schon wenige, konsequent umgesetzte Maßnahmen reduzieren einen Großteil realer Vorfälle.

1. MFA überall erzwingen

Multi-Faktor-Authentifizierung sollte auf allen kritischen Systemen verpflichtend sein: E-Mail, Banking, Cloud-Infrastruktur, CRM, Code-Repositories, Admin-Tools. Ohne Ausnahmen.

Noch besser: Passkeys dort einsetzen, wo sie unterstützt werden. Sie sind deutlich phishing-resistenter als klassische Passwörter plus Einmalcode.

2. Passwortmanager verbindlich einführen

Kein Team sollte im Jahr 2026 noch mit wiederverwendeten oder gemeinsam per Chat geteilten Passwörtern arbeiten. Ein zentral eingeführter Passwortmanager ist eine der simpelsten und wirksamsten Grundlagen überhaupt.

3. Zahlungsprozesse absichern

Jede Änderung von Bankdaten, jede dringende Zahlungsanweisung und jede größere Überweisung sollte über einen zweiten Kanal verifiziert werden – per Anruf oder Video, an eine bereits bekannte Nummer.

Zusätzlich gilt: Vier-Augen-Prinzip für Zahlungen ab definiertem Schwellenwert.

4. Onboarding und Offboarding sauber aufsetzen

Am ersten Arbeitstag sollten Security-Basics, MFA-Setup und Tool-Zugänge sauber eingerichtet werden. Beim Austritt muss es einen klaren, sofort umzusetzenden Offboarding-Prozess geben: E-Mail, Slack, Cloud, CRM, Code, Admin-Tools, externe Zugänge.

5. Least Privilege statt Sammelzugriff

Mitarbeitende sollten nur auf das zugreifen können, was sie tatsächlich für ihre Rolle brauchen. Rechte sollten regelmäßig überprüft und bei Bedarf entzogen werden.

6. Team-Training leicht, aber verbindlich machen

Security Awareness muss keine trockene Pflichtübung sein. Oft reichen kurze, praxisnahe Sessions mit echten Beispielen aus dem Alltag. Wichtig ist vor allem, dass im Team ein gemeinsamer Reflex entsteht: Lieber einmal zu viel nachfragen als einmal falsch klicken oder überweisen.

7. Einen einfachen Incident-Plan schriftlich festhalten

Wenn etwas passiert, ist nicht der perfekte Plan entscheidend, sondern Klarheit unter Druck. Wer ist im Ernstfall verantwortlich? Wer wird zuerst kontaktiert? Wie wird intern kommuniziert, wenn Mail oder Slack betroffen sind? Wer spricht extern?

Kultur schlägt Technologie

Am Ende entscheidet weniger die eingesetzte Technologie als die Art, wie im Unternehmen mit Unsicherheit umgegangen wird. Die meisten Angriffe zielen gezielt auf menschliche Routinen. Deshalb ist eine Kultur entscheidend, in der Rückfragen selbstverständlich sind, Zweifel offen geäußert werden können und verdächtige Vorfälle sofort gemeldet werden. Nicht Perfektion schützt vor Angriffen, sondern Aufmerksamkeit und schnelle Reaktion.

Cyberrisiken sind Teil der operativen Realität. Für Startups bedeutet das: Die Frage ist nicht mehr, ob ein Angriff passiert, sondern wann.

Wer früh einfache, wirksame Grundlagen schafft, schützt nicht nur Systeme und Daten. Es geht um Kapital, Vertrauen und die Fähigkeit, das Unternehmen ohne vermeidbare Rückschläge weiterzuentwickeln.

Über den Autor

Yair Reem ist Partner bei Extantia Capital, einem Venture-Capital-Fonds, der in technologiegetriebene Unternehmen für eine resiliente und klimafreundliche Zukunft investiert. Zuvor war er Managing Director bei Hasso Plattner Ventures. Mit langjähriger Erfahrung im Aufbau und der Finanzierung von Technologieunternehmen zählt er heute zu den profiliertesten Climate-Tech-Investoren Europas.

Startup-Jobs: Auf der Suche nach einer neuen Herausforderung? In unserer Jobbörse findet Ihr Stellenanzeigen von Startups und Unternehmen.

Foto (oben): Shutterstock

Gemini für macOS: Google plant automatische Dateiverwaltung

Google bohrt Gemini für den Mac kräftig auf. Wer bisher nur das Chat-Fenster oder das Bildschirm-Teilen genutzt hat, bekommt laut Bericht bald wohl deutlich mächtigere Werkzeuge an die Hand. Das mögliche Ziel: Google will mit Claude Cowork gleichziehen und Gemini zu einem echten Agenten machen, der den Rechner steuert und Dateien sortiert. Ein Blick in den Programmcode verrät, dass die Software künftig über Bildschirmzugriff und Bedienungshilfen direkt auf die Maus und die Tastatur zugreifen kann.

Der Fokus liegt dabei auf der Organisation lokaler Daten. Geplant ist etwa das automatische Auslesen von Rechnungen oder Berichten aus Ordnern, um die Daten direkt in Google Sheets zu übertragen. Auch das Aufräumen von Chaos auf dem Schreibtisch oder im Download-Ordner steht auf dem Plan. Gemini soll Dateien nach Kontext gruppieren, Archive anlegen oder hunderte Files anhand ihrer Metadaten einheitlich umbenennen.

Neben der lokalen Dateiverwaltung greift der Assistent auch tiefer in Google Workspace ein. So lassen sich aus Meeting-Transkripten oder Notizen direkt Entwürfe für Follow-up-Mails erstellen. Wann die Funktionen für alle Nutzer final landen, bleibt abzuwarten.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

reMarkable Paper Pure: Neues E-Ink-Tablet taucht bei Händlern auf




Wer auf digitale Notizbücher steht, stolpert früher oder später vielleicht auch über die Geräte von reMarkable. Nun ist bei einem australischen Händler ein neues Modell namens reMarkable Paper Pure aufgetaucht. Das Gerät setzt auf ein 10,3 Zoll (26,16 Zentimeter) großes Display, das laut Datenblatt heller sein soll und einen höheren Kontrast bietet als die Vorgänger.

Die Latenz liegt bei 21 Millisekunden, was das Schreibgefühl auf der Oberfläche noch näher an echtes Papier bringen dürfte. Der Preis wird dort mit 772 australischen Dollar (etwa 475 Euro) gelistet, wobei der Eingabestift bereits zum Lieferumfang gehört.

Technisch bleibt die Kiste gewohnt spezialisiert. Das Tablet wiegt schlanke 360 Gramm und soll mit einer Akkuladung bis zu drei Wochen durchhalten. Der Fokus liegt auf dem ablenkungsfreien Arbeiten. Nutzer können Dokumente kommentieren, handschriftliche Notizen verfassen und diese über die Cloud-Anbindung mit Diensten wie Google Drive, Dropbox oder Microsoft OneDrive synchronisieren.

Auch eine Umwandlung von Handschrift in Text ist über das Connect-Abonnement möglich. Der beiliegende Stift haftet magnetisch am Gehäuse und benötigt kein separates Ladekabel. Im Paket stecken neben dem Tablet und dem Marker noch sechs Ersatzspitzen sowie ein USB-C-Kabel. Wann das Gerät offiziell in Deutschland landet, ist bisher nicht bekannt, die Listung deutet auf eine Vorstellung am heutigen 6. Mai hin.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Apple zahlt 250 Millionen Dollar: Vergleich wegen Apple Intelligence auf iPhone 16 und 15 Pro

Apple hat sich in den USA auf einen Vergleich in Höhe von 250 Mio. Dollar eingelassen. Hintergrund ist eine Sammelklage, in der dem Unternehmen vorgeworfen wurde, Kunden bei Apple Intelligence in die Irre geführt zu haben. Anspruch haben sollen US-Kunden, die zwischen dem 10. Juni 2024 und dem 29. März 2025 ein iPhone 16 oder iPhone 15 Pro gekauft haben.

Wer einen gültigen Antrag stellt, kann laut Kanzlei zunächst 25 Dollar pro Gerät erhalten. Je nach Zahl der Ansprüche könnte der Betrag wohl auf bis zu 95 Dollar pro Gerät steigen. Apple selbst bestreitet ein Fehlverhalten, will die Sache mit dem Vergleich aber vom Tisch haben.

Der Kern des Vorwurfs: Apple habe rund um den Start des iPhone 16 Erwartungen geweckt, die Apple Intelligence zum Launch so nicht erfüllt habe. Tatsächlich kamen Funktionen wie Genmoji, Image Playground oder ChatGPT-Integration erst nach und nach. Auch die persönlichere Siri lässt weiter auf sich warten. Die sehen wir hoffentlich endlich mit iOS 27 und Co. im Herbst.

Bestseller Nr. 1

Bestseller Nr. 2

Bestseller Nr. 3

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Kurskorrektur: Xbox verzichtet künftig auf den Copilot

Microsoft zieht den Stecker bei einem Teil der KI-Integration für die Xbox. Erst Anfang 2026 kündigte das Unternehmen große Pläne für den Gaming Copilot an, der über die mobile App beim Zocken unterstützen sollte. Jetzt folgt die Kehrtwende. Asha Sharma, die Chefin der Xbox-Sparte, verkündete das Ende der Entwicklung des Copilot für Konsolen. Auch die mobile Version wird schrittweise eingestellt.

Sharma begründet diesen Schritt mit einer Neuausrichtung des Geschäfts. Das Team will sich künftig stärker auf die Community konzentrieren und Hürden für Spieler sowie Entwickler abbauen. Im Rahmen dieses Umbaus werden Funktionen gestrichen, die nicht mehr zur künftigen Strategie passen.

In den letzten Jahren hatte es Xbox gegen die Konkurrenz von Sony schwer. Mit Blick auf kommende Hardware wie das Project Helix und eine neue Markenstrategie versucht Microsoft nun, das Ruder herumzureißen. Die Entscheidung überrascht mich dennoch ein wenig, da Microsoft seine KI-Dienste zuletzt massiv in alle Produkte drückte. Bei den Nutzern stießen diese Funktionen allerdings nicht immer auf Gegenliebe.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies