Cybersecurity in Familienunternehmen – und warum sie mehr ist als ein IT-Thema

Maren, du promovierst zu Cybersecurity in Familienunternehmen. Wie bist du bei diesem Thema gelandet?

Maren: Mein Einstiegspunkt war tatsächlich das Familienunternehmertum selbst. Ich habe an der Universität Witten/Herdecke studiert, dort kommt man an Familienunternehmen kaum vorbei. Mit dem Wittener Institut für Familienunternehmen (WIFU) gibt es ein eigenes Forschungszentrum, das diesen Unternehmenstyp seit Jahren sehr intensiv untersucht.

Im Master habe ich mich dann stark auf Digitalisierungsthemen fokussiert: Geschäftsmodellinnovation, Entrepreneurship, Kooperationen zwischen Familienunternehmen und Start-ups. Digitalisierung war immer mein inhaltlicher Schwerpunkt – allerdings aus einer Managementperspektive, nicht aus der IT-Brille.

Parallel dazu habe ich gemerkt: Familienunternehmen spielen für die deutsche Wirtschaft eine zentrale Rolle. Je nach Definition sind rund 90 Prozent der Unternehmen hierzulande familiengeführt. Das ist höher als der europäische Durchschnitt. Und trotzdem gibt es Themen, die in diesen Unternehmen eher ungern angefasst werden.

Und eines davon ist Cybersecurity?

 Maren: Genau. Aus dieser Beobachtung heraus – der wirtschaftlichen Bedeutung von Familienunternehmen einerseits und den blinden Flecken andererseits – hat sich dann auch mein Promotionsthema konkretisiert. Der eigentliche Auslöser war eine Kombination aus Forschung und Praxis. Am Lehrstuhl wurde viel über die Schattenseiten der Digitalisierung diskutiert, dazu kam ein realer Hackerangriff auf ein Unternehmen aus dem Umfeld des Lehrstuhls. Da wurde sehr deutlich, wie verwundbar gerade Familienunternehmen sind – nicht nur wirtschaftlich, sondern emotional.

„Für viele Familienunternehmer ist ein Cyberangriff nicht nur ein Angriff auf das Unternehmen, sondern auch ein persönlicher Angriff.“

Das Unternehmen ist oft „das dritte Kind“. Wenn dieses dann im digitalen Raum angegriffen wird, trifft das einen Nerv. Gleichzeitig habe ich in der Literatur festgestellt: Zu Cybersecurity in Familienunternehmen gibt es kaum belastbare Forschung. Das Feld war – und ist teilweise immer noch – ein weißes Blatt.

Was genau erforschst du in deiner Dissertation?

Maren: Ich promoviere kumulativ, das heißt: Meine Dissertation besteht aus vier einzelnen Forschungsarbeiten, die sich alle im Rahmen von „Cybersecurity in Familienunternehmen“ bewegen. Der erste Schritt war, überhaupt ein Messinstrument zu entwickeln. Cybersecurity ist ein extrem vielschichtiges Thema – technisch, organisatorisch und menschlich, aber natürlich auch bei der richtigen Reaktion im Ernstfall und langfristiger Resilienz. Bevor man Zusammenhänge analysieren kann, muss man erst klären: Was gehört eigentlich alles dazu?

Und zu welchem Ergebnis bist du gekommen?

Maren: Ich konnte zeigen, dass sich Cybersecurity entlang von vier Dimensionen messen lässt:

• eine technische Dimension,
• eine menschliche Dimension,
• eine organisationale Dimension
• und schließlich als vierte Dimension Resilienz, die sich auf Prävention und Incident Response bezieht.

Besonders spannend war, welche Faktoren statistisch wirklich tragen. In der technischen Dimension war Monitoring extrem relevant – also zum Beispiel die kontinuierliche Überwachung von Workloads und Netzwerkaktivitäten, um Auffälligkeiten frühzeitig zu erkennen, oder ein konsequentes Zugriffsmanagement nach dem Prinzip „just in time“ und „just enough“. In der menschlichen Dimension ging es nicht nur um formale Schulungen, sondern um gelebte Awareness: Aufmerksamkeit, gegenseitiges Erinnern, Cybersecurity als Gemeinschaftsthema. Und organisatorisch zeigte sich sehr klar: Cybersecurity ist ein Top-Management-Thema. Wenn es dort nicht priorisiert wird, passiert wenig.

Gab es Ergebnisse, die dich selbst überrascht haben?

Maren: Ja – das Thema Sanktionen, gerade mit Bezug auf die unternehmerische Resilienz. Ich hätte nicht erwartet, dass Sanktionen bei Fehlverhalten statistisch signifikant werden. Gerade moderne Unternehmenskulturen wollen ja weg von Straflogiken. In Gesprächen mit Vertreter:innen der Unternehmen hieß es oft: „Ich sollte doch niemanden abmahnen oder feuern müssen, weil er zu gutgläubig war?“ Und trotzdem: Als Faktor in der Skala war das Thema relevant. Das zeigt, wie ernst Cybersecurity genommen wird – oder eben werden muss.

Welche Rolle spielen Regulierung und Vorgaben?

Maren: In meiner quantitativen Skala waren regulatorische Items nicht signifikant. Inhaltlich würde ich aber klar sagen: Regulierung ist ein Riesenthema. Mein Eindruck ist nur: Sie macht Cybersecurity für viele Familienunternehmen noch unattraktiver. Digitalisierung, Innovation – da leuchten die Augen. Bei Cybersecurity kippt durch die regulatorische Zusatzlast schnell die Stimmung. Das Thema verbinden viele Unternehmer klar mit Bürokratie, Risiko und Einschränkungen.

Ein Brand in der Produktion ist sofort vorstellbar. Der Verlust von Daten, Patenten oder Entwicklungswissen nicht unbedingt – obwohl er genauso existenziell sein kann.

Gibt es typische Denkfehler, die dir immer wieder begegnen?

Maren: Sehr häufig höre ich: „Was wollen Hacker denn mit mir? Ich bin doch gar kein attraktives Ziel.“ Dabei ist Cyberkriminalität heute hochgradig arbeitsteilig organisiert. Es gibt spezialisierte Gruppen für Angriff, Infrastruktur, Erpressung und Monetarisierung – und dadurch wird selbst der Friseur nebenan zu einem wirtschaftlich relevanten Ziel, nicht nur Konzerne oder kritische Infrastrukturen. Ein Zitat ist mir besonders hängen geblieben. Ein Familienunternehmer sagte auf einer Veranstaltung sinngemäß: „Spionage interessiert mich nicht. Ich habe nur Angst vor Sabotage.“ Das zeigt, wie einseitig der Blick manchmal ist. Spionage, Datenabfluss, Know-how-Verlust – all das wird unterschätzt, weil es weniger greifbar ist.

Verändert ein tatsächlicher Vorfall die Haltung?

Mein Eindruck aus den Gesprächen ist sehr klar: Ja. Unternehmen, die einen Angriff erlebt haben, stellen sich danach anders auf. Vorher wurde vielleicht ein Prozent des Umsatzes investiert – danach deutlich mehr. Familienunternehmen wirken nach einem Vorfall oft belehrbarer. Das ist noch keine statistisch abgesicherte Erkenntnis, aber ein sehr konsistentes Muster aus Gesprächen.

Du promovierst berufsbegleitend und arbeitest parallel als Strategy Consultant bei Comma Soft. Wie funktioniert das?

Maren: Es ist anspruchsvoll, das muss man ehrlich sagen. Ich arbeite bei Comma Soft auf 80 Prozent, mein Montag ist für die Forschung reserviert. In intensiven Phasen baue ich zusätzlich Überstunden ab. Der entscheidende Faktor ist das Umfeld. Bei Comma erlebe ich viel Vertrauen, Flexibilität und Rücksichtnahme. Natürlich fallen Projekt-Peaks und Promo-Peaks gefühlt immer zusammen – aber es gibt auf beiden Seiten Verständnis dafür.

Die Beratung erdet mich. Ich sehe, was Cybersecurity für Unternehmen konkret bedeutet – jenseits von Modellen und Papers. Das fließt wiederum in meine Forschung zurück.

Wenn du einen Wunsch an Familienunternehmer frei hättest – welcher wäre das?

Maren: Cybersecurity nicht nur als Kostentreiber sehen, sondern als Daseinsvorsorge im Sinne der langfristigen Resilienz. Gerade im Zusammenspiel mit GenAI wird das Thema noch wichtiger. Die „fancy Digitalisierungsabteilung“ und die klassische IT müssen neu zusammenarbeiten. Daraus können sehr spannende neue strategische Betriebsmodelle entstehen – wenn man es aktiv gestaltet.

Und persönlich: Würdest du den Weg noch einmal gehen?

Ja. Familienunternehmen ticken zwar anders, aber genau das macht sie so spannend. Viele Unternehmer haben mir gesagt, dass sie durch Digitalisierung, Wachstum und Internationalisierung etwas von ihrem Bauchgefühl für den Unternehmenstakt verloren haben. Sie hoffen, diese Kontrolle über Daten und Systeme zurückzugewinnen. Cybersecurity ist dabei kein Nebenschauplatz, sondern ein zentrales Fundament.

Im Zweifel muss erst etwas passieren – und dann kommt die Lernkurve. Ich hoffe natürlich, dass wir mit Forschung, Beratung und Aufklärung dazu beitragen können, dass dieser Lernprozess so früh wie möglich einsetzt.