Nicole Battistini-Kohler
Rechtsanwältin. LL.M.Eur
NBKLegal
(Un-) Fälle aus dem Alltag
...von Pleiten, Pech und Pannen, die vermeidbar sind
Wie Katastrophen entstehen
Die meisten Katastrophen beginnen geräuschlos.
Nicht aus böser Absicht, sondern mit einem Mangel an Problembewusstsein. Am Anfang steht oft eine kleine Unachtsamkeit oder ein unbemerkter Schwachpunkt – etwas, das „eigentlich“ niemanden beunruhigen müsste.
Grobe Fahrlässigkeit oder gar Vorsatz entstehen meist erst später, ab dem Moment, in dem jemand wider besseren Wissens handelt. Das ist der Kipppunkt – und er tritt oft im Verborgenen ein. Die wenigen, die ihn wahrnehmen, sind nicht selten zu ängstlich oder zu verstrickt, um die Dynamik zu benennen.
Von dort aus nimmt die Entwicklung ihren Lauf: Sie wandert von Tech zu Security, schlängelt sich unbemerkt am Risk Management vorbei, stößt geräuschlos ein Compliance-Problem an, das niemandem auffällt – und öffnet so Stück für Stück der Katastrophe die Tür.
Und wenn niemand damit rechnet, bricht die Katastrophe herein wie ein Tsunami in ein Bergtal.
Hier setzen wir an.
Wir arbeiten interdisziplinär – verbinden juristische Expertise mit Technik-, Finanz-, Risiko- und Compliance-Know-how. Unsere Interviews folgen einer Methodik, die wir White Space Interviews nennen: Wir stellen die Fragen, die sonst niemand stellt – in einer Sprache, die jede Disziplin versteht. So erhalten wir Antworten, die weit über Fachgrenzen hinausgehen und ein realistisches Gesamtbild zeichnen.
Dieser Perspektivenwechsel ermöglicht es uns, Risiken früh zu erkennen, Zusammenhänge zu verstehen und Gegenmaßnahmen einzuleiten, bevor der Kipppunkt erreicht ist.
Die folgenden Beispiele greifen Bausteine aus unserer Erfahrung auf, ohne sich auf konkrete Mandate zu beziehen. Sie zeigen, wie wir in unterschiedlichsten Konstellationen arbeiten. Immer beginnt es mit einer unscheinbaren Ausgangslage – und entwickelt sich Schritt für Schritt zu einem ernsthaften Problem.
Viele dieser Entwicklungen ließen sich leicht verhindern – wenn jemand früh genug die richtigen Fragen stellt.
Tauchen Sie mit uns ein in diese „Krimis aus der Praxis“ und sehen Sie selbst, wie sich kleine Anzeichen zu großen Dynamiken auswachsen – und wie wir gemeinsam mit unseren Mandanten den Lauf der Geschichte wenden können.
Fall 1 Investor & Produkt KPI: Wie das Fehlen produktbezogener Kennzahlen Investoren in falscher Sicherheit wiegen – und wie man Klarheit schaffen kann.
Die Aufgabenstellung:
Ein Startup im Finanzbereich erhält Eigenkapital zum Ausbau seiner Produktlandschaft, mit der es eine Marktführerstellung einnehmen möchte. Die Equity Story klingt glaubhaft - der addressable Market "Finanzmärkte" ist groß, umsatzstark und international vertreten, die Idee klingt innovativ und interessant und das Team tritt souverän auf. Es wird auch eine klassische Due Diligence durchgeführt, die weder zu red flags noch sonst zu negativen Ergebnissen führt. Die Investoren monitoren die Finance KPI des Unternehmens eng und stellen regelmäßig Fragen dazu. Das Unternehmen prüft in der Folge mehrere Produktideen und probiert mehrere Strategien aus; seine Performance entspricht aber am Ende nicht den Erwartungen. Die Investoren fragen sich, was schiefgelaufen ist.
Unsere Herangehensweise:
Ausweitung der Prüfung vor dem Investment und Erweiterung des Reportings während der Dauer des Investments: offene Gespräche mit Engineering, Product, Projektmanagement (falls vorhanden), Customer und Sales, um Entwicklungsbudget, Ressourceneinsatz, Market Fit, Innovationsgrad und Fehleranfälligkeit, Sales-Delivery-Konsistenz, Produktionskosten und Programmiersprachen (Talent Attraction und Retention) zu prüfen. Sicherstellung, dass die richtigen KPI definiert werden, um das Reporting in die richtige Richtung zu lenken und dafür zu sorgen, dass Themen, welche die Performance steuern, erkannt und angesprochen werden.
Zusatznutzen durch unser interdisziplinäres Format
In vergleichbaren Fällen ergänzen Martin Nimbach, Cornelia Henkel und Mark von Seydlitz die klassische Produkt- und Finanzsicht um technische, neuropsychologische und kommunikative Perspektiven – für ein realistisches Bild „aus dem Maschinenraum“.
Martin Nimbach – Tech & AI Insight
Beleuchtet die Produktentwicklung aus technologischer Sicht: Wahl und Reife der Programmiersprachen, Architekturentscheidungen, Skalierbarkeit, Sicherheits- und Qualitätsstandards (z. B. ISO/ISMS), Innovationsgrad sowie Attraktivität für Entwicklerteams. Auf Wunsch mit KI-gestützten Risiko- und Szenarioanalysen.
Mark von Seydlitz – Wirkung & Kommunikation
Parallel dazu gezieltes Medien- und Auftrittstraining mit den Schlüsselpersonen: Kritische Produkt- und Entwicklungsfakten werden intern wie extern klar, konsistent und überzeugend vermittelt – Richtung Investoren, Kunden und eigenes Team.
Cornelia Henkel – Neuro Insight
Analysiert Teamdynamiken und kognitive Entscheidungsprozesse in Produkt- und Führungsteams: Rollen- und Verantwortungsklarheit, Priorisierung unter Druck, Bias-Muster und Stressprofile. Ergebnis sind konkrete Hebel für bessere Zusammenarbeit, schnellere Entscheidungen und belastbare Roadmaps.
Das Ergebnis:
Investoren sehen nicht nur Zahlen, sondern verstehen die operative Realität. Unternehmen erhalten konkrete Stellhebel, um Performance-Lücken früh zu schließen – bevor sie teuer werden. Zusätzlich gewinnen Sie mehr Planungssicherheit, bessere Absicherung der Investition, Transparenz und verlässliche Reportings – und damit zufriedenere Mitarbeitende sowie überzeugte Investoren.
Analyse:
Finanzinvestoren stützen ihre Berechnungen oft stark auf finanzielle KPI. Es ist naheliegend, dass sie KPI in den Reportings verankern, die aus ihrer Sicht relevant sind. Je nach Segment, in dem das Target tätig ist, kann dadurch allerdings ein blinder Fleck entstehen: es entsteht dann eine Situation, in der eine Partei auf Finanzkennzahlen fokussiert, während für die andere Partei kriegsentscheidend ist, ob das Produkt funktioniert. Dadurch entsteht eine Wahrnehmungslücke: Die Produktentwicklung folgt Logiken, die von einem rein finanzgetriebenen Reporting nicht abgedeckt werden. Diese Abweichung kann dazu führen, dass sich die zentralen Probleme des Unternehmens aus Sicht der Investoren unbemerkt im Untergrund abspielen. Wenn aufgrund dieser Dynamik übersehen wird, dass das Herz des Unternehmens nicht richtig funktioniert, kann das fatale Folgen haben - für das Unternehmen und für die Investoren.
Unser Tipp für die Praxis:
Von A bis Z die Wertschöpfungskette des Targets durchgehen und identifizieren, welche Eckdaten und Treiber für das Target entscheidend sind. Kontakt zu den Schlüsselpersonen im Unternehmen, die den Erfolg des Unternehmens direkt beeinflussen, aufbauen und pflegen. Wir und unsere Partner aus der Softwareentwicklung helfen gerne dabei.
Fall 2 Aufsichtsrat & Whistleblower: Diskrete Aufklärung bei sensiblen Vorwürfen – ohne unnötige Scherben, mit Fairness und maximaler Faktenbasis.
Die Aufgabenstellung:
Ein Whistleblower berichtet anonym dem Aufsichtsratsvorsitzenden über Unregelmäßigkeiten im Vorstand und äussert den Verdacht, das Untreue vorliegen könnte. Der Aufsichtsratsvorsitzende ist unsicher, wen er mit der Prüfung beauftragen soll: die Anwaltskanzlei, die das Unternehmen normalerweise berät und eng mit dem Vorstand zusammenarbeitet, könnte in einen Interessenkonflikt geraten, die interne Rechts- und Compliance-Abteilung könnte zu stark unter Druck geraten.
Unsere Herangehensweise:
In einem solchem Fall schlagen wir in einem ersten Schritt eine diskrete Vorprüfung der Fakten- und Beweislage, den Aufbau einer passenden Kommunikation zwischen AR und Vorstand, ggf. die Einholung eines straf-/arbeitsrechtlichen Gutachtens und eine diskrete Investigation mit Befragung der Betroffenen und potentieller Zeugen vor.
Zusatznutzen durch unser interdisziplinäres Format
Diskret, fair, beweissicher.
Cornelia Henkel (Neuropsychologie & Interviewdesign): Entwickelt einen „low-impact“-Interviewleitfaden für Vorstand, Hinweisgeber und Zeugen (non-leading Fragen, Bias-Checks, Schutz vor Retraumatisierung). Beurteilt Gruppen- und Machtdynamik, trennt Wahrnehmung von Tatsachen und sichert so belastbare Aussagen bei maximaler Fairness.
Martin Nimbach (Technik & Forensik): Richtet sofortige Data Preservation ein (Litigation Hold), prüft Zugriffs-/Änderungslogs, E-Mail/Docs-Versionierung, Rollen- und Rechtevergaben. Ergebnis: saubere Chain of Custody und eine technische Faktenbasis, die arbeits-/strafrechtlich verwertbar ist – ohne den laufenden Betrieb zu stören.
Mark von Seydlitz (Wirkung & Kommunikation): Coacht den AR-Vorsitzenden für heikle Gesprächs- und Leak-Szenarien (On-/Off-Camera). Erstellt kurze, rechtssichere Talk-Tracks für Vorstand, AR und interne Kommunikation – de-eskalierend, präzise, ohne Vorverurteilung.
Das Ergebnis:
Entlastung des AR-Vorsitzenden, Fairness gegenüber dem Vorstand, Schutz des Whistleblowers: minimale Scherben bei maximaler Beweissicherung und Aufklärung.
Analyse:
Es handelt sich um eine Situation, die tatsächlich jederzeit vorkommen kann. Naturgemäß sind Aufsichtsratsvorsitzende damit in der Regel überfordert, weil sie weder Straf- oder Arbeitsrechtsanwälte noch Psychologen sind und weil es schwer ist, eine solche Situation sofort richtig einzuschätzen. Es drängt sich auch der Gedanke auf, dass die interne Rechts- und / oder Compliance Abteilung und die üblichen Berater, die zum Vorstand ein Arbeitsverhältnis haben, sich in einer schwierigen Situation wiederfinden, wenn sie plötzlich gegen den Vorstand ermitteln sollen. Dadurch entsteht ein Vakuum, an wen man sich für die Auflösung der Situation wenden soll.
Unser Tipp für die Praxis:
Ruhig bleiben und sich nicht unter Druck setzen lassen. Mit einem Berater, dem man vertraut zuerst einmal ein Brainstorming durchführen und dann die Situation Schritt für Schritt aufklären. Wir helfen gerne dabei.
Fall 3 Gründer & Wegzugsbesteuerung: Wie vorausschauende Standort- und Finanzierungsplanung Millionen an Steuern sparen können.
Die Aufgabenstellung:
Ein junger Gründer mit Wohnsitz in Deutschland gründet ein Softwareentwicklungsunternehmen, für das er einen Investor findet, der bereit ist, 50% der Aktien des Startups für einen Preis von 50 Euro pro Aktie zu erwerben. Der Gründer zieht ein Jahr später in die Schweiz, in die Nähe eines großen Kunden, dessen Infrastruktur er zu sehr guten Konditionen mitbenutzen kann. Eine Weile später erhält der Gründer vom Finanzamt eine sofort fällige Millionenforderung wegen Wegzugsbesteuerung.
Unsere Herangehensweise:
Wir bieten einen Rundum-Check mit Steuerberatern aus unserem Netzwerk an, um einen Plan zur Bestimmung des besten Standorts und eines optimalen Timings für die Unternehmensentwicklung zu erarbeiten. Wenn das Kind (wie in dem Beispiel hier) schon in den Brunnen gefallen ist, bieten wir an, die Situation gemeinsam mit Steuerberatern und Wirtschaftsprüfern aus unserem Netzwerk zu klären und Schritt für Schritt zu bereinigen.
Das Ergebnis:
Vermeidung von sogenannten „dry income“-Situationen und Planungssicherheit für alle Beteiligten.
Analyse:
Eigentlich geht es ja um eine ausgezeichnete Situation: jemand gründet ein Unternehmen und findet einen Investor, der bereit ist, für einen ordentlichen Preis Aktien zu kaufen. Nicht jeder ist sich bewusst, dass das deutsche Steuerrecht (anders als in anderen Ländern) eine Wegzugsbesteuerung für Privatpersonen vorsieht, die in so einem Fall zur Anwendung kommt und dass das Finanzamt natürlich den letzten Aktienerwerb als Grundlage für die Unternehmensbewertung nimmt - was extrem teuer werden kann, ohne dass Liquidität fließt, um die Rechnung zu bezahlen.
Unser Tipp für die Praxis:
Lebens- und Unternehmensplanung frühzeitig nebeneinander legen und schauen, wie beides am besten zusammen geplant wird. Wir und unsere Partner aus dem Steuerberatungs- und Wirtschaftsprüfungsbereich helfen gerne dabei!
Fall 4 Unternehmer & Auslandsarbeit: Warum klare Regeln für grenzüberschreitende Arbeit unnötige Kosten und Rechtsstreitigkeiten verhindern.
Die Aufgabenstellung:
Ein Unternehmer findet nach langer Suche ein sehr begabtes Entwicklerteam am Sitz seines Unternehmens in Berlin. Die Entwickler arbeiten sich ein und nehmen nach kurzer Zeit eine wichtige Rolle im Unternehmen ein. Ein Jahr später ziehen die Entwickler von Berlin nach Wien. Der Unternehmer ist damit einverstanden, dass sie von Wien aus weiter für ihn arbeiten und mischt sich ansonsten nicht in ihre Angelegenheiten ein. Drei Jahre später kommt es zu einem Streit zwischen dem Unternehmer und den Entwicklern über ein Produktentwicklungsthema. Der Streit eskaliert, die Entwickler wenden sich an die Arbeiterkammer in Wien und nehmen sich einen Anwalt. Sie fordern von dem Unternehmer unter Berufung auf österreichisches Recht rückwirkend 14 Monatsgehälter für jedes Jahr, in dem sie von Österreich aus gearbeitet haben. Als der Unternehmer ihre Arbeitsverträge kündigt, berufen sie sich auf den deutschen Kündigungsschutz. Der Unternehmer stellt sich auf den Standpunkt, dass ein solches "cherry picking" unzulässig ist.
Unsere Herangehensweise:
Wenn sich abzeichnet, dass einzelne oder mehrere Mitarbeiter für einen längeren Zeitraum oder dauerhaft aus dem Ausland arbeiten, bieten wir einen Rundum-Check an, bei dem wir insbesondere abgleichen, ob es günstiger ist, die Arbeitsverträge der betroffenen Mitarbeiter auf das Recht des Landes, aus dem sie dauerhaft arbeiten, umzustellen.
Das Ergebnis:
Planungssicherheit für Unternehmer und Mitarbeiter, klare Fahrpläne bei der Beendigung oder auch bei Veränderungen des Arbeitsverhältnisses. Ein "cherry picking" wie es nach der sogenannten "Meistbegünstigungsklausel" möglich ist, wird durch die Klärung des anwendbaren Rechts ausgeschlossen.
Analyse:
Ein völlig menschliches Szenario: jemand fängt an zu arbeiten, es läuft gut und plötzlich verändert sich alles - und dann wird es chaotisch. Wer hätte das vorhersehen können?
Unser Tipp für die Praxis:
Solange die Stimmung gut ist, die Dinge auf eine saubere Grundlage stellen. Dass man für schlechte Zeiten mitdenkt, ist professionell und dient am Ende allen.
Fall 5 Gesellschafter & Krisenmanagement: Schnelles Eingreifen im Finanz- und Haftungskonflikt – mit Netzwerk, Strategie und ruhiger Hand.
Die Aufgabenstellung:
Der Hauptgesellschafter des Unternehmens A, einer mittelständischen Vermittleragentur im Versicherungsbereich, wurde in letzter Zeit von den beiden Geschäftsführern der Agentur mehrfach in kurzer Folge gebeten, Eigenkapital nachzuschießen, um Betriebskosten zu decken. Als erneut eine solche Anfrage kommt, stellt sich der Hauptgesellschafter auf den Standpunkt, dass er zuerst genau verstehen wolle, weshalb die Finanzplanung des Unternehmens nicht richtig funktioniert. Die beiden Geschäftsführer stellen sich daraufhin auf den Standpunkt, dass sie ihr Amt niederlegen, wenn kein Geld kommt und drohen damit, vorher noch Insolvenz anzumelden. Der Hauptgesellschafter fühlt sich mit der intransparenten Situation überfordert und weiß nicht, wie er reagieren soll.
Unsere Herangehensweise:
In so einem Notfall würden wir alles daran setzen, zeitnah ein Team bestehend aus einem Wirtschaftsprüfer und einem Insolvenzrechtler zusammenzustellen und eine diskrete Investigation im Unternehmen starten, um herauszufinden, was hinter dem erhöhten Finanzbedarf steckt und ob tatsächlich ein Insolvenzrisiko besteht. Parallel würden wir klären, wie verhindert werden kann, dass das Unternehmen führungslos wird und gemeinsam mit Partnern aus unserem Netzwerk Haftungsfragen aus dem Blickwinkel des Hauptgesellschafters prüfen. Auf diese Weise kann Raum geschaffen werden, um das Unternehmen in ruhigeres Fahrwasser zu bringen und eine neue Strategie zu entwickeln.
Zusatznutzen durch unser interdisziplinäres Format
Ruhe, Klarheit, Strategie – auch im Albtraumfall.
Cornelia Henkel (Neuropsychologie & Krisendynamik): Analysiert akute Stresslagen und Kommunikationsmuster zwischen Hauptgesellschafter und Geschäftsführung. Entwickelt Gesprächsleitfäden, die Eskalationen verhindern und dennoch belastbare Informationen ans Licht bringen. Stärkt „Decision Hygiene“: Der Hauptgesellschafter trifft faktenbasierte Entscheidungen – nicht aus einer Stressreaktion heraus.
Martin Nimbach (System- & Prozessanalyse, Technik & Forensik): Durchleuchtet in kürzester Zeit Finanz-, Reporting- und IT-Systeme, um die Ursache des Kapitalbedarfs (operativ/strukturell/strategisch) zu bestimmen. Richtet Litigation Hold und Data Preservation ein, prüft Zugriffs-/Änderungslogs, E-Mail/Docs-Versionierung sowie Rollen-/Rechtevergaben. Ergebnis: saubere Chain of Custody und ein präzises Lagebild für Wirtschaftsprüfer und Insolvenzrechtler – ohne den Betrieb zu stören. Ergänzend: KI-gestützte Szenario-Analysen und Frühwarnindikatoren.
Mark von Seydlitz (Führung & Außenwirkung): Coacht den Hauptgesellschafter für klare, souveräne Kommunikation gegenüber Geschäftsführung, Mitarbeitenden und externen Stakeholdern. Entwickelt Notfallbotschaften und Q&A-Leitfäden (on/off camera), die Sicherheit vermitteln, de-eskalieren und ohne Vorverurteilung auskommen.
Das Ergebnis:
Innerhalb weniger Tage entsteht ein kontrollierbares, faktenbasiertes Lagebild. Das Unternehmen kann geführt, Risiken werden eingegrenzt, und eine neue Strategie ohne Zeitdruck entwickelt. Krisenmodus aus – Handlungsmodus an.
Analyse:
Eine Situation wie aus einem Albtraum. Wer soll darauf "normal" reagieren? Man ist (verständlicherweise) emotional aufgewühlt und ärgert sich. Außerdem hat man das dumpfe Gefühl, dass etwas nicht stimmt und fühlt sich gleichzeitig ohnmächtig und bedrängt von der Verantwortung, aufzuräumen.
Unser Tipp für die Praxis:
In einem ersten Schritt: Ruhe hineinbringen und sich mit Partnern umgeben, denen man vertraut und die einen neutralen Blick auf die Lage haben. Das Vorgehen in einzelne Schritte herunterbrechen und diese in einer sinnvollen Reihenfolge ordnen und abarbeiten. Wir helfen gerne dabei.
Fall 6 Tech Due Diligence: Wie gezielte "White Space Interviews" technische Risiken aufdecken, bevor sie zum Problem werden.
Die Aufgabenstellung:
Nach einem anstrengenden Bieterverfahren gelingt es dem Unternehmen A, das Unternehmen B als Tochtergesellschaft zu kaufen und in das eigene Geschäftsmodell zu integrieren. Allerdings hat A in der Due Diligence übersehen, dass das technische Equipment im Rechenzentrum von B end of life ist und dringend ausgetauscht werden muss. Da der Techniker von B kurz vor dem Abschluss der Transaktion mit A gekündigt hat, fehlt das Knowhow, um schnell zu erkennen, dass die Infrastruktur von B nicht zu der Lösung passt, die A für seine eigene Technik gewählt hat. Da die Technik von B sehr viele Eigenentwicklungen enthält (deren Knowhow mit dem Techniker von B abgewandert ist und das nirgends richtig dokumentiert wurde), fällt auch erst relativ spät auf, dass eine "einfache" Lösung wie die Überführung mit einem hohen "Managed Services" Anteil aufgrund hoher Risiken bei der Migration nicht möglich ist. Das Unternehmen befindet sich damit in einer gefährlichen Sackgasse - es kann jederzeit zu unkontrollierbaren Funktionsausfällen kommen.
Unsere Herangehensweise:
Wir empfehlen, vor der Transaktion im Rahmen einer "White-Space-Due-Diligence" auch normalerweise eher unpopuläre (aber für die Architektur und den Fortbestand des Unternehmens entscheidende) Bereiche genauer anzuschauen und Personalabgänge in diesen Bereichen kritisch zu hinterfragen. Häufig deuten solche Abgänge auf systemische Probleme hin, die vor dem Kauf adressiert und entweder im Rahmen der Bewertung, der Covenants im Kaufvertrag, in Form eines Kaufpreiseinbehalts bzw. eines Earn-Outs in Abhängigkeit von der Problemlösung oder in anderweitiger geeigneter Form berücksichtigt werden sollten.
Das Ergebnis:
Vermeidung teurer Ausfälle durch gezielte Absicherung und rechtzeitige Planung.
Analyse:
Der Fokus der Due Diligence liegt auf bekannten Rastern: Robustheit der Software, Performance der aktuellen Projekte, Belastbarkeit der Equity Story, Potential der Umsatzentwicklung u.ä.. Selten fragt jemand nach der Architektur dahinter, die sich in der IT Infrastruktur, der Datenqualität und der Informationssicherheit verbirgt. IT-Teams und Informationssicherheitsbeauftragte werden auch häufig nicht als Schlüsselpersonen erkannt und behandelt und im Rahmen der Due Diligence nicht befragt.
Unser Tipp für die Praxis:
Die Architektur und Sicherheit mitdenken und auf dem Schirm haben. Gemeinsam mit unseren Partnern helfen wir gerne dabei, wichtige Themen zu identifizieren und zu lösen.
Fall 7 Compliance & IT-Security: Sicherheitslücken finden und schließen, bevor sie einen unternehmensweiten Unfall auslösen.
Die Aufgabenstellung:
Ein Tech-Unternehmen unterlässt es für einen langen Zeitraum, ein Lizenz- und Demand-Management für technische Tools einzuführen. Einige Tools werden sogar völlig ungeprüft durch die Hintertür eingeführt. Außerdem macht - ohne klar kommunizierte (do not) Bring Your Own Device-Policy - sowieso jeder, was er will - in seiner eigenen Sicherheitsumgebung, fernab von den IT-Sicherheitsstandards, die das Unternehmen bei seinen eigenen Geräten einbaut.
Eine durch diese chaotische Situation entstehende Sicherheitslücke ermöglicht es einem Hacker, das System für einen nicht absehbaren Zeitraum lahmzulegen.
Die Cyber Versicherung verweigert nach einer forensischen Untersuchung aufgrund von grober Fahrlässigkeit auf Unternehmensseite die Zahlung.
Es stellt sich heraus, dass auch das ISO 27001 Zertifikat des Unternehmens eigentlich nicht hätte verlängert werden dürfen, weil die Voraussetzungen dafür mangels ordentlichem Lizenzmanagement, ordentlichem On- und Offboarding, Einhaltung der Vorgaben des unternehmensinternen Informationssicherheitsmanagementsystems und mangels Durchführung geeigneter Penetration Tests, welche die Sicherheitslücke mit hoher Wahrscheinlichkeit hätten aufdecken können, nicht gegeben waren. Somit waren auch viele Angaben, die das Unternehmen im Rahmen mehrerer Kundenaudits zum Informationssicherheitsmanagement des Unternehmens gemacht hatte, inhaltlich falsch.
Aufgrund dieser Umstände verliert das Unternehmen massiv Reputation und Kunden. Der Aufsichtsrat ist schockiert.
Unsere Herangehensweise:
Regelmäßige Stichproben zu Themen, die typischerweise Problemfelder sind, weil sie Ruhe und Geduld erfordern und vermeintlich immer weniger wichtig sind als alle anderen Aufgaben im Unternehmen. Häufig gilt bei solchen Aufgaben der Grundsatz: "less shiny more messy". Wenn Lücken gefunden werden, kann dies zum Anlass genommen werden, das dahinterstehende System anzuschauen, an den richtigen Stellen zu schärfen und an weniger zentralen Stellen zu vereinfachen.
Zusatznutzen durch unser interdisziplinäres Format
Von Scheinsicherheit zu realer Resilienz – bevor der Super-GAU passiert.
Martin Nimbach (IT-Security & Systemarchitektur): Führt fokussierte Penetrationstests/Red-Team-Übungen und forensische Kurzanalysen durch, um Schwachstellen früh sichtbar zu machen. Bewertet IT- und Tool-Landschaften hinsichtlich Standardkonformität (z. B. ISO 27001, DORA, NIS2), Skalierbarkeit und Angriffsvektoren (Zero-Trust-Reife, IAM/PAM, EDR/SIEM-Telemetrie, Log-Retention). Etabliert Joiner-Mover-Leaver-Prozesse, SSO/MFA, SBOM-/Patch-Routinen und erstellt einen priorisierten Maßnahmenplan inkl. Lizenz- & Demand-Management sowie sauberem On-/Offboarding.
Cornelia Henkel (Neuropsychologie & Verhaltensmuster): Analysiert, warum Mitarbeitende Regeln umgehen (kognitive Last, Friktionen, Anreize) und inoffizielle Workarounds nutzen. Entwickelt Awareness-Trainings & Mikro-Lernpfade mit Nudges, Habit-Building und psychologischer Sicherheit (Incidents melden ohne Gesichtsverlust). Ergänzt durch Phishing-Simulationen mit Debrief, Pre-Mortems und Bias-Checks, damit Policies nicht nur geschrieben, sondern gelebt werden.
Mark von Seydlitz (Krisenkommunikation & Reputationsschutz): Erstellt Notfall-Kommunikationspläne (Holding Statements, Q&A, Customer-Audit Narratives) für Kunden, Aufsichtsrat und Öffentlichkeit. Medientraining on/off camera für Führungskräfte: klare, glaubwürdige Botschaften – auch wenn bereits Fehler passiert sind. Vorbereitung auf Audits, heikle Kunden-Calls und interne Townhalls.
Das Ergebnis:
Das Unternehmen gewinnt echte Sicherheit statt ISO-Papierfassade. Schwachstellen werden geschlossen, Standards nachhaltig implementiert, die Sicherheitskultur verankert – und die Organisation reagiert bei Cyberangriffen professionell, ohne dass Vertrauen oder Reputation irreparabel Schaden nehmen.
Analyse:
Damit, dass die Vielzahl technischer Tools so ein Chaos nach sich ziehen könnte, hat niemand gerechnet. Im Zweifel war gar niemandem bewusst, dass das Unternehmen überhaupt so einen unkontrollierten "Zoo" von technischen Anwendungen hatte. Man wollte einfach großzügig sein und den Mitarbeitern freie Hand lassen. Dass dadurch Übersicht und Kontrolle verloren gehen und sich das schädlich auf Kundenbeziehungen auswirkt, hatte man nicht im Blick.
Der Tipp für die Praxis:
Das Management muss sich nicht mit den Details der Lizenzmanagements auskennen oder genau wissen, welche einzelnen Tools im Unternehmen im Einsatz sind. Wenn das Bewusstsein geschärft ist, dass sich in dem Zoo der vorhandenen Tools auch Tiger und giftige Schlangen aufhalten, ist es ausreichend, wenn ein guter Informationssicherheits-beauftragter bestellt und in seiner Arbeit vom Management unterstützt wird. Das Management hat ein hohes Eigeninteresse an einer einwandfreien Positionierung des Unternehmens in diesem Bereich, da bei der Leistungsverweigerung einer Versicherung rasch die Frage aufkommt, ob das Management für die Schieflage verantwortlich gemacht werden kann.
Hinweis zur Transparenz:
Die hier abgebildeten Fälle entsprechen nicht 1:1 Fällen, die sich in der Realität genau so ereignet haben. Sie enthalten aber viele reale Elemente, die wir neu zusammengestellt haben.