Private Equity und Daten: Warum KPIs entscheiden und Cyberrisiken oft fehlen

Show Notes

In dieser Folge von Cybersecurity Basement sprechen Michael und Dr. Sascha Haggenmüller, CPA (AK), Co-Founder & Managing Director von Radial, über die Rolle von Daten, KPIs und Cybersecurity im Private-Equity-Umfeld.

Im Mittelpunkt steht der Investmentprozess – von der Due Diligence über die Haltephase bis zum Exit – und die Frage, wie Investoren Unternehmen heute wirklich steuern. Sascha erklärt, welche Financial und operativen KPIs entscheidend sind, wie moderne Data-Warehouse- und Dashboard-Lösungen Transparenz schaffen und warum viele Unternehmen noch immer mit fragmentierten Datenlandschaften kämpfen.

Ein zentraler Aspekt: Datenqualität und Data Governance. Denn nur wenn Daten sauber, verknüpft und in Echtzeit verfügbar sind, können fundierte Entscheidungen getroffen werden. Hier spielen auch KI-gestützte Analysen und automatisiertes Reporting eine immer größere Rolle.

Gleichzeitig beleuchten Michael und Sascha die Perspektive auf Cybersecurity als Investmentfaktor: Obwohl Cyberrisiken zu den größten Geschäftsrisiken zählen, sind sie in klassischen Investor-KPIs oft noch unterrepräsentiert. Welche Auswirkungen das hat und wie sich das in Zukunft verändern könnte, ist ein weiterer Schwerpunkt der Folge.

Passende Folge zum Thema: 

Security Overengineering im Unternehmen: Wenn zu viele Security Tools zum Risiko werden

Möchtest du mehr über unseren Podcast wissen? Dann wirf einen Blick in unser Media Kit. Dort findest du alles Wichtige:

Cybersecurity Basement - Media Kit

Du findest uns auch auf:
(2) suresecure GmbH: Ihr Unternehmen | LinkedIn
@suresecure_de • Instagram-Fotos und -Videos
suresecure (@suresecure_de) | TikTok

Chapters

• 0:00: Intro: Investments, Daten und Security-Risiken
• 1:47: Vorstellung Dr. Sascha Haggenmüller
• 2:08: Die Story hinter Name und Logo von Radial
• 4:16: Von Big Four zu Radial: Was geblieben ist
• 7:33: Was Radial für Investoren löst
• 12:05: Financial Due Diligence, Reporting und Data Warehouse
• 16:10: Steuerungsfähigkeit durch bessere Daten
• 17:08: Warum Datenprobleme selten an der Technik liegen
• 20:18: Data Governance und Datenbereinigung in der Praxis
• 23:18: Wie Investoren schlechte Datenqualität bewerten
• 24:54: Welche KPIs Investoren wirklich interessieren
• 27:15: Operative KPIs: Software, Projekte und Produktion
• 29:32: Vom Monatsreporting zum Self-Service-Hub
• 33:13: Datensicherheit und Architektur bei Radialconsulting
• 37:44: Die favorisierte Hosting-Lösung
• 38:21: Rollen, Rechte und Zugriffskonzepte
• 42:50: Warum Cybersecurity-KPIs im Investorendashboard fehlen
• 47:00: Security als Risiko: wichtig, aber oft kein Top-KPI
• 49:01: Cybersecurity-Dashboards als möglicher nächster Schritt
• 49:44: Fazit und Abschluss

Transcript

Michael
Hallo und herzlich willkommen zu einer neuen Ausgabe von Cybersecurity Basement, dem Podcast für Security Content. Und dem wollen wir heute natürlich wieder gerecht werden. Allerdings biegen wir das heute ein bisschen anders ein. Wer den Security-Markt in Deutschland verfolgt, der stellt fest, dass unter den Security-Providern, gerade den mittelständischen, ja schon so eine fortschreitende Konsolidierung eingesetzt hat. Das heißt: Die Großen kaufen die Kleinen.

Das ist eigentlich ein ganz normaler Prozess, der übliche Lauf der Dinge, und das hat dann immer etwas mit Investments zu tun. Und genau damit wollen wir uns heute im Kern auch beschäftigen. Und dazu habe ich einen super spannenden Gast eingeladen. Er beschäftigt sich eben nicht nur mit Zahlen, sondern mit der Frage, wie aus diesen Daten tatsächlich Entscheidungen werden.

Er hat zwölf Jahre Erfahrung im Beratungsgeschäft bei absolut top Beratungshäusern und ist mittlerweile erfolgreicher Gründer und Geschäftsführer der Radial Consulting. Die Idee dahinter, um das vorwegzunehmen, ist eigentlich recht simpel: Unternehmen und Investoren haben heute mehr Daten zur Verfügung als jemals zuvor. Ich glaube, jeder hat mehr Daten zur Verfügung als jemals zuvor. Aber die Frage ist eben immer: Was macht man daraus und wie komme ich in die Situation, diese Daten auch wirklich zur Steuerung zu nutzen?

Wie genau das funktioniert, erklärt er uns später am besten selbst. Und natürlich wollen wir in diesem Zusammenhang auch klären, welche Rolle Security beim Thema Investments eigentlich spielen kann. Denn wir wissen alle: Cyberangriffe sind das größte Geschäftsrisiko der Welt, zumindest laut Allianz Risk Barometer, und das seit vielen Jahren. Müsste das in einer Risikobetrachtung dann in irgendeiner Form auftauchen? Genau darüber wollen wir sprechen, aber auch über seinen Werdegang, sein Unternehmen, Datensicherheit.

Und ich freue mich sehr, dass du da bist. Herzlich willkommen, Dr. Sascha Haggenmüller.

Sascha
Vielen Dank, dass ich dabei sein darf. Ich freue mich auf die Folge.

Michael
Top, ich freue mich auch. Zwei kleine Fragen zum Einstieg, weil es mich auch persönlich interessiert. Ich habe mir das Unternehmen im Vorfeld mal angeschaut und mein Background ist ja Marketing. Da komme ich nicht um die Frage drum herum: Ihr habt ja ein Logo und einen Namen dazu natürlich. Mich würde interessieren, wie kam es dazu? Insbesondere: Nach welchen Kriterien habt ihr entschieden, in welche Richtung dieser Strich im Logo zeigt? Vielleicht kannst du ganz kurz den Zuhörerinnen und Zuhörern erklären, wie das ausschaut, und dann vielleicht in die Details gehen.

Sascha
Ich glaube, das ist die herausforderndste Podcast-Frage, die ich je zum Einstieg bekommen habe. Insbesondere, wo die Richtung herkommt. Das kann ich tatsächlich nicht beantworten. Wo der Name herkommt und wo das Logo herkommt, das kann ich tatsächlich beantworten.

Ich bin damals mit meinem Mitgründer, dem Wolf, in Frankfurt zusammengesessen. Das war im Februar 2021 und wir hatten am Vortag zu viele Biere konsumiert und unser Kopf war dann noch ein bisschen, sagen wir mal, neblig und frei. Aber wir haben schon mal überlegt, wie der Name des zukünftigen Unternehmens lauten könnte.

Und ich habe dann damals so flapsig gesagt: Eigentlich wollen wir jetzt nach diesem ganzen Foliengemale, was wir aus unseren vorherigen Arbeitgebern unter anderem auch kennen, mal so No-Bullshit-Beratung machen und relativ schnell durch diesen ganzen Nonsens schneiden und relativ schnell zum Kern des Ganzen kommen.

Dann haben wir im Prinzip einen Kreis gemalt und haben von außen, vom großen Ganzen kommend, eine Linie in die Mitte gemalt, wo quasi der Kern ist. Und ich habe dann mit meiner Frau dazu gesprochen, was die Idee zu dem ganzen Thema ist. Und dann hat sie gesagt: Die kürzeste Wegstrecke von außen eines Kreises ins Innere ist der Radius.

Da habe ich gesagt: Ja, das stimmt, aber das klingt so ein bisschen undynamisch. Dann ändern wir eben das Ende des Radius zu radial. Und so ist dann quasi das Unternehmen entstanden. Das heißt, einfach aus der Idee heraus, durch den ganzen Nebel zu schneiden, schnell in die Mitte zu kommen, ist der Radius radial geworden. Klingt dynamischer und das war es dann im Endeffekt.

Und dann habe ich das in PowerPoint einfach hingepinselt und willkürlich, sage ich mal, die Richtung gewählt. Da ist jetzt kein tieferer Gedanke reingeflossen, das so oder anders zu machen.

Michael
Also ich sage mal, das, was du gerade ausgeführt hast, ist ja schon eine Geschichte, die man durchaus erzählen kann. Also ich finde, das klingt sogar sehr plausibel.

Sascha
Ja, absolut. Aber da muss ich meiner Frau danken. Da war sie, sage ich mal, analytischer in dem Kontext.

Michael
Ja, viele Grüße gehen raus. Du hast gerade quasi meine zweite Frage auch schon so ein Stück weit mit beantwortet, denn du hast ja bei den großen Beratungshäusern gearbeitet. Mich hat jetzt noch interessiert: Wie viel davon steckt heute in Radial drin? Ich vermute jetzt, nach deinen Ausführungen, nicht so viel, weil ihr einen schnelleren Weg zum Ergebnis anstrebt. Aber vielleicht ja doch noch was.

Sascha
Ja, also wir haben natürlich schon das, was wir lernen durften, mitgenommen. Fairerweise: Ich hätte das Unternehmen ja nie gründen können, wenn ich die Erfahrungen bei den vorherigen Arbeitgebern nicht hätte sammeln dürfen. Alles, was an Fachwissen vorhanden war, alles, was wir an Skillset, Hard Skills und Soft Skills, lernen durften, das haben wir natürlich eins zu eins mitgenommen.

Ich muss fairerweise immer sagen, dass ich bei den vorherigen Arbeitgebern immer herausragende Teams hatte und auch tolle Vorgesetzte. Ich hatte tatsächlich auch das Glück, Vorgesetzte zu haben, die aus unterschiedlichsten Backgrounds kommen. Also ich hatte Leute, die sehr finanzstark und analytisch waren. Ich hatte Leute, die super unternehmerisch und kreativ gedacht haben. Und ich hatte tatsächlich auch meinen Partner, der eine lange Bain-Vergangenheit hatte.

Das heißt, ich habe quasi zwischen harten Finance-Modeling-Skills, unternehmerischem, kreativem Denken und Dampf in die Organisation bringen bis hin zu: Wie strukturiere ich ein sehr gutes Folienset und was sind da die Qualitätsstandards von Beratungen, tatsächlich alles mitnehmen dürfen.

Was uns einfach wichtig war und was wir rausschneiden wollten: Wir wollten tatsächlich umsetzen. Also diese Folienschlachten und Analysephasen möglichst kurz halten, möglichst rausschneiden aus unserem Service Offering und tatsächlich in die Implementierung gehen. Wir wollten so ein Umsetzungs-Schnellboot sein, anstatt ein analytischer Tanker, der die 80 Folien runtermalt, wo dann das draufsteht, was du selber machen darfst.

Das war so ein bisschen die Idee. Dazu wollten wir zusätzlich sicherstellen, dass wir interne Prozesse möglichst effizient aufsetzen. Die großen Häuser beraten zwar Prozesseffizienz, aber wenn du dann selber mal in die eigenen Reihen schaust, dann merkst du erst mal, was da alles so im Argen liegt. Last but not least war auch noch das Thema, dass ich teilweise auch die Projektumsetzung manchmal ineffizient fand, weil du dann einfach drei Review-Hierarchien hattest, wo dann quasi jeder noch seinen persönlichen Geschmack mit in das Delivery einfließen lassen wollte. Natürlich auch ein bisschen das persönliche Ego. Und das führt zu Ineffizienzen.

Das heißt, wir haben einfach versucht, Ego aus der Führung rauszunehmen. Das war für uns das A und O. Intern wollten wir uns so aufstellen, dass wir vollautomatisiert und volldigitalisiert laufen, heute auch ein AI-first-Unternehmen sind, aber dafür auch alles, was gut war an Fachwissen, Skillset und Learnings, die man machen durfte, mitzunehmen. Das heißt, die beste Mischung aus beiden Welten hinzubekommen.

Michael
Das heißt, die volle Expertise mitgenommen, das volle Know-how, aber dann eine eigene Herangehensweise beziehungsweise es klingt eher nach einer ganz eigenen Kultur, die ihr habt, um eurem Anspruch gerecht zu werden.

Wir haben jetzt noch gar nicht darüber gesprochen, was ihr eigentlich konkret macht. Und darüber würde ich jetzt gerne mit dir sprechen. Was ist das konkrete Problem, das ihr für Investoren löst?

Sascha
Also ein Investor durchläuft ja immer den sogenannten Deal Cycle. Das heißt, es gibt eine Ankaufsphase. Es gibt eine Periode, da gibt es in der Regel einen 100-Tage-Plan und dann eben über drei, vier, fünf Jahre hinweg eine längere Haltephase, wo man dann das jeweilige Portfoliounternehmen beziehungsweise Asset entwickelt und im Idealfall wieder exit-ready macht und wieder teurer verkauft, sodass den eigenen Investoren die entsprechenden Rückflüsse aus dem Investment generiert werden können.

Das ist quasi der Prozess, wie so etwas üblicherweise läuft. Und entlang dieses Prozesses musst du natürlich gewisse Dienstleistungen verankern, die zu Transaktionssicherheit führen, die zu einer größeren Wertsteigerung dieser Unternehmen führen, die solche Unternehmen verkaufsfähig machen etc. Und da platzieren wir uns eben auch, und zwar in allen Finance-bezogenen Themen in erster Linie.

Wir machen im Rahmen der Due Diligence die sogenannte Financial Due Diligence. Das heißt, wir schauen für Investoren, die ein Unternehmen im Blick haben oder ein Unternehmen kaufen wollen, tief in den Maschinenraum des jeweiligen Unternehmens, analysieren die Zahlen, schauen, ob es irgendwelche Risiken gibt. Wir ermitteln ein nachhaltiges EBITDA, also eine nachhaltige Ertragskraft des Unternehmens, frei von ungewöhnlichen und einmaligen Effekten, um wirklich den richtigen Kaufpreis zu finden, inklusive Nettoverschuldung, um das sauber zu ermitteln.

Wir machen dann nach dem sogenannten Signing und Closing, wenn das Unternehmen in die Hand des Investors übergeht, das ganze Thema Reporting- und Controlling-Professionalisierung und Automatisierung, weil natürlich die Anforderungen massiv steigen. In der Regel ist eine Bankfinanzierung drin. Vielleicht ist noch ein Private-Debt-Provider drin. Der Investor will natürlich auch monatlich wissen, was in dem Unternehmen vorgeht.

In der weiterführenden Halteperiode machen wir das Thema Value Creation im breitesten Sinne. Also wirklich operative Maßnahmen, Definition von Maßnahmen, Umsetzung von Topline-Push bis Cost Cutting, alles drum und dran. Dafür haben wir eine eigene Abteilung, die ein ehemaliger Roland-Berger-Berater für uns leitet und aufbaut. Und dann wiederum Exit Readiness. Auch da wieder Datentransparenz schaffen, automatisierte Data Cubes erstellen, mit Dienstleistern auf der Gegenseite diese Ermittlungen und Analysen durchsprechen, in Vertretung für das Unternehmen oder mit dem Unternehmen zusammen, um dann erfolgreich wieder den Verkauf hinzubekommen.

Und was wir immer sagen, wir nennen uns immer so ein bisschen, das ist auch unser USP, wir sind eine tech-enabled Finance Boutique. Sprich: Wir wissen nicht nur fachlich, wie es funktioniert, wie ein Investor auf die Zahlen schaut. Das heißt, wir haben Wirtschaftsprüfer- und CPA-Hintergründe im Team beziehungsweise Leute im Team, die ganz klassisch aus dem Big-Four-Umfeld kommen und da ihr Know-how und ihr Handwerkszeug gelernt haben.

Aber wir haben eben im Team integriert Data Engineers und KI-Ingenieure, die die Verarbeitung von hoch heterogenen und großen Datenmengen möglich machen. Und das erlaubt uns diese Verzahnung von diesen zwei Welten, die in vielen anderen Häusern eben erstens nicht vorhanden ist oder, wenn sie vorhanden ist, komplett getrennt voneinander läuft. Das ist tatsächlich ein Dorn im Auge bei den Investoren.

Diese Verzahnung von Data-Engineering-Kompetenz und Finance-Kompetenz ist eigentlich unser USP und auch die Lücke, die wir am Markt füllen und die es uns auch erlaubt, so schnell zu wachsen in den letzten Jahren.

Michael
Spannend. Machen wir es mal konkret für die Investoren. Du hast ja gesagt, ihr begleitet quasi vom Erstinvestment beziehungsweise der Vorbereitung dazu bis zum Exit. Also seid ihr nicht kurz für ein Projekt drin, sondern es kann sich ja dann auch mal über ein paar Jahre ziehen. Und du hast ja schon gesagt, ihr seid auch sehr stark im Bereich Data und Tech.

Was bekommt der Investor denn dann von euch zu sehen? Also diesen Diligence-Prozess kennen ja die meisten. Es wird unglaublich viel an Daten gewälzt, es werden unglaublich viele Dokumente erstellt, Prüfkriterien, Fragen. Da kommt ja eine Masse auch auf das Unternehmen zu, das dann gekauft werden soll. Wie einfach wird es dann mit eurer Lösung dargestellt?

Sascha
Eine Financial Due Diligence muss natürlich gewissen Sorgfaltsanforderungen erfüllen. Und die Stakeholder erwarten dann natürlich auch nach wie vor irgendwo einen sauber aufgebauten Report, der einmal die Chancen, Risiken, nachhaltige Ertragskraft und Nettoverschuldung plus Working Capital und andere Themen zusammenfasst. Das machen wir nach wie vor, dass da im Endeffekt ein Report dabei rauskommt.

Was wir aber ein bisschen anders machen, ist, das Datenmodell im Hintergrund schon so aufzubauen, dass ich das später auch relativ gut automatisiert im Reporting nutzen kann. Das ist so ein Deliverable, was als Nebenwerk sozusagen mit rauskommt. Das heißt, wir denken den Prozess quasi schon weiter und produzieren jetzt nicht irgendwie 50 bis 60 Seiten Report, die dann in der Tonne landen und ich dann nach dem Closing oder nach dem Signing wieder von vorne anfange. Das ist da vielleicht der Unterschied.

In der Halteperiode wird es dann sehr spannend, weil gerade wenn ich an das Thema Reporting und Controlling denke, dann ist die Grundlage, dass dies automatisch funktioniert, schon mal ein funktionierendes Data Warehouse. Das heißt, der Mandant oder das Portfoliounternehmen hat unterschiedlichste Vorsysteme. Das war ja so ein Faible von vielen Mittelständlern in den letzten zehn, 20 Jahren, dass für gefühlt jedes Problem eine neue Software installiert wurde und man sich dann wundert, dass diese Datentöpfe nicht miteinander kommunizieren, obwohl sie ja eigentlich miteinander kommunizieren müssten, weil Prozesse tatsächlich horizontal durchs Unternehmen laufen und nicht, wie die Abteilungen aufgebaut sind, nach klassischer Managementtheorie vertikal. Das ist meistens der Punkt, an dem die meisten Unternehmen dann auf die Schnauze fliegen, auf gut Deutsch.

Wir packen diese ganzen Datentöpfe und Datenquellen, das können auch Excel-Tabellen sein, Excel-Templates, whatever, in ein geschlossenes Data Warehouse, wo dann diese Daten miteinander verzahnt werden, über Mapping-Tabellen Logiken entwickelt werden für beispielsweise Produktkategorien, Kundenkohorten, regionale Kohorten, Verkaufskanäle. Dass ich dann zum Beispiel auf einmal sehe: Welchen Deckungsbeitrag machen wir eigentlich pro Produkt, pro Kunde, pro Verkaufskanal, in welcher Region? Um darauf basierend wirklich mal Entscheidungen zu treffen.

Das ist dann das, was im Data Warehouse passiert. Das heißt, es ist auch ein ganz konkretes Deliverable, dass wir dieses Data Warehouse implementieren und zum Laufen bringen. Und da wir ja hier in einem Data-Security-Podcast sind, auch Daten sicher zum Laufen kriegen und dann über eine Visualisierung in Power BI in der Regel das Ganze mit Dashboards auch verdaulich darstellen.

Im nächsten Schritt wiederum pflanzen wir auch eine DSGVO-konforme KI-Lösung an, sodass ich in natürlicher Sprache mit meiner SQL-Datenbank chatten kann und dann fragen kann: Was läuft jetzt eigentlich gerade nicht? Mit welchem Kunden verdiene ich eigentlich gar kein Geld? In welcher Region sollte man vielleicht welches Produkt auslisten? Haben wir irgendwo in den Sachkosten Spikes drin? Zahlen wir noch irgendwelche Lizenzen für IT-Software, die wir jeden Monat zahlen? Vielleicht sind da drei, vier Stück dabei, die wir gar nicht mehr nutzen. Alles schon gesehen im Mittelstand.

Dann kann ich tatsächlich Value Creation datenbasiert betreiben. Das sind dann am Ende nach wie vor Dienstleistungsverträge, weil die Lösungen hoch individuell sind. Aber du hast am Ende ein konkretes Deliverable, eine funktionierende Lösung, wo du deine Daten in Power BI anschauen kannst, wo du mit deinen Daten chatten kannst und wo du ein funktionierendes, automatisiertes Data Warehouse hast, was dir diese manuellen Prozesse spart.

Und den lieben Investoren, die ich als unsere Kunden sehr schätze, sage ich dann auch immer: Das eine ist die Effizienz, die gehoben wird. Natürlich, das ist schön. Aber das Krasse, was dann eigentlich passiert, ist die massive Reduktion von Opportunitätskosten, weil du dann in Echtzeit Entscheidungen treffen kannst und nicht immer auf drei Wochen alte Daten schaust, die dann ein Team wochenlang manuell aufbereitet und sich im Laufe dieser Aufbereitung auch nicht wirklich wertstiftend beschäftigt.

Das heißt, da liegen im Zweifel Millionen begraben, die du gar nicht siehst, weil du immer zu spät auf zu alte und falsche Daten schaust. Das ist die konkrete Idee eigentlich in der Halteperiode.

Michael
Und damit kommen wir auch genau zu dem Begriff, den wir im Intro genannt haben, nämlich das Thema Steuerungsfähigkeit. Also ich habe ein Investment, habe da auch nicht wenig Geld investiert und ich muss ja immer gucken: Bin ich hier irgendwie on track, werden meine Ziele erreicht? Und wie du gerade in einem schnellen Durchlauf durch die Themen, die jetzt kommen werden, gesagt hast, habe ich dann eben diese Dashboards, um schnell auf Dinge reagieren zu können.

Kern sind die Daten. Du hast über Data Warehouse gesprochen. Ich möchte mal zu diesen Daten zurückkommen. Du hast schon gesagt, die Unternehmen, gerade Mittelstand, setzen oftmals auch viele Lösungen ein, wissen gar nicht so richtig: Wie kann man das miteinander verknüpfen? Wo liegen denn aus deiner Erfahrung heraus noch weitere Probleme? Ist es dann eher die Technik, also die Softwarelösungen? Ist es die Organisation? Sind es Prozesse? Oder ist es von allem ein bisschen oder von allem sehr viel?

Sascha
Das Gute ist, dass es in der Regel nicht an der Technik liegt. Fairerweise, wenn du dir einen CRM-Anbieter auswählst, also für ein Customer Relationship Management System zum Beispiel, da kannst du jetzt nicht so viel falsch machen. So ein System kannst du dir notfalls noch in Excel zusammenbasteln, ein CRM-System, das du auf dem SharePoint laufen lässt. Du kannst Pipedrive nehmen, super günstig, funktioniert wunderbar, bis hin zu HubSpot, Salesforce etc. Am Ende funktionieren die ganzen CRM-Tools beispielsweise.

Das gilt genauso auch für Buchhaltungstools, solange die halbwegs modern sind. Da würde ich die lieben Freunde von DATEV mal ganz gerne ausklammern, weil das ist Steinzeit. Aber ansonsten funktioniert das eigentlich alles ganz okay. Wichtig oder hilfreich ist natürlich, wenn es zumindest eine Cloud-Lösung ist. Aber auch das ist nicht einschränkend am Ende. Da muss ich halt mit dem VPN-Tunnel irgendwie die Daten aus dem Server rausholen und das kriegen wir im Zweifel auch irgendwie hin.

Wie du es schon angeteasert hast, es liegt tatsächlich an der Organisation, an Prozessen und am Ende auch an der Data Governance beziehungsweise der Governance an sich. Da ist meistens der Hund begraben, wenn diese Abteilungen dann ihre Lösungen installieren. Wir haben auch Mandanten, die sich das teuerste Salesforce gönnen, aber diese Lösungen dann einfach unzureichend gut aufsetzen.

Ein einfaches Beispiel: Ich hole mir Salesforce für mehrere Tausend Euro im Monat und dann sind alle Felder, die ich da befüllen muss, Freitextfelder und gar keine Pflichtfelder. Was dann passiert: Ein Vertriebler ist vom Naturell her nicht unbedingt derjenige, der es liebt, Daten zu pflegen, sondern der quatscht lieber mit seinen Kunden, was ja auch wichtig und richtig ist. Dann hast du natürlich irgendwann ein Sammelsurium von Shit, der einfach nicht funktioniert.

Ich hatte schon Mandanten, da war der Kunde Henkel beispielsweise fünfmal im CRM-System hinterlegt: einmal mit Tippfehler, einmal ohne, einmal mit Firmierung, einmal ohne Firmierung, einmal klein, einmal groß geschrieben. You name it. Also das Thema Data Governance.

Michael
Kommt mir nicht unbekannt vor.

Sascha
Genau. Schaut dann noch mal jemand drüber oder ist das System tatsächlich so aufgesetzt, dass ich gar keinen Fehler machen kann? Darauf kommt es im Kern an. Und da ist meistens ein Grund für die Probleme hinten raus, weil halt nicht nur diese Datenquellen im Mittelstand nicht miteinander sprechen, sondern weil auch die Qualität der Daten, die sich in den Systemen befinden, einfach absolut mangelhaft ist, um überhaupt irgendwas machen zu können.

Michael
Eine Frage zum Data Warehouse, das hast du eben kurz angerissen. Also ihr aggregiert diese Daten, verzahnt sie untereinander, sodass ich systemübergreifend auch Auswertungen fahren kann. Was sind denn die typischen KPIs, die Investoren jetzt wirklich interessieren und die dann in diesem Dashboard auch regelmäßig abrufen? Und in welcher Regelmäßigkeit muss das bei einem Investor überhaupt passieren, dass man sagt: Okay, ich rufe das in einem Turnus ab, wo ich keine Gelegenheit verpasse, im richtigen Moment nachzusteuern.

Sascha
Ich würde noch einmal ganz kurz ergänzend zu davor auf das Thema Datensauberkeit eingehen. Wenn du natürlich dann diese unbereinigten Daten ins Data Warehouse laufen lässt, dann hast du ein Problem, weil dann am Ende auch nichts Vernünftiges dabei rauskommt. Das heißt, ich würde immer gucken, dass ich sie ins Data Warehouse reinnehme und die Logik schon mal baue und das Thema auch visualisiert bekomme, weil ich dann in der Regel die Probleme sehe.

Dieses Argument „Bei uns brauchen wir gar nicht anfangen, weil der Datensatz so schlecht oder unsauber ist“ lasse ich in der Praxis nicht gelten. Sondern ich sage: Mach es transparent. Wenn du es transparent machst, dann kannst du im Prozess rückwärts laufen und überlegen: Was müssen wir an der Data Governance ändern? Auch das ist ein Thema, was wir in unseren Projekten dann machen.

Dass wir dann zum Beispiel mit einem Salesforce, mit einem HubSpot oder mit einem Pipedrive sprechen und sagen: Wir müssen jetzt hier mal ein bisschen was ändern. Wir brauchen Dropdowns für Kundenkohorten und für Regionen packt man vielleicht auch mal eine Liste mit allen Ländern rein, wo der Vertriebler ein Pflichtfeld hat und nicht mehr ein Freitextfeld, was freiwillig ist. Dass wir diese Governance-Struktur nachziehen und den Prozess so bauen, dass keine Fehler mehr passieren können.

Idealerweise, oder nicht idealerweise, Teil jeden Projektes ist es auch, diesen Datenmüll irgendwoher zu werden und zu gucken, dass man zumindest mal 80, 90 Prozent der Daten bereinigt ins Data Warehouse kriegt und dass sich das über die Zeit hinweg rauswäscht.

Michael
Das kann aber dann intern ein mittelgroßes bis großes Projekt bedeuten.

Sascha
Hundert Prozent.

Michael
Vor allem, wenn historisch sehr viel Müll angewachsen ist, dann ist es eine Qual, das alles wieder rauszubekommen.

Sascha
Was wir auch machen, ist zum Beispiel, dass du jetzt nicht mit einer Armada von Werkstudenten in ein System gehst und ein halbes Jahr lang Daten reinigst, sondern dass wir einfach Mapping-Dateien bauen für die Datensätze. Also dass wir die fehlerhaften Datensätze im System lassen und eine Mapping-Logik dazu bauen, wo diese fehlerhaften Datensätze einfach korrigiert werden.

Da kann man dann nämlich viel schneller eine Bereinigung vornehmen. Dass ich zumindest über die Mapping-Tabelle bis zu einem Stichtag alles extern bereinige und dann quasi nur im Haus sauber bin und versuche, ab dem Tag loszulegen, um die neue Governance-Struktur zu nutzen. Das ist dann der pragmatische Weg in der Praxis.

Michael
Eine Frage noch, weil es mich gerade interessiert: Wenn ein Investor mitbekommt, dass das jetzt so ein Kern ist, der furchtbar schlecht gepflegt ist, oder ein anderes System, wo essentielle Fehler erkannt werden. Wie nehmen Investoren denn sowas auf? Ist das etwas, wo routinierte Investoren dann auch drüber hinwegsehen, weil das Risiko irgendwie einschätzbar ist? Oder gibt es dann auch Investoren, die sagen: Ja, also weiß ich jetzt doch nicht, wir überlegen uns das noch mal?

Sascha
In der Investorenlandschaft ist mittlerweile schon angekommen, dass das Thema Cleanliness von Daten sehr wichtig ist und dass ich auch einen Exit beispielsweise in drei, vier, fünf Jahren von der Equity Story her datenbasiert belegen können muss. Das heißt, die Sauberkeit und die Relevanz von Daten sind mittlerweile bei den Investoren angekommen.

Ich sehe es trotzdem so, dass viele Investoren zugleich aber auch zu weit weg vom Maschinenraum sind, um wirklich zu verstehen, was das in der Praxis, wenn man sich die Ärmel dann wirklich hochkrempelt und so etwas umsetzen will, an Aufwand bedeutet. Da gibt es meistens so eine Diskrepanz. Das Zielbild ist klar, die Relevanz ist klar, aber das dann wirklich umzusetzen und einschätzen zu können, wie viel Arbeit das wirklich ist, gerade auch in einem Buy-and-Build-Case, wo du heterogene Firmen zusammenkaufst und versuchst, da eine Schicht drüber zu ziehen, das ist schon äußerst aufwendig.

Auf der Basis passiert es leider Gottes auch oft, dass einfach die falschen Profile zum Beispiel im Finance-Bereich gesucht werden. Dann sucht man sich wieder den nächsten Interim Manager, der 30 Jahre Berufserfahrung im CV stehen hat, aber der hat nicht mal so eine Excel-Tabelle aufgeräumt, überspitzt formuliert. Wenn man dann zu weit weg ist, besteht einfach die Gefahr: Falsche Profile werden gesucht, falsche Profile führen dann wieder zu Reibungsverlusten, das falsche Profil stößt nicht die richtigen Themen an. Also bis hin zu markant. Aber Umsetzung funktioniert in der Praxis einfach nicht. Das gilt am Ende für jedes Thema.

Michael
Ich verstehe. Jetzt noch mal zu der Frage, die ich vorhin gestellt habe. Du hast sie noch auf dem Schirm, sonst wiederhole ich sie noch mal.

Sascha
Ja, ich habe sie noch auf dem Schirm. Es ging ja darum, welche KPIs Investoren in der Regel kennen wollen und in welchem Turnus diese KPIs abgefragt werden.

Turnustechnisch ist es in der Regel so, und ich betone das jetzt, dass wir immer noch auch in 2026 auf so einer Monatslogik unterwegs sind. Das heißt, ich gucke mir monatlich Bilanz, GuV, Cashflow an, ich gucke mir das Working Capital an, ich schaue mir die Nettoverschuldung an, vielleicht auch die Net Assets. Ich schaue mir die Bank Covenants an, also die sogenannten Kreditkennzahlen, ob da irgendwelche gerissen werden und dann die Bank theoretisch fällig stellen könnte und solche Sachen.

Das sind die Financial KPIs, die ich mir da anschaue. Innerhalb der Financial KPIs natürlich weiterführend Rohertrag, Margen, EBITDA-Margen, Personalaufwandsquoten, Umsatzrendite, Eigenkapitalquote. Dann im Working Capital, was ganz Wichtiges sind immer die sogenannten Working-Capital-Kennzahlen, also die Trade-Working-Capital-Kennzahlen wie DIO, Days Inventory Outstanding, DSO, Days Sales Outstanding, und DPO, Days Payables Outstanding.

Also auf gut Deutsch: Wie lange liegt mein Vorratsvermögen im Schnitt auf Lager, bevor ich es verarbeite beziehungsweise bis es an Kunden rausgeht, wenn es ein Produkt wird? Wie lange brauchen im Schnitt meine Kunden, bis sie mich bezahlen? Und wie lange brauche ich im Schnitt, bis ich meine Lieferanten bezahle? Das sind die wichtigen Working-Capital-Kennzahlen.

Denn wie sich jeder denken kann: Wenn ich ein volles Lager habe, meine Kunden langsam zahlen und ich meine Lieferanten schnell zahle, dann ist schneller das Bankkonto leer, obwohl ich eigentlich ein sehr profitables Unternehmen bin. Zahlungsziele sind wichtig. Nettoverschuldung ist extrem wichtig, weil die wiederum bewertungsrelevant ist. Vom Unternehmenswert, der in der Regel über einen Multiplikator der Profitabilität ermittelt wird, wird die Nettoverschuldung abgezogen, um am Ende zum Kaufpreis zu kommen. Das heißt, Nettoverschuldung ist sehr relevant.

Auch der sogenannte Deleveraging, dass ich meine Bankverschuldung runterfahre und auch die Bank so bediene, wie es logischerweise geplant ist, ist sehr wichtig. Das sind die Hygienefaktoren, die man sich auf einer monatlichen Scheibe gerne anschaut. In der Praxis fairerweise besser schlecht als recht, weil die Standard-Reportings immer zu spät kommen und falsch sind, weil sie manuell gemacht werden und nicht auf dem Data Warehouse basieren.

Wo es dann meistens ganz arg knirscht beziehungsweise wo in der Praxis absoluter Blindflug herrscht, ist tatsächlich bei den ganzen operativen KPIs im Unternehmen. Also wenn ich mich jetzt von den Financials löse und zum Beispiel mal in ein Softwaregeschäft oder License-Geschäft gehe: Da kommt es ganz stark darauf an: Was ist mein Monthly Recurring Revenue? Was ist mein Annual Recurring Revenue? Was sind Churn Rates? Was habe ich an Upside? Was habe ich an Downside in meinen Lösungen hinbekommen?

Die klassische Snowball-Analyse guckt man sich da zum Beispiel sehr stark an oder Whitespace-Analysen, Penetration Rates. Dass man zum Beispiel sieht: Haben gewisse Kunden gewisse Lösungen, die wir anbieten, noch nicht oder haben die gewisse Module noch nicht im Einsatz? Und wie hoch ist dann die Penetrationsrate von dem Kunden?

Das sind zum Beispiel operative KPIs im Softwaregeschäft, die man sich gerne anguckt, weil die wiederum zeigen, welches Wertsteigerungspotenzial in dem Unternehmen noch hängt. Wenn ich ins Projektgeschäft gehe, klassisch Professional Services, Handwerk, was auch immer: Wie profitabel sind einzelne Projekte? Welchen Deckungsbeitrag erwirtschafte ich mit einzelnen Projekten? Gibt es Overruns bei geplanten Stunden versus tatsächlich benötigten Stunden? Gibt es Overruns bei geplantem Materialaufwand versus echtem Materialaufwand? Warum ist das schlussendlich so? Und passt die Projektprofitabilität wiederum zu meinen Financials?

So kannst du das durchdeklinieren. In einem produzierenden Unternehmen schaust du dann auf Deckungsbeiträge pro Produkt, pro Kunde, pro Region, pro Verkaufskanal etc. Und gerade in diesen operativen Kennzahlen ist meistens sehr großer Blindflug vorhanden.

Michael
Grundsätzlich könnten ja diese Kennzahlen, die du am Ende aufgeführt hast, die dann schon sehr ins Detail gehen, auch Dinge sein, die sich zum Beispiel in Salesforce einfach darstellen lassen, über Berichte, Diagramme, wie auch immer. Sind das Dinge, die ihr dann wirklich auch noch mal aufbereitet, die sich Investoren dann wirklich auch angucken? Weil du am Anfang dieses grobe Dashboard mit den groben KPIs genannt hast. Da muss ich ja erst mal sehen: Okay, hier ist irgendwas im Argen. Und dann würde ich vielleicht einsteigen. Oder ist es wirklich so, dass sie regelmäßig all diese Dinge einmal im Monat durchgehen?

Sascha
Es kommt darauf an. Manche Investoren haben dann eine 120-seitige Boardpräsentation und schließen sich zwei Tage ein. Andere haben eine digitale Lösung, wie wir die zum Beispiel implementieren. Die haben einen Self-Service-Hub am Ende und sind dann in der Lage, auch alle paar Tage mal reinzugucken, wie es gerade in dem Unternehmen läuft.

Wie gesagt, ich habe vorhin erwähnt: Der Standardzyklus ist nach wie vor diese Monatslogik. Meines Erachtens sind Investoren da teilweise immer noch sehr steinzeitlich unterwegs, was diese Zyklen angeht, weil das einfach, glaube ich, der größte Change Factor wiederum für einen Investor ist, diese Logik aufzubrechen. Dass ich quasi Board Meetings habe, dass ich eine umfassende Präsentation bekomme, die ich im Zweifel nicht lese, bevor dieses Board Meeting stattfindet, um mich dann zusammenzusetzen, mich berieseln zu lassen, Rückfragen zu stellen und dann nimmt das der CFO beziehungsweise das Management wieder mit und beantwortet dann drei Wochen später diese Rückfragen. Das ist halt so der Standardzyklus, der stattfindet.

Was du gerade meintest mit den Dashboards: Warum da jetzt noch mal ein Dashboard drauf oder warum da noch mal irgendwas drüber? Im Endeffekt ist es ja so, dass so ein Investor ein paar Portfoliofirmen hat. Die meisten Investoren sind auch nicht gewerblich tätig, das sind ja vermögensverwaltende Gesellschaften. Das heißt, sie dürfen auch keine Entscheidungen treffen und entsprechend sollte man jetzt auch nicht zu operativ in die Themen reingehen.

Ich kann jetzt auch nicht von einem Investor erwarten, der fünf, sechs Portfoliofirmen managt, dass der dann 50 verschiedene Zugänge zu irgendwelchen Systemen hat und da regelmäßig reinguckt und sich durchklickt. Zugleich gehen die Systeme auch noch mal in einen Detailgrad, der vielleicht für den Investor wiederum gar nicht interessant ist, sondern der am Ende auf einer aggregierten View leicht verdaulich und investorenbezogen das Geschäftsmodell und dessen Performance verstehen möchte.

Entsprechend sind diese Dashboards, die wir bauen, am Ende noch mal deutlich investorenbezogener, deutlich mehr Private-Equity-KPI-Fokus würde ich es nennen. Und du hast am Ende einfach einen Self-Service-Hub, der dich quasi nahtlos durch alle Vorsysteme browsen lässt und wo du dich nicht 50 Mal einloggen musst.

Last but not least ist es auch so, dass du aus den Power-BI-Dashboards natürlich trotzdem, wenn gewünscht, deine PDFs automatisiert generieren kannst und die dann auch per E-Mail an das Board schicken kannst, sodass du dann auch im klassischen Sinne dein Board Meeting machen kannst, auch wenn ich meine Meinung dazu habe. Aber das geht genauso.

Michael
Ja, es braucht wahrscheinlich noch ein wenig Zeit, bis sich das ändert und man vielleicht nur noch reinguckt, wenn sich etwas in deiner App meldet und du siehst: Okay, hier ist was im Argen.

Sascha
Das Interessante ist ja tatsächlich, dass wir manchmal auch sehen, was eigentlich ganz lustig ist: Wenn diese Transparenz und dieser Self-Service-Hub dann da sind, habe ich manchmal das Gefühl, dass die Investoren gar nicht mehr wissen, was sie jetzt eigentlich genau machen sollen.

Du kommst dann quasi aus diesem klassischen Board-Zyklus raus, Rückfragen stellen und dann warten, bis wieder der Input kommt. Stattdessen bist du viel schneller und kannst eigentlich wirklich unternehmerisch arbeiten und musst wirklich Entscheidungen treffen, die notwendig sind. Das geht viel mehr auf die Grasnarbe und in den Maschinenraum rein. Da habe ich manchmal das Gefühl, dass sich gerade traditionellere Investoren sogar schwertun, mit dieser neuen Transparenz und dieser Self-Service-Logik zu arbeiten, weil quasi so die alte Existenzgrundlage fast wegfällt, überspitzt formuliert.

Michael
Verstehe ich. Wir müssen natürlich noch über Datensicherheit und Architektur bei euch sprechen. Denn du hast ja schon gesagt, ihr zieht Daten ab, verarbeitet die auch weiter. Da stellen sich natürlich Fragen: Speichert ihr die zwischen? Habt ihr eigene Server? Betreibt ihr alles in der Cloud? Läuft die Infrastruktur beim Kunden? Ist das ein hybrider Ansatz? Wie geht ihr mit dem Thema Zugriff auf diese Daten um?

Also ihr habt Zugriff, der Investor hat Zugriff. Hat das Unternehmen selbst auch Zugriff, von dem die Daten kommen? Vielleicht kannst du dazu kurz was sagen zum Thema Data Warehouse. Wie stellt ihr das eigentlich bereit? Du hast schon gesagt, ihr seid sehr affin im Thema Tech. Da müsst ihr euch ja ein Konzept überlegt haben, wie ihr das am besten und vor allem auch sicher, das ist ja ein Security-Podcast, umsetzt.

Sascha
Da gibt es tatsächlich verschiedene Wege. Ich bin jetzt auch nicht der Mega-Techniker. Ich bin am Ende nur die Rampensau, die den Vertrieb bei uns macht. Aber ich versuche es auf jeden Fall mal.

Grundsätzlich sind wir flexibel. Fangen wir mal so an. Datensicherheit ist das A und O, aber wir sind in der Lösung am Ende einigermaßen flexibel. Was wir auf jeden Fall sicherstellen, ist, dass die Daten nicht dahin gehen, wo sie nicht hingehen sollen. Wenn wir Cloud-Lösungen nutzen, wo diese Daten gespeichert werden, dann machen wir das zum Beispiel über Hetzner. Das ist relativ einfach, ein deutscher Service Provider, ist gut für cost-sensitive Projekte und bietet am Ende die Cloud-Sicherheit, die ich da im Zweifel benötige.

Es gibt viele Kunden, wo wir das Data Warehouse auch bei denen in der Infrastruktur hosten, weil das einfach gewünscht ist, dass die einen lokalen Server haben, wo das Ganze entsprechend hinterlegt wird. Und wenn es größere Themen sind oder größere Datenmengen, dann machen wir es halt immer über beispielsweise Azure und schauen, dass wir da entsprechend in der Microsoft-Umgebung bleiben, die ja die Daten dann auch entsprechend in Deutschland beziehungsweise Europa zumindest offiziell behalten.

Wenn wir mit KI arbeiten, hatten wir erst eine Lösung, die quasi lokal laufen kann, also ein Large Language Model, was lokal in einem Server oder in einer Struktur laufen kann. Wenn wir jetzt unsere jetzige Lösung anschauen, dann sind wir momentan zumindest, das kann sich ja alle drei Wochen ändern in der schnelllebigen Zeit, mit Langdock zugange. Das ist wiederum eine deutsche Lösung, die DSGVO-konform ist und wo wir im Backend sichergestellt haben, dass nichts nach außen fließen kann und die LLMs dann auf den Datensatz vom Kunden zugreifen.

Da weißt du schlussendlich natürlich auch nicht in absolut letzter Sicherheitskonsequenz: Gehen die Daten vielleicht nicht doch nach Amerika? Aber du musst ja deine Kunden darauf hinweisen. Datenschutz wird bei uns über etablierte Anbieter sichergestellt und großgeschrieben.

Wir haben wiederum, muss man auch sagen, unsere Microsoft-Umgebung so sicher aufgebaut, dass wir wirklich mit das höchste Sicherheitsrating von Microsoft haben, das man tatsächlich haben kann. Das Backend ist im Laufe der Zeit mit allen Kniffen und Tricks, die man sich vorstellen kann, sehr sicher aufgesetzt worden, sodass wir in unserem Backend sehr sauber unterwegs sind.

Im Endeffekt arbeiten wir mit etablierten Anbietern zusammen, schauen, dass die Daten in Deutschland beziehungsweise Europa sind, dass alle Anwendungen, die wir nutzen, logischerweise DSGVO-konform sind. Aber wir lassen uns jetzt auch ehrlicherweise nicht typisch deutsch, was es zum Beispiel Langdock angeht, bremsen und sagen: Ja, aber die letzten 0,2 Prozent Datensicherheit sind vielleicht nicht gewährleistet. Dann komme ich auch nicht voran.

Da muss ich auch so ein bisschen die amerikanische Denkweise anwenden und sagen: Wir müssen jetzt einfach ein bisschen probieren, mit den Mandanten gemeinsam, und schauen, dass wir da vorankommen. Ansonsten hängt uns halt irgendwann jeder ab. Und wir wollen da Vorreiter sein, deswegen probieren wir da auch gerne mal etwas aus.

Michael
Ja, den Ansatz finde ich vom Grundsatz her auch nicht verkehrt, solange man die Themen der Cyberhygiene, du hast ja gerade schon ein paar Punkte genannt, einfach beachtet und berücksichtigt und eben auf Möglichkeiten hinweist.

Du hast ganz am Anfang gesagt: Wir sind da flexibel. Das ist auch eine typische Vertriebsantwort. Was ist denn eure favorisierte Lösung? Also wie macht ihr es denn am liebsten?

Sascha
Ich sage mal, favorisiert ist schon das erste Beispiel, was ich genannt habe. Also wirklich schlank, das Ganze bei Hetzner zum Beispiel hosten. Das ist ein deutscher Serveranbieter, der kostet verschwindend gering Geld. Ich weiß, das funktioniert, ich weiß, das ist sicher. Dann haben wir da einen Ubuntu-Server, hosten da das Data Warehouse entsprechend. Kostet wenig, Wartung ist gering, Daten sind in Deutschland, fertig.

Da fühle ich mich immer wohl, auch was den Kunden angeht, einfach was Kosten angeht und zugleich was Compliance angeht. Das ist eigentlich meine favorisierte Lösung.

Michael
Und wie geht ihr jetzt konkret mit dem Thema Berechtigungen um? Ihr zieht ja definitiv sensible Daten, die schützenswert sind. Da ist ja immer wichtig zu wissen: Wem gebe ich Zugriff, wer bekommt keinen? Wie sieht der Umfang dieses Zugriffs aus? Leserechte, Schreibrechte, wie auch immer. Sind das dann nur ihr und die Investoren und ihr zieht quasi aus dem Unternehmen nur die Daten ab? Gibt es dann irgendwie eine vertragliche Vereinbarung? Oder hat das Unternehmen dann auch noch in irgendeiner Form Zugriff? Und wer steuert diesen Zugriff? Wahrscheinlich ihr, mein Tipp.

Sascha
Ja, genau. Im ersten Schritt ist das erst mal eine sehr kleine Gruppe, die involviert ist. Also es geht erst mal los, dass jemand aus dem Unternehmen mit reinschaut und dann vielleicht ein, zwei Ansprechpartner beim Investor plus natürlich unser Team.

Wir arbeiten da mit verschiedensten Rollen in diesen Workspaces. Wir haben Admin-Rollen, Member-Rollen, Contributor-Rollen, Viewer-Rollen. Das ist die Grundidee. Die Admins können dann natürlich wiederum die Workspaces verwalten und auch Zugänge geben. Die Member und Viewer haben entsprechend weniger Rechte und können auch weniger Schindluder betreiben.

Gerade diese Admin-Rollen liegen eigentlich ganz lange bei uns, bis wirklich eine Übergabe in die Umgebung vom Kunden stattfindet, wo man dann dezidiert eine Person oder zwei hat, auch wiederum in deren IT-Abteilung zum Beispiel, die dann dieses Tool sozusagen mitsteuern, mit Adminrechten.

Das zweite Thema, was du gerade gesagt hast: Wer darf eigentlich was sehen? Da gibt es natürlich gerade in Power BI zum Beispiel sehr vielschichtige Einstellmöglichkeiten. Ich habe zum Beispiel die sogenannte Row-Level Security, die im semantischen Modell definiert, wer welche Zeile sehen darf. Dann kann man zum Beispiel sagen, der und der Investmentmanager darf nur das und das Unternehmen sehen. Es ist unwahrscheinlich, aber das könnte ich theoretisch einstellen.

Dann natürlich weiter unten, dass der Vertriebsmitarbeiter wirklich nur die Vertriebskennzahlen sehen darf. Der HR-Mitarbeiter ist der einzige, der die HR-Kennzahlen sehen darf. Der CFO darf vielleicht alles sehen, der CEO darf auch alles sehen, ein CSO darf vielleicht nur die Topline-Ebene betrachten. Das kann man sehr individuell mit statischen Level Securities und auch dynamischen Level Securities skalierbar aufbauen.

Dann habe ich zweitens die Datensätze und dann habe ich noch mal die Object-Level Security, wo ich sagen kann, wer bestimmte Tabellen nicht sehen darf oder wer bestimmte Auswertungen nicht sehen darf. Das ist zum Beispiel relevant, wenn bestimmte Margenauswertungen oder so etwas nicht für alle sichtbar sein sollen. Wenn man zum Beispiel sagt: Umsatz darf eine breitere Mannschaft im Unternehmen offiziell sehen, aber vielleicht nicht die Umsatzrendite oder was am Ende hängen bleibt.

Da kannst du innerhalb der Lösung eigentlich alles einstellen und im Backend dann über die Rollen verteilen. Da sind wir natürlich auch sehr restriktiv und schauen, dass nichts nach außen leakt. Wenn dann die Übergabe stattgefunden hat, dann ist es natürlich am Ende Verantwortung der jeweiligen Person. Wir lassen uns natürlich auch die Rollen und wer Zugriff bekommen soll freigeben von den Leuten und sprechen sicherheitshalber noch mal mit denen, dass alles safe ist.

Michael
Klingt nach einem fundierten Berechtigungskonzept. Vorbildlich.

Sascha
Du weißt es am Ende nie. Microsoft selbst ist ISO-zertifiziert, SOC-2-zertifiziert, die sind DSGVO-konform. Da musst du dich am Ende halt drauf verlassen. Das ist genauso wie bei Langdock, die DSGVO-konform sind. Wenn ich jetzt am Ende trotzdem noch alle Individualitäten typisch deutsch abwägen will, dann mache ich am Ende kein Geschäft mehr und mache meinen Laden zu, weil ich mich dann nicht fortentwickle. Das Risiko bleibt natürlich am Ende irgendwo immer bestehen, aber ist halt so.

Michael
Ja, gerade mit dem Einsatz von künstlicher Intelligenz muss ja auch immer beim Anwender ein gewisses Misstrauen gegenüber der Antwort mitschwingen. Du kannst das nicht alles immer zu 100 Prozent exakt so weiterverwenden und solltest hier und da eine Zwischenprüfung machen. Da sind die Leute ja dann am Ende auch ein Stück weit mit in der Verantwortung.

Wenn wir jetzt schon beim Punkt Security sind, dann müssen wir natürlich darüber sprechen: Du hast vorhin ganz viele KPIs aufgezählt, die relevant sind für den Investor. Und ich habe mir im Vorgespräch schon die Frage gestellt: Sag mal, Sascha, wenn Security und Cyberangriffe das größte unternehmerische Risiko weltweit darstellen, wieso finde ich denn überhaupt gar keine KPI zum Thema Security in diesem Dashboard?

Ich habe schon im Vorgespräch verstanden, dass bei den Investoren die Aufmerksamkeit für dieses Thema vielleicht gar nicht so hoch ist. Aber wenn man sich einfach mal vor Augen führt, dass schwache Security dazu führen kann, dass ein Unternehmen, sagen wir mal aus der produzierenden Industrie, das ich gerade im Zuge bin zu kaufen, durch einen Cyberangriff die Produktion ausfallen kann, weil die Cyberhygiene gar nicht passt, dann ist das ja ein Risiko, was ich eigentlich mit bewerten müsste. Wie siehst du das?

Sascha
Ich sehe das sehr valide. Am Ende denke ich, liegt es einfach daran, dass ein Private-Equity-Investor traditionell auf die Financial KPIs optimiert. Jetzt findet ja schon ein Trend statt hin zur Value Creation oder mehr zur operativen Value Creation, weil dieses klassische Financial Engineering eben nicht mehr funktioniert.

Vor Covid hatte man eine Nullzinsumgebung. Da sage ich jetzt mal ketzerisch, da konnte ich als Investor auch nicht viel falsch machen. Ich habe ja selber auch mal einen Deal gemacht und ein Handwerksunternehmen übernommen. Wenn ich diesen Deal in der heutigen Zinsumgebung hätte machen dürfen, wäre mir der Deal kaputtgegangen. So einfach war das.

Das heißt, da war Financial Engineering noch an der Tagesordnung. Multiple Arbitrage, Unternehmen größer machen anorganisch, durch die Größe steigt der Multiple und dann verkaufe ich quasi das gleiche Ding einfach mit einem höheren Multiple am Ende weiter. Das funktioniert heute nicht mehr so.

Was jetzt der Trend ist, ist das Thema Value Creation. Also operativ wirklich den Laden auf Vordermann bringen, operativ das EBITDA steigern, gucken, dass das entsprechend vorangeht, weil Financial Engineering nicht mehr funktioniert. Aber die Heritage von einem Private-Equity-Investor ist nach wie vor, meines Erachtens, dass der auf Financial KPIs optimiert, weil die am Ende die Bewertung treiben.

So ein Security-Thema ist am Ende einfach ein Thema für die IT-Abteilung oder für den CISO und eben nicht für Investorenreporting. Ich habe dann noch eine Cyber Due Diligence gemacht oder es könnten regulatorische Strafen auftreten, wenn ich ein Leak habe oder sonst was. Man liest die Sachen ja auch: Produktion wird lahmgelegt. Gerade die Automobilzulieferer leiden da extrem darunter.

Man könnte sich theoretisch schon vorstellen, dass man in ein Dashboard irgendwie, da kennst du dich jetzt besser aus, Time to Detect und Backups oder sonst irgendwas reinnimmt. Wie oft Backups gemacht werden oder ob die Mitarbeiter Security-Trainings absolviert haben. Aber das ist meines Erachtens einfach so ein Hygienefaktor am Rand, der dann von der IT-Abteilung gecovert wird. Operativ vielleicht. Und vielleicht am Ende auch einfach ein Thema, wo man in der Due Diligence einen Haken macht mit einem Provider und sagt: Das passt schon.

Michael
Ich formuliere es etwas überspitzt, was du jetzt so erzählt hast. Bei mir bleibt dann so ein bisschen hängen: Ja, also ich weiß als Investor, Security ist auf jeden Fall ein Thema, das wird das Unternehmen auch schon irgendwie machen. Ich beschäftige mich damit aber jetzt erst mal nicht, weil ich möchte dieses Unternehmen ja eigentlich in einem Zeitraum wieder verkaufen und ich hoffe einfach, dass in diesem Zeitraum diese Einschläge nicht passieren.

Wenn ich irgendwie feststelle, das gehört ja dann auch mal dazu, dass es hinten und vorne mit der Cyberhygiene nicht passt, wir gar kein 24/7-Monitoring haben, auch viel zu wenig Personal in dieser Abteilung haben, um Security selber zu betreiben, vielleicht noch einen Provider brauchen, der uns jeweils absichert, dann muss ich ja auch wieder investieren. Und das macht mir ja dann auch vielleicht die ein oder andere wichtigere KPI wieder etwas schlechter.

Sascha
Ja, also 100 Prozent. Dass da Risiken sind. Eine IT Due Diligence wird ja oft auch gemacht und da werden dann auch Risiken identifiziert. Aber wie gesagt, ich kann da nur bei meiner Antwort bleiben: Ich glaube, am Ende wird auf die Financials optimiert und die Risiken, die sich da ergeben, müssen halt dann einfach bearbeitet werden.

Das ist wie die Frage Compliance zum Beispiel. Ist Compliance jetzt für einen Investor wichtig? Da sagt jeder: Ja, das ist für uns wichtig. Aber das ist mit Sicherheit kein Thema, was jetzt ganz oben steht, sondern ganz oben steht das Thema Wachstum von dem Unternehmen und was dann am Ende dabei rumkommt.

Ich glaube aber nicht, dass das Thema nicht wichtig ist. Aber es ist, glaube ich, in der Beurteilung von dem Unternehmen immer noch stark financebezogen und auch operativ bezogen, aber eben nicht auf so Randbereiche, die einfach abgehakt und erfüllt werden müssen. Aber ich sehe da gerade für euch oder für das, was ihr macht, eine absolute Daseinsberechtigung, weil da viele noch nicht so unterwegs sind, wie man sich das vorstellt.

Da geht es ja manchmal los, dass es nicht mal eine Multifaktor-Authentifizierung für deinen E-Mail-Account gibt. Das ist ja fahrlässig.

Michael
Auch da, wir haben schon gesagt, es gibt mehr Daten als jemals zuvor. Und sobald ich mir Security-Lösungen einkaufe und in place habe, produziere ich ja auch wieder Daten. Logs werden mitgeschrieben. Ich kriege Alerts ohne Ende. Es gab eine Studie, dass größere Enterprise-Unternehmen im Durchschnitt 83 verschiedene Security-Lösungen im Einsatz haben. Da werden Daten produziert ohne Ende und auch die kann ich natürlich in Dashboards aggregiert und smart darstellen.

Aber ich verstehe komplett deinen Punkt und auch die Sicht der Investoren auf die Dinge natürlich.

Sascha
Mir ist nur wichtig, dass es nicht zwangsläufig genauso meine Meinung ist, weil ich das Thema als sehr wichtig ansehe. Ich muss in deine Richtung sagen: Das ist gerade ein spannender Impuls, sich dem Thema vielleicht auch dashboardbasiert mehr anzunehmen als Teil der operativen KPIs. Dass man auch mal sagt: Hey, wir können auch für so einen IT-Kollegen vielleicht ein Dashboard bauen, dass der seine Übersicht hat, was da so schieflaufen könnte, was vielleicht auch im Exit wieder eine spannende Story wäre, dass wir eine automatisierte Sicht auf diese Security KPIs haben.

Das sind alles Sachen, die einfach noch so wenig salonfähig oder bekannt sind, dass das vielleicht jetzt auch ein Impuls ist, um das hier und da mal zu überlegen. Ich bin auch super offen, dass ich das mal ein bisschen abteste, weil ich das tatsächlich nicht unspannend finde.

Michael
Würde mich natürlich freuen, wenn du da bei einem Investor oder Kunden Gehör findest. Dann können wir gerne darüber sprechen, wie wir es gemeinsam umsetzen können.

Aber soweit, Sascha, danke ich dir für deine Zeit, für deine Impulse und für deine Insights zu deiner Firma. Wie ich finde, super spannende Lösungen, die ihr da gebaut habt, und sehr smart, einen recht umfangreichen Prozess sehr visible und sehr einfach zu konsumieren darzustellen.

Wenn ihr mehr wissen wollt über Radial Consulting, geht gerne auf Sascha zu, besucht die Webseite von Radial Consulting. Oder schreibt uns, wenn ihr Fragen habt zum Thema Security. Wie seht ihr das Ganze? Sollte das bei Investments eine verstärkte Rolle spielen oder nicht? An der Diskussion werden wir vielleicht noch ein bisschen arbeiten.

Danke für die Einblicke. Ich habe mich sehr gefreut, dass du da warst, und ich hoffe, die Zuhörerinnen und Zuhörer konnten etwas mitnehmen.

Sascha
Das hoffe ich auch. Vielen lieben Dank.

Michael
Bis dahin, bleibt sicher und gesund.