Die Luft- und Raumfahrt sowie die Verteidigungsindustrie zählen zu den am stärksten regulierten und technologisch anspruchsvollsten Märkten der Welt. Lange galt: Wer hier mitspielen will, braucht jahrzehntelange Erfahrung, Milliardenbudgets und stabile Regierungsbeziehungen. Doch genau dieses Bild verschiebt sich.

Neue Player treten auf den Plan: Start-ups entwickeln Trägersysteme, Drohnenplattformen, Kommunikationslösungen oder Sensorik, und tun das in einer Geschwindigkeit, die vielen etablierten Anbietern Kopfzerbrechen bereitet. Die zentrale Frage lautet deshalb: Wie können junge Unternehmen in einer hochregulierten Branche nicht nur überleben, sondern mitgestalten?

Agilität als Superkraft – aber Prototypen reichen nicht

Ob neue unbemannte Plattformen, Software-Defined Defense Systeme oder taktische Kommunikation – überall gilt: Was heute entwickelt wird, muss morgen schon einsatzbereit sein. Der Bedarf an schneller Innovation ist nicht theoretisch, sondern operativ. Start-ups sind in der Lage, auf diesen Druck zu reagieren, mit kurzen Entscheidungswegen, agilen Teams und digitaler DNA.

Allerdings reichen gute Ideen und schnelles Prototyping nicht aus. Wer Systeme für den operativen Einsatz liefern will, muss Anforderungen erfüllen, die weit über funktionierende Technik hinausgehen: Cybersicherheit, regulatorische Nachvollziehbarkeit, Zertifizierungsfähigkeit und Interoperabilität mit internationalen Partnern.

Das Fundament: Die Systemarchitektur entscheidet

Von Anfang an auf die richtigen technischen Grundlagen zu setzen, ist entscheidend. Das betrifft vor allem drei Bereiche: Skalierbarkeit, Nachvollziehbarkeit und Interoperabilität. Systeme müssen so gebaut sein, dass sie modular erweitert, in komplexe Systemlandschaften integriert und nach internationalen Standards auditiert werden können.

Ein durchgängiger digitaler Entwicklungs- und Betriebsfaden, ein sogenannter Digital Thread oder auch Intelligent Product Lifecycle, ermöglicht es, Produktdaten, Softwarestände und Konfigurationsänderungen über den gesamten Lebenszyklus hinweg zu verfolgen. Für die Zulassung softwaredefinierter, sicherheitskritischer Systeme ist das ebenso essenziell wie für die spätere Wartung, Upgrades oder die Einbindung in multinationale Operationen.

Security by Design: Sicherheit lässt sich nicht nachrüsten

Verteidigungsnahe Produkte unterliegen Exportkontrollen, Sicherheitsauflagen und branchenspezifischen Normen, darunter etwa ISO 15288 für Systems Engineering, ISO 27001 für Informationssicherheit oder die europäischen Anforderungen für Luftfahrt und Raumfahrt. Diese Vorgaben lassen sich nicht einfach „nachrüsten“. Sie müssen von Beginn an ein integraler Bestandteil der Systemarchitektur und Prozessführung sein.

Gerade in sicherheitskritischen Bereichen ist die Fähigkeit, regulatorische Anforderungen nachweislich zu erfüllen, ein entscheidender Wettbewerbsvorteil. Sie entscheidet darüber, ob ein Produkt zugelassen, in Serie gefertigt und in multinationale Programme integriert werden kann.

Interoperabilität als Schlüssel zum Teamplay

Ein weiterer kritischer Faktor ist die Fähigkeit zur Kooperation. In den meisten großen Programmen arbeiten unterschiedliche Unternehmen, oft aus verschiedenen Ländern, mit unterschiedlichen Systemen zusammen. Wer hier bestehen will, muss in der Lage sein, mit standardisierten Schnittstellen, interoperablen Plattformarchitekturen und harmonisierten Datenmodellen zu arbeiten. Interoperabilität ist dafür die technische Grundlage. Ohne sie lassen sich Systeme weder integrieren noch gemeinsam weiterentwickeln.

Vom Zulieferer zum echten Systempartner

Start-ups, die sich diesen Anforderungen stellen, können mehr sein als Zulieferer. Sie haben das Potenzial, Systempartner zu werden: mit eigener Wertschöpfung, eigenem IP und eigenem Einfluss auf die technologische Entwicklung. Der Weg dorthin ist anspruchsvoll, aber offen. Er erfordert keine hundertjährige Firmengeschichte, sondern eine klare Architekturstrategie, ein tiefes Verständnis für regulatorische Anforderungen und den Willen, komplexe Systeme systematisch zu entwickeln.

Der Verteidigungs- und Luftfahrtsektor steht an einem Wendepunkt. Wer heute die richtigen Grundlagen legt, kann morgen zu denjenigen gehören, die nicht nur mitlaufen, sondern die Spielregeln neu definieren.

Der Autor Jens Stephan, Director Aerospace & Defence bei PTC, bringt über 20 Jahre Erfahrung im Bereich komplexer Software-/SaaS-Lösungen und IT-Infrastruktur mit.

Hinter der FashionTech-App VESTIO steht die im Jahr 2024 von Bastian Arend und Justus Hansen gegründete Opus Stilberater GmbH, die den Anspruch erhebt, professionelle Stilberatung erstmals digital, logisch und kostenlos zugänglich zu machen.

Der „Solar-Entrepreneur“ trifft den Stil-Rebell

Die persönlichen Hintergründe der Gründer bieten spannende Kontraste, die weit über ein übliches Business-Profil hinausgehen. Bastian Arend, Co-Founder und CEO, kam über die Energiewende zur Mode. Als Seriengründer baute er den Online-Solar-Anbieter Klarsolar auf und verkaufte ihn im Dezember 2023 erfolgreich an den Energiekonzern E.ON. Die Übernahme erfolgte in einer für die Solarbranche schwierigen Marktphase, was Bastian Arend als Krisen-erprobten Strategen auszeichnet.

VESTIO entwickelte er 2024 jedoch aus einem ganz persönlichen „Pain Point“ heraus: Während er internationale Millionen-Finanzierungsrunden leitete, bestand sein eigener Stil mangels Zeit lediglich aus Hoodie, Jeans und Sneakern. „Ich wollte nur jemanden, der für mich einkauft“, erinnert er sich an diese Phase. Seine Abneigung gegen zeitraubendes Shopping führte ihn schließlich zu Justus Hansen.

Justus Hansen, Co-Founder und Chief Styling Officer, bringt eine Biografie ein, in der Mode schon immer eine zentrale Rolle spielte. Sein Gespür für klassische Mode ist tief verwurzelt: Justus Hansen trug bereits im Kindergarten eine Fliege und provozierte später Lehrer, indem er im Sakko zum Unterricht erschien. Bevor er mit über 1,6 Millionen Follower*innen zu einem der bekanntesten Männerstilberater Deutschlands aufstieg, studierte er Jura und absolvierte Praktika im Bankensektor, unter anderem bei der Dresdner Bank.

Diese Erfahrungen schärften seinen Blick für die Anforderungen moderner „Business-Garderoben“. Als Arend ihn fragte, ob er für ihn einkaufen könne, antwortete Justus Hansen bestimmt: „Einfach irgendwas kaufen? Nein. Ich muss verstehen, wer du bist.“ Bastian Arend begriff Hansens modulare Styling-Methode sofort als logisches System und schlug vor: „Wir sollten deine Methode digitalisieren und kostenlos für jeden Mann zugänglich machen.“ Für Justus Hansen wurde damit ein „Lebenstraum“ wahr.

Das Konzept: „Weniger Teile, mehr Outfits“

Das Herzstück der App bildet ein algorithmisches Styling-System, das strikt dem Leitsatz „Weniger Teile. Mehr Outfits“ folgt. In nur drei Minuten erstellt ein Stilfinder-Fragebogen eine persönliche Grundgarderobe. Der digitale Kleiderschrank funktioniert dabei bewusst ohne das mühsame Hochladen von Fotos; das System kennt die wichtigsten Basics, erkennt Lücken und empfiehlt gezielt Ergänzungen. Justus Hansen betont dabei die Wichtigkeit der Basis: „Die wenigsten Männer besitzen eine echte Basisgarderobe. Und das ist die Grundlage, aus der ihre besten Outfits entstehen.“

Ziel ist es, automatisch kombinierbare Outfits für alle Anlässe zu generieren. Dabei verfolgen die Gründer eine klare ästhetische Linie: „Outfits müssen nicht kompliziert sein, um zu wirken. Sie brauchen lediglich eine klar erkennbare Linie“, so Hansen. Bastian Arend ergänzt: „Die besten Outfits für Männer sind nicht kompliziert, sondern harmonisch und durchdacht.“

Das Affiliate-Dilemma: Geschäftsmodell im kritischen Check

Wirtschaftlich operiert VESTIO über ein Affiliate-Modell. Die App ist für Nutzer kostenlos, während das Unternehmen Provisionen von Partner-Anbietern bei einem erfolgreichen Kauf erhält. Hier liegt für den kritischen Betrachter ein interessanter systemischer Interessenkonflikt: Das erklärte Ziel „Weniger Konsum – bessere Entscheidungen“ steht ökonomisch potenziell im Widerspruch zu einem Modell, das von Transaktionen lebt. Zudem stellt sich die Frage der langfristigen Nutzerbindung: Sobald ein Mann seine „perfekte Garderobe“ aufgebaut hat, sinkt der Bedarf für weitere Anschaffungen. Dass das Unternehmen dennoch auf Wachstum setzt, zeigt die Erhöhung des Stammkapitals auf knapp 30.000 Euro im September 2025. Langfristig plant VESTIO die Integration eines Marktplatzes, der Partnerprodukte und eigene Kollektionen vereint, um basierend auf Daten den größten Mehrwert zu liefern.

Marktpositionierung und technologischer Vorsprung

Im Vergleich zum Wettbewerb besetzt VESTIO eine spezifische Nische. Während Curated-Shopping-Anbieter (z.B. Outfittery) auf den Versand physischer Boxen setzen, bleibt VESTIO ein rein digitaler Guide, der dem Nutzer die volle Freiheit bei der Wahl des Händlers überlässt. Andere Styling-Apps verlangen oft zeitintensive Foto-Inventuren, während VESTIO auf logische Kombinationen setzt.

Das Risiko bleibt jedoch die Abhängigkeit von der Personal Brand Justus Hansens. Letztlich ist VESTIO der Versuch, Mode so effizient wie eine Prozessoptimierung zu gestalten – oder wie Bastian Arend es formuliert: „Viele Männer haben mehr Kleidung als Stil. Vestio ändert das.“ Mit dem Aufbau der App wolle man Männern „genau diese Arbeit abnehmen“, damit sie sich ultimativ „besser fühlen“ können.

Die steigende Nachfrage nach Firmen-Events und privaten Feiern stellt die Hospitality-Branche vor administrative Herausforderungen. Während Hotelzimmer und Tischreservierungen weitgehend digitalisiert sind, erfolgt die Bearbeitung von Gruppenanfragen und Event-Konfigurationen in vielen Betrieben noch manuell. Das 2025 gegründete Software-Start-up DIONYS tritt an, um diesen Prozess durch Standardisierung zu beschleunigen.

Konfigurator statt E-Mail-Pingpong

Das Kernprodukt des Unternehmens ist eine Softwarelösung, die den Angebotsprozess für Veranstaltungen digitalisiert. Anstatt individuelle Angebote manuell zu tippen, sollen Kunden ihre Events – von Menüs bis zu Getränkepaketen – über eine Online-Oberfläche selbst konfigurieren können.

CEO Folke Mehrtens beschreibt den aktuellen Zustand der Branche als paradox: „Es ist absurd: Gerade dort, wo Events den meisten Umsatz bringen, fehlt oft jede Struktur. Solange Events wie Sonderfälle behandelt werden, bleiben sie ein operativer Schmerz.“

Die Software von DIONYS zielt darauf ab, diesen „Schmerz“ zu lindern, indem sie Events von der manuellen Ausnahme zum standardisierten Produkt wandelt – buchbar und transparent wie im E-Commerce.

Technik trifft auf operative Erfahrung

Technisch steht das Unternehmen vor der Hürde, die individuellen Parameter von Gastronomiebetrieben – etwa spezifische Stornoregeln oder variable Menüfolgen – in einen Algorithmus zu überführen. CTO Gregor Matte betont, dass die Herausforderung weniger in der reinen Buchung, sondern in der Abbildung der operativen Vielfalt liege.

Um die Praxistauglichkeit sicherzustellen, setzt das Gründungsteam auf Mitstreiter mit Branchenhintergrund. Neben Mehrtens (Strategie) und Matte (Technik) sind unter anderem Ekkehard Bay (ehemals Manager im Mandarin Oriental) sowie Daniel Simon (ehemals OpenTable) an Bord.

Wettbewerb und der Faktor „Mensch“

DIONYS positioniert sich in einem dichten Marktumfeld zwischen etablierten Back-Office-Lösungen wie Bankettprofi und modernen Reservierungssystemen wie aleno. Die Münchner suchen ihre Nische bei individuellen Event-Locations und Restaurants, die sich von reinen Tagungshotels abgrenzen.

Die in der Branche verbreitete Sorge, dass durch die Digitalisierung die persönliche Note leide, versucht Head of Hospitality Ekkehard Bay zu entkräften: „Wenn Standardfragen digital geklärt sind, bleibt im echten Gespräch mehr Zeit für das, was wirklich zählt: besondere Wünsche und echte Aufmerksamkeit.“

Erste Marktdaten und Ausblick

Seit dem Start im Herbst 2025 wurden nach Angaben des Unternehmens Anfragen mit einem Volumen von rund 400.000 Euro über das System abgewickelt. Zu den ersten Nutzern zählen bekannte Münchner Betriebe wie Kustermann und die Bar Valentin. Das Erlösmodell basiert auf einer Kombination aus monatlicher Softwaregebühr und umsatzabhängigen Komponenten.

Für die nächste Wachstumsphase strebt DIONYS die Akquise von 100 „Pionier-Betrieben“ in der DACH-Region an. Ob sich der Ansatz als neuer Industriestandard durchsetzen kann, wird davon abhängen, ob die Software die komplexen Anforderungen einer breiten Masse an unterschiedlichen Betrieben tatsächlich ohne manuelles Nachsteuern abbilden kann. Daniel Simon gibt sich zuversichtlich: „In drei Jahren wird Event-Management nicht mehr improvisiert, sondern datenbasiert gesteuert.“

Silicon Valley? Nein, Klosterlechfeld. Hier, im „bayerischen Outback“ zwischen Augsburg und Landsberg, sitzt Horst Christian (Chris) Wagner. Kein 20-jähriger Hoodie-Träger, der in der Garage von der Weltherrschaft träumt, sondern ein Mann, der das Internet schon nutzte, als es nur aus grauem Text bestand. Wagner ist ein digitaler Veteran. Und er hat gerade eine Wette auf die menschliche Seele abgeschlossen. Sein Einsatz: Die App BestFriend.

Schluss mit dem bloßen Befehlston

Vergesst kurz ChatGPT. Die großen KIs schreiben Bachelorarbeiten oder programmieren Code – sie sind Werkzeuge. Chris' Vision mit BestFriend beginnt dort, wo die Silicon-Valley-Riesen aufhören: beim Gefühl.

BestFriend ist kein Lexikon. Die App soll der Zuhörer sein, der nachts um drei Uhr noch wach ist. Sie soll Zusammenhänge verstehen, nicht nur Fakten abspulen. Aber braucht die Welt wirklich noch einen Bot? „ChatGPT ist brillant im Antworten geben. BestFriend ist dafür gebaut, beim Menschen zu bleiben“, so Chris. „Der Unterschied ist nicht die Intelligenz, sondern die Haltung. BestFriend will nichts erledigen, nichts optimieren, nichts verkaufen. Die App hört zu, merkt sich Zusammenhänge, reagiert emotional konsistent und bewertet nicht. Viele Nutzer sagen mir: ChatGPT fühlt sich an wie ein extrem kluger Kollege, BestFriend eher wie jemand, der dich kennt.“

Wer tiefer verstehen will, wofür die App im Alltag eingesetzt wird, findet im BestFriend-Magazin zahlreiche Beispiele. Dort wird offen gezeigt, in welchen Situationen Nutzer*innen die App einsetzen – von Einsamkeit über Selbstreflexion bis hin zu ganz praktischen Lebensfragen. Für Chris zugleich ein Beweis dafür, dass es hier um einen neuen Umgang mit Technologie geht.

Vertrauen als Währung

Wer einer Maschine von Liebeskummer erzählt, macht sich nackt. Genau hier spielt Chris den Standortvorteil Made in Germany aus. Während US-Apps wie Replika oft wirken, als würden sie Daten direkt an die Werbeindustrie weiterleiten, setzt BestFriend auf die „sichere Schulter“.

Datenschutz ist in diesem intimen Bereich keine Fußnote, sondern das Produkt. Chris weiß: Niemand öffnet sich, wenn er fürchten muss, dass seine Ängste morgen in einer Datenbank für personalisierte Werbung landen. Doch das wirft Fragen auf: Wie wird garantiert, dass nichts nach außen dringt? Und wo zieht die Software die Reißleine, wenn ein(e) Nutzer*in wirklich Hilfe braucht?

Dazu Chris: „Erstens: technisch. Daten werden minimal erhoben, verschlüsselt verarbeitet und nicht für Training oder Drittzwecke genutzt. Es gibt keine versteckte Monetarisierung über Profile. Punkt. Zweitens: inhaltlich. BestFriend weiß sehr genau, was es nicht ist. Die App gibt keine Diagnosen, keine Therapieanweisungen und keine falsche Nähe. Bei klaren Krisensignalen wird nicht weiter ‚gecoacht‘, sondern aktiv auf echte Hilfe hingewiesen. Das ist eine harte Grenze im System. BestFriend soll Halt geben, nicht Verantwortung übernehmen, die einer KI nicht zusteht.“

Europa muss sich bei KI nicht kleinreden. Wir sehen gerade sehr deutlich: Aus Europa heraus entstehen Unternehmen, die Kategorien besetzen – und dann auch das große Kapital anziehen. Beispiele gibt es genug: Mistral AI, DeepL, Black Forest Labs, Parloa, Helsing, Lovable oder n8n.

Ich schreibe das aus drei Blickwinkeln: als Investor (AI.FUND), als Konferenz-Initiator (Rise of AI Conference) und als Autor von „Die KI-Nation“. Was du hier bekommst, ist kein „Europa-hat-ein-Problem“-Essay – sondern eine Analyse plus ein Execution-Set an Empfehlungen, das du direkt auf dein Start-up übertragen kannst.

Die Realität: Seed geht oft – Scale ist das Spiel

Am Anfang brauchst du selten „zu viel“ Geld. MVP, erste Kunden, Iteration: Das klappt in Deutschland in vielen Fällen mit Seed. Die echte Trennlinie kommt später – wenn du aus einem starken Start-up einen Kategorie-Gewinner bauen willst.

Denn KI ist zunehmend Winner-takes-most. Und das gilt auch fürs Kapital: In vielen Fällen ist die Growth-Finanzierung in den USA grob 25-mal größer – bei den aktuellen Front-Runnern (Modelle, Infrastruktur, Distribution) wirkt es teilweise wie 100-mal, weil Kapital sich auf die vermuteten Sieger stapelt. (Nicht „fair“, aber Marktmechanik.)

Die gute Nachricht: Genau die EU-Vorbilder oben zeigen, dass du das nicht wegdiskutieren musst – du musst es exekutieren.

Was die EU-Winner gemeinsam haben: 6 Execution-Prinzipien

1. Starkes Gründerteam – aber vor allem: vollständig

Alle genannten Vorbilder hatten (oder bauten sehr schnell) ein Team, das drei Dinge gleichzeitig kann:

• Tech & Produkt (nicht nur „Model-IQ“, sondern Produktgeschmack)
• Go-to-Market (Vertrieb, Buyer-Verständnis, Pricing)
• Tempo (entscheiden, shippen, lernen)

Wenn eine Säule fehlt, zahlst du später mit Zeit. Und Zeit ist in KI eine Währung, die dir niemand schenkt.

Founder-Move: Benenne eine Person, die Umsatz genauso hart verantwortet wie Modellqualität. Wenn das „später“ ist, ist das sehr wahrscheinlich dein Bottleneck.

2. Global denken – aber spitz: KI-Nische statt Bauchladen

Die EU-Winner sind nicht „KI für alles“. Sie besetzen klare Nischen:
Language-AI (DeepL), Customer-Experience-Agents (Parloa), GenAI-Modelle (Black Forest Labs), Defence-Tech (Helsing), Builder/Vibe-Coding (Lovable), Orchestration & Automation (n8n), Foundation-Model-Ambition (Mistral).

Founder-Move: Formuliere deinen Claim so, dass er in einem Satz sagt, welche Kategorie du dominierst. Wenn du drei Absätze brauchst, bist du noch zu breit.

3. Umsatz ist keine Nebenwirkung – Umsatz ist Souveränität

Der schnellste Weg zu Growth-Capital ist nicht „noch ein Pilot“, sondern Revenue, der deine Kategorie glaubwürdig macht.
Parloa kommuniziert z.B. ARR > 50 Mio. USD und wächst international – genau die Art Signal, die große Runden freischaltet.

Founder-Move (gegen Pilotitis): Kein PoC ohne schriftlichen Pfad in einen Vertrag (Budget, KPI, Entscheidungstermin). Sonst finanzierst du mit deiner Runway den Lernprozess des Kunden.

4. Internationales Kapital früh anbahnen – bevor du es brauchst

Das Muster ist klar: Erst Kategorie-Story + Traktion, dann große Checks.
Mistral (Series C 1,7 Mrd. €) oder Lovable (330 Mio. USD bei 6,6 Mrd. Bewertung) sind kein „Glück“ – das ist Momentum + Positionierung + Timing.

Founder-Move (90-Tage-Plan):

• Baue eine Capital Map deiner Nische (wer zahlt Growth-Checks?)
• Definiere die drei Metriken, die diese Investor:innen sehen wollen
• Organisiere zehn Intros jetzt, nicht erst bei sechs Monaten Runway

5. Compute ist keine IT-Zeile – es ist ein Wachstumshebel

In KI ist Compute Teil deiner Wettbewerbsfähigkeit. Geschwindigkeit beim Trainieren, Testen und Deployen entscheidet, wie schnell du am Markt lernst.

Founder-Move: Plane Compute-Runway wie Cash-Runway. Verhandle früh Kontingente, bevor dein Verbrauch explodiert – sonst wird Wachstum plötzlich zur Margen-Frage.

6. Trust & Compliance als Verkaufsargument – nicht als Ausrede

Gerade in DACH gilt: Wer secure, audit-fähig, enterprise-ready wirklich liefern kann, gewinnt Deals.
DeepL betont genau diesen Business-Wert: verlässliche, sichere Lösungen statt Hype.

Founder-Move: Baue Trust-Artefakte früh – Dokumentation, Governance, Datenflüsse, Rollen, Audit-Spuren. Das beschleunigt Enterprise-Vertrieb, statt ihn zu bremsen.

Kurz-Checkliste: Wenn du in Europa KI gewinnen willst

• Kategorie in einem Satz (spitze Nische, globaler Anspruch)
• Klarer Revenue-Pfad (weniger Piloten, mehr Verträge)
• Capital Map (international früh andocken)
• Compute-Runway (wie Cash planen)
• Trust by Design (verkaufsfähig machen)
• Tempo als Kultur (shippen, messen, nachschärfen)

Europa kann KI. Die Frage ist nicht, ob hier Talent existiert – das ist bewiesen.
Die Frage ist, ob du Execution so aufsetzt, dass aus Talent Marktführerschaft wird.

Der Autor Fabian Westerheide gestaltet als KI-Vordenker, Investor, Ökosystem-Pionier und Keynote Speaker seit über einem Jahrzehnt die Debatte um KI, Macht und digitale Zukunft mit.

Der demografische Wandel und eine erhöhte Personalfluktuation stellen mittelständische Unternehmen zunehmend vor die Herausforderung, internes Know-how zu bewahren. Viele Unternehmen stehen vor der Schwierigkeit, dass Firmenwissen fragmentiert vorliegt. Informationen sind häufig in unterschiedlichen Systemen oder ausschließlich in den Köpfen der Mitarbeitenden gespeichert. Verlassen langjährige Fachkräfte den Betrieb in den Ruhestand oder wechseln jüngere Arbeitnehmerinnen und Arbeitnehmer kurzfristig die Stelle, gehen diese Informationen oft verloren. Zudem bindet die Suche nach relevanten Dokumenten in verwaisten Ordnerstrukturen Arbeitszeit, die in operativen Prozessen fehlt.

Das 2025 gegründete Start-up amaiko aus Niederbayern setzt hierbei auf einen technischen Ansatz, der auf die Einführung neuer Plattformen verzichtet und stattdessen eine KI-Lösung direkt in die bestehende Infrastruktur von Microsoft Teams integriert. Vor diesem Hintergrund entwickelten die Brüder Christian und Stefan Kirsch mit amaiko eine Softwarelösung, die spezifisch auf die Ressourcenstruktur mittelständischer Betriebe ausgelegt ist.

Integration statt neuer Insellösungen – und die Abgrenzung zu Copilot

Ein wesentliches Merkmal des Ansatzes ist die Entscheidung gegen eine separate Software-Plattform. Christian Kirsch, Geschäftsführer von PASSION4IT und amaiko, positioniert die Lösung als „Teams-native“. Das bedeutet, dass der KI-Assistent technisch in Microsoft Teams eingebettet wird – jene Umgebung, die in vielen Büros bereits als primäres Kommunikationswerkzeug dient. Ziel ist es, die Hürden bei der Implementierung zu senken, da Nutzer ihre gewohnte Arbeitsumgebung nicht verlassen müssen.

Angesichts der Tatsache, dass Microsoft mit dem „Microsoft 365 Copilot“ derzeit eine eigene, tief integrierte KI-Lösung ausrollt, stellt sich die Frage nach der Positionierung. Christian Kirsch sieht hier jedoch keine direkte Konkurrenzsituation, sondern eine klare Differenzierung: Copilot sei eine sehr breite, Microsoft-zentrische KI-Funktion. Amaiko hingegen verstehe sich als spezialisierter, mittelstandsorientierter Wissensassistent, der Beziehungen, Rollen, Prozesse und Unternehmenslogik tiefgreifend abbildet.

Ein entscheidender Vorteil liegt laut Kirsch zudem in der Offenheit des Systems: „Während Copilot naturgemäß an Microsoft‑Systeme gebunden ist, lässt sich amaiko herstellerunabhängig in eine viel breitere Softwarelandschaft integrieren – vom ERP über CRM bis zu Branchenlösungen. Unser Ziel ist nicht, Copilot zu kopieren, sondern reale Mittelstandsprozesse nutzbar zu machen“, so der Co-Founder.

Funktionsweise, Sicherheit und Haftung

Funktional unterscheidet sich das System von herkömmlichen Suchmasken durch eine agentenähnliche Logik. Die Software bündelt Wissen aus internen Quellen wie Richtlinien oder Projektdokumentationen und stellt diese kontextbezogen zur Verfügung. Ein Fokus liegt dabei auf der Datensouveränität. Hierbei betont Christian Kirsch, dass Kundendaten nicht in öffentlichen Modellen verarbeitet werden: „Die Modelle laufen in der europäischen Azure AI Foundry, unsere eigenen Dienste auf deutschen Servern. Die Daten des Kunden bleiben on rest vollständig im jeweiligen Microsoft‑365‑Tenant. Es findet kein Training der Foundation Models mit Kundendaten statt – weder bei Microsoft noch bei uns. Grundlage dafür sind die Azure OpenAI Non‑Training Guarantees, die Microsoft in den Product Terms sowie in SOC‑2/SOC‑3‑ und ISO‑27001‑Reports dokumentiert.“

Auch rechtlich zieht das Start-up eine klare Grenze, sollte die KI einmal fehlerhafte Informationen, sogenannte Halluzinationen, liefern. „Amaiko generiert Vorschläge, keine rechts‑ oder sicherheitsverbindlichen Anweisungen. Das stellen wir in unseren AGB klar: Die Entscheidungshoheit bleibt beim Unternehmen. Wir haften für den sicheren Betrieb der Plattform, nicht für kundenseitig freigegebene Inhalte oder daraus abgeleitete Maßnahmen. Es geht um eine saubere Abgrenzung – technische Verantwortung bei uns, inhaltliche Verantwortung beim Unternehmen“, so Christian Kirsch.

Geschäftsmodell und Markteintritt

Seit der Vorstellung der Version amaiko.ai im Juli 2025 wird das System nach Angaben des Unternehmens mittlerweile von über 200 Anwendern genutzt. Durch die Integration in die bestehende Microsoft-365-Landschaft entfällt für mittelständische Kunden eine aufwendige Systemmigration, was die technische Eintrittsbarriere gering hält.

Passend zu diesem Ansatz ist amaiko als reines SaaS-Produkt konzipiert, das Unternehmen ohne Einstiegshürde direkt online buchen können. Laut Kirsch sind keine Vorprojekte, individuellen Integrationspfade oder teuren Beratungspflichten notwendig: „Die Nutzung ist selbsterklärend und leichtgewichtig. Wer zusätzlich Unterstützung möchte – etwa zur Wissensstrukturierung oder Governance – kann sie bekommen. Aber die technische Einführung selbst ist bewusst so gestaltet, dass Mittelständler ohne Implementierungsaufwand starten können.“

Unterm Strich liefert amaiko damit eine pragmatische Antwort auf den drohenden Wissensverlust durch den demografischen Wandel: Statt auf komplexe IT-Großprojekte zu setzen, holt das bayerische Start-up die Mitarbeitenden dort ab, wo sie ohnehin kommunizieren. Ob sich die „Teams-native“-Strategie langfristig gegen die Feature-Macht von Microsoft behauptet, bleibt abzuwarten – doch mit dem Fokus auf Datensouveränität und mittelständische Prozesslogik hat amaiko gewichtige Argumente auf seiner Seite, um sich als spezialisierter Wächter des Firmengedächtnisses zu etablieren.

Wenn Dr. Martin Baumgärtl erklären will, wie er die chemische Industrie revolutionieren möchte, wählt er ein Bild, das jeder versteht: „Im Grunde ist es wie ein Wasserkocher in der heimischen Küche – nur im industriellen Maßstab.“ Baumgärtl ist CTO von SYPOX, und was er beschreibt, könnte einer der wichtigsten Hebel für die Dekarbonisierung einer der schmutzigsten Branchen der Welt sein.

Die chemische Industrie ist süchtig nach Energie. Um Basischemikalien wie Methanol oder Ammoniak herzustellen, wird sogenanntes Synthesegas benötigt – eine Mischung aus Wasserstoff und Kohlenmonoxid. Die Herstellung geschieht in gewaltigen Hochtemperaturprozessen. Bisher wird die dafür nötige Hitze fast ausschließlich durch das Verbrennen von Erdgas oder Öl erzeugt. Die Folge: Gigantische CO₂-Emissionen.

Strom statt Flamme

Genau hier setzt SYPOX an. Das 2021 in Freising gegründete Unternehmen ersetzt die offenen Gasflammen durch elektrischen Strom. In ihren Reaktoren, die von außen wie gewöhnliche Druckbehälter aussehen, stecken hochkomplexe elektrische Heizelemente, die direkt hinter den Katalysatoren platziert sind.

Der Effekt ist enorm: „In konventionellen Verfahren entfallen rund 40 Prozent der Emissionen allein auf die Wärmeerzeugung aus fossilen Energieträgern“, rechnet Baumgärtl vor. Durch die Elektrifizierung des Reaktors fallen diese Emissionen weg – vorausgesetzt, der Strom kommt aus erneuerbaren Quellen. Zudem lässt sich der Prozess laut den Gründern präziser und sicherer steuern.

Der Anti-Trend im Silicon Valley

Doch nicht nur technologisch, auch ökonomisch schwimmt SYPOX gegen den Strom. In der Tech-Szene ist es üblich, dass Start-ups jahrelang Verluste schreiben und sich von einer Venture-Capital-Runde zur nächsten hangeln, getrieben von Investoren, die schnelles Wachstum fordern.

Die bayerischen Gründer wählten einen konservativeren, fast schon mittelständischen Ansatz. „Es entsprach nicht unserem Stil, Geld einzuwerben – wir haben vielmehr von Anfang an versucht, auf Basis unserer Technologie ein tragfähiges Geschäft aufzubauen“, erklärt CEO Dr. Gianluca Pauletto. Man wolle bodenständig bleiben und sich aus Umsätzen finanzieren, statt sich in Abhängigkeiten zu begeben.

Vom Container im Altmühltal zum Großkunden

Die Wurzeln des Unternehmens liegen an der Technischen Universität München (TUM). Die Idee brachte Pauletto aus seiner Zeit in Montréal mit, an der TUM fand er in Prof. Johannes Lercher und dem damaligen Doktoranden Martin Baumgärtl die wissenschaftlichen Mitstreiter.

Der Weg zum marktreifen Produkt war – typisch für „Deep Tech“ – langwierig. „Vier Jahre Forschung und zahlreiche Versuchsreihen waren notwendig“, erinnert sich Lercher. Während andere Software im Co-Working-Space programmierten, baute das SYPOX-Team eine Pilotanlage in einem einfachen Stahlcontainer auf dem Gelände einer Biogasanlage im ländlichen Dollnstein (Altmühltal).

Diese Beharrlichkeit zahlt sich nun aus. Das Start-up hat, unterstützt durch den Spezialchemie-Konzern Clariant, seinen ersten Großkunden an Land gezogen. Ab 2026 soll eine erste industrielle Anlage in Betrieb gehen, die täglich 150 Tonnen Synthesegas produziert. „Das ist nicht nur ein Meilenstein für uns, sondern auch ein starkes Signal an die gesamte chemische Industrie“, so Baumgärtl.

Für das Team, das inzwischen in Langenbach bei Freising sitzt und weiterhin Labore auf dem Forschungscampus Garching betreibt, ist das der Beweis: Die Elektrifizierung der Chemie ist keine Zukunftsmusik mehr, sie beginnt jetzt.

Fotorealistische KI liefert innerhalb von kürzester Zeit realistische Visuals. Was in vielerlei Hinsicht den Arbeitsalltag erleichtert, bedeutet für Social Engineering jedoch eine neue Eskalationsstufe, wie nicht zuletzt die hitzige Debatte um massenhaft sexualisierte Deepfakes von realen Personen durch Grok eindrücklich vor Augen führte.

Auch Personen in leitenden Funktionen in Unternehmen sind vor solchen Manipulationen nicht gefeit. Zunehmend zielen Angriffe auf Menschen mit Zugriffsrechten und Entscheidungsbefugnissen, deren Freigaben unmittelbare Wirkung auf die Sicherheit einer ganzen Organisation haben. „Fotorealistische KI und hybride Social-Engineering-Kampagnen erhöhen den Druck auf Schlüsselpersonen. Daher brauchen Unternehmen belastbare Verifikationsprozesse, Krisenroutinen und integrierte Schutzkonzepte“, erklärt Markus Weidenauer, geschäftsführender Gesellschafter der SecCon Group GmbH.

Deepfakes zielen auf privates Umfeld

Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) lassen sich Deepfakes als Verfahren beschreiben, die gezielt Spear-Phishing und andere Social-Engineering-Angriffe nutzen, um Vertrauen aufzubauen und Autorität zu simulieren. Generative KI fungiert dabei als zentraler technischer Enabler, da sie die realistische Erzeugung manipulativer Audio-, Video- und Textinhalte erstmals in industriellem Maßstab ermöglicht. „Die eigentliche Bedrohung ergibt sich dabei nicht aus einzelnen KI-generierten Inhalten, sondern aus deren koordinierter Nutzung“, weiß der Sicherheitsexperte.

Infolge der steigenden Qualität und der zunehmenden Verfügbarkeit generativer KI wird es darüber hinaus zunehmend schwieriger, Fakt von Fiktion zu unterscheiden „Zwar können isolierte Inhalte für sich betrachtet zweifelhaft sein, doch das konsistente Zusammenspiel mehrerer manipulierter Medieninhalte erhöht die wahrgenommene Glaubwürdigkeit erheblich“, ergänzt der Profi und weist darauf hin, dass sich diese Entwicklung in der Praxis zuspitzt. „Social Engineering, Deepfakes und digitale Erpressung werden immer häufiger mit Observationen des privaten Umfelds sowie Angriffen auf die Heim-IT kombiniert. Durch diese Eskalation der Angriffsmittel bauen Täter gezielt psychologischen Druck auf, der die Widerstandsfähigkeit der Betroffenen weiter reduziert.“

Risiken kennen, Wege einüben

Kompromittierte Schlüsselpersonen mit Steuerungs- und Entscheidungsfähigkeiten bergen hohes Schadenspotenzial für Betriebe. Das reicht von unmittelbaren finanziellen Verlusten bis zu dauerhaften Reputationsschäden. Dieses Risiko wird insbesondere dort verstärkt, wo organisatorische und prozessuale Absicherungen fehlen. „Resilienz bedeutet aber, auch in potenziellen Krisensituationen sichere Entscheidungen treffen zu können“, betont Markus Weidenauer. Trotzdem mangelt es vielen Unternehmen sowohl an speziellen Trainings zum Thema Social Engineering als auch an Meldewegen, klaren Freigabeprozessen, die auch unter Druck funktionieren, sowie alternativen Kommunikationskanälen. „Nur wenn Mitarbeiter diese Strukturen kennen und regelmäßig einüben, entsteht eine Kultur, in der eine frühzeitige Eskalation in der Meldekette als notwendiger Beitrag zur Sicherheit des gesamten Betriebs wahrgenommen wird“, fügt Markus Weidenauer hinzu.

Dringender Handlungsbedarf in Unternehmen

Um hier Abhilfe zu schaffen, verabschiedete im September 2025 das Bundeskabinett das sogenannte KRITIS-Dachgesetz zur Stärkung der Resilienz kritischer Einrichtungen. Es verpflichtet die Unternehmensleitung, Schutz- und Präventionsmaßnahmen umzusetzen, deren Wirksamkeit nachzuweisen ist. Der dem Regelwerk zugrunde liegende All-Gefahren-Ansatz fordert, dabei physische, digitale und organisatorische Dimensionen gemeinsam zu betrachten. „Auch wenn Führungskräftesicherheit hier kein eigener Rechtsbegriff ist, sollte sie Teil der Anforderungen an ein modernes Sicherheitsmanagement sein“, so der Geschäftsführer der SecCon Group.

Das bedeutet: Führungskräfte etwa vor Erpressungsversuchen durch Social Engineering zu schützen, ist weder persönlicher Luxus noch Symbolpolitik, sondern ein Element der nachweisbaren Unternehmensresilienz. Schließlich ist die Sicherung von Steuerungs- und Entscheidungsfähigkeit ein Governance-Baustein. Nicht die Person steht im Mittelpunkt, sondern die Handlungsfähigkeit des Instituts.

Was tun, wenn das eigene Baby ständig spuckt – und keine Lösung wirklich hilft? Genau diese Frage hat sich Gründerin Dr. Karin Mehling 2020 gestellt, als sie selbst mitten in der herausfordernden Spuckphase ihres zweiten Kindes steckte. Rund 70 Prozent der Säuglinge spucken in den ersten vier bis sechs Lebensmonaten – ein häufiges Phänomen, das durch den noch unreifen Magenpförtner, einem Muskel am Mageneingang, verursacht wird.

Der Alltag ist in dieser Zeit vor allem geprägt durch Flecken wischen und Wäsche waschen, unangenehme Gerüche und feuchte Textilien. Aus ihrer persönlichen Erfahrung entstand das SPEIKI Original (Kurzform für Speikind): Ein „Spucktuch zum Anziehen“, das Eltern von Speikindern spürbar entlastet, da es die ausgespuckte Milch fast vollständig auffängt.

Per Bootstrapping aus dem Wohnzimmer in den Markt

Entwickelt wurde das SPEIKI Original am Wohnzimmertisch für den eigenen Sohn. 2021 meldete die promovierte Germanistin, Verlagskauffrau sowie PR- und Marketing-Managerin ihr Gewerbe als Einzelunternehmerin, wenig später konnte das Spucktuch bereits in Serie gehen.

In der per Bootstrapping finanzierten Startphase war es laut der Gründerin die größte Challenge, zu akzeptieren, nicht alles sofort schaffen zu können. Während sie als Angestellte ihren Fokus auf die klar definierten Projekte und Tätigkeiten legen konnte, kamen nun als Solo-Selbständige die Notwendigkeiten rund um Buchhaltung, Herstellung, Verwaltung und vieles mehr hinzu.

„Mit zwei Kindern zu Hause und bald einen weiteren Buben im Bauch gründete ich mein Einzelunternehmen. Entwicklung, Vermarktung, Vertrieb – alles stemmte ich allein und ,nebenbei‘. Nachts, zwischen Windeln und Weinen, auf dem Boden neben der Badewanne, in der die Buben sitzen – es gab fast keinen Ort und keine Zeit, die ich nicht versuchte zu nutzen, um meine Vision voranzutreiben: Mit meinem Textil-Label kluge Lösungen für den Baby-Alltag zu schaffen, die wirklich unterstützen. Dabei leiteten und leiten mich mein Ehrgeiz, mein Allrounder-Gemüt und meine Zielstrebigkeit, ebenso wie meine Werte, die dem Prinzip der ökonomischen Nachhaltigkeit folgen.“

Gefertigt wird das Spucktuch in einer bayerischen Nähmanufaktur. Regionalität ist Karin Mehling wichtig, als Unternehmerin sieht sie sich in der Verantwortung, nachhaltig zu wirtschaften.

Infinite Roots ist ein forschungsgetriebenes BioTech-Unternehmen aus Hamburg. Seit 2018 entwickelt das Unternehmen (zunächst unter dem Namen Mushlab) neuartige Lebensmittel auf Basis von Pilzen – inspiriert vom Myzel, dem unterirdischen Wurzelgeflecht essbarer Pilze. Durch Fermentation schafft Infinite Roots Produkte, die über bloße Fleischalternativen hinausgehen. Das Ziel ist es, eine neue Kategorie zu etablieren: Lebensmittel, die echtes Umami und wertvolle Nährstoffe liefern, mit kurzen Zutatenlisten auskommen und die Umwelt entlasten.

Mit mehr als 60 Expert*innen aus Biotechnologie, Data, Lebensmittelwissenschaft und Kulinarik will das Team neue Standards für Geschmack, Qualität und Nachhaltigkeit setzen und zeigen, dass die Ernährung der Zukunft nicht Verzicht bedeutet, sondern Vielfalt und Genuss.

Die MushRoots-Produkte des Unternehmens sind keine Fleischimitate, sondern bieten ein eigenständiges, pilzbasiertes Geschmackserlebnis. Sie zeichnen sich durch einen saftigen, herzhaften Biss und ausgeprägte Umami-Noten aus. Die Hamburger setzen dabei auf Speisepilze, kombiniert mit vertrauten, hochwertigen Zutaten. Entsprechend bauen die Produkte auf einer natürlichen Zutatenliste auf und verzichten auf künstliche Aromen, Geschmacksverstärker und Farbstoffe. So entsteht ein Geschmackserlebnis, das an herzhafte Hausmannskost erinnert. Die Produkte lassen sich vielseitig im Alltag, etwa als Hack, Bällchen oder Patties.

„Im Kühlregal sehen Konsument*innen seit Jahren dieselbe Logik: Tierprotein hier, Pflanzenprotein dort“, sagt Philip Tigges, CCO/CFO von Infinite Roots. „Mit MushRoots bringen wir nicht nur eine dritte Option ins Regal, sondern kehren auch zu Lebensmitteln mit einer natürlichen Hauptzutat zurück. Pilze bieten einen herzhaften Geschmack, sind vielseitig, in allen gewohnten Rezepten einsetzbar und können kinderleicht zubereitet werden.“

MushRoots setzt dabei auf eine Proteinquelle mit vergleichsweise geringem ökologischen Fußabdruck. Pilze lassen sich lokal und ressourcenschonend kultivieren. „Wir wollten nie ein weiteres Fleischimitat herstellen, sondern eine eigene Kategorie umami-reicher Pilzprodukte schaffen, die durch Charakter und Geschmack überzeugen“, ergänzt Tigges. „Unser Ziel ist es jetzt, Menschen für Pilzprodukte zu gewinnen, ohne dass sie Fleisch vermissen.“

Jetzt meldet Infinite Roots, dass vier MushRoots-Produkte ab sofort bei REWE Nord in Norddeutschland und Billa Plus in Österreich erhältlich sind und damit eine neue Kategorie an Pilz-Produkten in die Kühlregale Einzug gehalten haben.

Künstliche Intelligenz (KI) gewinnt in Unternehmen zunehmend an Bedeutung. Sie kann Prozesse beschleunigen, große Datenmengen sinnvoll nutzbar machen und Entscheidungen unterstützen. Doch in der Praxis zeigt sich: Moderne Technologie allein führt noch nicht zum Erfolg. Entscheidend ist ein strukturiertes Vorgehen, bei dem Ziele klar definiert, Daten sorgfältig vorbereitet und organisatorische Rahmenbedingungen von Beginn an berücksichtigt werden. „Viele KI-Initiativen scheitern daran, dass am Anfang die Orientierung fehlt“, sagt Benedikt Weber, Geschäftsführer der applord GmbH. „Struktur schafft Entscheidungsfähigkeit – noch bevor über konkrete KI-Modelle gesprochen wird.“

Organisatorischer Wandel und Einbindung der Mitarbeitenden

Der Einsatz von KI verändert Arbeitsabläufe, Verantwortlichkeiten und Entscheidungswege. Mitarbeitende arbeiten verstärkt mit automatisierten Systemen zusammen, Aufgaben verschieben sich, Rollen entwickeln sich weiter. Wird dieser Wandel nicht aktiv begleitet, entstehen Unsicherheiten oder Ablehnung gegenüber neuen Technologien. Erfolgreiche Unternehmen setzen deshalb auf transparente Kommunikation und frühzeitige Einbindung der Mitarbeitenden. Sie erklären, warum KI eingesetzt wird, welche Aufgaben sie übernimmt und wo menschliche Expertise weiterhin unverzichtbar bleibt. Fehlt dieses gemeinsame Verständnis, werden neue Systeme häufig nur eingeschränkt genutzt. „KI-Projekte scheitern selten an der Technologie“, betont Weber. „Viel häufiger fehlt ein klares Bild davon, welchen konkreten Nutzen KI für Mitarbeitende und Organisation wirklich bringt.“

Auswahl der passenden KI-Lösung

Das Angebot an KI-Lösungen wächst rasant. Für Unternehmen besteht die Herausforderung darin, nicht der technischen Vielfalt zu folgen, sondern eine Lösung zu wählen, die zum eigenen Geschäftsprozess passt. Der Ausgangspunkt sollte immer ein klar definierter Anwendungsfall sein: Welche Aufgabe soll KI konkret unterstützen oder verbessern? Neben den Funktionen spielen auch Fragen der Nachvollziehbarkeit, Integration in bestehende Systeme und regulatorische Anforderungen eine Rolle. Werden diese Aspekte zu spät berücksichtigt, entstehen Lösungen, die technisch leistungsfähig sind, im Alltag aber keinen Mehrwert liefern. „Viele Unternehmen wählen KI nach dem Funktionsumfang aus und stellen später fest, dass sie nicht zum eigenen Prozess passt“, erklärt Weber. „Erfolgreich ist KI dann, wenn sie Abläufe sinnvoll ergänzt und verständliche Ergebnisse liefert.“

Datenqualität als Grundlage für verlässliche Ergebnisse

KI-Modelle sind vollständig von der Qualität ihrer Daten abhängig. In vielen Unternehmen existieren relevante Informationen zwar, sie sind jedoch über verschiedene Systeme verteilt, unterschiedlich gepflegt oder historisch gewachsen. Diese Ausgangslage erschwert nicht nur den Einsatz von KI, sondern kann zu fehlerhaften oder schwer nachvollziehbaren Ergebnissen führen. Datenmanagement ist daher keine einmalige Vorarbeit, sondern eine kontinuierliche Aufgabe. Dazu gehören klare Zuständigkeiten, regelmäßige Prüfungen und eine strukturierte Aufbereitung der Daten. „Der Aufwand für Datenqualität wird häufig unterschätzt“, sagt Weber. „Ohne geprüfte und konsistente Daten lassen sich keine stabilen und verlässlichen KI-Ergebnisse erzielen – unabhängig davon, wie gut das Modell ist.“

Schrittweise Einführung statt großer Umbruch

Statt KI sofort unternehmensweit einzusetzen, empfiehlt sich ein schrittweises Vorgehen. Unternehmen können so mit klar abgegrenzten Anwendungsfällen beginnen, Lösungen im Alltag testen und die Ergebnisse anhand messbarer Kriterien, wie Benutzerfreundlichkeit oder verständlicher Anleitungen, bewerten. So lassen sich Risiken reduzieren und Erkenntnisse gezielt nutzen. Pilotprojekte liefern nicht nur technische Erkenntnisse, sondern zeigen auch, wie gut KI im Arbeitsalltag akzeptiert wird. Auf dieser Basis lässt sich entscheiden, welche Lösungen ausgebaut werden sollten. „Unternehmen, die mit überschaubaren Anwendungsfällen starten, treffen langfristig fundiertere Entscheidungen“, so Weber. „Praxiserfahrungen sind dabei deutlich wertvoller als theoretische Annahmen.“

Das Ingenieurbüro Arup wurde im vergangenen Jahr Opfer eines spektakulären Deepfake-Betrugs. Ein Mitarbeiter aus Hongkong betrat eine Videokonferenz mit vermeintlichen Mitgliedern des Managements – tatsächlich handelte es sich um täuschend echte KI-Imitationen der Führungskräfte, die eine scheinbar legitime, vertrauliche M&A-Transaktion diskutierten. Der arglose Mitarbeiter überwies den Betrügern 25 Millionen US-Dollar. „Der Fall ist ein typisches Beispiel für sogenanntes Social Engineering und eine neue Ära von Cyberangriffen“, sagt Julius Muth, Co-Founder und CEO von revel8 in Berlin.

Das 2024 gegründete Start-up betreibt eine Software-Plattform, um Menschen und damit auch Unternehmen gegen solche Bedrohungen zu schützen. „Kriminelle nutzen heute die neuesten KI-Technologien für konzertierte Angriffe“, so Julius. Aus frei verfügbaren Datenquellen identifizieren sie Schwachstellen und nutzen diese mit realistisch wirkenden Deepfake-Audios oder -Videos gnadenlos aus. Sie erzeugen damit eine Illusion von Authentizität, welche die klassischer Phishing-E-Mails bei Weitem übersteigt – und kein Unternehmen ist davor sicher.

Jede(r) Mitarbeitende ist eine potenzielle Schwachstelle

Mitunter können die Schäden noch höher ausfallen und Unternehmen aller Größen in Existenznot bringen. Am 31. August 2025 musste beispielsweise der Automobilhersteller Jaguar Land Rover nach einem Cyberangriff alle IT-Systeme herunterfahren. Die Produktion stand wochenlang still. Der Schaden beläuft sich bislang auf über zwei Milliarden Euro, das Unternehmen erhielt sogar staatliche Hilfe. Doch selbst das ist nur die Spitze des Eisbergs, denn laut Expert*innen waren von dem Angriff über 5000 Organisationen betroffen – wer hinter der Attacke steckt, ist nach wie vor unklar. Viele Unternehmen möchten solche Angriffe aus Imagegründen nicht offenlegen, die Dunkelziffer ist entsprechend hoch. Die Einfallstore für solche Attacken sind meistens die Mitarbeitenden. „Chief Information Security Officers (CISOs) betrachten bei der IT-Sicherheit typischerweise die Dimensionen Technologie, Prozesse und Menschen“, so Julius. „Der Mensch ist dabei von zentraler Bedeutung. Denn mit der richtigen Unterstützung können Mitarbeitende zum wichtigsten Resilienzfaktor im Unternehmen werden.“

Klassische E-Learning-Ansätze seien nicht geeignet, um Mitarbeitende angemessen für die Gefahren zu sensibilisieren und ihnen effektiv Kompetenzen im Umgang damit zu vermitteln. Standardisierte Phishing-E-Mails und konventionelle Trainingsformate können weder aktuelle Angriffsformen abbilden noch zuverlässig die nötigen Lern­inhalte vermitteln. Hier setzt revel8 an und trainiert Mitarbeiter realitätsnah mit Replika tatsächlicher Angriffe, wie zum Beispiel Voice Phishing mit der Stimme eines bekannten Kollegen“, so Julius. Besonders die automatische Anreicherung mit öffentlich verfügbarem Kontext (OSINT) erhöhe die Relevanz und den Lern­effekt. So hilft revel8 Unternehmen dabei, die Widerstandsfähigkeit gegen Cyberbedrohungen zu stärken und darüber hinaus auch einschlägige Compliance-Anforderungen wie NIS2 und ISO 27001 zu erfüllen.

Individuelle Playlists mit neuesten Cyberattacken

„Wir setzen Menschen gezielt den aktuellen Angriffsmustern aus, sodass sie im Ernstfall richtig handeln können“, so Julius. Ein aktuell häufig zu beobachtender Angriff ist die Clickfix-Attacke. Dabei wird der/die Nutzer*in über eine täuschend echte Phishing-E-Mail auf eine gefälschte CAPTCHA-Seite gelotst. Sobald der/die Nutzer*in sich verifiziert, wird un­bemerkt ein Schadcode in die Zwischenablage kopiert. Viele Ahnungslose fügen diesen Code später unbewusst zum Beispiel im Terminal ein und aktivieren damit den Angriff. Der/die Nutzer*in bemerkt den Schaden erst, wenn es schon zu spät ist.

Damit das nicht passiert, spielt revel8 zu Trainings­zwecken genau solche Attacken aus. Tappt jemand die Falle, folgt sofort eine detaillierte Auswertung. Die Person erfährt, worauf sie hätte achten sollen, welche Hinweise es gab, und wie sich solche Vorfälle künftig vermeiden lassen. Da die Cyberkriminellen zunehmend sehr gezielt und hochgradig personalisiert angreifen, lassen sich auch die Trainingsinhalte bis ins Detail auf die User*innen zuschneiden. „Jeder Nutzer erhält von uns eine individuell auf seine Rolle zugeschnittene Playlist von Cyberattacken“, so Julius.

Praxisnahe Angriffssimulationen im Unternehmensalltag

Revel8 unterscheidet zwischen Nutzer*innen mit einem geringen Risiko und Hochrisikonutzer*innen, etwa im Management oder in der Finanzabteilung, und allgemein solchen Personen, die Zugang zu kritischen Daten haben. Julius beobachtet, dass die ohnehin stark gefährdeten Hochrisikonutzer*innen aktuell noch mehr ins Visier geraten. Ob SMS, WhatsApp, Teams oder LinkedIn – die Angreifenden orchestrieren ihre Attacken perfekt über mehrere Plattformen hinweg. „Zuerst ruft ein täuschend echter Stimmklon an, danach kommt die passende E-Mail“, sagt Julius. „Oder jemand schreibt dir auf LinkedIn, macht dir ein Jobangebot und schickt dir dann noch das Gehaltsangebot – da klickt man natürlich gern drauf.“

Um stets auf der Höhe der Zeit zu sein, kooperiert revel8 eng mit seinen Kund*innen. Das Training basiert auf echten Vorfällen aus deren Systemen. Jede erkannte Attacke wird kategorisiert, realistisch nachgebaut und gezielt ausgespielt. Trifft zum Beispiel eine Clickfix-Attacke Software Developer mit einem Mac in der Slowakei, fließt sie direkt in die Trainings-Playlist der betroffenen Zielgruppe ein. Das Ziel ist kontinuierliches Lernen, ohne zu überfordern. „Es ist wichtig, dass wir die Menschen nicht nerven“, erklärt Julius, „und wer gut reagiert, wird auch belohnt.“ Gamification-Elemente, wie zum Beispiel firmeninterne Rankings, halten das Training spielerisch und die Motivation hoch.

Keimzelle Celonis

Julius’ Karriere begann nach seinem Mathematikstudium in Darmstadt, bevor ihn sein Weg nach München zu Celonis führte. Das Unternehmen ist spezialisiert auf die Optimierung von Unternehmensprozessen und aktuell das wertvollste deutsche Start-up-Unicorn. Sein Job startete in Madrid, wo er zunächst ganz allein im Office saß. Doch das Team wuchs rasant, nach nur drei Jahren arbeiteten 500 Menschen am Standort. In dieser Zeit lernte er seine späteren Mitgründer kennen. Tom Müller ist gelernter Maschinenbauer, Robert Seilbeck war als Software-­Engineer von Anfang an bei Celonis dabei. „Diese unglaubliche Dynamik, die wir in Madrid erlebt haben, hat uns motiviert, etwas eigenes aufzubauen“, erinnert sich Julius.

Markttests und Durchbruch mit Stihl

Bevor sich die Gründer auf Cybersecurity fokussierten, überprüften sie abends und an Wochenenden unterschiedliche Märkte auf ihr Potenzial. Jeden Monat testeten sie eine neue Branche mit jeweils 100 persönlichen Briefen. Die Rücklaufquote lag in der Regel bei ein bis zwei Prozent und bestand überwiegend aus Absagen. „Beim Thema Cybersicherheit hatten wir plötzlich zehn Rückmeldungen – und eine Firma lud uns direkt nach München ein“, so Julius. Am folgenden Wochenende entwickelte das Team eine vorläufige Produktversion und handelte drei Monate Zeit heraus, bis das Projekt starten sollte. Es war der inoffizielle Startschuss für revel8.

Im Februar 2024 bezog Julius die erste Bürofläche in Berlin, Tom folgte im Mai. Zu diesem Zeitpunkt hatte revel8 bereits erste zahlende Kund*innen. „Weil Kunden im Softwarebereich typischerweise jährlich und im Voraus zahlen, konnten wir erste Freelancer engagieren – wir selbst haben auf Gehalt verzichtet und von unserem Ersparten gelebt“, sagt Julius. Das Team testete Ansätze mit kleineren Unternehmen. Einige sicher geglaubte Kund*innen sprangen trotz mündlicher Zusage wieder ab, sodass eingeplante Umsätze plötzlich wegfielen. „Für ein Start-up ist sowas Gift“, so Julius, „und das war für uns eine echte Herausforderung.“ Der Durchbruch kam mit dem Unternehmen Stihl. Der damalige CISO war sofort begeistert und unterstützte das Team nach Kräften. In enger Zusammenarbeit mit dem Werkzeughersteller entstand das heutige Konzept, Mitarbeitende realitätsnah auf digitale Angriffsszenarien vorzubereiten. Im Oktober stieß Robert nach zehn Jahren bei Celonis fest zum revel8-Team dazu.