"Webseiten werden angreifbarer"

Mit seinem "Webseiten-Wächter" hat das Start-up nimbusec im vergangenen Jahr den Start-up-Wettbewerb "Start Secure" gewonnen, der heuer unter dem Titel "Security Rockstars" europaweit nach innovativen Ideen im Bereich der Cybersicherheit sucht. Organisiert wird der Wettbewerb vom Forschungszentrum SBA Resarch. Die futurezone hat Andreas Tomek von SBA Research und Alexander Mitter von nimbusec zu Angriffen auf Unternehmenswebseiten, Rahmenbedingungen für Start-ups und fehlenden Mut zum Risiko gesprochen.

futurezone: Herr Mitter, Sie bieten eine Sicherheitslösung, die hilft, Angriffe auf Webseiten schnell zu erkennen. Wie groß ist das Problem?
Alexander Mitter: Grundsätzlich werden bei diesen Angriffen, die Webseiten verändert. Das kann auf den unterschiedlichsten Ebenen passieren, etwa auf der technischen Ebene im Quelltext. Ein Standardfall, dem wir im Hosting-Bereich sehr oft sehen, ist, dass Webseiten für Spam-Mails missbraucht werden. Auf einmal fängt eine Webseite an, Zehntausende E-Mails pro Tag zu versenden. Auch Krypto-Trojaner, die eine Firma nach der anderen befallen, werden durch gehackte Webseiten verteilt oder es wird ein Pharma-Shop installiert, über den billiges Viagra verkauft wird.

Wie genau gehen Angreifer vor?
Mitter:Es gibt unterschiedliche Angriffsvektoren. Einen, den wir sehr oft sehen, sind Standard-Webtechnologien, die nicht ausreichend gepflegt werden. Bei Wordpress, auf dem 25 Prozent der Webseiten im Internet laufen, haben wir im Wochenrhythmus massive Sicherheitslücken. Die werden zwar sehr schnell gefixt, das Problem ist, dass die Updates oft monatelang nicht eingespielt werden. Diese Kombination von Systemen, die frei im Internet stehen, und bestens dokumentierten Sicherheitslücken, führt dazu, dass Webseiten automatisiert angegriffen werden.

Herr Tomek, hat diese Art von Angriffen zugenommen?
Andreas Tomek: Ja, vor allem deswegen, weil es einen hohen Grad der Automatisierung gibt. Mit der steigenden Anzahl von Webseiten gibt es auch immer mehr Web-Applikationen, die von außen gut erreichbar sind. Wir haben ein paar Content-Management-Systeme, auf denen der Großteil der Webseiten läuft. Wenn Sicherheitslücken nicht geschlossen werden, kann man sie leicht automatisiert übernehmen.

Mitter: Die Unternehmensnetzwerke selbst werden immer besser geschützt, aber die Systeme, die von außen zugänglich sind, sind angreifbarer geworden. Eine statische HTML-Seite kann ich nicht direkt knacken, da muss ich auf den Server gehen, aber interaktive, dynamisch generierte Webseiten sind von außen zugänglich und durch ihre Komplexität auch angreifbarer.

Tomek: Gerade im Business-to-Business-Bereich werden, wenn auch nur für eine begrenzte Nutzergruppe, immer mehr Daten ins Web gestellt, die vorher nur intern verfügbar waren. Wenn die Datenschutzgrundverordnung in Kraft tritt, wird das sehr spannend. Man wird diese Daten besser absichern müssen.

Herr Mitter, wie wirken sich die neuen Datenschutzregeln, die im Mai 2018 in Kraft treten auf ihr Unternehmen aus?
Mitter: Für uns ist das ein Vorteil, weil wir von Anfang an in Österreich entwickelt haben, und Datenschutzgesetze einhalten mussten. Unsere unmittelbare Konkurrenz kommt am ehesten noch aus den USA und aus Israel. Beide haben ganz andere Datenschutzkriterien. Unsere ganze Architektur ist darauf ausgerichtet, dass wir beispielsweise keinen Netzwerkverkehr mithören. Wenn die gesetzlichen Vorgaben verschärft werden, ist das ein Problem für unsere US- und israelische Konkurrenz, aber nicht für uns.

Herr Tomek, Wie würden Sie die österreichische Start-up-Szene im Sicherheitsbereich im internationalen Vergleich einordnen?
Tomek: Wir haben ein paar sehr gute Ausbildungszentren, aus denen gute Leute herauskommen, die das Basiswissen haben, damit sie Sicherheitslösungen entwickeln können. Wir haben auch den einen oder anderen Business-Angel, der Geld dafür hergibt, und wir haben das eine oder andere Forschungsprojekt, das man kapitalisieren kann. Was nicht da ist, ist die Einstellung, dass ein Unternehmen zu gründen, etwas Positives ist. Wer ein Unternehmen gründet, muss sich mitunter immer noch die Frage anhören, ob er nach dem Studium keinen Job gefunden hat. Auch der Mut zum Risiko fehlt. Auch bei der Finanzierung der Wachstumsphasen wird es ein bisschen eng.

Wie kann man Leute dazu bringen, diesen Mut zu entwickeln?
Tomek: Es müssten die Rahmenbedingungen für Unternehmensgründungen verbessert werden, etwa durch Steuererleichterungen. Es sollte auch ein Anreizsystem für Investoren geben. "Start-up-Communities leben davon, dass es bereits erfolgreiche Gründer gibt, die wieder in Start-ups investieren. Davon haben wir noch zu wenige. Viele Firmen wandern auch ab, weil sie die Internationalisierung hier nicht finanzieren können. Dann ist die Wertschöpfung aus dem Land draußen. Volkswirtschaftlich ist das ein Wahnsinn.

Herr Mitter, welche Erfahrungen haben Sie gemacht?
Mitter: Ein Start-up beginnt mit einer Idee, die will umgesetzt werden. Was uns aufhält, ist die Administration. Förderung bedeutet immer, ich muss darum ansuchen, ich muss das Projekt vorstellen, das ist ein enormer administrativer Aufwand für ein Unternehmen. In Ländern, wo die Lohnnebenkosten niedriger sind und man sich nicht sofort um eine massive Finanzierung kümmern muss, weil man sonst die Mitarbeiter nicht bezahlen kann, erspar ich mir diese Administration und kann meiner Idee schneller nachgehen. Das ist ein Wettbewerbsnachteil.

Herr Tomek: SBA Research hat auch ein Inkubatorenprogramm gestartet. Wie ist das angelaufen?
Tomek: Es hat sich ganz gut entwickelt. Wir haben vier Unternehmen, die wir betreuen, nimbusec ist eines davon. Wir helfen ihnen bei der Internationalisierung und schaffen etwa Zugänge zu Großkonzernen, um Referenzkunden zu generieren.

Wenn man sich heutige Bedrohungsszenarien ansieht, in welchen Bereichen sehen Sie für Start-ups die Möglichkeit zu reüssieren?
Tomek: Das ist sehr breit. Bedrohungsszenarien ganzheitlich abzudecken ist schwierig. Thema ist beispielsweise alles was in Richtung gezielte Angriffe geht, auch alles, das in Richtung Malware oder neue Methoden zum Erkennen von Angriffen geht, aber auch der Austausch von Angriffsinformationen unter Unternehmen sind wichtige Themen. Der Authentifizierungsbereich ist ein Riesenthema. Das Passwort ist eigentlich seit Jahrzehnten veraltet. Lösungen müssen aber für die Nutzer brauchbar sein. Security-Lösungen wird man auch nur solange kaufen, solange sie billiger sind, als das Risiko, das man damit abwehren will. Alles andere ist betriebswirtschaftlich sinnlos.

Herr Mitter, wie geht es mit nimbusec weiter?
Mitter: Es geht alles schneller als wir erwartet haben. Wir haben uns auf Deutschland, die Schweiz und Österreich konzentriert, aber jetzt bekommen wir bereits Einladungen zu Konferenzen in Südkorea und Texas. Speziell im Unternehmensbereich kommt wirklich ein Schneeball ins Laufen.

Mit der zunehmenden Digitalisierung sämtlicher Lebens- und Wirtschaftsbereiche wird auch die Datensicherheit immer wichtiger. Besonders führende Industrie- und Dienstleistungsstandorte zählen zu den attraktivsten Zielen von Cyberangreifern. Experten schätzen den Schaden, der jährlich durch Cyberkriminalität entsteht, auf rund 750 Milliarden Euro. Um aktuelle und zukünftige Cyberrisiken bewältigen zu können, braucht es geeignete Technologien und Produkte. Dafür bedarf es der Kreativität und der Innovationskraft von Start-ups.

Nach dem Erfolg des Wettbewerbs „Start Secure“ im vergangenen Jahr werden heuer im Rahmen des Wettbewerbs „Security Rockstars“ europaweit Sicherheits-Start-ups und Ideen für Cybersecurity-Lösungen gesucht.

35.000 Euro Preisgeld

Der Gewinner des Wettbewerbs erhält 20.000 Euro Preisgeld, der zweite Platz ist mit 10.000 Euro dotiert, für den dritten Platz gibt es 5000 Euro. Die Top 5 werden zu einem fünftägigen Start-up-Bootcamp eingeladen und von Experten, Gründern und Risikokaptalgebern auf die finalen Pitches vorbereitet. Für die 25 besten Start-ups gibt es Hilfestellungen bei der Erstellung des Business-Plans und Feedback von Experten.

Teilnahmebedingungen

Teilnahmeberechtigt sind Personen und Gründerteams aus dem Bereich Informationssicherheit mit Sitz in Europa. Das Start-up kann in der Konzeptphase, in Gründung oder bereits gegründet sein, erste Prototypen dürfen existieren.

Weitere Bedingungen: Das Start-up darf nicht älter als drei Jahre sein, kein Venture Capital aufgenommen und nicht mehr als fünf Mitarbeiter (ausgenommen Gründer) haben, erste Kunden sind erlaubt.

Auswahlverfahren

Um die Eintrittshürde auf für frühphasige Start-ups niedrig zu halten, ist zur Teilnahme an der ersten Phase des Wettbewerbs nur ein kurzer Abstract (maximal zwei Seiten) notwendig, in dem Problemstellung, technischer Lösungsansatz sowie Team und Geschäftsmodell vorgestellt werden. Die Einreichfrist endet am 15. Juli.

Die besten 25 Start-ups und Ideen entwickeln unter professioneller Anleitung einen Businessplan, der von einer prominent besetzten Jury bewertet wird. Die Top-5 steigen ins Finale auf. Die Sieger werden am 24. Oktober in Wien präsentiert.

Detaillierte Informationen zum Wettbewerb finden sich unter: www.securityrockstars.com

Der Wettbewerb "Security Rockstars" wird von SBA Research organisiert und vom Bundesministerium für Inneres (BMI) und dem Kuratorium Sicheres Österreich unterstützt.

Entgeltliche Kooperation mit dem Bundesministerium für Inneres (BMI) .