Cybersicherheit ist ein sich ständig entwickelndes Schlachtfeld, auf dem die Taktiken der Cyberangriffe immer ausgeklügelter und komplexer werden. Um bei diesem Wettrüsten vorn zu bleiben, benötigen Unternehmen innovative und anpassungsfähige Sicherheitssysteme. Eine solche Lösung bietet das Startup Resility GmbH, ein Cloud Security Unternehmen, mit ihrer SaaS-Plattform Mitigant, das von Dr. Muhammad Ihsan Sukmana, Kennedy Torkura, Nils Karn und Dr. Thomas Fricke gegründet wurde. Sie wollen Unternehmen resilienter gegenüber Cloudangriffen machen.
Für Gründerzeit Magazin haben wir mit den Entwicklern von Mitigant gesprochen, um herauszufinden, worauf es bei der Cloudsicherheit heute ankommt und konnten erfahren, dass die Gründer im Bereich des Security Chaos Engineering wahre Pionierarbeit leisten. Kennedy Torkura, Chief Technology Officer von Mitigant, und Dr. Muhammad Ihsan Sukmana, Chief Product Officer, sind für ihre Promotion am Hasso-Plattner Institut in Potsdam nach Deutschland gekommen und haben seitdem einen beeindruckenden Weg zurückgelegt. Im Dezember 2021 erhielt Mitigant eine siebenstellige Seed-Finanzierung von HighTech-Gründerfonds, Brandenburg Kapital und adesso Ventures.
Die Geburt einer Idee: Cyber-Resilienz für Unternehmen
Die beiden Resility-Gründer haben ihr System für Mitigant direkt aus der Forschung mitgenommen: Sie waren schon immer daran interessiert, Probleme zu lösen, die bisher nicht ausreichend Beachtung gefunden haben. Kennedy Torkura und Dr. Muhammad Ihsan Sukmana haben beide am Hasso Plattner Institut zu Cloud- und Cybersecurity, ganz speziell zu Security Chaos Engineering, geforscht und hatten in diesem Rahmen bereits die Gelegenheit mit Industriepartnern, wie der Bundesdruckerei, zusammenzuarbeiten, um ihre praktische Perspektive zu erweitern.
“Als ich nach meiner Promotion als Cloud-Sicherheitsingenieur arbeitete, bemerkte ich, dass die Probleme, die wir während unserer Forschung bereits gelöst haben, in der Praxis noch immer ungelöst waren, obwohl Unternehmen bereits modernste Systeme einsetzten”, so Torkura. Dies war der Anstoß, das Konzept von Security Chaos Engineering in ein reales Produkt umzusetzen und Unternehmen dabei zu unterstützen, ihre Sicherheitsprobleme zu lösen.
Ihre gemeinsame unternehmerische Reise begann mit der Erkenntnis, dass die Welt der Cybersicherheit sich rasant verändert und bestehende Lösungen Schwierigkeiten haben, mit der Veränderung Schritt zu halten. Wie Dr. Muhammad Ihsan Sukmana erklärt, hat die Anzahl der Cyberbedrohungen im Laufe der Jahre stetig zugenommen und Angriffe werden fast täglich komplexer und ausgefeilter.
So berichten sie im Interview, dass Cyberangriffe basierend auf ihren Erfahrungen heute die Fähigkeiten der meisten Unternehmen übersteigen, insbesondere in der Cloud. Das liegt vor allem an der Art und Weise, wie Clouds gestaltet sind: Sie sind in sehr großem Maße offen, werden über APIs (Programmierschnittstellen) gesteuert, und es finden ständig viele Veränderungen in der Cloud statt – all dies wirkt sich negativ auf die Sicherheit aus.
Trotz der Verfügbarkeit von Sicherheitslösungen auf dem Markt fallen nach wie vor viele Unternehmen Cyberangriffen zum Opfer. Die Wurzel des Problems liegt demnach eher in der Unfähigkeit bestehender Lösungen, mit der sich ständig entwickelnden Natur der Cyberbedrohungen Schritt zu halten. Insbesondere in der Cloud-Infrastruktur die häufig Sicherheitslücken aufweist, über die sich die Unternehmen gar nicht bewusst sind,
Die beiden Mitigant-Gründer nutzten ihren Hintergrund im Security Chaos Engineering, um genau dieses Problem zu lösen. Das Konzept von Mitigant ist einfach wie revolutionär: Unternehmen müssen die Unvermeidbarkeit von Cyberangriffen akzeptieren und anstatt diese zu verhindern, sich bestmöglich darauf vorbereiten und sich auf Resilienz konzentrieren.
Eine Möglichkeit, um die Sicherheit der Cloud zu erhöhen, sind Angriffssimulationen, d.h. es werden tatsächliche Angriffe auf die Cloud getätigt, um zu beobachten, wie die Infrastruktur reagiert. Zum Beispiel kann ein kontrollierter Ransomware-Angriff zeigen, ob die Gegenmaßnahmen gegen Ransomware, die implementiert wurden, überhaupt effektiv sind.
Hundertprozentige Sicherheit ist eine Illusion
Kennedy Torkura erklärt Gründerzeit Magazin: “Hundertprozentige Sicherheit ist eine Illusion. Stattdessen bereiten wir bei Mitigant Unternehmen auf die Eventualitäten eines Angriffs vor.”
Dr. Muhammad Ihsan Sukmana weiter: “Mithilfe unseres Systems machen wir unsere Kund:innen resilient gegen Angriffe und minimieren die negativen Auswirkungen von Cloudangriffen. Wenn ein Unternehmen nicht optimal vorbereitet ist, kann es viele vertrauliche Informationen und Daten verlieren. Es kann auch passieren, dass Geschäftsabläufe gestört oder gar komplett heruntergefahren werden müssen. Das kostet viel Zeit und Geld.”
Das Onboarding für Mitigant’s SaaS-Plattform dauert nur 15 Minuten und ist für Unternehmen so einfach in die Prozesse einzugliedern wie ein Log-In auf LinkedInoder Facebook. SaaS (Software-as-a-Service)-Anwendungen zeichnen sich dadurch aus, dass Nutzer:innen mit ihren zugrunde liegenden IT-Infrastrukturen und -Plattformen sie ganz simpel über einen Internetbrowser nutzen können. Die jeweiligen Software-Anbieter entscheiden sich meist für eines der zwei gängigen Bereitstellungsmodelle im eigenen Rechenzentrum oder über einen Public Cloud-Serviceanbieter wie AWS, Azure, oder die Google Cloud Plattform, der die Cloud-Umgebung verwaltet, auf der die SaaS-Lösung gehostet wird.
Der neuartige Ansatz für Cloudsicherheit von Mitigant unterscheidet sich stark von den anderen Angeboten auf dem überfüllten Markt für Cybersicherheit. Während viele Lösungen auf Prävention setzen, konzentriert sich Resility als erstes Unternehmen überhaupt auf die Vorbereitung auf einen Cloud-Angriff und den Aufbau von Cyber-Resilienz.
Die Pioniere von Security Chaos Engineering in Deutschland
Kennedy Torkura ist einer der Pioniere für Security Chaos Engineering in Deutschland- in der Forschung genauso wie in der Praxis mit seinem Unternehmen Resility. Er erklärt uns im Interview, dass Netflix ein Vorreiter für Chaos Engineering ist, da sie bei dem Umstieg in die Cloud im Jahr 2009 auf Sicherheitsprobleme stießen und ihren Service auch im Falle eines Ausfalls oder Angriffs weltweit weiter verfügbar machen mussten. Damit war Netflix das erste Unternehmen weltweit, welches das Konzept intern nutzte. Mitigant macht sich Security Chaos Engineering zu nutzen, fokussiert sich dabei auf die Sicherheit und Resilienz von Cloud Infrastrukturen ihrer Kund:innen. Der große Nutzen von Mitigant als SaaS-Plattform ist, dass Unternehmen die Vorteile von Security Chaos Engineering nutzen können, ohne eine Armee von Software-Ingenieur:innen einstellen zu müssen.
Zum Abschluss haben wir Dr. Muhammad Ihsan Sukmana und Kennedy Torkura nach ihren Ratschlägen für angehende Gründer:innen gefragt. Die beiden empfehlen, den Markt und potenzielle Kund:innen sorgfältig zu verstehen, bevor man ein Produkt launcht. Kundenbedürfnisse sollten immer im Mittelpunkt eines Unternehmens stehen und die Gründer:innen sollten stets bereit sein, ihre Ideen zu überarbeiten und an Kundenwünsche anzupassen.
Dr. Muhammad Ihsan Sukmana betont außerdem die Bedeutung eines robusten Netzwerks, das sich mit den lokalen Gegebenheiten gut auskennen, insbesondere für Gründer:innen mit Migrationshintergrund. Rechtliche und finanzielle Aspekte sollten gründlich recherchiert und verstanden werden, um Fehler in der Gründungsphase zu vermeiden.
Die Gründer von Resility haben eine beeindruckende Reise hinter sich und zeigen, dass mit Leidenschaft für ein Thema, ständiger Anpassungsfähigkeit und Teamarbeit die Gründung eines erfolgreichen Startups möglich ist. Die Geschichte von Dr. Muhammad Ihsan Sukmana und Kennedy Torkura dient uns allen als Inspiration und macht hoffentlich vielen Menschen mit Migrationshintergrund Mut, in Deutschland Fuß zu fassen und ihre Geschäftsidee umzusetzen.