Mit den bevorstehenden EU-Regulierungen wie dem Cyber Resilience Act (CRA) und der NIS2-Richtlinie wird Cybersecurity für Unternehmen immer wichtiger. Auch kleine und mittlere Unternehmen aus dem Maschinen- und Anlagenbau, die nun als kritische Infrastruktur gelten, sind dazu verpflichtet, geeignete Cybersecurity-Maßnahmen für ihre OT-Umgebungen (Operational Technology) zu implementieren und zu managen. asvin will Unternehmen bei der sicheren Verwaltung ihrer Software-Lieferketten unterstützen, damit diese ihren gesetzlichen Verpflichtungen nachkommen können. Mit der Teilnahme am Digital-Segment des G20-Gipfels in Bengaluru machte asvin in Indien Furore und baut damit seine Präsenz international aus.
Ariane Lindemann im Gespräch mit asvin-Gründer Mirko Ross
Wie ist generell das Sicherheitsdenken in Unternehmen?
Cybersecurity ist wie Radioaktivität. Du kannst dich in einem hochverstrahlten Gebiet bewegen und spürst nichts. Erst, wenn die Haare ausfallen. Wenn Strahlenschäden vorliegen. Genauso ist es mit Cybersecurity. Analog dazu gibt es zwei Probleme beim Thema Cybersecurity. Erstens: Da man immer erst dann etwas merkt, wenn ein Angriff erfolgt ist, investiert man quasi in Prävention und das ist nach wie vor unattraktiv. Der zweite Punkt ist: Man muss investieren. Wie unangenehm! Die Industrie dagegen ist auf Kostenoptimierung getrimmt. Cybersecurity aber erhöht Kosten. Doch Cyberschäden erhöhen eben auch Kosten. Da es erst einmal keinen Wertschöpfungsbeitrag gibt, tun sich viele Unternehmen sehr schwer, im Cybersecurity-Bereich ausreichend zu investieren. Egal, wie viele schreckliche Beispiele wir haben. Deshalb kommt jetzt Regulatorik ins Spiel. Denn nur sie kann dieses Defizit in der Wahrnehmung beheben.
„Cybersecurity ist wie Radioaktivität. Du kannst dich in einem hochverstrahlten Gebiet bewegen und spürst nichts. Erst, wenn die Haare ausfallen.“
Fehlt es immer noch an Aufmerksamkeit für das Thema Cybersecurity?
Aufmerksamkeit für Cybersecurity ist durchaus vorhanden – vor allem in großen Unternehmen. Sie wissen, dass sie ihre Lieferketten und ihre Operational Technology (OT) sichern müssen. Die kleineren Unternehmen dagegen tun sich wesentlich schwerer. Sie sehen zwar die Notwendigkeit, haben aber oft nicht die Ressourcen, um das richtig zu planen und durchzuführen. Dennoch werden sie jetzt von der EU, wenn auch zu ihrem eigenen und dem Wohl ihrer Geschäftspartner, mit NIS2 und dem CRA zu Cybersecurity gezwungen. Sie müssen ihre Infrastruktur und ihre Produkte sicher machen. Das wird in Zukunft schlicht und einfach Gesetz.
Die EU-Regularien kommen und ihr seid bereits mit einer top Lösung am Start.
Wie geht das?
Da ich schon 2018 in entsprechenden Gremien innerhalb der EU immer mal wieder als Beirat und Experte geladen war und gesehen habe, wie das Thema sich entwickelt, wusste ich, dass sich das regulatorische Umfeld in den nächsten Jahren verschärfen würde. Da haben wir dann mit unserer Produktentwicklung angesetzt. Jetzt, 2023, sind wir genau in der Situation, dass die Regularien kommen und greifen. Unter anderem ist das der Cyber Resilience Act, der Standards für die Cybersicherheit von vernetzten Geräten definiert und damit die Cybersicherheit von Produkten verbessert. Daneben entsteht die NIS2-Regulierung, sie legt Cyber Security Mindeststandards für Unternehmen fest. Wie die teils sehr komplexen Regelungen im Einzelnen aussehen und in welchem Zeitrahmen sie in geltendes nationales Recht umgesetzt werden, erläutern wir auf unserer Website. Dort bieten wir auch Quickchecks an, mit dem Unternehmen in drei Minuten herausfinden, ob sie überhaupt betroffen sind.
Ihr habt die Antwort auf globale Cybersecurity-Herausforderungen …
Uns interessiert vor allem Cybersecurity entlang des Lebenszyklus von vernetzten Geräten oder Devices und entlang der Lieferkette. Die Cybersicherheitslage ist so unübersichtlich und so eine enorme Herausforderung, dass die Unternehmen da viel bessere Guidelines und Empfehlungen brauchen, an welcher Stelle sie agieren müssen. Wir haben deshalb bei asvin die Methode Risk-By-Context (RBC) und ein dazu gehöriges Produkt für Kontext-basierte Risikoanalyse entwickelt. Es ermöglicht Sicherheitsverantwortlichen das Erkennen von Schwachstellen und Angriffsmustern auf Software-Lieferketten in OT-Umgebungen und deren priorisierbare Abwehr.
Was heißt sichere Lieferkette?
Stell dir vor, du hast ein Gerät auf deiner Lieferkette im Einsatz, das du nicht selbst produziert hast, sondern irgendein Zulieferer. Bislang war das akzeptabel – wir haben einfach vertraut, dass die Software dieses Geräts sicher ist. Weil aber heutzutage, nicht zuletzt auch durch politische, ökonomische und ökologische Verwerfungen, unheimlich viele Cyberangriffe stattfinden, bieten solche Geräte womöglich ungesicherte Angriffsflächen. Cyberkriminelle suchen sich bevorzugt genau diese unscheinbaren Geräte als Einfallstore aus. Diese Sicherheitslücken finden wir und können durch Kontext-Informationen, etwa ob unternehmenskritische Funktionen kompromittierbar sind, Abwehrmaßnahmen priorisieren.
Euer USP ist demnach die Priorisierung?
Richtig. Denn wenn ein Unternehmen 150.000 Schwachstellen identifiziert, was durchaus eine reale Größe ist, dann ist Handeln angesagt. Aber wo anfangen? Ich kann schließlich nicht alle Schwachstellen beseitigen. Mit RBC können sie sagen, welche Sicherheitslücken in OT-Umgebungen unternehmenskritisch sind und schnellstens geschlossen werden müssen. Wir lösen das mit einer graphenbasierten Methode.
Kannst du das näher erklären?
Der technische Terminus lautet „Kontextbasierte Risikoanalyse“ – Risk-By-Context, das ist unser Label. Das ist ein mathematisches Modell, über das man Beziehungen abbilden kann. Zum Beispiel kann man damit ermitteln, wie nah eine Maschine an einem Angriffspfad liegt – also, wie nahe sie an einem konkreten Risiko ist. Je näher – liegt sie vielleicht unmittelbar auf dem Angriffspfad – umso höher ist das Risiko. Je weiter die Maschine oder Anlage entfernt ist, desto geringer wird das Risiko. Warum? Weil der Aufwand für den/die Angreifer*in steigt. Angreifer*innen sind in der Regel „faul“ und gehen ökonomisch vor.
Eine weitere Metrik ist zum Beispiel, zu erkennen, wie hoch das Health-Safety-Environment dieser Maschine oder Anlage ist. Ist das eine Anlage, die ich nur einmal in der Produktion habe? Wenn sie ausfällt, habe ich keinen Ersatz. Dann steht meine gesamte Produktion still.
Ein anderes Beispiel: Handelt es sich um eine Roboterzelle, die abgeschlossen ist? Wenn diese gehackt wird, und der Roboter läuft Amok, kann er dann jemanden verletzen? Besteht ein Gesundheitsrisiko? Das alles sind Werte und Parameter, die in unser Modell einfließen.
Wer sind eure Kunden?
Unsere Kunden sind Industrieunternehmen von mittelständisch bis Konzern. Und wir haben Kunden im Bereich Government mit großen Infrastrukturthemen. Das sind unsere zwei Segmente, die wir bedienen. Einer unserer Kunden ist die „Cyberagentur“ des Bundes in Halle. Von dieser haben wir jüngst einen großen Forschungsauftrag erhalten. Daneben sind wir mit vielen großen und namhaften Unternehmen in Entwicklungsprojekten, die genau dieses Kontext-Thema und die Priorisierung dringend brauchen. Sie müssen sämtliche Items, die sie betreiben, in Zukunft absichern. Nicht nur wegen der EU-Regulierung, sondern weil Cybersecurity in Zukunft das Megathema werden wird. Ohne Trust auf dem Schirm zu haben, wirst du in Zukunft keine Produkte mehr verkaufen können.
„Ohne Trust auf dem Schirm zu haben, wirst du in Zukunft keine Produkte mehr verkaufen können.“
Welches sind eure nächsten Schritte?
Wir sind in der Scale-up-Phase und wollen kräftig wachsen. Wir investieren jetzt in die Erweiterung unseres Sales Teams und werden unser Marketing so ausbauen, dass es unsere Wachstumsvorhaben noch perfekter unterstützt. Daneben natürlich weitere Herausforderungen: Wie erobern wir unsere Märkte? Wie können wir uns abgrenzen gegen die Konkurrenz aus Übersee? Und wie können wir uns in Europa jetzt so stark positionieren, dass wir da auch Marktführerschaft erreichen – und nichts darunter.
Das heißt, weil ihr so früh angefangen habt, müsst ihr in Europa nicht mit Mitbewerbern konkurrieren?
In generellen Bereichen, etwa dem Risiko Management, gibt es natürlich auch europäische Anbieter. Aber mit unserer „Risk-By-Context“-Methode für OT haben wir tatsächlich nur in den USA ernsthaften Wettbewerb.
Ihr entwickelt gerade auch Abwehr-Werkzeuge für KI-Systeme. Ein brandaktuelles Thema.
Wir haben mehrere große Forschungsprojekte im Bereich AI Security, eines davon gemeinsam mit dem KIT in Karlsruhe. Dort schauen wir uns an, wie man AI-Systeme gezielt hacken kann, indem man manipulierte Daten in KI-Systeme injiziert und diese dann dazu zwingen kann, das zu tun, was man selbst möchte und nicht, was das System gerne antworten würde. Wir hypnotisieren quasi AI-Systeme.
Diese Projekte sind insofern interessant, als wir uns zunehmend die Frage stellen müssen: Wie vertrauensvoll ist dieses System? Kann ich der Aussage des Systems vertrauen? Ist das jetzt wahr, oder ist das manipuliert? Wir erproben gerade sehr erfolgreich verschiedene Techniken der Manipulation. Darum können wir jetzt schon sagen, dass man AI-Systeme sehr gut manipulieren kann, wenn man weiß, wie. Und weil wir das wissen, können wir mit RBC auch KI-basierende Angriffsmethoden erkennen und bei deren Abwehr helfen.
Könnte das auch auf ChatGPT zutreffen?
Das betrifft auch ChatGPT. Die Frage hier ist: wie sicher sind die Trainingsmodelle des Anbieters Open AI? Das weiß man nicht, weil Open AI es nicht in der notwendigen Weise offenlegt. Damit haben wir es mit nicht-vertrauenswürdige Modellen zu tun, für die bestimmte Sicherheitsmaßnahmen notwendig sind. Genau solche und weitere Umstände untersuchen wir gerade in unserer Forschung. Nach wie vor lernen Unternehmen jetzt erst mal, AI einzusetzen. Das Zweite wird dann sein, zu lernen, wie sie ihre AI-Systeme absichern.
Was habt ihr aus dem CyberLab-Accelerator in Karlsruhe mitgenommen?
Wir haben das sehr genossen und begrüßt, weil wir finden, dass Acceleratoren-Programme grundsätzlich etwas sehr Gutes sind. Wir leben davon, dass wir uns austauschen, mit Expert*innen sprechen können, dass wir unsere Ideen pitchen und auf den Prüfstand stellen können. Wir sind ein sehr versiertes, internationales Team bei asvin, wir haben Kollegen in Boston, am MIT, Kollegen in Brüssel etc. Wir sind exzellent in dem, was wir machen. Dennoch ist es für uns immer sehr wichtig, den Austausch zu suchen.
Ein großes Dankeschön an der Stelle an das Team vom CyberLab. Die machen eine großartige Arbeit. Ich finde es wichtig, dass sich die Community untereinander unterstützt und Erfahrungen von Startups für Startups sind viel wertvoller als jedes andere externe Coaching.
„Ein großes Dankeschön an der Stelle an das Team vom CyberLab. Die machen eine großartige Arbeit.“
Gab es ein zentrales Learning?
Die Frage ist immer im Pitching mit Expert*innen: Sehen die etwas, was wir nicht sehen im Feintuning? Wir brauchen kein grundlegendes Businessplan-Training. Wir sind so aufgestellt, dass wir unsere Mission verkaufen können. Aber der Austausch ist enorm wichtig. Etwa zu Methoden und Tools im Marketing oder zu Vorgehensweisen in schwierigen Sales-Bereichen.
Wie tickt der hiesige Markt?
Cybersecurity in Deutschland ist chronisch unterbewertet in der Wahrnehmung der Kunden. Viele schielen lieber nach USA und Israel. Dabei spricht vieles dafür, sich Dienstleister in Europa auszusuchen. Es geht um Vertrauen und Sicherheit. Acceleratoren sind auch deshalb wichtig, um die Wahrnehmung zu schärfen, welche tollen Unternehmen und Dienstleistungen in Sachen Cybersecurity es auch in Deutschland gibt. Fliegt nicht nach Israel, fliegt nach Karlsruhe!
„Fliegt nicht nach Israel, fliegt nach Karlsruhe!“
Seid ihr als Mentoren tätig?
Wir sind immer mal wieder als Mentoren tätig, so wie es unser Zeitkontingent zulässt. Gründer*innen müssen von Gründer*innen Erfahrung ist sammeln. Das kann man nicht aus Büchern lernen oder aus Podcasts. Selbst die großen Unternehmer-Tiere, die vielleicht erfolgreiche Konzerne geführt haben, haben mit Startup-Kultur überhaupt gar nichts am Hut. Von denen kann man andere Dinge lernen für spätere Phasen. Aber der Austausch von Gründer*innen zu Gründer*innen ist sehr wichtig – und das macht das CyberLab ganz exzellent.
Gerade habt ihr beim Digital-Event auf dem G20-Gipfel in Bengaluru (Indien) für Furore gesorgt …
Ja! Wir wurden vom Bundeswirtschaftsministerium als Startup im Bereich Cybersecurity vorgeschlagen und vom indischen Ausrichter ausgewählt, am Digital Innovation Alliance (DIA)-Meeting des G20-Gipfels in Indien teilzunehmen und haben dort einen Preis gewonnen. Wir wurden mit dem zweiten Platz im Segment Security Startups im international besetzten Feld innovativer junger G20-Unternehmen ausgezeichnet. Der Award setzte mit rund 200 teilnehmenden IT-Vordenkern aus aller Welt ein deutliches Zeichen für neue digitale Souveränität. Diese Auszeichnung trug zu einem überraschend guten Abschneiden der deutschen Startup-Delegation bei.
Das ist ein politischer Gipfel. Was ist euer Tech-Beitrag?
Es geht um den Mix aus politischem Gestaltungswillen und technologischen Möglichkeiten. Technologie sollte Gesellschaften voranbringen, nicht einzelne Unternehmen. Und sie sollte sich frei von Bedrohungen entfalten können. Die Klammer hierfür ist Cybersicherheit. Denn ganz gleich wie komplex digitale Plattformen oder politische Herausforderungen sind, gesichertes globales Handeln ist nur auf absolut sicheren Software-Lieferketten möglich. Und nicht nur das. Garantierte Cybersicherheit wird aktuell zur zentralen Voraussetzung, um in Zukunft überhaupt noch erfolgreich global agieren zu können. Als Spezialist für Cybersicherheit sorgen wir mit unserer RBC-Methode für Transparenz und Schutz auf weltweit vernetzten Infrastrukturen. Auf dem G20/DIA Gipfel konnten wir diese Expertise mit allen Interessierten teilen, die sich für sichere, ressourcenschonende und allgemein zugängliche Geschäftsprozesssicherheit einsetzen. Das hat sehr gut funktioniert.
