Number#9, Episode 001: Interview with Gary McGraw, PhD, about the state of security and successfully growing a business

In this 1st episode of my podcast “Number 9”, I have interviewed my friend and idol Gary McGraw about software security and what it means to grow a business. For the convenience of those that prefer to read, you find a transcript of the recording generated by a piece of software and reviewed by myself. I was surprised by the high quality. We have used a platform called Irius for the recording since we could not meet in person for obvious reasons. It depends on the line capacity and since Gary was sitting in a small cabin somewhere in the middle of nowhere, there are some outages in the recording – sorry for that. I learned it’s smart to have no landline phone or any other ringing device in the room. The numbers you see in brackets are time-stamps for your convenience. I have also marked my questions in bold and key insights in italics. Hey ho, let’s go!

Markus interviews Gary McGraw.

And here’s the transcript.

Markus: [00:00:07] Gary, I’m pleased to have you on my very first podcast. I never did that before. I don’t know whether I will do it again. [Gary making a funny comment on this]. So – I first learned about you and your work in the last century, when I read about your code scanner ITS4, which stands for “It’s the software [00:00:37], stupid. Security Scanner” – as far as I remember.

Gary: That’s right.

Markus: And I consider you a true pioneer in the field. And by the day I read about that, I knew what my profession will be in the next 20 years or so until this day.

Gary: Cool. Either cool or I’m feeling sorry.

Markus: Yeah, we argue about that [00:01:07] when we meet in person again. We have talked about that a few times before but what do you think when we talk about the modern term is “resilient” software not secure secure software these days. What should everybody do?

Gary: Well, look the main thing to understand is that in order for software to be secure, you have to set out to design [00:01:37] and implement it that way.

So the first thing to understand is you can’t just take a piece of software and make it secure later in an economical way. The best way to do it is to build security in throughout the entire software development life cycle. And so as I explained in my book Software Security, there are a number of activities that you can put into your software development life-cycle. No matter whether it’s [00:02:07] DevOps or waterfall or any … doesn’t matter goat sacrifice … the idea of the touch points is if you have certain software artifacts, then you can check them for security. So I’ll give you three examples. One touch point is code review. And by every single software project going to have code and you need to take a look at it for security bugs [00:02:38] a code scanner like ITS4 can be used for that or Fortify or Coverity. There are a number of commercial tools available now that were not around 20 years ago. So check your code with a code review tool.

Another touch point is to do architecture risk analysis or threat modeling. This is often overlooked especially today when people are doing DevOps and there are few tools for architecture analysis, although they’re coming [00:03:08] around now, so that’s something we see a lot of activity in in software security today.

And then the third touch point I want to focus on out of 7 is penetration testing. It’s kind of funny, but everybody seems to start with pen-testing. That’s not the one to do first. It’s better to do code review. It’s better to do architecture analysis, and then you can do some pen-testing later. So that’s an example of what you have to do in order to build what you term resilient software [00:03:38] or secure software.

Markus: And it turns out that penetration tests are the thing that most people have in their checklist. “Oh, when we want to be secure, let’s have a pen-test” and we both know that the journey starts then, it doesn’t end there.

Gary: That’s right. And you know, I think that penetration testing is good, you should do it, but it should not be the only thing you should do [00:04:08]. And if you’re going to start out with the software security initiative, you really shouldn’t start with pen-testing. That’s not how to get started.

Markus: Well, when I speak with people these days after having sold my own company and I know that you did the too a while ago. So you grew your company Cigital and let me know whether the number is true up to 400 people [00:04:38] by the end of the day or over many many years. It starts with I don’t know some guys in a garage over a beer and then over night you are 50 then 100 and finally 400. [00:05:08] What do you remember as a remarkable tipping point in that growth journey? Is there anything you remember where you had to reinvent the company, bring some people in, get others off?

Gary: Yes, that’s a really good question. So I can think of three important things that helped us to grow to 400 people. The first is that the founder that founded Cigital, the two Founders actually, really did a great job getting the company started and grew it to a certain size, [00:05:38] but they basically hit the wall around 50 people. So at that time we had major crisis inside of Cigital and we had to hire a new CEO and I got put on the board. It was a long story best told over beers and not in the podcast. But in the end we got past that and it took a realization that though the founders were great, they were not the sorts of people that were going to make Cigital what we all wanted to make it including [00:06:08] them. Their capabilities ended around 50 people or so. So that’s one thing that was an important lesson. I don’t know if that happens to all founders, but it does seem to be common enough that it’s worth mentioning.

The other decision that we made from say 50 to 250 people and then beyond was to run an open book company where we showed everybody, what the revenue [00:06:38] was, what the expenses were, … we didn’t talk about people’s salaries, but we put all of the numbers for all the divisions in a very big spreadsheet up on the wall every month and we let people ask questions about what was going on. Because we did that we taught people how the company actually ran and made money. We showed them what kind of impact their own activities had, they could see how much budget they were burning [00:07:08], what the results were, whether that was good enough, and that open book philosophy was really fantastic. The one funny thing about that is almost every time we would put the number up somebody would ask again: “What’s EBITDA?” and we would have to explain that’s earnings before interest and depreciation and whatever – every single time we say it’s a proxy for cash. But so that goes [00:07:38] to show even if you see the numbers every month, it doesn’t really mean you know what they’re saying. That’s two things.

And then the third thing that I think was really important for us at Cigital. We really cared about customers. We were a consulting firm. And so the success of our customers was super important and as a result, our customers really liked us and they told other people about us and so we spread [00:08:08] by word of mouth. This was particularly important in the financial services industry which is very tight-knit. And so, you know, that kind of word of mouth and customer success was very important for us. Those are three kind of things that I think were critical to our success that I would watch out for.

Markus: Yeah, that’s very insightful. So bringing people in [00:08:38] or getting them out is something that I have experienced, too. We tried that open book thing and we got the same questions every time so I think I did that once a month or so. So as you know, I have never learned that, I’m an engineer. But in the meanwhile, I can sing this song. So we are sitting on different sides of [00:09:08] the big point. I assume you are at home in West Virginia. [Gary: I’m in Virginia not West Virginia, but very close to West Virginia.] Okay, so I’m in the Frankfurt-Heidelberg area and I think we have both experienced cultural difference between North America, which is different if you see west [00:09:38], middle, and eastern America. But there are some different differences between America and Europe. What’s your take on this? What do you need to consider? I remember that situated wanted to do some work over here to starting in the Netherlands. What was your impression on that?

Gary: Well, so we actually ended up with a very big staff in Europe of about 40 or 50 people by the time we were done [00:10:08] and several offices. What is funny is that I think that North America and Europe have more in common than they have differences when it comes to business because my view is that it’s about relationships with your customers. So you really have to have a trust relationship with your customer and you have to be there. So one of the important things to know about say doing business in Germany [00:10:38] is that you had better be there. You can’t just and zoom up and go. “Hey, how’s it going? I’m sitting here in New York City. How’s everything in where are you again? Germany? Oh, yeah …” that doesn’t work. You have to go to Oktoberfest with somebody and have a beer stein and eat some bratwurst and build a real relationship. So I think that understanding the culture comes with that close [00:11:08] contact and that close contact and that relationship building is important on both sides of the pond. Just to give you an example at Cigital, we did a lot of work with JP Morgan Chase in New York City, and we had people living in New York City delivering there. We knew the executive extremely well. At the time Jim Routh was there and Jim and I have been doing business together for you know, almost 20 years now [00:11:38] and we’ve had our ups and downs and relationships but mostly ups. But we really knew each other and we could talk very openly about what needed to happen in plan and work the politics and work the budgets and all that together. And then in Germany, we had the same thing happen. It wasn’t me this time but we developed a very important relationship with Daimler. And the way to do that was to be there in person. So I came over and gave a big talk for their [00:12:08] CTO Summit and then we had people that were delivering services and we really spent a lot of time with the CISO over there understanding what was worrying the CISO and how helping him get his vision established at Daimler. And so both of those accounts which were very big accounts for Cigital in the end were built through relationships. And they were on different sides of the ponds and they involved eating [00:12:38] different things and drinking different things. It was still people on both sides.

Markus: Yeah and I miss that a lot. It’s okay to see each other, to hear each other, but meeting in person in the same room or on a table sharing some beers … we need that sooner than later.

Gary: We do and you know you and I developed our own relationship with that way in person. We’ve [00:13:08] had some very great times together and we’ve done some of the good things because we trust each other and we have that relationship. So that’s that sort of goes to show you.

Markus: Yeah. Yessir. So one of the ideas of the podcast is to share some advice for the young guns which are out there with great ideas and who are bold enough to start their own company [00:13:40] and that plan to grow – sometimes growth is something that’s surprising you are successful. You are 5 people, 10 people, 20 people and I think that’s one of the differences that I have seen between Europe and North America is that most people over here see it very critical of find it difficult to grow with external help … with [00:14:10] some funding. I believe that funding is very important to overcome certain barriers or to overcome certain hurdles in growth. What would be your advice to young founders that want to grow their business and that plan to raise some money?

Gary: Well, I’ve actually written about this and given talks about this very subject and I came up with things that are what [00:14:41] … I wrote an article called “Seven things I’ve learned about running companies” that I wrote really before Cigital even got bought by Synopsys. So I would encourage people to look that up if you just type in “seven seven things start up Gary McGraw” it’ll be the first it on InformIT. But I think the one I want to emphasize with you is this. It’s very easy when you’re a little company and you’ve got to meet [00:15:11] payroll and you have expenses to forget what you’re doing and chase only money. You say: “I gotta have money. Oh, no, what we’ll do whatever we need to do will take your dog for a walk. We’ll cook you dinner and clean your bathroom for money.” Don’t do that. Only do what you’re supposed to do for money. Don’t do any other stuff. If somebody says, wow, you guys are really good at programming. [00:15:41] Can you just program this one thing for us? Say no, keep your eyes on the ball of what you want to do and do that for your customers, not anything else. That’s a very, very important lesson. It’s just called keeping your eye on the ball and it often involves adult supervision. So that’s one kind of long example.

Let me tell you the 7 things very quickly. Okay, here they are. I’m just going to run past them quickly [00:16:11]. (1) Learn to think and write and communicate, (2) build a big network and travel and meet people. (3) Follow the categorical imperative from Immanuel Kant which says if you do that to other people they’re going to do it to you. So do the right thing. (4) Know what it means to look into the hole and say “ah, we may not survive” and not panic, (5) be patient [00:16:41] and be consistent and develop a rhythm and know that this is not a sprint. It is a marathon and you got to pace yourself and breathe right and go for the long-term. (6) Have fun and do what you’re passionate about. Really, fun is important. If you’re not having fun, what’s the point? (7) Utilize your network of people including people that have gray hair like you and me and build great stuff and the world will find your [00:17:11] great stuff if you build it. So those are my big pieces of advice in that article.

Markus: Yeah, and I did that while you introduced this and simply typed that into my browser and everyone who repeats that will quickly find a write-up of this. Just a note on that categorical imperative. I have seen something similar like this. Sometimes you win, sometimes you lose. And sometimes it’s the other way around. [00:17:41] So be gentle to even competitors.

Gary: Absolutely. And people who think that business is the “art of war” are wrong. It’s not. Business is “I want to get this done” and “you want to get that done” and together we can walk for a while because we have the same direction.

Markus: When we we talk about [00:18:12] raising money sooner or later you have to first people who speak a different language, financial language, and bring spreadsheets on the table, that’s not much effort, just need to spend 23 hours of the day and filling this form and that form and blah blah blah. What would you consider a deal breaker in such a discussion?

Gary: [00:18:44] Well, I mean number one, is that you? Should never bullshit. So, if you’re if somebody speaking a different language there (I can hear your phone). If someone else speaking a different in the VC meeting or whatever and you don’t understand – tell them. “I don’t understand what you mean. What are you talking about? What do you mean EBITDA? I don’t know what that is.” It’s okay not to know [00:19:14]. Don’t bullshit. Don’t make stuff up. Up and don’t just pretend that you know what they’re talking about. If you don’t it’s much better to ask questions, understand clearly, and show that you’re a smart person that may have different kinds of experiences than the people that are going to fund you. So that’s the number one lesson: no bullshit!

Number two is if you think that those funding people are assholes [00:19:44] they probably are. Go to some different ones. All of the funding people are not assholes, but some of the funding people are assholes. And you don’t need the assholes in your life. Just stop the meeting and leave if somebody is an asshole.

Markus: That’s a generic advice for life!

Gary: Exactly. You know, it’s surprising that people think “oh, it must just be because they are bankers.” No, no, no. No that’s wrong. It’s because they’re an asshole [00:20:14]. And then the third thing is you don’t need to do as much marketing as you think, so don’t spend everything on marketing because when you’re little, if you’re doing good stuff, you’re going to have too much business and not enough people. And you don’t need to to spin the marketing money to grow fast until you’re a much bigger size say around – I don’t know – 15 or 20 million a year EUR ARR then you [00:20:44] can start spending on marketing. But before that you don’t need to do that. So those are my three pieces of advice about the money situation.

Markus: I went through a similar exercise by trying to raise some money. I think it took us three or four attempts to be successful in the end selling our company. What’s [00:21:14] your view on: should the exit of the former owners of founders be planned? So, is that something “”yes you stay here for 12 months or 24 months and then you are out” or is there an alternative plan where people say it might be smart to keep you onboard. So what’s your take on this?

Gary: I have no opinion about this. I’ve seen it screwed up every [00:21:44] single way. Getting rid of the founders, keeping the founders – both can screw up. So there’s no one answer to that. You have to just look at the culture of the company that is selling and whether or not it’s going to remain without the central founder or whether it will blow apart. You have to make sure that the, you know, if you have an open book company and you start working for a closed book company things are going to be very [00:22:14] stressful for people who are used to information and they have no information. So I think that the cultural fit is more important than what happens to the founders and You know founders might think it would be fun to be in a new place, but I’ll tell you from my own personal experience when my company got bought, it got bought by a public company and we were in a division, I was only 2 hops away from the [00:22:44] CEO of this huge public corporation, but I felt like I couldn’t get anything done because of the bureaucracy. I was used to just doing stuff and I would think of something and then I would do it and if I needed budget, I would make it. “Poof”. And I did not like the constraints of working for a large public corporation in all the bullshit and waiting around and so I was a bad cultural fit for a public corporation and I guarantee you I will never work for one [00:23:14] again. But I’m a really good fit for an entrepreneurial organization that needs to grow fast and to be nimble and to move quickly. So I’m not interested in turning cranks and making more money happen faster every quarter. I’m much more interested in changing the world and being out in the jungle with the machete hoping that one day the world will build some train tracks out that way and establish a little village and eventually [00:23:44] it’ll be a city. So I’m much more of a machete guy myself.

Markus: Maybe the insight here is that it might be a good idea to think about what do you want from the former owner? Do you want them to continue to push something? Then you should enable him to push things – or not. Then you should be transparent on: you will be out in I don’t know 12 months, 24 [00:24:14] months or whatever.

Gary: Sure. I mean, I worked like this. I just said “look, I’m going to give you three strikes, like in baseball.” And if you have a strike with me, I’ll tell you. That’s a strike. Well, I sure don’t like that. That’s terrible. That’s one strike. And in another strike happens. Oh, that thing that you did that doesn’t work for me. That’s another strike as to you got one left and then I’m out and that’s the way I worked it for myself. Because I never worked [00:24:44] for a big corporation. It was fun. It was really fun to like press a button on the aircraft carrier and see what happened. Like what kind of missiles got launched, what kind of plane blew up? No, but they didn’t really like that. Like who’s this guy pressing buttons? I was like, I don’t know. I’m pressing buttons because it’s fun. No, but that’s just me.

Markus: Oh, yeah, I like that idea of the three strikes. Maybe [00:25:14] that’s an advice for everyone listening here to formalize something like that in your Sales Purchase Agreement saying, hey, so I had rules what I was not allowed to do. Maybe there can be some rules for what the buying company is not allowed to do.

Gary: Yeah, and you know the deal structure really impacts that I mean, I had the luxury of doing that because we had an all-cash [00:25:44] deal. I did not have an earn-out and I didn’t have to like, you know, there wasn’t stuff I had to do to make it a success. I cared about my people. I wanted to make sure everybody was comfortable and they had a good career path and that Cigital didn’t just fall apart. We didn’t want to abandon it and take all the money and run away. But at the same time we had the luxury of being able to walk away because it was just money in the bank over there.

Markus: [00:26:17] So we sort of touched the next two questions somehow so I skip them coming to the last one going back to our core passion security. What do you think? What’s the next big thing around the corner?

Gary: Well, what I’ve been working on for the last two years is artificial intelligence and machine learning security and I actually formed an Institute [00:26:47] called the Berryville Institute of Machine Learning. You should know that Berryville is a town of about 2,000 people which has more cows than people. And the institute has been studying machine learning from a security engineering perspective and making quite a big splash. In fact recently, I’m proud to say that we got a grant from the open philanthropy people for $150,000 for or this year to do whatever [00:27:17] we want to do in our machine learning security space. Because they feel like what we’re doing is that important that we are in some sense keeping an eye on big companies using machine learning like Microsoft and Google and Amazon and everybody else who are using machine learning like crazy and who have very good machine learning security people, but there are also huge corporations that are a little bit greedy and [00:27:47] care less about things like ethics and bias and other aspects of AI that are super important to understand. So we’ve been working on that hard and I guess my brain is just steeped in that. I’m just filled all the way to the brim with machine learning security stuff. And I absolutely love it. It’s a very new field. It reminds me of software security in around 1998, which was it was a long time ago. [00:28:17]

Markus: And I learned that a good podcast should be around 30 minutes. We have 28 minutes done and that was a very nice concluding word, Gary, many thanks for your time.

Gary: Yep, it’s my pleasure. I can’t wait till I see you person, Markus.

Markus: Same here. We have a lot of drinks to catch [00:28:47] up.

Gary: Indeed. Talk to you later.

Trainieren mit dem eigenen Körpergewicht

Nachdem ich einige Studios ausprobiert hatte (Kieser Training, Venice Beach, etc.), bin ich über den Trend des “Bodyweight Training” gestolpert. Ich bin dann jemand, der sich zu neuen Themen gerne schlau macht und habe mir von Mark Lauren das Buch Fit ohne Geräte besorgt. Der größte Vorteil, den ich bei dieser Trainingsform sehe, ist dass man a) keine Anreisezeit hat (es geht überall – zuhause, im Hotel, draußen, usw.) und man braucht b) kein Equipment außer vielleicht einer Trainingsmatte. Das Werk selbst scheint mir ein Meilenstein der Bodyweight Bewegung zu sein. Der Autor war ehemaliger Soldat und Ausbilder, aber das sollte einen nicht abschrecken. Die Übungen sind für jeden möglich – schließlich trainiert man ja mit dem eigenen Körper.

Und das ist eben der große Unterschied zum Trainieren im Studio. Klassisches Beispiel ist ein Liegestütz, bei dem Brustmuskeln, Trizeps, Schultern und Rumpf trainiert werden. Im Studio würde ich das mit bestimmten Maschinen oder Hanteln machen, um die Muskelgruppe Brust oder Trizeps gezielt und meist isoliert zu trainieren. Mit der Gefahr, dass man sich aufgrund zu hoher Gewichte verletzt – muskulär oder noch schlimmer an den Gelenken, Sehnen, etc. Beim Training mit dem eigenen Körper wird das vermieden, wenn man Schritt für Schritt vorgeht und die Belastung langsam steigert. Denn das geht auch mit dem eigenen Körper. So fangen Einsteiger beispielsweise aufrecht stehende mit Liegestützen “an die Wand” an, gehen zu Liegestützen auf den Knien und dann zu den “normalen” Liegestütz über. Diese kann man dann steigern, indem man die Hände enger zusammen lässt, die Beine auf eine Bank legt, usw. Ich gestehe, dass ich noch nie zuvor so viele Varianten der guten, alten Liegestütz (die wir als Kinder und Jugendliche immer im Schwimmtraining zwischendurch als Disziplinarmaßnahme machen mussten) gesehen habe. Und so geht das in dem Buch weiter für alle möglichen Muskelgruppen. Durch den funktionalen Ansatz wird einseitiges Training vermieden, da immer mehrere Muskelgruppen gestärkt werden.

Die einzelnen Übungen werden immer mit Bildern und einem begleitenden Text auf über 100 Seiten beschrieben – das macht etwas mehr als die Hälfte des Buchs aus. In der neuen Ausgabe sind die laut Rezensionen auch viel zeitgemäßer dargestellt und noch besser beschrieben als zuvor. Die Übungen allein sind aber nur dann etwas wert, wenn sie sinnvoll kombiniert werden. Daher folgen auf die Übungen verschiedene, mehrwöchige Programme, die einen progressiven Muskelaufbau gewährleisten – wenn man sich durchbeißt. Unterteilt sind sie in First Class (Anfänger), Master Class (Fortgeschrittene) und Chief Class (extrem Fortgeschrittene). Zur richtigen Einordnung ist ein Selbsttest dabei. So sollte man als Anfänger z.B. 10 Liegestütze schaffen, als Fortgeschrittener 8 einarmige Liegestütz pro Seite (Hand auf mittelhoher Fläche abgesetzt) und als extrem Fortgeschrittener 8 “normale” einarmige Liegestütz. Dabei wird schnell klar, dass die meisten als Anfänger in so ein Programm gehen – und das macht durchaus auch Sinn. Wenn man dabei bleibt, merkt man schnell, wie die Kraft zunimmt und wie man sich den anspruchsvolleren Übungen zuwenden kann.

Am Schluss etwas zum Anfang des Buchs. Auf den ersten 50 Seiten stellt sich Mark Lauren vor, führt das Thema Bodyweight Training ein, spricht über Fitness, Ernährung, Motivation, usw. Es lohnt sich meines Erachtens schon, das wenigstens zu überfliegen. Es sind aber auch Abschnitte dabei, die ich nach dem Anlesen direkt ignoriert habe – insbesondere zum Thema Ernährung rate ich eher, Werke eines Ernährungsprofis zu Rate zu ziehen.

Den Abschnitt zur Motivation finde ich am wichtigsten, auch, da dort über die Ausreden gesprochen wird, die einem so einfallen, um ein Training sausen zu lassen. Disziplin auf lange Zeit ist und bleibt bei diesem und jedem anderen Training der Schlüssel zum Erfolg. Wem das allein zu schwer fällt, sollte sich einen Trainingspartner suchen, diese Art des Trainings eignet sich Lockdown-konform auch prima für eine Video-Call Session.

Ich würde das Buch wieder kaufen und es hat mir wertvolle Impulse für die Art des Trainierens und der dauerhaften Motivation gegeben. Es war für mich ein Wendepunkt hin zum funktionalen Training, das ich bis zum heutigen Tag in der ein oder anderen Form ausübe. Man muss hier wie immer Leben mit Verstand an die Sache rangehen. Welche Übungen passen für mich? Welche nicht? Es gibt durchaus einige, die ich schlicht so nicht durchführen konnte und durch Alternativen ersetzen musste.

Und hier meine Anregung als Test, um hier und jetzt anzufangen: wie viele Liegestütz schaffen Sie auf Anhieb? 1? 5? 10? Ich freue mich auf ein Feedback. Es gibt begleitend zum Buch auch eine App, über die werde ich noch gesondert berichten.

Interview: die Pandemie als Chance – meine eigene COVID19 Maskenfabrik, Teil 2

Im ersten Teil dieses Interviews mit Christian Herzog ging es eher um das Thema COVID19 an sich, hier im 2. Teil beleuchten wir das Thema der Gründung.

Christian, Du warst viele Jahre in führenden Positionen bei großen IT Unternehmen tätig. Was hat Dich dazu gebracht, Deine eigene Firma zu gründen?

Es waren mehrere Gründe, die zusammenkamen, sodass aus einer Idee die Deutsche Maskenfabrik auf den Weg gebracht worden ist:

  • Auslöser war sicher, dass wir privat mitten im 1. Lockdown selbst vor dem Problem standen, Masken und Desinfektionsmittel zu bekommen und das nur noch zu horrenden Preisen und langen Lieferzeiten verfügbar war. Wir haben dann kurz überlegt, ob wir selbst was über einen Kontakt in Asien importieren sollen. Wir haben dann aber überlegt, ob und wie wir selbst Masken in Deutschland produzieren können, auch um die selbst durchlebten Lieferabhängigkeiten zu verringern. So war dann die Idee geboren.
  • Wir haben es dann durchgerechnet und versucht von allen Seiten zu betrachten, soweit das in so einem unplanbaren und volatilen Marktumfeld möglich ist. Wir haben durchaus eine große und auch nachhaltige Chance darin gesehen, wenn wir uns richtig positionieren.
  • Ein bisschen Schub hat uns auch gegeben, dass es etwas „Sinnvolles“ war und wir durchaus auch einen Sinn darin sehen, etwas zu tun, das für die Gesellschaft wichtig und gut ist.
  • Und letztlich war es zumindest bei mir so, dass die Zeit einfach reif war, etwas Neues zu machen. Du hast das sicher auch schon erlebt … ich war nicht unzufrieden mit meinem bisherigen Job und es hat auch meist Spaß gemacht. Aber es hat so ein bisschen die Erfüllung gefehlt. Für mich muss das, was ich tue einen Sinn ergeben, und zwar einen nachhaltigen. Wenn Du schon viel Zeit deines Lebens und Herzblut in eine Arbeit investiert, dann sollte es auch etwas sein, an das Du glaubst und für das Du einstehst. Etwas für das Du brennst und Leidenschaft entwickeln kannst. Und ich glaube, das war schon mit ein Hauptauslöser. Auf der einen Seite etwas zu sehen, was Sinn ergibt und wofür ich mich begeistern kann und auf der anderen Seite etwas zu haben, wo, wenn man ehrlich ist, ein bisschen die Luft raus war.
Das Gründerteam: Christian Herzog und Andreas Mühlberger

Ihr habt mit eurer Gründung auf die Pandemie reagiert und sehr schnell gehandelt – wie viel Planung und wie viel Risiko war dabei in euren Gedankenspielen?

Ja, das ging schon recht schnell. Die Entscheidung, dass wir gründen wollen, haben wir Anfang April 2020 getroffen. Dann haben wir etwa 2 Monate zum Planen gehabt, um Themen wie Finanzierung, Standort, Anlage, Material, unser eigenen Zeitaufwand, Zertifizierung, usw. zu klären. Anfang Juni saßen wir dann beim Notar und haben die Gesellschaft gegründet und im September haben wir dann schon mit der Produktion losgelegt. Wir haben also in weniger als 6 Monaten einen Medizinproduktehersteller aus dem Boden gestampft, 120 Seiten technische Dokumentation sowie ein QM-System auf die Beine gestellt, einen Partner gefunden, der uns zuverlässig gutes Vlies-Material liefern kann, sowie eine Fertigung aufgebaut.

Bei einem solchen Fahrplan ist glaube ich klar – und Zeit war hier wirklich entscheidend – dass man sich nicht jeden Tag mit den Risiken beschäftigen kann. Wir haben uns zu Beginn überlegt, was schief gehen kann und den max. Finanzrahmen festgelegt, den wir bereit sind zu investieren. Und wir haben uns eine Timeline gesetzt, zu der wir bestimmte Dinge erreicht haben wollen bzw. wo wir uns nochmal die Karten legen wollen.

Unser Plan ist, dass wir in der ersten Phase möglichst ohne Fremdkapital auskommen und dass sich das Unternehmen von Anfang an selbst trägt. Das heißt, wir investieren vorsichtig und aus dem Kapital, dass wir erwirtschaften. Einfach deshalb, weil der Markt in dem wir uns aktuell bewegen, sehr schwer planbar ist und stark durch die Pandemie und politische Entscheidungen getrieben ist. Das heißt, dass wir unseren Plan auch immer wieder anpassen und Entscheidungen, dann auch kurzfristig treffen. Wir hatten z.B. geplant spezielle kleinere Kindermasken herzustellen und haben das auch mit dem Hersteller der Fertigungsanlage vorgeplant, aber das Ganze erst mal verschoben, weil momentan dafür für uns kein Markt erreichbar ist.

Die Fabrik – vor die Haustür geholt.

Was waren die größten Hürden bei der Gründung?

Es gibt immer wieder Hürden … welche da die Größten sind, ist schwer zu sagen. Eine Hürde, mit der sicher viele Start-Ups zu kämpfen haben, ist der Bekanntheitsgrad. Wir haben zu Beginn erst mal viel auf lokales Marketing in der Region gesetzt und z.B. gleich zum Schulanfang eine Spendenaktion für Schulen organisiert. Und wir bekommen sehr tolle Rückmeldungen von nahezu allen unseren Kunden. Wer uns kennt und einmal unsere Masken gekauft hat, der bleibt auch bei uns und kauft auch wieder. D.h. unsere Strategie, ein hochwertiges Produkt zu haben, dem man vertrauen kann, geht auf. Aber auf ganz Deutschland bezogen, kennt man uns einfach noch zu wenig. Da fehlt uns noch die Reichweite und die Präsenz.

Ich glaube generell, passieren bei jedem Start-Up jeden Tag Dinge, die so nicht geplant waren. Gute und Schlechte. Und wichtig ist, da einfach weiter zu machen, die Probleme zu lösen, wenn sie kommen, die Chancen mit zu nehmen, wenn sie da sind, nicht aufzugeben, sondern einfach weiter zu machen und dabei das große Ziel, also den langfristigen Plan, nicht aus dem Auge zu verlieren.

Das Geschäft ist angelaufen und ihr habt bewiesen, dass der Plan grundsätzlich aufgeht. Ich denke aber, dass diese Geschichte hier noch nicht zu Ende ist. Ab welchem Punkt würde Wachstumskapital Sinn machen und wofür würdest Du es verwenden?

Ich denke, dass Wachstumskapital sehr bald für uns Sinn machen könnte. Spätestens wenn sich die Pandemiesituation zum Sommer hin wieder etwas normalisiert, wird sich auch der Markt wieder verändern und dann müssen wir in zwei Bereiche investieren.

Zuallererst in unseren Brand, unsere Marketing- und Vertriebsaktivitäten. Wir brauchen unbedingt mehr Reichweite und Bekanntheit. Letztlich unterscheidet uns unser Produkt und dessen bessere Eigenschaften von den vielen, insbesondere asiatischen Wettbewerbern, die rein über den Preis verkaufen. Dafür ist es wichtig, dass man den Unterschied auch erklären kann und im Markt ein Bewusstsein für gute Qualität entsteht. Ich vergleiche das gerne mit dem Bio-Markt … nicht jedem sind Bio-Produkte im Lebensmittelbereich wichtig. Aber es gibt einen wachsenden Anteil der Bevölkerung, dem eine nachhaltige Landwirtschaft und eine artgerechte, biologische Tierhaltung wichtig sind und die chemie-freie Lebensmittel wertschätzen. Heute ist für Viele eine Maske einfach noch eine Maske. Und unsere Herausforderung ist, bei unseren potenziellen Kunden ein Bewusstsein und ein Verständnis dafür zu schaffen, dass es hier doch ganz wesentliche Unterschiede gibt und was für einen Vorteil sie davon haben.

Und darüber hinaus brauchen wir mehr Fertigungskapazität, die Kapital bindet, die uns aber auch ermöglicht unsere innovativen Ideen umzusetzen, die aktuell noch in der Schublade liegen. Sowohl in Richtung weitere Automatisierung der Fertigung als auch hinsichtlich spezieller Produktinnovationen.

Interview: die Pandemie als Chance – meine eigene COVID19 Maskenfabrik, Teil 1

Vor ca. einem Jahr begann Corona zum allumfassenden und omnipräsenten Teil unseres Lebens zu werden. In der Phase der Lockerungen im Sommer 2020 staunte ich nicht schlecht, als mein Studienfreund Christian Herzog mir eine Packung Mund-Nasen-Schutzmasken auf den Tisch stellte. “Made in Germany”, sagte er, “ich habe jetzt meine eigene Fabrik.” Im Laufe des Abends stellte sich heraus, dass das kein Scherz war – hier ist der 1. Teil rund um die Gründungsidee. Denn ich finde es sehr spannend, in so einem dynamischen Umfeld zu handeln und damit auch noch etwas Gutes zu schaffen. Der 2. Teil geht dann um die Gründung selbst: was treibt einen zu solch einem Schritt an, wie verlief die Planung, welche Probleme gab es und wie geht es weiter?

Christian, Du bist seit 1.9.2020 Mitgründer, Miteigentümer und Geschäftsführer der „Deutsche Maskenfabrik“. Ihr produziert medizinische Mund-Nasen-Schutzmasken (MNS) in Deutschland. Welche Ziele verfolgt ihr damit?

Unser Ziel ist es, uns unabhängiger von asiatischen Importmasken zu machen und den Menschen in Deutschland ein sicheres, qualitativ hochwertiges Produkt anzubieten, dem sie vertrauen können und das sie schützt. Daher verwenden wir z.B. für unsere Masken auch ausschließlich Vlies-Materialien aus deutscher Herstellung. Und unsere Kunden merken den Unterschied sofort – die Masken lassen sich viel angenehmer tragen, riechen nicht und die Ohrbänder halten. Darüber hinaus ist uns auch wichtig, dass wir so nachhaltig wie möglich produzieren. Wir verpacken z.B. nicht in Plastikbeuteln sondern klassisch in Faltschachteln aus Karton und wir arbeiten an Rücknahme- und Recyclingkonzepten für Großabnehmer von unseren Masken, um den Müll, der durch die gebrauchten Masken anfällt, zu reduzieren.

Input: die Materialien für die Masken.

Experten sehen wir im TV genug. Du arbeitest jedoch an der Umsetzung und hast Dich intensiv in das Thema COVID 19 eingearbeitet. Wie schätzt Du die Pandemie ein und was kommt da noch auf uns zu?

Man sieht an den Infektionszahlen ganz deutlich, dass die aktuellen, sehr harten Maßnahmen helfen und die Zahlen zurück gehen. Daher hoffe ich, dass der Lockdown bald wieder etwas runtergefahren werden kann. Auch glaube ich wird uns das Frühjahr und der Sommer ein wenig Entlastung bringen. Wir haben schon in 2020 gesehen, dass die Infektionszahlen zurück gehen, wenn es wärmer wird. Auf der anderen Seite wird das Virus nicht einfach verschwinden. Man sieht ja gerade wie schwierig es ist und wie lange es dauert, flächendeckend eine Impfung für die gesamte Bevölkerung hin zu bekommen. Ich befürchte daher, dass uns COVID 19 noch das ganze Jahr und darüber hinaus beschäftigen wird. Es sind zudem bereits Mutationen dieses Virus aufgetreten und es wird vermutlich auch in Zukunft neue Pandemien geben.

Andererseits wird uns diese Pandemie auch als Gesellschaft verändern. Ich bin überzeugt, dass z.B. der Flug- und Reiseverkehr, gerade im Geschäftsleben, nicht mehr so stark zurückkommen wird, wie vor der Pandemie. Unternehmen und Mitarbeiter haben gesehen, wie Digitalisierung helfen kann, effizient zu arbeiten, auch ohne sich immer physisch im selben Raum treffen zu müssen. Und das wird Veränderungen mit sich bringen. Für die einen wird das positiv sein, für die anderen eher weniger, wenn ich z.B. an Hotels denke, die von Geschäftsreisen leben. Wir haben aber letztes Jahr erstmalig unsere Klimaziele erreicht – letztlich durch die zwei Lockdowns und den geringeren Reiseverkehr. So eine Ausnahmesituation wie diese weltweite Pandemie, bietet also auch immer Chancen, Veränderungen herbeizuführen.

Das Tragen von Masken ist z.B. im asiatischen Raum auch ohne Pandemie gang und gäbe. Weil es einfach hilft Infektionen zu vermeiden, gerade da wo viele Menschen eng aufeinander treffen. Bei meinem früheren Arbeitgeber hatten wir in einigen Bereichen in einem ganz normalen Winter teilweise krankheitsbedingte Ausfälle von bis zu 35% des Personals. Im letzten Winter war das durch die Corona-bedingten Hygienemaßnahmen (Abstand, Händewaschen, Masken tragen) deutlich weniger. Von daher glaube ich, dass insbesondere Masken auch nach der Pandemie bei uns im Alltag einen Platz haben werden. Sicher nicht für jeden, aber es wird doch auch Menschen in Deutschland geben, die auf Qualität und lokale Produktion Wert legen werden und das ist letztlich der Bereich, für den wir kämpfen und den wir mit unseren Produkten abdecken möchten.

Output: die fertig produzierten Masken verkaufsfertig für den Shop bzw. den Vertrieb.

Wie ist Deine Meinung als Profi: welche Masken werden uns warum und wie helfen?

In Deutschland unterscheiden wir in der Öffentlichkeit eigentlich 3 Arten von Masken:

  1. OP- bzw. medizinischen MNS-Masken – das sind die Masken, die man aus dem Krankenhaus kennt, rechteckig mit diesen typischen Falten. OP-Masken sind eigentlich seit Jahrzehnten erprobt und genau für den Infektionsschutz gemacht. Wenn die Masken gut gemacht sind, also das Material nicht stinkt und nicht kratzt und die Ohrbänder weich sind, dann kann ich die i.d.R. auch über einen längeren Zeitraum bequem tragen. Und das ist daher auch die Maske, die ich in normalen Alltagssituationen empfehlen würde
  2. Dann gibt es die FFP Masken, die gerade in aller Munde … oder über aller Munde sind. Die kommen eigentlich aus dem Arbeitsschutzbereich und gar nicht aus der Medizin und dienen primär dazu, vor Staub und anderen schädlichen Stoffen zu schützen, wie sie z.B. beim Schleifen anfallen. FFP2 Masken sind auch für den Infektionsschutz geeignet und ich würde sie überall da empfehlen, wo ich entweder ein besonders hohes Risiko habe, mich oder andere zu infizieren oder besonders auf Schutz achten möchte. Also z.B. in Pflegeheimen, Arztpraxen, etc. FFP2 Masken schützen besonders gut, aber sie sind auch nicht so angenehm zu tragen und behindern deutlich mehr beim Atmen. Ohne Maskenpause kann das für den Träger schnell unangenehm und auch schädlich werden. Daher ist es immer ein Abwägen. Im Normalfall z.B. im Büro würde ich eher dazu raten, möglichst oft eine OP-Maske zu tragen und diese dafür häufiger zu wechseln, da sie ja auch deutlich günstiger sind, als FFP2 Masken.
  3. Und dann gibt es in Deutschland noch den Begriff der Alltagsmaske bzw. der Behelfs-Maske. Das ist eigentlich gar kein spezieller Maskentyp sondern der Begriff stammt noch aus dem 1. Lockdown im März letzten Jahres, als es nicht genug OP-Masken für alle gab. Da hat die Politik dann darum gebeten, dass wir die guten OP-Masken für das medizinische Personal übrig lassen und uns selbst helfen, z.B. mit selbst genähten Masken. So ist der Begriff der Alltagsmaske oder Mund-Nase-Bedeckung entstanden. Dieser Begriff steht eigentlich für alle anderen Arten von Masken, die keine spezielle nachgewiesene Schutzwirkung haben. Also von einfachen selbst genähten Stoffmasken, über Skimasken oder auch speziellen Stoffmasken mit Filtereinlagen bis hin zum einfachen Schal, den ich mir über den Mund ziehe. Diese Behelfsmasken sind in Deutschland aber aktuell nur noch in ganz wenigen Bereichen erlaubt. In den meisten Bereichen ist zur Zeit entweder eine OP-Maske oder eine FFP2 Maske vorgeschrieben, die eben auch beide über eine nachgewiesene Schutzwirkung verfügen und natürlich beide sowohl den Träger schützen, als auch den Anderen gegenüber.

Slowing Down: Ford Mustang ’66 Cabrio

Ich fahre gern Auto. Ich liebe es, mit tollen Autos zu fahren. Toll definiert sich dabei, das Fahren erleben zu können. Das kann ein Auto mit ordentlich Leistung sein, das kann aber auch ein Auto sein, bei dem man noch anpacken muss. Darum geht es heute. Ich habe schon mit einem ’92er 928 GTS gute Erfahrungen in der Hinsicht gemacht (in Zeiten von Strafzinzen auch als fahrbare Wertanlage interessant) und habe mich nun nach einem Klassiker umgetan, der mir Fahrspaß bringen und zur Entschleunigung des Lebens beitragen soll. Nach kurzer Überlegung kam ein Ford Mustang der 1. Generation auf die Shortlist. Als Begründer der Ponycar Szene 100% Kult und als Cabrio im Sommer sicherlich genial.

Ein Schrauber bin ich nicht. Und ich weiß, dass billig gekauft immer bedeutet, dass man das vermeintlich gesparte Geld später mit Zinsen und Aufschlag nachlegen muss (das gilt irgendwie bei vielen Situationen im Leben). Daher habe ich mich auf die Suche nach gut erhaltenen Oldies gemacht und wurde auf US Cars 24 Classics in Wuppertal aufmerksam, ein Unternehmen, dass auf Mustangs spezialisiert ist. Die Homepage ist nicht ganz modern, aber das macht nichts – es kommt auf den Inhalt an und der ist sehr gut. Denn die Firmenphilosophie kommt auf den Punkt: aus importierten, alten Wagen werden durch viel Fleiß, Wissen und handwerkliches Können echte Klassiker mit Bestnote geschaffen. Ich habe mir ein paar der verfügbaren Lagerfahrzeuge angesehen, die mir auf den Bildern gut gefallen haben und mit dem Geschäftsführer, Herrn Thiel, einen Vorort Termin vereinbart. Favorit war ein schwarzes 66er Cabrio mit roter Innenausstattung. Gesagt, getan und ab nach Wuppertal.

Herr Thiel und sein Team atmen Benzin. Nach einem netten Vorgespräch im Salon haben wir uns die Kandidaten angesehen. Und – ich habe sowas noch nie gesehen. Da steht ein 66er Mustang und sieht aus, wie frisch vom Band gelaufen. Herr Thiel hat mir alles persönlich mit viel Liebe zum Detail erklärt und dann noch angeboten, die Manufaktur selbst anzusehen. Dort sieht man, wieviel Schrott aus einer Karosserie rausgeschnitten und was dann in 100ten von Stunden wieder aufgebaut wird. In dem favorisierten Lagerfahrzeug steckten bereits 1.500 Stunden! Und dann wurde mir noch angeboten, etwas zu optimieren: bessere Kühlung, Edelstahlauspuffanlage, Edelbrock Vergaser, Unterbodenvollversiegelung. Klang alles sinnvoll, Handshake und Deal! Ich muss bei sowas dann nicht mehr lange nachdenken.

Am Kühlergrill klar zu erkennen als 66er mit GT Ausstattung.

Dann begann das Warten, denn das Lagerfahrzeug wurde noch weiter bearbeitet, final konserviert und wie bestellt umgebaut. Das Einstellen des Motors gehört hier auch dazu. In Summe sind da nochmal 300 Stunden reingeflossen. Herr Thiel hat mich zwischendurch immer mit Bild und Videomaterial auf dem Laufenden gehalten.

Die Zulassung erfolgte parallel, nicht so ganz einfach in Hessen, aber dank engem Dialog und mit dem Zulassungsdienst Kroschke (die haben tatsächlich einen Oldie-Spezialisten) schließlich auch erfolgreich abgeschlossen. Ein Classic Data Gutachten wurde ebenso erstellt – mit Bestnote bestanden. Allein das Gutachten zu lesen macht schon Spaß.

Und dann war es soweit: wir haben den Mustang mit großer Vorfreude abgeholt. Mit dem Zug nach Wuppertal, schönes Abendessen, und morgens zum Firmengelände. Der Taxifahrer hat schnell erfragt, warum wir da sind und hat sich offenen Herzens mit uns gefreut – ich glaube, er wäre am liebsten mitgekommen. Er kannte die US Cars Classic und das Team und hat sie als “internationale Spitzenklasse” beschrieben – das kann ich zu 100% bestätigen. Ich glaube, er wäre am liebsten mitgekommen.

Und dann kam der Moment – das erste mal den fertigen Mustang sehen, das erste mal den fertigen Mustang hören, das erste mal im fertigen Mustang sitzen. Wahnsinn. Wahnsinn. Wahnsinn. Auch das wurde auf Video festgehalten. Wir haben uns alles erklären lassen und ich bin mir vorgekommen wie im Kino! Alles kaum zu glauben, alles etwas unwirklich. Aber mit eigenen Augen zu sehen, den Händen zu spüren und den Ohren zu hören.

Die Edelstahlauspuffanlage sieht nicht nur gut aus …

Und dann kam die Überführungsfahrt – leider bei Regen. Die begann direkt mit einem Tankstop, bei dem wir die John Wayne Stellung lernten – ein Schwall Benzin kommt fast immer aus dem Tank geschwappt, wenn man nicht aufpasst. Mit vollen Tank ging es dann auf die Autobahn – 300 km nach Südhessen. Das war anstrengend aufgrund der Wetterlage und den ungewohnten Sitzen ohne Kopfstütze – ich hatte danach 2-3 Tage Muskelkater in den Schultern. Aber vor allem auch im Gesicht, da ich aus dem Grinsen nicht mehr rausgekommen bin. Die letzten 30 km konnten wir dank Sonnenschein an der Bergstraße offen gefahren – eine wahre Offenbarung und besser, als ich es mir je vorgestellt habe. Der Mustang ist Baujahr ’66 und nicht auf Höchstgeschwindigkeit ausgelegt. Er ist niedrig übersetzt und schneller als 100 geht es nicht. Aber das muss es auch nicht. Man hört den Sound des 4,7 Liter (289 cubic inch) V8 Motors, man spürt den Fahrtwind, man spürt die Straße über des Lenkrad. Ein tolles Fahrerlebnis, bei dem man die Zeit vergisst und das Leben entschleunigt.

Der klassische 289 ci “Small”block wie aus dem Bilderbuch. Veredelt mit Edelbrock 4V Vergaseranlage und optimiertem Kühler. Rechts vorne ein lustiges Detail: in dem Beutel ist das Wischwasser drin.

Jetzt “wohnt” der 66er zusammen mit dem 928 in meiner Scheune und allein der Anblick macht aus jedem Tag einen besonderen Tag. Und das noch mehr, wenn ich den Motor starte, warm laufen lasse und ab auf die Piste gehe. Ich habe schnell Anschluss an weitere US Car Fans gefunden, sodass die ein oder andere Ausfahrt mit alten und neuen V8 hinter mir und vor mir liegt. Es wird Benzin gesprochen und … gefahren! 400 Meilen später kann ich nur sagen: der ’66er ist jeden Cent wert und: jederzeit wieder!

Back in Black. And red. Red is fine, too.

Um etwas über die Historie der Ponys von 1964 bis heute zu erfahren, bietet sich dieses Buch Ford Mustang – alle Modelle ab 1964 an – ich lese immer wieder darin. Wenn man die ersten Seiten geschafft hat, ist es auch gut zu lesen. Wer mehr über die Technik erfahren will, was über die ebenfalls lesenswerte Bedienungsanleitung hinaus geht, sollte einen Blick in das Ford Mustang Schrauberhandbuch werfen.

Interview: Thomas Köhler über Due Diligence, Selbständig sein und die Gesundheit

Ich kenne Thomas Köhler schon schon viele Jahre aus den Anfangszeiten der Virtual Forge. Er war damals noch Geschäftsführer und Teilhaber seiner eigenen Firma. Den Kontakt haben wir bis heute gehalten, auch wenn die Wege unterschiedlich waren.

Das Interview gibt Einblicke aus Sicht eines Investors und aus Sicht eines Unternehmers, der Wachstumskapital sucht:

  • Nur die richtige Beurteilung der Zukunftsfähigkeit führt zu einer guten Bewertung
  • NEIN sagen, wenn es nicht passt
  • Work-Life Balance und die Gesundheit mittelfristig nicht vernachlässigen
  1. Tom, wie ging es für Dich weiter und wie kam es zu unserem gemeinsamen Due Diligence Projekt?
    2006 hatte sich klar gezeigt, dass meine Vorstellungen von der Zukunft meiner Firma (Entwicklung zum Spezialisten für Managed Services) und die des Hauptgesellschafters (Konzern-IT-Konzepte für den Mittelstand) nicht korrelierten. Daraufhin trennten sich unsere Wege und ich verkaufte meine Anteile. Nach 15 Jahren im eigenen Unternehmen war schnell klar, dass ein Wechsel ins „normale“ Angestelltendasein nicht die erste Wahl sein sollte. Zum Glück verfüge ich über ein großes Netzwerk, und so schloss ich mich nach einigen Monaten einer „Boutique“ Unternehmensberatung als Freiberufler an, um mich dem Interimsmanagement zu widmen.
    Ich habe in dieser Zeit das Thema Security nicht aus den Augen verloren. Weil ich es nach wie vor als sehr zukunftsträchtig erachtete (was ich heute noch tue), diskutierte ich oft mit dem Eigentümer und Chef der Unternehmensberatung über die Gründung eines entsprechenden Unternehmens. Bei einem Gespräch mit Dir erwähntest Du das Interesse an einem Investor, daher stellte ich dann den Kontakt her.
  2. Du hast dann die Due Diligence der Virtual Forge durchgeführt – was sind die Erfahrungswerte von Dir und was kannst Du einem Unternehmer empfehlen, der durch einen solchen Prozess geht?
    Der eigentliche Investor muss das Business der Ziel-Company verstanden und durchdrungen haben, sonst kann er die Zukunftsfähigkeit nicht hinreichend beurteilen und wird zu einer ungenügenden Bewertung kommen. Ich bin seit dieser Zeit kein großer Freund reiner Finanzinvestoren für Start-Ups mehr, bei Licht betrachtet wäre die besagte Unternehmensberatung in Eurem Fall ein solcher gewesen. Sicher hätte es interessante Kontakte gegeben, es fehlte aber im Grunde der Bezug zu Eurem Thema.
  3. Was hast Du seitdem an Gründungen, Projekten, etc. gemacht, dass Dich besonders begeistert hat?
    Nach einem gesundheitlichen Warnschuss habe ich dann doch bei einem Unternehmen angeheuert, einem Mittelständler aus dem Bereich der Logistik-IT mit großen Wachstumsplänen. Dieser wurde dann aufgrund des Erfolgs von einem globalen Player gekauft, so dass ich dort heute als angestellter Manager aktiv bin. Allerdings habe ich relativ bald auch wieder Unternehmen gegründet: abgesehen von der Unterstützung von Start-Ups als Mentor beschäftige ich mich zusammen mit einem Rechtsanwalt sehr erfolgreich mit dem Thema Datenschutz. Das lässt sich sehr gut nebenberuflich darstellen und hat viele Berührungspunkte mit der Security. So ganz ohne Selbständigkeit geht es halt doch nicht.
  4. Im Nachhinein sind wir den Schritt damals nicht gegangen – unser Grund war, dass wir nicht an die Zukunft bzw. an die Story geglaubt haben. Ebenso war die Bewertung einfach viel zu gering. Wie ist Dein Rückblick?
    Ihr hattet durchaus Recht. Abgesehen vom finanziellen Aspekt hätte es sicher schon mittelfristig nicht gepasst, mangels Bezug zum Thema. Zudem: Wenn das Bauchgefühl nicht stimmt, sollte man nicht heiraten…

Interview: Prof. Sebastian Schinzel über Startups, Unternehmertum und zukünftige Security-Themen

Ich kenne Sebastian seit den Anfangsjahren meiner ehemaligen Firma Virtual Forge. Er lehrt und forscht seit vielen Jahren zu angewandter Kryptografie und System-Sicherheit und ist Mitgründer des Instituts für Gesellschaft und Digitales (GUD) an der FH Münster. Er war außerdem Norddeutscher Meister, Deutscher Vizemeister und Team-Weltmeister im Biketrial. 

Das Interview mit ihm dreht sich um:

  • Kreativ bleiben bei den Lösungen, da keiner sagen kann, wie sich die Angriffe weiterentwickeln werden
  • Authentisch bleiben als Gründer und Unternehmer
  • Stärkung der Security-Industrie in Deutschland und Good Ol’ Europe
  1. Sebastian, Du hast die Verwandlung von Virtual Forge von eine Gruppe von Idealisten zu einer Firma miterlebt. Was hat Dich von dieser Zeit am meisten geprägt?
    Wir kamen damals aus dem Capture The Flag (CTF) Team der TU Darmstadt zu Virtual Forge und sind daher die ersten Kundenprojekte mehr wie einen Hackerwettbewerb als eine Beratungdienstleistung angegangen. Das waren spannende und lehrreiche Zeiten. Als dann der CodeScanner CodeProfiler entwickelt wurde, begann die Transformation vom beratungslastigen Pentesting-Unternehmen hin zu einem Produktentwicklungsunternehmen. Das war tatsächlich ein Umbruch, da Produktentwicklung völlig andere Unternehmensstrukturen braucht. Penetrationstests sind sehr kreative und meist relativ kurze Projekte während Produktentwicklung jahrelange strukturierte Entwicklung braucht, die erst nach längerer Zeit Früchte trägt. Geprägt hat mich, dies mitzuerleben und auf meine heutige Unternehmertätigkeit anwenden zu können.
  2.  Du hast selbst schon Firmen gegründet. Welche Ziele hast Du damit verfolgt?
    Das Ziel ist den Standort Deutschland und die IT Sicherheitsindustrie in Europa voran zu bringen. Hier gibt es viele gute Leute, gute Ausbildung, viele gute Ideen, aber oft zu wenig Mut, den Schritt zur Selbstständigkeit zu versuchen. Das ist wahrscheinlich einer der Hauptgründe, warum Deutschland bei innovativen IT-Unternehmen z.B. gegenüber den USA hinterher hängt.
  3. Was macht für Dich den Erfolg einer Gründung aus und warum kann es schiefgehen?
    Man braucht eine gute Lösungsidee für ein konkretes Problem im Markt, ein gutes Team und Kunden mit konkretem Bedarf an der Lösung. Und viel Durchhaltevermögen und auch etwas Glück. Und am besten keine Pandemie!
    Kannst Du den Punkt etwas ausführen?
    Für Konzerne scheint die Pandemie oft eine gute Ausrede zu sein. Man kann sie als Argument für nahezu alles nutzen: Umstrukturierungen, Personalabbau, usw. Für ein Startup ist sie schädlich, da die Finanzierung schwierig ist, Kunden kaum auf neue Ideen anspringen und es auch schwer ist, Leute an Bord zu nehmen, die derzeit eher auf Jobsicherheit aus sind (vs. in ein eher riskantes Startup zu gehen).
  4. Wie stehst Du zum Thema “wir bleiben, wie wir sind” vs. Wachstumskurs?
    Das Eine schließt das Andere nicht aus. Man kann durchaus bleiben, „wie man ist“ und trotzdem wachsen. Es kommt wohl auf das Selbstverständnis an: was ist man denn? Will ich die Welt verbessern, indem ich Computersysteme sicherer mache? Oder bestehe ich darauf, dass ich die Welt nur durch diese eine Dienstleistung oder dieses eine Produkt verbessern kann? Letzteres kann mich davon abhalten, die Welt zu verbessern, weil die Dienstleistung oder das Produkt dauerhaft nicht ankommt.
  5. Und abschließend eine fachliche Frage: welche Themen sind für Dich, als “Security Professor”, geeignet für eine Gründung?
    Cybersicherheit wird auch weiterhin relevant bleiben, auch wenn andere Themen wie KI gerade die Förderlandschaft dominieren. Die Unternehmen lernen ständig dazu und sind daher ein „Moving Target“. Waren Penetrationstests vor 10-15 Jahren noch sehr innovativ mit wenigen spezialisierten Anbietern, hat heute fast jede Beratungsfirma auch Penetrationstests im Programm. Gründer sollten sich fragen: welche Dienstleistung, welches Produkt fragen Unternehmen in 2-5 Jahren an? Wenn man hierfür eine gute Idee hat und gleichzeitig einige innovative Unternehmen mit Kaufinteresse in der Hinterhand hat, dann sollte man eine Gründung erwägen.
  6. Daraus abgeleitet – welche werden es in den nächsten 5 Jahren sein?
    Viele Unternehmen haben gelernt, dass die Prävention von Cyberangriffen, z. B. durch Suchen und Schließen von Sicherheitslücken, sicherer Softwareentwicklung usw. nicht ausreicht. Wenn die Mitarbeiter den falschen Anhang öffnen, haben die Angreifer den Fuß im Unternehmen und können sich von da aus weiter verbreiten. Die aktuellen Erpressungstrojaner-Banden arbeiten hochprofessionell und haben hohe Gewinnmargen. Da ist reine Prävention durch Absicherung nicht mehr ausreichend. Die Unternehmen müssen sich fragen:
  • Wie erkenne ich erfolgreiche Angriffe zeitnah?
  • Wie erkenne ich das Ausmaß des Angriffs?
  • Wie kann ich die Angreifer an der weiteren Ausbreitung hindern?
  • Wie werfe ich die Angreifer zuverlässig aus meinem Netz?
  • Und natürlich: wie ziehe ich meine IT-Infrastruktur neu auf, wenn ein Angreifer bereits tief vorgedrungen war?

Das sind Fragen, für die man spezialisiertes Person, evtl. auch mit Rufbereitschaft etc. benötigt. Das können die meisten Unternehmen gar nicht stemmen. In Teilen kann man das zu Managed Service Providern (MSP) auslagern aber einiges von diesem Wissen muss auch intern vorliegen.

Bildquelle: FH Münster, Wilfried Gerharz

Funktionales Training

Die meisten Menschen bewegen sich zu wenig, was zwangsläufig zu Fehlstellungen und Schmerzen führt. In Zeiten von Home Office kann das sogar noch schlimmer werden. Selbst wenn man Sport macht und beispielsweise radfährt oder joggt, kann es zu Problemen kommen, wenn die Körperstabilität fehlt. Krafttraining ist daher aus meiner Sicht essentiell. Ziel sollte es sein, den Körper so stabil zu bekommen, dass man sich dauerhaft schmerzfrei bewegen kann. Zudem hilft eine gute Muskulatur dabei, mehr Kalorien zu verbrennen und damit das Gewicht leichter zu kontrollieren. Ich habe in Studios trainiert (Kieser oder Venice Beach), bin aber dann irgendwann über funktionales Training gestolpert1.

Beim Training mit Geräten werden Muskeln gezielt und auch isoliert trainiert werden. Man geht an den Latzug, um den Latissimus zu trainieren. Man geht an die Beinpresse, um den Oberschenkelmuskel und den großen Gesäßmuskel zu trainieren. Usw. Vielen Menschen genügt das auch, weil sie auf wohlgeformte und ausgeprägte Muskeln Wert legen. Das wird aber nicht dabei helfen, den Körper ganzheitlich stabil zu bekommen.

Das ist beim funktionalen Training anders. Die Idee ist hier, Kraft durch das eigene Körpergewicht oder geeignete Hilfsmittel in Bewegungsabläufen aufzubauen, die natürlichen oder sportartspezifischen Bewegungen nahe kommen. In den Übungen werden mehrere Muskelgruppen und Gelenke einbezogen. Betrachtet habe ich hier bisher:

Ich wechsle immer zwischen diesen Trainingsansätzen oder mische sie – einerseits, um keine Langeweile aufkommen zu lassen. Andererseits, um immer wieder für andere Muskelreize zu sorgen (die langweilen sich sonst auch und der Trainingseffekt stagniert).

1 Michael Boyle: Functional Training. ISBN-10 : 3742301489, 2017

… über dieses Blog (mein Mission Statement)

Mein Mission Statement orientiert sich an dem leicht erweiterten Why-How-What Zirkel von Simon Sinek. Es ist wahrscheinlich, dass ich dieses über die Zeit immer wieder verfeinere, aber hier ist mal der erste Wurf.

Wieso? Meine Artikel richtet sich an Unternehmer und diejenigen, die es werden wollen. Ich unterstelle dem Unternehmer, dass er eine Idee groß machen und “vorne” mitspielen will. Solche Menschen, die ein klares, unternehmerisches Ziel haben, sind meine Zielgruppe. Unternehmerischer Erfolg bedeutet dabei, wenig Fehler zu machen oder diese schnell zu korrigieren. Die Unternehmensführung sollte dabei bewusst und aktiv gestaltet werden. Es geht dabei darum herauszuarbeiten, was man für wen anbietet (Marketing) und wie (Vertrieb). Es geht auch darum, eine Strategie festzulegen und diese zur Umsetzung zu bringen. Schließlich ist es wichtig, die Firma immer wieder neu zu erfinden und dem Markt anzupassen. Bestes Beispiel hier ist der Umgang mit der Pandemie, die längst nicht alle überleben, wenn sie ihre Firma nicht anpassen.

Wie? Ich verfolge zwei grundsätzliche Perspektiven: 1) das Unternehmen selbst verbessern und b) den Unternehmer verbessern. Beide müssen im Einklang stehen, um sicherzustellen, dass aus einer Idee am Ende ein nachgefragtes Produkt wird und dies dann zum Erfolg führt. Beide Perspektiven haben unterschiedliche Facetten, die systemisch erfasst und stetig weiter verbessert werden müssen. Denn Stillstand bedeutet Rückschritt, da die Konkurrenz in einem attraktiven Markt nicht schläft.

Was? Ich beginne gerne mit einer 360° Betrachtung des Unternehmens. Dabei wende ich ein mehrdimensionales Modell an, dass ich mit meinem Mentor entwickelt und verfeinert habe. Die dabei betrachteten Dimensionen sind u.a.: Kunden, Marktansprache, Mitarbeiter, Plan und Ist-Zahlen, Produkt-Roadmap, usw. Wenn dies erfasst ist, schaue ich mit dem Unternehmer, wo die Engpässe sind und welche operativen Schritte sich daraus ableiten lassen. Ein konsequentes Prüfen des Erfolgs der Maßnahmen rundet dies ab. Das gleiche System wende ich auf den Unternehmer an. Die Dimensionen hier sind u.a.: unternehmerische Fitness und körperliche Fitness. Es geht auch darum, die Phasen des Unternehmertums (Wachstum, Verkauf, Exit, das Leben danach) zu verinnerlichen.

Darf der das? Als ehemaliger Firmengründer, CEO und Geschäftsführer, bin ich viele Jahre einen steinigen Weg gegangen, habe meine Firma durch unterschiedlichste Phasen auf 120 Mitarbeiter und zu einem führenden Unternehmen gemacht. Ich habe zudem aktiv nach Wachstumskapital gesucht, verhandelt und schließlich die Firma verkauft. Die dabei gesammelten Erfahrungen gebe nun gerne weiter.

(1) Heißt es “der” oder “das” Blog? Duden fragen!

Über mich …

Mein Name ist Markus Schumacher, Jahrgang 1973, und ich wohne im Kreis Bergstraße (Hessen). In diesem Blog tausche ich mich zu Themen aus, die mich seit vielen Jahren im wahrsten Sinn des Wortes “beschäftigen”: Technologie, Unternehmertum und “Spielzeuge”. Dieser Beitrag skizziert, wie ich dazu gekommen bin.

Schon als Kind haben mich Computer fasziniert. Der bewusste Startschuss meiner Nerd-Karriere war 1985, als mir meine Eltern einen Commodore C64 geschenkt haben. Neben Spielen hat mich auch schnell das Gestalten mit einem Computer fasziniert und das tut es bis heute. Den C64 habe ich übrigens auch noch (siehe Beitragsbild).

Dieses Hobby führte mich zu einem Studium der Elektrotechnik an der TU Darmstadt. Als ich dann 1996 in den Semesterferien keinen vernünftigen Job gefunden habe, beschloss ich an einem Programmierpraktikum teilzunehmen, um die damals neue Sprache Java zu lernen. Nach Assembler und C im Studium, war das eine ganz neue Erfahrung und hat weitere Weichen für die Zukunft gestellt. Denn mit diesen Kenntnissen ausgestattet, habe ich schnell einen Job bei einer Werbeagentur in Frankfurt bekommen, um dort erste Applets für Seiten von Finanzfirmen zu konzipieren einzubauen.

Java 1.0 Desktop Reference (original)
Das ist meine Original-Ausgabe der Java 1.0 Desktop Referenz.

Derart infiziert beschloss ich, an der Uni zu bleiben und zu promovieren. Das habe ich 1998 am IT Transfer Office (ITO) begonnen, einer Organisation des Fachbereichs Informatik der TU Darmstadt, die sich ausschließlich durch extern finanzierte Projekte am Leben erhielt, zu Beginn von der Digital Equipment Corporation gesponsert. Dies hat die unternehmerische Ader meines Ichs geweckt. Die gestalterische Freiheit, aber auch das unternehmerische Risiko (kein Projekt, kein Job, keine Promotion) dieser Zeit hat mich sehr geprägt. Sie hat mir auch früh bewusst gemacht, dass Technik alleine nicht reicht, um Produkte oder Dienstleistungen am Markt zu vertreiben.

Ohne Lehrverpflichtung fehlte mir jedoch der Kontakt zu den Studenten. Ich habe daher aufbauend auf meinen Kindheitserfahrungen mit Computern den Hacker Contest ins Leben gerufen. Ziel war, damals aktuelle Technologien (damals neu: WLAN, Bluetooth, etc.) zu untersuchen. In Teams haben die Teilnehmer dabei abwechselnd die Rolle von Angreifer und Verteidiger eingenommen. Diese Initiative wurde viele Jahre fortgeführt, auch nachdem ich die Uni längst verlassen habe.

Im Mai 2003 habe ich meine Promotion “mit Auszeichnung” erfolgreich abgeschlossen. Thema waren Security Patterns, ein Thema, mit dem ich mich viele Jahre auseinander gesetzt habe. Patterns kommen ursprünglich aus der Architektur. Der Gedanke ist, dass kein Architekt lernen kann, wie man schöne Häuser baut. Dazu braucht es Erfahrung – und genau das wird in einem Pattern festgehalten. Die Idee wurde auf Software übertragen (sgt. Design Patterns) und ich habe es dann für Security adaptiert und beschrieben.

Eins meiner Pionierthemen: Security Patterns waren ein neues Thema, das in der Design Pattern Community viel Rückenwind bekommen hatte.

Mit diesem Know-How ausgestattet, habe ich mich entschieden, nach der Promotion “raus” zu gehen. Ich hatte zwar das Angebot für eine Juniorprofessur, aber das war damals noch recht neu und für mich nicht sehr attraktiv. Ich habe daher meiner ITO Kontakte genutzt und fand schnell eine Anstellung bei SAP als Product Manager für Security. SAP war damals ein weiterer Projektpartner des ITO und hatte das Lab in Karlsruhe übernommen, mit dem wir kooperiert hatten. In dieser Zeit wurde die “alte” SAP Basis in NetWeaver (Release 640+) umgebaut und ich habe in der Zeit sehr viel über die unterschiedlichen SAP Technologien lernen dürfen, zuletzt dann auch bei dem Umbau von einer Idee zum generell verfügbaren Produkt SAP Business ByDesign.

Das Thema Security war und ist mir seit vielen Jahren eine Herzensangelegenheit. Ich habe es allerdings nicht im Sinne einer Funktion zum Schutz verstanden, wie etwas mit Name und Passwort anmelden. Es war für mich vielmehr immer spannender zu verstehen, welche Lücken ein System hat, wie man diesen ausnutzen kann und was man tun muss, um “schussfest” zu sein. Da ich zudem festgestellt habe, dass SAP Kunden sehr viel selbst entwickeln, war der nächste Schritt vorprogrammiert. Wenn programmiert wird und wenn die Systeme komplex sind, kommt es fast zwangsläufig zu Lücken. Somit stand fest, dass ich die SAP 2006 verlasse und gemeinsam mit einem Geschäftspartner, den ich bei SAP kennengelernt habe, die Virtual Forge GmbH gegründet habe. Viele der ersten Mitarbeiter, die dann erstmal SAP fokussierte Penetrationstests durchgeführt haben, habe ich übrigens aus den Jahrgängen der Teilnehmer des Hacker Contest rekrutiert.

Mit im Gepäck hatte ich einige Ideen, was sich im SAP Umfeld alles tun lässt, dass nicht vom SAP Standard angeboten wird. Daraus ergab sich ein weiteres Pionierthema: Scanning von SAP ABAP Code nach Sicherheitslücken. Die daraus entstandene Lösung CodeProfiler für ABAP (Version 1.0 vorgestellt auf der SAP TechEd in Berlin im Jahr 2009) ist bis heute eine marktführende Lösung. In dieser Zeit wurde auch unser Buch “Sichere ABAP Programmierung” veröffentlicht. An Aktualität hat es nicht viel verloren, denn es gibt zwar einige neue Programmierkonstrukte im SAP Umfeld, aber “old-school” ABAP ist längst nicht am Ende.

SAP ABAP – aber sicher! In 2.000 Zeilen Code 1 kritische Sicherheitslücke. Bis heute der Benchmark.

Virtual Forge war für mich die praktische Einführung in die Betriebswirtschaft. Ausschließlich selbst-finanziert ist es uns gelungen, die Firma über die Jahre immer wieder neu zu erfinden, um am Markt vorne zu bleiben und überleben zu können. Als CEO und Geschäftsführer habe ich mich viele Jahre um den Vertrieb (wie verkaufe ich den Wert von Technologie), Marketing (welche Kunden spreche ich an und wie finden diese zu mir) und die Administration gekümmert. Dabei mussten immer wieder harte Entscheidungen getroffen und der eigene Kompass neu justiert werden: dazu gehörte die Firmenstrategie und deren Umsetzung. Mit ca. 120 Mitarbeitern haben wir 2018 beschlossen, uns auf die Suche nach Wachstumskapital zu machen, um strategisch (vs. reaktiv) vorgehen zu können. Dies endete schließlich mit dem Verkauf der Firma (Mitte 2019) an den Marktbegleiter Onapsis, dort war ich als General Manager Europe erstmals seit vielen Jahren wieder Angestellter.

Seit Anfang 2021 bin ich nun wieder selbstständig mit der Idee, Erfahrungen zu teilen, die ich auf dem hier dargestellten Weg zum Unternehmer gesammelt habe. Es geht wie eingangs geschrieben alle Facetten des Unternehmertums und technische Themen. Ich werde immer auch mal “Spielzeuge” neben dem Beruf beschreiben. Damit meine ich Dinge, die man sich als Erwachsener leisten kann und die vor allem eins machen: Spaß.

Sie finden mich u.a. bei LinkedIn und XING.