Cyber Atlas Israel

Cybersicherheit, Cyber Defense und künstliche Intelligenz

Warum Chutzpah im deutschen Enterprise-Markt nicht skaliert

Warum Chutzpah im deutschen Enterprise-Markt nicht skaliert

Verfasst von:

Thorsten Kraft

Executive Security Architect

Es gibt eine Szene, die sich wiederholt – in Konferenzräumen in Frankfurt, in Lobbys in München, in Videokonferenzen mit Einkaufsgremien, die mehr Juristen als Techniker am Tisch haben. Ein israelisches Unternehmen präsentiert. Das Produkt ist stark. Die Referenzen stimmen. Und dann sagt der Gründer, Mitte des Pitches, einen Satz, der gut klingt und schlecht ankommt: „Wir bewegen uns schnell und lassen uns nicht von Prozessen aufhalten.“

Im Silicon Valley öffnet dieser Satz Türen. In einem deutschen Beschaffungsprozess – in regulierten Sektoren wie Energie, Chemie oder Finanz, wo systemrelevante Infrastruktur auf dem Spiel steht – schließt er sie. Leise, endgültig, ohne Rückmeldung.

Das ist kein Missverständnis. Es ist ein Systemfehler. Und er hat einen Namen: Chutzpah – jene spezifische Mischung aus Selbstvertrauen, Direktheit und der tiefen Überzeugung, dass gute Ideen sich durchsetzen, wenn man nur entschlossen genug ist. Eine Haltung, die Israel zu einer der produktivsten Startup-Nationen der Welt gemacht hat. Und die im deutschen Enterprise-Markt regelmäßig auf eine Wand trifft, die nicht aus Bürokratie besteht, sondern aus strukturell begründetem Misstrauen gegenüber allem, was sich der Kontrolle entzieht.

Für Investoren, die den europäischen Markteintritt eines israelischen Portfoliounternehmens begleiten, ist diese Wand keine abstrakte Kulturbeobachtung. Sie ist ein Bewertungsrisiko.

Was Chutzpah ist – und was sie im deutschen Kontext auslöst

Chutzpah ist kein Fehler. Sie ist eine Stärke – in Umgebungen, die Geschwindigkeit belohnen, Risiko tolerieren und persönliche Verantwortung an das Ergebnis knüpfen, nicht an den Prozess. Sie ist die Grundlage für die meisten Erfolge, die Israel in den letzten zwanzig Jahren im globalen Technologiemarkt erzielt hat. Sie ist auch der Grund, warum israelische Gründer in schwierigen Verhandlungen nicht aufgeben, in komplexen Situationen nicht zögern und Nein als Einladung zum Nachverhandeln verstehen.

In Deutschland begegnet diese Haltung einem anderen Grundverständnis von Entscheidungsfindung. Hier ist Vertrauen kein Vorschuss, sondern ein Ergebnis. Es entsteht nicht durch Energie oder Überzeugungskraft, sondern durch nachgewiesene Verlässlichkeit über Zeit. Ein deutscher Entscheidungsträger, der ein System für kritische Infrastruktur einkauft, fragt sich nicht: „Löst das mein Problem?“ Er fragt: „Kann ich vor einem Gericht, einer Aufsichtsbehörde oder meinem Vorstand erklären, warum ich diese Entscheidung getroffen habe – und was passiert, wenn es schiefgeht?“

Chutzpah beantwortet die erste Frage sehr gut. Die zweite gar nicht.

Das ist die eigentliche Lücke. Nicht fehlende Qualität. Nicht fehlende Kompetenz. Sondern eine fundamentale Differenz in dem, was als Entscheidungsgrundlage gilt. In einem NIS2-konformen Umfeld ist Innovation irrelevant, wenn sie nicht auditierbar ist.

Die drei Momente, in denen Chutzpah scheitert

Das Scheitern geschieht selten laut. Es gibt keinen Konflikt, keine Konfrontation. Es gibt ein Gespräch, das gut läuft, und dann keinen zweiten Termin. Es gibt ein Angebot, das „in Prüfung“ ist und nie wieder auftaucht. Es gibt eine Antwort-E-Mail, die höflich und nichtssagend ist. Der deutsche Markt lehnt nicht ab. Er hört auf zu antworten.

Die Momente, in denen dies geschieht, folgen einem Muster.

Der erste Moment ist die Reaktion auf kritische Fragen. Wenn ein Einkaufsgremium nach Dokumentation, Zertifizierungen oder Haftungsregelungen fragt, interpretiert ein israelischer Gründer diese Fragen häufig als Verhandlungsposition: Man will Schwächen ausleuchten, um den Preis zu drücken. Die Reaktion ist Gegendruck – Relativierung der Anforderungen, Hinweis auf Referenzkunden, die das „unkomplizierter sehen“. Was der deutsche Einkäufer hört, ist: Dieses Unternehmen versteht nicht, warum ich diese Frage stellen muss. Was er nicht sagt, aber denkt: Nach §8a BSIG muss ich diese Nachweise alle zwei Jahre gegenüber dem BSI erbringen – ein Lieferant, der sie nicht unterstützt, ist keine Option. Das Gespräch ist beendet, auch wenn noch niemand aufgestanden ist.

Der zweite Moment ist der Umgang mit Prozessen. Chutzpah sagt: Wenn der Prozess das Problem ist, umgehen wir ihn. In einer Start-up-Umgebung ist das Pragmatismus. In einem deutschen Konzern oder einer Behörde ist es eine rote Linie. Wer versucht, Vergabeprozesse zu beschleunigen, indem er über Köpfe hinweg kommuniziert oder Entscheidungsträger direkt adressiert, die nicht in der formellen Kette stehen, signalisiert, dass er die Struktur nicht respektiert. Und jemand, der die Struktur nicht respektiert, ist jemand, den man nicht ins Netz lässt.

Der dritte Moment ist der Umgang mit Fehlern. Israelische Unternehmen sind es gewohnt, Fehler als Lernprozess zu kommunizieren: schnell zugeben, schnell beheben, weitermachen. In Deutschland, wo Haftung real und persönlich ist, hat ein Fehler eine andere Qualität. Wer einen Fehler zu leicht nimmt, zeigt nicht Agilität – er zeigt, dass er die Konsequenzen nicht versteht. Das erschüttert Vertrauen nachhaltig, auch wenn der Fehler technisch längst behoben ist.

Was den deutschen Enterprise-Markt wirklich überzeugt

Es gibt eine andere Art zu arbeiten. Sie ist nicht das Gegenteil von Chutzpah. Sie ist Chutzpah mit einer anderen Oberfläche – strategisch eingesetzt, auf das Zielsystem kalibriert.

Das erste Prinzip ist strukturelle Verlässlichkeit. Nicht Versprechen, sondern Dokumentation. Nicht „wir können das“ – sondern „hier ist der Nachweis, wie wir das tun, was passiert, wenn etwas schiefgeht, und wer in diesem Fall erreichbar ist.“ Ein Unternehmen, das in einer ersten Verhandlung ein vollständiges RACI-Modell für Incident-Response vorlegt und zeigen kann, wie sein Produkt die Nachweiskette nach ISO 27001 oder §8a BSIG schließt, sendet ein Signal, das kein Pitch-Deck senden kann: Wir haben diesen Markt verstanden, bevor wir hereinkamen.

Das zweite Prinzip ist Geduld als Kompetenz. Deutsche Entscheidungsprozesse dauern. Nicht weil die Entscheidungsträger langsam sind, sondern weil Konsens und interne Legitimation strukturell notwendig sind. Wer drückt, verliert. Wer den Prozess begleitet – mit regelmäßigen, substanziellen, nicht drängenden Updates –, positioniert sich als Partner, nicht als Verkäufer. Die meisten israelischen Unternehmen verlieren die Geduld genau in der Phase, in der der Deal gerade erst anfängt, real zu werden.

Das dritte Prinzip ist die Übersetzung von Innovation in Sicherheit. Die Stärke israelischer Cybersecurity-Technologie ist ihre Innovationshöhe. Die Aufgabe im deutschen Markt ist es, diese Innovationshöhe in Risikoreduktion zu übersetzen. Nicht „wir erkennen Anomalien schneller als jeder Wettbewerber“ – sondern „wir ermöglichen Ihnen, Ihren §8a-Nachweis lückenlos zu führen, und hier ist der Audit-Trail dazu.“ Für Unternehmen im Finanzsektor gilt dasselbe Prinzip unter DORA: Wer nicht zeigen kann, wie sein Produkt in die geforderte ICT-Risikodokumentation integriert wird, landet nicht auf der Shortlist. Dasselbe Produkt. Andere Sprache. Andere Resonanz.

Das Vertrauensgefälle: Was deutschen Entscheidungsträgern wirklich Angst macht

Um zu verstehen, wie man im deutschen Enterprise-Markt Vertrauen aufbaut, muss man verstehen, was Vertrauen hier zerstört. Und das ist nicht Inkompetenz. Es ist Kontrollverlust.

Ein CISO eines deutschen Energieversorgers kauft kein Produkt. Er kauft die Möglichkeit, Kontrolle nachzuweisen. Kontrolle darüber, was in seinem Netz läuft. Kontrolle darüber, wie Entscheidungen getroffen werden. Kontrolle darüber, was er bei einem Audit vorlegen kann. Wer diese Kontrolle gefährdet – durch Intransparenz, durch autonome Systemaktionen ohne dokumentierten Freigabepfad, durch externe Datenabflüsse, die er nicht erklären kann –, ist kein Lieferant mehr. Er ist ein Haftungsrisiko.

Chutzpah kommuniziert implizit: Vertrau uns, wir wissen, was wir tun. Der deutsche Entscheidungsträger antwortet innerlich: Das ist nicht die Frage. Die Frage ist, ob ich das nachweisen kann.

Ein konkretes Beispiel: Ein israelisches Unternehmen mit einem nachweislich überlegenen Erkennungssystem für OT-Netzwerke stand kurz vor dem Abschluss mit einem deutschen Chemiekonzern. In der letzten Vertragsrunde fragte der Konzernjurist nach der Haftungsregelung für den Fall, dass eine Fehlerkennung des Systems zu einem Produktionsstillstand führt. Der Gründer antwortete – in bester Chutzpah-Manier –, dass das System so gut sei, dass dieser Fall nicht eintreten werde. Der Jurist schloss seinen Laptop. Nicht weil die Antwort falsch war. Sondern weil sie zeigte, dass das Unternehmen nicht versteht: Im deutschen Recht beantwortet nicht die Wahrscheinlichkeit eines Schadens die Haftungsfrage – sondern die Frage, wer die Verantwortung trägt, wenn er eintritt.

Was die richtige Antwort gewesen wäre? Eine klare Haftungsregelung, ein dokumentiertes Eskalationsmodell, ein Verweis auf die SLA-Struktur und der Satz: „Wir haben diesen Fall vorbereitet – hier ist die Dokumentation.“

Die Rolle der israelischen Direktheit – und wann sie hilft

Es wäre falsch zu sagen, dass israelische Direktheit im deutschen Markt generell ein Nachteil ist. Sie ist es nicht. Sie ist ein erheblicher Vorteil – wenn sie im richtigen Moment eingesetzt wird.

Deutsche Unternehmensverhandlungen sind oft von einer Art höflicher Unklarheit geprägt, die Entscheidungen verlangsamt und Missverständnisse konserviert. Wer in dieser Umgebung klar sagt, was er will, was er nicht will und wo eine Grenze liegt, wird häufig als angenehm direkt empfunden – sofern diese Klarheit nicht als Ungeduld oder Respektlosigkeit gegenüber dem Prozess wirkt.

Die Kunst liegt in der Unterscheidung: Direktheit in der Sache ist wertvoll. Direktheit gegenüber der Struktur ist gefährlich. „Ich möchte bis Ende des Quartals eine Entscheidung“ ist eine legitime Aussage. „Warum dauert das so lange, das ist doch eigentlich klar“ ist das Ende einer Partnerschaft.

Israelische Unternehmen, die im deutschen Markt erfolgreich sind, haben diese Unterscheidung internalisiert. Sie verhandeln hart – aber innerhalb des Systems, nicht gegen es. Sie stellen unbequeme Fragen – aber in einer Form, die dem Gegenüber ermöglicht, angemessen zu antworten, ohne sein Gesicht zu verlieren. Und sie akzeptieren, dass ein Prozess, den sie nicht vollständig kontrollieren, kein Zeichen von Schwäche ist, sondern die Bedingung für Glaubwürdigkeit.

Was sich wirklich ändern muss – und was nicht

Die Empfehlung lautet nicht: Werdet weniger israelisch. Verliert die Energie nicht. Verliert die Überzeugung nicht. Verliert nicht die Fähigkeit, in einer komplexen Verhandlung einen Schritt zurückzutreten und neu anzusetzen.

Die Empfehlung lautet: Übersetzt das, was ihr habt, in eine Sprache, die im deutschen Markt gehört wird. Das ist keine Anpassung der Identität. Es ist die Erweiterung eines Werkzeugkastens.

Ein israelisches Cybersecurity-Unternehmen, das in Deutschland erfolgreich sein will, braucht keinen deutschen CEO. Es braucht jemanden – intern oder extern –, der den deutschen Entscheidungskontext so gut kennt wie das eigene Produkt. Jemanden, der weiß, dass ein CISO in einem regulierten Unternehmen keine Kaufentscheidung trifft, sondern eine Risikoentscheidung. Dass ein Vergabeprozess keine Bürokratie ist, sondern Legitimitätskonstruktion. Dass NIS2, §8a BSIG und ISO 27001 keine Checklisten sind, sondern die Koordinaten, in denen jede Einkaufsentscheidung verortet wird. Und dass ein Nein selten endgültig ist – aber ein Vertrauensverlust meistens schon.

Der Unterschied zwischen Unternehmen, die Deutschland gewinnen, und denen, die daran scheitern, liegt selten im Produkt. Er liegt in der Fähigkeit zu verstehen, dass dieser Markt andere Fragen stellt – und in der Bereitschaft, diese Fragen ernstzunehmen, bevor man im Raum sitzt.

Wer diesen Übersetzungsprozess strukturiert angehen will, muss ihn vor dem ersten Pitch beginnen – nicht nach dem ersten verlorenen Deal.

Fazit: Chutzpah ist keine Schwäche. Aber ohne Übersetzung bleibt sie ein Dialekt.

Deutschland verlangt keine Bescheidenheit. Es verlangt Ernsthaftigkeit. Die Ernsthaftigkeit, einen Markt zu verstehen, bevor man ihn betreten will. Die Bereitschaft, Investitionen zu tätigen, die keine sofortige Demo-Wirkung haben, aber die Grundlage für jeden echten Abschluss sind. Und die Fähigkeit, zwischen dem, was man sagen will, und dem, was der andere hören muss, zu unterscheiden.

Chutzpah skaliert in Deutschland – aber nur dann, wenn sie von struktureller Reife begleitet wird. Energie ohne Dokumentation ist Lärm. Innovation ohne Kontrollierbarkeit ist Risiko. Und ein Produkt, das nicht in die Sprache seines Marktes übersetzt wurde, ist kein Produkt – es ist ein Versprechen, dem niemand haftbar ist.

In Deutschland kauft niemand Versprechen. Man kauft Nachweise.

Und wer das versteht, bevor er den ersten Termin bucht, hat den entscheidenden Schritt bereits getan – nicht im Produkt, sondern im Denken.

Market Entry Readiness Assessment für regulierte Märkte

Dieser Text beschreibt ein Muster – und die meisten israelischen Technologieunternehmen, die ihn lesen, erkennen sich darin wieder. Manchmal vor dem ersten deutschen Termin. Häufiger danach.

Das Structured Market Entry Readiness Assessment ist eine strukturierte Analyse für Unternehmen, die den deutschen oder europäischen Markt in regulierten Sektoren erschließen wollen – bevor der erste Vergabeprozess zeigt, was fehlt. Es bewertet das Produkt, die Architektur und die Kommunikation entlang der Anforderungen, die deutsche KRITIS-Betreiber, Investoren und Aufsichtsbehörden tatsächlich stellen: Nachweisbarkeit, Haftungslogik, regulatorische Integrierbarkeit.

Das Ergebnis ist kein Compliance-Gutachten. Es ist eine ehrliche Einschätzung der Lücke zwischen dem, was ein Produkt kann – und dem, was ein regulierter deutscher Markt sehen muss, um zu kaufen.

Für Unternehmen, die sich in einer aktiven Markteintrittsphase befinden oder eine Series A oder B mit europäischer Expansion vorbereiten, ist der richtige Zeitpunkt dafür nicht nach dem ersten Rückschlag. Er ist jetzt.

Anmelden zu unserem Newsletter:

Vom Wissen zum Austausch: Sicherheit weiterdenken.

Diese Beiträge folgen der Überzeugung, dass echte Sicherheit dort beginnt, wo die bloße Compliance endet. Sie sind als Denkangebote zu verstehen – geformt aus der Praxis, aber offen für den Diskurs.

Ich schätze den fundierten Widerspruch ebenso wie die Ergänzung aus dem operativen Alltag. Ob als Gründer, Betreiber oder strategischer Entscheider: Ihre Sichtweise ist der Schlüssel zur Weiterentwicklung dieser Ansätze.

Lassen Sie uns den Dialog dort führen, wo er am fruchtbarsten ist – öffentlich in den Kommentaren oder vertraulich im direkten Gespräch. Substanz braucht Raum.

Kontakt aufnehmen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Translate »