Ich kenne Sebastian seit den Anfangsjahren meiner ehemaligen Firma Virtual Forge. Er lehrt und forscht seit vielen Jahren zu angewandter Kryptografie und System-Sicherheit und ist Mitgründer des Instituts für Gesellschaft und Digitales (GUD) an der FH Münster. Er war außerdem Norddeutscher Meister, Deutscher Vizemeister und Team-Weltmeister im Biketrial.
Das Interview mit ihm dreht sich um:
- Kreativ bleiben bei den Lösungen, da keiner sagen kann, wie sich die Angriffe weiterentwickeln werden
- Authentisch bleiben als Gründer und Unternehmer
- Stärkung der Security-Industrie in Deutschland und Good Ol‘ Europe
- Sebastian, Du hast die Verwandlung von Virtual Forge von eine Gruppe von Idealisten zu einer Firma miterlebt. Was hat Dich von dieser Zeit am meisten geprägt?
Wir kamen damals aus dem Capture The Flag (CTF) Team der TU Darmstadt zu Virtual Forge und sind daher die ersten Kundenprojekte mehr wie einen Hackerwettbewerb als eine Beratungdienstleistung angegangen. Das waren spannende und lehrreiche Zeiten. Als dann der CodeScanner CodeProfiler entwickelt wurde, begann die Transformation vom beratungslastigen Pentesting-Unternehmen hin zu einem Produktentwicklungsunternehmen. Das war tatsächlich ein Umbruch, da Produktentwicklung völlig andere Unternehmensstrukturen braucht. Penetrationstests sind sehr kreative und meist relativ kurze Projekte während Produktentwicklung jahrelange strukturierte Entwicklung braucht, die erst nach längerer Zeit Früchte trägt. Geprägt hat mich, dies mitzuerleben und auf meine heutige Unternehmertätigkeit anwenden zu können. - Du hast selbst schon Firmen gegründet. Welche Ziele hast Du damit verfolgt?
Das Ziel ist den Standort Deutschland und die IT Sicherheitsindustrie in Europa voran zu bringen. Hier gibt es viele gute Leute, gute Ausbildung, viele gute Ideen, aber oft zu wenig Mut, den Schritt zur Selbstständigkeit zu versuchen. Das ist wahrscheinlich einer der Hauptgründe, warum Deutschland bei innovativen IT-Unternehmen z.B. gegenüber den USA hinterher hängt. - Was macht für Dich den Erfolg einer Gründung aus und warum kann es schiefgehen?
Man braucht eine gute Lösungsidee für ein konkretes Problem im Markt, ein gutes Team und Kunden mit konkretem Bedarf an der Lösung. Und viel Durchhaltevermögen und auch etwas Glück. Und am besten keine Pandemie!
Kannst Du den Punkt etwas ausführen?
Für Konzerne scheint die Pandemie oft eine gute Ausrede zu sein. Man kann sie als Argument für nahezu alles nutzen: Umstrukturierungen, Personalabbau, usw. Für ein Startup ist sie schädlich, da die Finanzierung schwierig ist, Kunden kaum auf neue Ideen anspringen und es auch schwer ist, Leute an Bord zu nehmen, die derzeit eher auf Jobsicherheit aus sind (vs. in ein eher riskantes Startup zu gehen). - Wie stehst Du zum Thema „wir bleiben, wie wir sind“ vs. Wachstumskurs?
Das Eine schließt das Andere nicht aus. Man kann durchaus bleiben, „wie man ist“ und trotzdem wachsen. Es kommt wohl auf das Selbstverständnis an: was ist man denn? Will ich die Welt verbessern, indem ich Computersysteme sicherer mache? Oder bestehe ich darauf, dass ich die Welt nur durch diese eine Dienstleistung oder dieses eine Produkt verbessern kann? Letzteres kann mich davon abhalten, die Welt zu verbessern, weil die Dienstleistung oder das Produkt dauerhaft nicht ankommt. - Und abschließend eine fachliche Frage: welche Themen sind für Dich, als „Security Professor“, geeignet für eine Gründung?
Cybersicherheit wird auch weiterhin relevant bleiben, auch wenn andere Themen wie KI gerade die Förderlandschaft dominieren. Die Unternehmen lernen ständig dazu und sind daher ein „Moving Target“. Waren Penetrationstests vor 10-15 Jahren noch sehr innovativ mit wenigen spezialisierten Anbietern, hat heute fast jede Beratungsfirma auch Penetrationstests im Programm. Gründer sollten sich fragen: welche Dienstleistung, welches Produkt fragen Unternehmen in 2-5 Jahren an? Wenn man hierfür eine gute Idee hat und gleichzeitig einige innovative Unternehmen mit Kaufinteresse in der Hinterhand hat, dann sollte man eine Gründung erwägen. - Daraus abgeleitet – welche werden es in den nächsten 5 Jahren sein?
Viele Unternehmen haben gelernt, dass die Prävention von Cyberangriffen, z. B. durch Suchen und Schließen von Sicherheitslücken, sicherer Softwareentwicklung usw. nicht ausreicht. Wenn die Mitarbeiter den falschen Anhang öffnen, haben die Angreifer den Fuß im Unternehmen und können sich von da aus weiter verbreiten. Die aktuellen Erpressungstrojaner-Banden arbeiten hochprofessionell und haben hohe Gewinnmargen. Da ist reine Prävention durch Absicherung nicht mehr ausreichend. Die Unternehmen müssen sich fragen:
- Wie erkenne ich erfolgreiche Angriffe zeitnah?
- Wie erkenne ich das Ausmaß des Angriffs?
- Wie kann ich die Angreifer an der weiteren Ausbreitung hindern?
- Wie werfe ich die Angreifer zuverlässig aus meinem Netz?
- Und natürlich: wie ziehe ich meine IT-Infrastruktur neu auf, wenn ein Angreifer bereits tief vorgedrungen war?
Das sind Fragen, für die man spezialisiertes Person, evtl. auch mit Rufbereitschaft etc. benötigt. Das können die meisten Unternehmen gar nicht stemmen. In Teilen kann man das zu Managed Service Providern (MSP) auslagern aber einiges von diesem Wissen muss auch intern vorliegen.
Bildquelle: FH Münster, Wilfried Gerharz