enaCom: Fast täglich wird über neue digitale Bedrohungen berichtet. Das Ziel Eures Start-ups ist es, digitale Benutzer-Accounts vor betrügerischen Aktivitäten zu schützen. Wie genau gelingt das?
Identeco: Unser Ziel ist der Schutz von Benutzer-Accounts und damit auch der Schutz der Kundenbeziehungen und der Plattformen unserer Kunden. Der monetäre Verlust von Onlinehändlern durch Identitätsdiebstahl in Deutschland ist riesig. Im Jahre 2020 lag dieser Betrag bei über 1.4 Milliarden Euro. Das heißt, Plattformen, die wir vor Account-Übernahmen schützen, schützen wir tatsächlich auch vor wirtschaftlichen Verlusten. Und natürlich auch vor Reputationsschäden. Ein positiver Nebeneffekt: Die betroffenen Verbraucher schützen wir dadurch natürlich auch. Das tun wir indem wir von den Plattformbetreibern einfordern, Verbraucher über Datenleaks, die ihre jeweiligen Zugangsdaten betreffen zu informieren. Für unsere Dienstleistung sammeln wir im Deep- und Darkweb geleakte Zugangsdaten, die wir dann anonymisiert in unsere Datenbanken einpflegen. Wir sind der Überzeugung, dass es die Aufgabe der Onlineplattform ist, für ein sicheres und angenehmes Plattformerlebnis zu sorgen. Das fordern im Grunde auch die DSGVO, NIST Guidelines und der BSI IT-Grundschutz. Um es pointiert auszudrücken: IT-Security ist nicht die Aufgabe von Oma Erna selbst, sondern liegt in der Verantwortung und auch im ureigensten Interesse der Onlineplattform selbst, bei der sich Erna angemeldet hat. Wir ermöglichen mit unseren Dienstleitungen den DSGVO-konformen Schutz von Kunden- und Mitarbeiterkonten.
enaCom: Was sind Eurer Erfahrung und Expertise nach die wichtigsten Einfallstore für „Account Takeover“ bei Organisationen? Was sind die Folgen?
Identeco: Account Takeover passieren vorwiegend tatsächlich dadurch, dass der Angreifer die richtigen Zugangsdaten für den Account kennt oder rät. Angriffe, die man landläufig als "Bruteforce" kennt und die aus Millionen von Passworteingaben in kürzester Zeit bestehen, lohnen sich heute kaum noch. Die meisten Accounts werden nämlich nach 3-10 falschen Passworteingaben einfach gesperrt. Hat der Angreifer schon ein gültiges Passwort für einen Account, kann er den übernommenen Account verwenden um im Namen des Betroffenen aktiv zu werden, also beispielsweise in einem Onlineshop Produkte im Namen des eigentlichen Acounntinhabers bestellen. Ein übernommener Firmenaccount ist mitunter noch schlimmer. Er kann dazu verwendet werden, die Infrastruktur der entsprechenden Firma auszuspähen oder diese mit Ransomare zu verschlüsseln und damit komplett lahm zu legen. Ein nicht unwesentliches Problem dabei ist, dass Verbraucher häufig die gleichen oder ähnlichen Passwörter für unterschiedliche Accounts verwenden. Das ermöglicht es Angreifern, die einmal ein gültiges Passwort erhalten haben, beispielsweise durch ein Dataleak, sich recht einfach in andere Accounts desselben Verbrauchers einzuhacken. Wenn der Verbraucher jetzt zusätzlich noch das gleiche Passwort für seine Mitarbeiteraccounts in der Firma verwendet, wird es sehr natürlich sehr leicht für den Angreifer, sich auch in die Firmeninfrastruktur einzuhacken. Dass Passwörter wiederverwendet werden ist übrigens auch der Grund, warum Datenverlust bei einer Plattform immer direkte Konsequenzen für andere Plattformen hat. Mit unseren Dienstleistungen können wir recht zuverlässig feststellen, ob ein Passwort schon mal geleaked wurde und schützen deshalb nicht nur die Verbraucher sondern auch die Plattformen selbst sehr effektiv und ohne Fehlalarm.
enaCom: Euer Start-up wurde 2020 auf den Ergebnissen eines BMBF geförderten Forschungsprojekt zu "Effektive Information nach digitalem Identitätsdiebstahl" (EIDI) heraus aufgebaut. Habt Ihr also bereits während des Forschungsprojektes über die Gründung eines Start-ups nachgedacht und darauf hingearbeitet?
Identeco: Tatsächlich nicht. Bei EIDI haben wir bereits ähnliche Konzepte, wie wir sie heute verwenden entwickelt und damals im Zuge eines Proof-of-Principle mit Probanden erprobt. Die Ergebnisse waren so vielversprechend, dass unsere Probanden angeregt haben, über das Projekt hinaus diese sehr guten Ergebnisse als Dienstleistung nutzen wollten. Damit hatten wir also schon vor unserer Gründung unsere ersten Kunden – und die haben wir heute noch, drei Jahre später.
enaCom: Wie habt Ihr aus den wissenschaftlichen Ergebnissen ein Geschäftsmodell gebaut?
Identeco: Wir hatten schon erste Kunden für das Konzept bevor wir auf dem Markt gekommen sind. Das unterscheidet uns wahrscheinlich schon mal von anderen Neugründungen. Wir mussten aber auf jeden Fall lernen, dass in der Wirtschaft ganz andere Dinge eine Rolle spielen als an der Uni. Vor allem mussten wir dafür die Software komplett neu entwickeln, damit sie einem Produktiveinsatz standhält. Das war die vermutlich größte Aufgabe. Plötzlich spielten aber auch rechtliche Fragen eine Rolle, ebenso wie unsere Produktplatzierung und Markenbildung. Glücklicherweise konnten wir für Identeco René Neff, einen meiner ehemaligen Studenten aus der Informatik, zurück nach Bonn holen, der schon einige Jahre als Berater bei einem der großen vier Beratungshäuser gearbeitet hat und der uns mit seiner Expertise aus der Wirtschaft bei unseren Aufgaben maßgeblich unterstützt.
enaCom: Ihr erhaltet aktuell für Eure Weiterentwicklungen „ProSBAcT - Proaktiver Schutz von Benutzerkonten vor Account Takeover“ eine einjährige Förderung in Höhe von 770.000 Euro der Initiative „StartUp Secure“ für Start-ups in der IT-Sicherheit des Bundesministeriums für Bildung und Forschung. Was ist in diesem Projekt geplant und wie ergänzt es Eure bisherige und sonstige Arbeit?
Identeco: Durch ProSBAcT haben wir vor allem Kapazität dazugewonnen, unsere IT-Sicherheitsdienstleistungen selbst auch abzusichern und zu stabilisieren und diesen Prozess wissenschaftlich zu begleiten. Dabei gibt es weiterhin interessante Fragen zu bearbeiten, für die wir auf der Suche nach Probanden sind. Eine wichtige Aufgabe von ProSBAcT ist beispielsweise zu untersuchen, wie die richtige Verbraucheransprache gelingt, wenn ein geleaktes Datum gefunden wurde. Das ist deshalb ein heikles Thema, weil der Überbringer schlechter Nachrichten häufig mit den Urhebern dieser schlechten Nachrichten verwechselt wird. Das möchte natürlich kein Plattformbetreiber, daher werden IT-Security-Themen so gut wie gar nicht thematisiert. Das muss sich natürlich im Sinne der Verbraucher und der Unternehmen ändern. Außerdem untersuchen wir bei ProSBAcT, wie der Datenabgleich mit unseren Kunden optimiert werden kann. Das ist bei einer Datenbank mit fast 30 Milliarden Einträgen, die täglich weiterwächst, tatsächlich kein triviales Problem.
enaCom: Cyber Security ist im Zeitalter der Digitalisierung von entscheidender Bedeutung. Das Wachstum des Cyber Security-Marktes wird für Deutschland mit 10% p.a. prognostiziert. Spürt Ihr die steigende Nachfrage?
Identeco: Tatsächlich haben wir in letzter Zeit vermehrte Anfragen bekommen, insbesondere aus kritischen Infrastrukturen aber auch von großen Unternehmen und aus der Verwaltung. Das liegt vor allem daran, dass der Bund jüngst eine Fördermaßnahme beschlossen hat, um die Cybersicherheit von KRITIS zu erhöhen. Im Moment sind wir und die Art unserer Dienstleistung aber noch nicht bekannt genug, als dass potentielle Kunden uns die Türen einrennen. Deshalb müssen wir uns auf dem Markt stärker etablieren, so dass der Name Identeco unweigerlich mit zuverlässigem Schutz von Accounts assoziiert wird.
enaCom: Ihr informiert regelmäßig in Eurem Blog (https://identeco.de/de/blog/) über Themen im Bereich Cyber Security und gebt dort z.B. Hinweise, wie Unternehmen sich vor verschiedenen Phishing-Varianten oder Ransomware-Angriffen schützen können. Was ist der Antrieb für dieses öffentliche Angebot?
Identeco: Wir arbeiten im Auftrag unserer Kunden für deren Sicherheit und deren Kundebeziehungen. Der Schutz der Verbraucher liegt uns aber sehr am Herzen. Das Ziel ist ein sicheres Internet für alle, auch für die, die kein Studium der Informatik oder Cyber Security an der Universität Bonn absolviert haben. Mit unseren Dienstleistungen bieten wir dafür eine technische Lösung im Verantwortungsbereich der Plattformanbieter. Das ist ein reines B2B-Geschäft. Unseren Blog und weitere öffentliche Aufklärung etwa durch Vorträge bei Unternehmen, Verbänden oder gemeinnützigen Organisationen betreiben wir parallel, um ein größeres Bewusstsein für Fragen und Risiken der IT-Sicherheit zu generieren. Außerdem kann man hier gut an die Frage von gerade eben anknüpfen: der Blog trägt natürlich dazu bei, uns als Experten in den Bereichen IT-Sicherheit im Allgemeinen und Account-Sicherheit im Speziellen zu etablieren.
enaCom: Aus den oben genannten Projekten ist auch der „Leak Checker“ an der Universität Bonn entstanden, bei dem jeder Privatnutzer selber einsehen kann, ob sein Mailaccount gehackt wurde. Wie hängen dieser Service und die Angebote von Identeco zusammen?
Identeco: Der Leak Checker (https://leakchecker.uni-bonn.de) ist ein kostenloser Service, den wir in Kooperation mit der Universität Bonn weiter anbieten, um eben die erwähnte Aufklärung und Unterstützung der Verbraucherschutz kostenfrei sicherzustellen. Mit dem Leak Checker können sich Verbraucher individuell informieren, ob ihre Daten betroffen sind. So kann jeder selbst die Betroffenheit der eigenen Accounts im Blick behalten. Die Nutzung des Leak Checkers setzt aber die Kenntnis des Dienstes und ein gewisses Problemverständnis voraus. Wir sind der Meinung, dass die meisten Verbraucher sich nicht zuverlässig um die eigene Accountsicherheit kümmern können. Einfach, weil sie es nicht auf dem Schirm haben. Da es ein generisches Interesse und die Pflicht der Plattformbetreiber ist, ihre Kunden-Accounts zu schützen, sind unsere Produkte hauptsächlich als B2B Angebot konzipiert. Wir sichern mit unseren Kunden heute mehr als 100 Millionen Accounts gegen kriminelle Übernahmen ab und können so den Verbraucher proaktiv und ohne sein Zutun zuverlässig schützen.
enaCom: In Bonn und der Region hat das Thema Cybersicherheit einen großen Stellenwert. So hat z.B. die Universität Bonn den Studiengang Cyber Security. Euer CEO vertritt Identeco auch in unterschiedlichen Gremien und Organisationen, etwa im Vorstand des Cyber Security Cluster Bonn oder der Allianz für Cybersicherheit des BSI. Inwiefern hat dieses Umfeld einen Einfluss auf Euer Unternehmen? Was bedeutet die Netzwerkarbeit für Euch?
Identeco: Bonn ist natürlich ein super Umfeld, wenn man sich für den Bereich Cyber Security interessiert und der ständige Austausch mit Kollegen ist für uns sehr wichtig. Dadurch bekommt man sehr gut mit, wo grade „der Schuh drück“ und welche Themen zurzeit relevant sind. Für uns von großer Bedeutung ist natürlich auch der Studiengang Cyber Security an der Universität Bonn, denn wir brauchen hier zukünftig noch viel mehr Expertise in den Unternehmen. Wir betreuen selbst auch Abschlussarbeiten an der Universität und beschäftigen einige Werkstudenten. Natürlich konnten wir einige Studierende für unsere Sache begeistern und in den meisten Fällen auch bei uns einstellen. Die Möglichkeit Kontakt zu jungen Spezialisten zu haben, die grundständig Cyber Security studiert haben, ist für uns von sehr großem Wert.
Mit vielen Bonner Unternehmen stehen wir durch die ehrenamtlichen Engagements unserer Gründer in sehr gutem Kontakt. Aber nicht nur in Bonn sind wir gut vernetzt. Über das Speaker-Kollektiv Blackstone 432, in dem unser CEO Matthias Wübbeling aktiv ist, sind wir in ganz Deutschland und über die Grenzen hinaus in diesem Themenbereich vernetzt.
enaCom: Zu Euren Kunden zählen z.B. das Business-Netzwerk XING und die Bonuspunkte-Plattform Payback. Habt Ihr eine Spezialisierung auf Firmen mit Kunden- oder Verbraucherkonten? Inwiefern wird Euer Angebot auch von anderen Unternehmen und Organisationen genutzt, um z.B. Mitarbeiterkonten zu schützen?
Identeco: Grundsätzlich sind wir nicht spezialisiert auf Firmen mit Kundenkonten. Wir schützen tatsächlich auch bereits Mitarbeiterkonten in Unternehmen, Krankenhäusern und anderen Einrichtungen. Da ist von KMU bis globales Unternehmen alles dabei. Allerdings haben wir bestimmte Produkte, die eher geeignet sind Kundenkonten zu schützen und andere Produkte, die eher geeignet sind Mitarbeiterkonten zu schützen. Diese Differenzierung hat vor allem mit der Menge der überwachten Konten zu tun. Eine Plattform wie Xing hat natürlich viel mehr Konten zu schützen als ein durchschnittlicher Betrieb Mitarbeiterkonten hat.
enaCom: Derzeit sind Eure Angebote im deutschsprachigen Raum vertreten. Habt Ihr vor, Eure Services auch international anzubieten?
Identeco: Für uns spricht im Wesentlichen nichts dagegen uns auch international aufzustellen, im Gegenteil. Die DSGVO gilt für die ganze EU und das ist auch der Markt, den wir adressieren. In Anbetracht der Tatsache, dass einige unserer Kunden auch im Ausland Schwestergesellschaften haben, ist der Gedanken irgendwann global tätig zu sein gar nicht abwegig. Mit einem großen amerikanischen Anbieter einer Plattform für Identity-Access-Management stehen wir in Gesprächen über eine Integration in deren Plattform. Nichts desto weniger wird unser Hauptfokus, wenigstens in der unmittelbaren Zukunft, auf den deutschsprachigen Raum und der EU liegen.
enaCom: Wie geht es weiter mit Identeco? Welche aktuellen Entwicklungen und neuen Regulierungen im Bereich Cyber Security bestimmen die zukünftigen Entwicklungen?
Identeco: Die Entwicklungen im Bereich der Cyber Security sind rasant. Insbesondere hier in Deutschland wacht man in jüngster Zeit aus einen Dornröschenschlaf auf, auch was Cyber Security angeht. Auch dieses Jahr wurden schon so viele Unternehmen und Einrichtungen gehackt. Das Thema greift immer weiter um sich und wird auch von staatlicher Seite immer ernster genommen. Beispielsweise läuft beim Land NRW mit „Tür zu im Netz“ zurzeit eine Kampagne, die insbesondere kleine und mittlere Unternehmen darauf aufmerksam machen möchte, dass auch sie Opfer von Cyber-Angriffen sein können – oder besser sein werden. Das heißt für uns, dass es auch in Zukunft für uns genug zu tun gibt. Das ist einerseits natürlich schön für uns, aber andererseits wäre eine Dienstleistung wie unsere in einer idealen Welt natürlich gar nicht nötig.
Weiterführende Links: