Shift Left Security

Shift Left Security – ein Trend, der anhalten wird

Shift Left Security – ein Trend, der anhalten wird

Sicherheitsbemühungen konzentrieren Organisationen häufig auf das Ende eines Entwicklungs- und Release-Zyklus („Shift Right“). Dadurch kann zwar sichergestellt werden, dass der Rest der Software ein gewisses Maß an Stabilität erreicht, doch bleiben dabei hohe Risiken und auch Schwachstellen bestehen.

Die Lösung für dieses Problem und der wichtigste Eckpfeiler einer sicheren App ist Shift Left Security. Sicherheit sollte so früh wie möglich in den Software-Entwicklungszyklus implementiert werden (daher Shift Left = „nach links verlagern“ genannt). Dies vermeidet ungeplante Kosten und erspart unnötigen Ärger nach Veröffentlichung der App.

Shift Right: App-Sicherheit am Ende der Entwicklung ist keine Option mehr

Die Entwicklung einer mobilen App (oder Lösung) durchläuft immer dieselben Schritte: von der Konzeption über die Entwicklung und verschiedenen Tests bis hin zum Hochladen in den App Store. An Sicherheit wird dabei oftmals erst sehr spät gedacht. Bei der nachträglichen Implementierung fallen dann zusätzliche Entwicklungszeit und -kosten an. Um eine pünktliche Markteinführung zu garantieren, wird die Sicherheit in manchen Fällen einfach komplett außen vor gelassen.

Es gibt viele Beispiele, in denen der Sicherheitsfaktor erst in der letzten Projektphase eingeführt wurde. Dies kann enorme negative Auswirkungen auf ein Projekt haben, denn unmittelbar mit der Veröffentlichung der App werden auch die Risiken und Schwachstellen veröffentlicht. Diese bleiben nicht immer unerkannt, sondern werden von Sicherheitsforschern oder Hackern gefunden. Im besten Fall geben diese ihr Feedback an die Entwickler weiter – im schlimmsten Fall wird das Wissen missbraucht. Im letzteren Fall können Compliance-Verletzungen und Reputationsschäden sofort und ohne Vorwarnung eintreten.

Shift Left Security bietet Vorteile für die Wirtschaftlichkeit

Der Trend zu Shift Left Security wird wirtschaftlich gesehen durch die Betrachtung der Software-Entwicklungsprozesse und der anschließenden Wartungsphase gestärkt. Wie eine Studie belegt, ist die Problembehebung nach der Freigabe der mobilen App in etwa 20-mal teurer, als wenn das Problem bereits in der Definitionsphase des Projekts erkannt und gelöst wird.[1]

Oftmals unberücksichtigt, vergessen oder ausgeschlossen von diesen Kostenbetrachtungen sind die finanziellen Auswirkungen einer Sicherheitsverletzung: Folgeschäden, Kosten für Cyberangriffe (und Wiederherstellungskosten) sowie Prozesskosten. Betrachtet man auch diese Kosten, so zeigt eine weitere Studie, dass nicht durchdachte Software bis zu 2000-mal teurer sein kann, als von Anfang an in hochwertige Software zu investieren.[2] In diesem Beispiel tragen die Kosten von Cyberangriffen zu etwa 45 % aufgrund von Nachlässigkeiten im Software-Entwicklungsprozess zu den Gesamtkosten bei.
In der Summe bedeutet dies, dass sich Unternehmen und App-Entwickler auf gute Software und auf die Entwicklung guter Lösungen konzentrieren müssen, anstatt hinterher Betrug aufzudecken und Geld für Abhilfemaßnahmen auszugeben. Shift Left Security bedeutet: Je früher man Sicherheit einbezieht, desto weniger Kosten hat man hinterher.

In puncto Sicherheit auf Best Practices fokussieren

Shift Left Security ist eine Best Practice. In einem Softwareentwicklungs-Lebenszyklus (SDLC) sollte bereits in einem sehr frühen Stadium über Architektur und ein sicheres Design nachgedacht werden. Letzteres sollte eine Bedrohungsmodellierung beinhalten, die die Basis für das Sicherheitskonzept und die später implementierten, sogenannten Security Controls darstellt.

„Sicherheit kann nur erreicht werden, wenn sie von Anfang an eingeplant ist. Die Einführung von nachträglichen Sicherheitsmaßnahmen ist eher der Anfang einer Katastrophe“, sagt die CSA (Cloud Security Alliance) über sicheres Softwaredesign.[3]

Auch der CEO von Build38, Christian Schläger, sagte kürzlich in einem Interview mit PwC: „Anstatt also hinterher aufzuräumen und SOC-Ressourcen und viele Analystenstunden für die Forensik aufzuwenden, würde ich mir mehr hochwertige Software und Lösungen wünschen, die nicht mehr so leicht gehackt werden können.“

Kurz gesagt: Nachdem eine App veröffentlicht wurde, ist es einfach zu spät herauszufinden, was an der App das Sicherheitsproblem verursacht hat. Es wird unnötig Geld für die Reparatur, das erneute Testen und die erneute Veröffentlichung der Anwendung ausgegeben.

Shift Left Security – von Anfang an richtig machen

Das neue Paradigma und der beste Investitionsschutz ist Shift Left Security. Diese Vorgehensweise hilft dabei, während des gesamten Lebenszyklus einer mobilen Anwendung mit dem geplanten Budget zu haushalten. Außerdem unterstützt die Methode dabei, früh darüber nachzudenken, wie, wo und wann Sicherheit in einem App-Projekt eingebettet werden sollte.

Darüber hinaus ist Shift Left Security der entscheidende Schritt zur Einhaltung von Richtlinien: der eIDAS-Verordnung, der bevorstehenden Medical Device Regulation (MDR) im Jahr 2021, der DiGA-Verordnung, der PSD2 usw. Es geht also darum, Sicherheitsanforderungen gleich von Beginn an in die Tat umzusetzen.

Build38 gibt App-Entwicklern alle Mittel an die Hand, um jetzt mit Shift Left Security zu beginnen: „Wir liefern ein umfassendes Sicherheits-SDK für Android und iOS und eine Lösung, die sich sehr schnell integrieren lässt. Darüber hinaus unterstützen wir bei der Identifizierung der sicherheitsrelevanten Themen, geben Ratschläge, wie Sicherheitskontrollen richtig gestaltet werden können und was weiterhin zu beachten ist“, sagt Christian Schläger.

Klingt interessant? Dann kontaktieren Sie Build38 und werden Sie Teil der „Shift Left Security"-Bewegung!

 

[1] Capers Jones, A short history of the cost per defect metric, 2013

[2] Capers Jones, Achieving Software Excellence, v7, 2016

[3] „The Six Pillars of DevSecOps: Automation”, 2020


mobile payment App security

Kontaktloses Bezahlen, Part 2: Gut für das Geschäft, aber nur mit der richtigen Sicherheit!

Im ersten Teil dieser Blogreihe haben wir bereits darüber informiert, dass ein starker Trend zur bargeldlosen und insbesondere zur kontaktlosen Zahlung erkennbar ist. Dabei gewinnt auch das Bezahlen per Smartphone zunehmend an Bedeutung. Hier spielen die von der PCI zur Verfügung gestellten Standards SPoC und CPoC eine wichtige Rolle.

PCI SPoC und CPoC – worum geht es hier?

SPoC (Software-based PIN Entry on COTS) ist – einfach ausgedrückt – der softwarebasierte PIN-Eingabe-Standard von PCI für mobile Geräte, in Kombination mit einem Secure Card Reader für PIN (SCRP). Der SCRP ist nichts anderes als ein zusätzliches Stück Hardware, das mit dem mobilen Gerät zum Beispiel über Bluetooth verbunden ist.

CPoC (Contactless Payments on COTS) ist der zweite und neuere Standard, der ausschließlich kontaktlose Zahlungen behandelt. Die NFC-Fähigkeit mobiler Geräte verwandelt diese in ein Lesegerät für kontaktlose Zahlungen.

Beiden Standards gemeinsam sind die mobile Kartenlese-App, die Beglaubigungs- und Kontrolldienste. All dies nur, um ein hohes Maß an Sicherheit und Vertrauen aufrechtzuerhalten. Darüber hinaus sind auch typische zahlungsbezogene Dienste Bestandteil des PCI-Standards.

Welche Rolle spielt dabei Build38?

Build38 erfüllt die strengsten Sicherheitsanforderungen der PCI:

  • Gewährleistung, dass die Anwendung in einer sicheren Umgebung (und nur dort) ausgeführt wird
  • Verschleierung
  • Anti-Repackaging-Technologie
  • Sichere PIN-Eingabe
  • Verhinderung erkannter Bedrohungen, die bereits auf dem mobilen Gerät vorhanden sind, usw.

Darüber hinaus bietet Build38 die erforderliche Beglaubigungskomponente, die den aktuellen Sicherheitsstatus der Anwendung bestimmt und verifiziert. Sie liefert zusätzliche Sicherheitssignale an das Kontrollsystem, das vermutete oder tatsächliche Bedrohungen und Angriffe erkennt, alarmiert und entschärft.

Die PCI-Sicherheitsanforderungen können mit all ihrer Komplexität recht unübersichtlich sein, Sie sollten jedoch nicht davor zurückschrecken!

 

Sie verstehen das Bezahlwesen am besten – und Build38 liefert die mobile Sicherheit!

Wir bei Build38 glauben, dass in einer sich wandelnden digitalen Landschaft die Sicherheit von Apps kein Luxus ist. Sie ist eine Notwendigkeit. Ihre Entwickler sollten sich darauf konzentrieren können, was sie am besten können: Geschäftswert und erstklassige Zahlungsanwendungen zu liefern, während Build38 die Sicherheit mobiler Anwendungen bietet. Das Trusted Application Kit (T.A.K.) von Build38 ist ein hochsicheres, ganzheitliches und einfach zu integrierendes Rahmenwerk für die Sicherheit mobiler Anwendungen.

Alles beginnt mit einem besseren Verständnis Ihrer mobilen Risiken.

Erfahren Sie, wo Sie heute stehen!
Stärken Sie Ihre Richtlinien und Ihre Compliance-Position!
Erkunden Sie Ihre Optionen und finden Sie die richtige Lösung!

 

Kontaktieren Sie uns und bringen Sie Ihre eigene CPoC- oder SPoC-Lösung schneller auf den Markt!


mobile payment App security

Kontaktloses Bezahlen, Part 1: Smartphone und App ersetzen das Kartenlesegerät

Bargeldloser Zahlungsverkehr ist beliebter denn je. Dieser Trend wurde insbesondere auch durch Covid-19 beschleunigt. So wurde in Deutschland in der ersten Hälfte des Jahres 2020 ein Plus von 20 % verzeichnet. Dabei erfolgte jede zweite Zahlung sogar kontaktlos.[1] Trotz allem gibt es in Deutschland noch Nachholbedarf im Vergleich zu anderen Ländern, die schon jetzt eine höhere Rate bargeldloser Zahlungen aufweisen.

Neben der „klassischen“ Variante der bargeldlosen Zahlung via Bankkarte wird auch das kontaktlose Bezahlen per Smartphone europaweit immer beliebter. Wie eine aktuelle Umfrage zeigt, bevorzugen bereits rund 12 % der befragten Europäer das Bezahlen per Smartphone.[2]

Kontaktlose Zahlungen werden weiter an Dynamik gewinnen

Beim kontaktlosen Bezahlen wird die Karte an der Kasse nur noch gegen das Kartenlesegerät gehalten und muss nicht mehr in das Gerät gesteckt werden. Bei kleinen Beträgen ist auch die Eingabe der PIN nicht erforderlich. Angesichts der Pandemie haben Einzelhändler ihre Kunden ermutigt, auf diese Weise zu bezahlen, um einen Kontakt und eine mögliche Ansteckung zu vermeiden.

Beim kontaktlosen Bezahlen per Smartphone ersetzt die App auf dem Smartphone die Bankkarte. Aus Sicht von Build38 werden für ein weiteres starkes Wachstum zwei Anforderungen eine wichtige Rolle spielen:

  • Einzelhändler, Kleinhändler, Markt- und Straßenverkäufer müssen in die Lage versetzt werden, mobile Zahlungen zu akzeptieren, ohne in traditionelle Kartenlesegeräte investieren zu müssen.
  • Wie von den Kunden gefordert, müssen mobile Zahlungen für kleine Summen akzeptiert werden.

An diesem Punkt stellt sich natürlich die Frage, wie gerade die erste Anforderung auf erschwingliche und einfache Weise umgesetzt werden kann.

PCI-Standards ebnen den Weg

Der PCI Security Standards Council (PCI SSC) wurde 2006 unter anderem von American Express, Visa und MasterCard gegründet. Es handelt sich um ein globales Forum, das die Interessenvertreter der Zahlungsverkehrsbranche zusammenbringt, um die Annahme von Datensicherheitsstandards und Ressourcen für sichere Zahlungen weltweit zu entwickeln und voranzutreiben. Sie sind das Leitungsgremium für die Standardisierung des Zahlungsverkehrs, die technischen Anforderungen und die Zertifizierung von Zahlungslösungen.

Die PCI hat bereits erkannt, dass kontaktlose Zahlungen für jedermann verfügbar sein müssen. Für den, der bezahlen möchte, als auch den Empfänger der Zahlung. Das traditionelle Kartenlesegerät wird in diesem Fall mit Hilfe von Smartphones oder Tablets realisiert, die die PCI in ihrem eigenen Sprachgebrauch als COTS-Geräte (commercial off-the-shelf) bezeichnet. Die PCI stellt daher zwei Standards zur Verfügung: den SPoC (Software-based PIN Entry on COTS)- und den CPoC (Contactless Payments on COTS)-Standard.

 

Erfahren Sie in unserem nächsten Blogbeitrag mehr über diese Standards und darüber, wie die Sicherheit von Zahlungs-Apps durch Build38 gewährleistet werden kann.

 

[1] https://www.handelsblatt.com/finanzen/banken-versicherungen/coronakrise-kreditwirtschaft-trend-zu-bargeldlosem-bezahlen-haelt-schon-laenger-an/26289960.html?ticket=ST-350571-XZqIrSQGq5lLGZqhcQfl-ap4

[2] https://www.handelsblatt.com/finanzen/banken-versicherungen/umfrage-in-zwoelf-eu-staaten-die-coronakrise-verstaerkt-den-trend-zum-bargeldlosen-zahlen/26185710.html


Warum Mobile Security mehr als die Sicherheitsmaßnahmen der App-Stores umfasst

Wir leben in einer Welt, die immer digitaler wird. Täglich greifen wir zu unseren Smartphones und benutzen Apps; beispielsweise um Notizen zu machen, die Wettervorhersage anzuschauen oder sich mit einem Spiel die Zeit zu vertreiben. Aber nicht nur das: Inzwischen werden mit Apps immer häufiger richtig sensitive Daten verarbeitet. Man denke nur einmal an das bei vielen beliebte Mobile Payment, den in naher Zukunft kommenden digitalen Führerschein oder die elektronische Patientenakte (ePA), die Mitte nächsten Jahres eingeführt wird. Wer möchte schon, dass derartige sensible Daten in die Hände von Dritten gelangen? Wohl niemand. Doch genau dies kann passieren, wenn das Thema App-Sicherheit nicht ernst genug genommen wird.

Die Sicherheit mobiler Apps ist aus verschiedenen Gründen wichtig. Einerseits gilt es, die persönlichen Daten der App-User zu schützen. Andererseits sollten auch die App-Betreiber darauf bedacht sein, den Zugriff auf ihre Daten beziehungsweise zu ihren Servern zu sichern. Denn ein erfolgreicher Angriff auf eine App kann verheerende Folgen für Firmen haben. Neben dem Diebstahl sensibler Unternehmensinformationen ist es im Worst Case möglich, dass das gesamte Geschäftsmodell abrupt zum Ende kommt – etwa aufgrund drohender Strafzahlungen für die Verletzung des Datenschutzes oder mangelnder Sorgfaltspflicht. Wie das Allianz Risk Barometer 2020 bestätigt[1], zählen Cybervorfälle nicht umsonst als das größte Geschäftsrisiko.

App-Sicherheit selbst in die Hand nehmen

Zunächst ist es sinnvoll, die offiziellen App-Stores zu nutzen, da diese eine essenzielle Funktion besitzen. Sie sorgen dafür, dass die Anbieter die Spielregeln einhalten und bestimmte Funktionen, darunter die Advertising ID auf Android oder iOS, nicht missbräuchlich verwenden. Außerdem wird seitens der Stores untersucht, ob sich bekannte Malware in den Apps verbirgt. Natürlich haben die App-Stores selbst Interesse daran, keine minderwertige Qualität anzubieten, weil sie letztendlich Apps verkaufen und Umsatz machen wollen.

Die Stores verhindern jedoch nicht, dass irgendjemand – sei es ein Angreifer, ein Sicherheitsforscher oder ein ehemaliger Angestellter einer Firma – beabsichtigt, die App zu manipulieren. Vor der Veröffentlichung sollte daher immer auch ein Security-Spezialist beauftragt werden, die App unter die Lupe zu nehmen und den Hersteller zu informieren, sofern eine Sicherheitslücke gefunden wurde. Darüber hinaus können die App-Stores nicht verhindern, dass sich ein Angreifer die App genauer ansieht – zum Beispiel, weil sich manipulierbare hartkodierte Passwörter oder Backdoors darin befinden. In diesem Fall muss sich die App selbst schützen und auch reagieren können. Hierzu sind die App-Stores nicht in der Lage. Als Unternehmen ist es daher notwendig, sich abseits von den App-Stores Gedanken über die App-Sicherheit zu machen und nicht davon auszugehen, das bloße Einstellen der App in einen Store sei ausreichend.

Doch was ist erforderlich, um Apps maximal abzusichern? Das erfahren Sie in unserem nächsten Blogbeitrag!

[1] https://www.agcs.allianz.com/news-and-insights/news/allianz-risk-barometer-2020-de.html


Wie Apps endlich sicher werden. Das Interview von Insider Research mit Torsten Leibner liefert Antworten.

Build38 Head of Product Management

Diese und viele andere spannende Fragen stellte Oliver Schonscheck, renomierter Technology Journalist für Security Insider, in seinem Interview mit Torsten Leibner, Build38 Head of Product Management & Technology.

Mobile Apps durchdringen mittlerweile alle Lebensbereiche, doch scheint die Sicherheit der Apps zu stagnieren. Selbst Apps aus offiziellen App-Stores können risikobehaftet sein.

Zum Hintergrund: Sicherheitsforscher des Helmholtz-Zentrums für Informationssicherheit in Saarbrücken, der Ohio State University und der New York University haben herausgefunden, dass viele mobile Apps spezielle Funktionen vor den Nutzern verstecken, die Angreifern den Zugung zu Daten des Mobiltelefon ermöglichen können. Damit ist die Sicherheit der Nutzer und letztendlich auch die Infrastruktur der Anbieter gefährdet.

Warum sind also mobile Apps immer noch unsicher? Sind die existierenden Security-Guidlines ausreichend? Wie kann die App-Sicherheit endlich besser werden? Was sind die richtigen Schritte für mehr Sicherheit? Was muß ein Unternehmen oder auch der Entwickler machen, damit sich die App-Sicherheit verbessert?
Der Podcast auf Soundcloud liefert die Antworten darauf!

Wir wünschen viel Spaß beim Reinhören!


Handout zum Online Seminar - Mobile APP Fraud

Herzlichen Dank für Ihr Interesse und Ihre Teilnahme!

Mehr als 70 Teilnehmer haben bei unserem online Seminar zu Mobile APP Fraud und was man dagegen tun kann zugehört und Fragen gestellt. Im Namen des BVMW und der Build38 herzlichen Dank!

Anbei wie versprochen der Link auf die Handout Unterlagen - eine PDF Version der gezeigten Präsentation.

Bleiben Sie uns gewogen und nutzen Sie unsere Services und Lösungen für Ihre eigenen APP Entwicklungen oder Sicherheitstests.

Empfehlen Sie uns auch gerne weiter - wir stehen jederzeit für eine Demo oder weiterführende Erklärungen zur Verfügung! Click here!

 


BVMW Online-Event: Amüsante Fallbeispiele erfolgreicher App-Hacks und erfolgloser Neukundengewinnung

Mobile Fraud – aus dem Nähkästchen der App-Sicherheitsforscher

Anmelden lohnt sich!

Beim BVMW-Seminar “Mobile Fraud – aus dem Nähkästchen der App-Sicherheitsforscher” am 14.07.2020 um 14:00 Uhr wird präsentiert, was beim Versuch, digital erfolgreich zu sein, in den letzten Monaten so alles schief gelaufen ist – von 7Eleven bis Ada Health. Schockierende und auch amüsante Fallbeispiele erfolgreicher Hacks und erfolgloser Neukundengewinnung zeigen die Tücken der digitalen Welt und wie man es nicht machen sollte. Es wird aber auch konstruktiv gezeigt, wie man es machen sollte. Das Seminar ist auf den Mittelstand zugeschnitten und verbindet Business und Technik-Aspekte.
Referenten sind die beiden Sicherheitsforschern Dr. Christian Schläger, CEO sowie Torsten Leibner, Produktmanager bei Build38.

Dabei sein:

14.07.2020, 14:00 Uhr, Mobile Fraud – aus dem Nähkästchen der App-Sicherheitsforscher
Die Teilnahme ist kostenfrei, es ist jedoch eine Registrierung erforderlich. Die Teilnahme ist per Webbrowser oder Zoom App möglich.


wiwo gruender blog interview

Build38 in der WiWo: Gründer Kolumne mit Christian Schlaeger von Build38 aus dem InsurTech Hub Munich

Montag ist Kolumnentag bei WirtschaftsWoche Gründer. In regelmäßiger Folge berichten Start-ups, die sich in den über das ganze Land verteilten Digital Hubs engagieren, aus ihrem Ökosystem. Heute berichtet Christian Schläger, Mitgründer von Build38, das mobile Applikationen von Banken oder Versicherungen absichert. Das junge Unternehmen ist Teil des InsurTech Hubs in München. Schläger schwärmt von München als Mekka der Versicherungswelt – aber bemängelt eine fehlende Offenheit der Behörden.

Ihr seid Teil des InsurTech Hub München. Warum?
Am wertvollsten sind die Kontakte in die Versicherungsunternehmen, die uns der Hub ermöglicht. Das ist eine ganz andere Kontaktaufnahme mit den Konzernen. Das Netzwerk ist sehr eng, es läuft viel über persönliche Empfehlungen. Durch den direkten Draht tritt man nicht als jemand auf, der nur etwas verkaufen will, sondern als gleichberechtigter Partner. Der Hub leistet auch perfekte Vorbereitung über das Mentoring und die Trainings. Außerdem entstehen natürlich viele Kontakte über Events wie zum Beispiel die DIA, die Digital Insurance Agenda oder die Hub Unterstützung auf der ITC in den USA.

Was gefällt euch am Ökosystem vor Ort? Was sind die Stärken der Region?
München ist ein Mekka für Versicherungen. Für uns ist es die Branche, wo wir bei Konzernen den größten Nutzen der Digitalisierungsmaßnahmen sehen, um näher an die Kunden zu kommen. Banken sind schon relativ weit, aber viele Versicherungen fangen jetzt erst an und haben die Digitalisierung im Mobile App Bereich noch vor sich. Wir haben in Laufweite die Global Digital Factory der Allianz, die Versicherungsinnovatoren der Münchener Rück und viele Beratungsfirmen. Das ist optimal für den Kontaktaufbau. Außerdem hat München eine sehr starke Start-ups Szene, was für den gegenseitigen Austausch sehr hilft.

 Woran mangelt es – und warum?
Der Zugang in den öffentlichen Sektor könnte besser sein. Es gibt viele Initiativen, zum Beispiel von der Bayerischen Staatsregierung, wo wir uns wünschen würden, dass Start-ups hier besser eingebunden werden und es mehr Co-Creation bei den eigenen Digitalisierungsangeboten gibt. Da ist der Zugang noch etwas dürftig. Außerdem würde es sicherlich helfen, gemeinsame Probleme der Branche auch gemeinsam anzugehen. Der Hub wäre hier ein idealer Nährboden für quasi-Standards für das gesamte Insurtech Netzwerk – Privacy, Security, Identity Management und Fraud Protection sind Themen, die alle brauchen und nutzen.

Was konntet ihr von anderen Gründern in der Region/im Hub lernen? Wie hat sich die Nähe zu anderen Gründern ausgezahlt?
Innerhalb des Hubs gibt es keine Berührungsängste. Für uns zahlt es sich sehr aus, dass wir als Cyber Security Anbieter unser Produkt mit den Produkten anderer Start-ups kombinieren können, zum Beispiel im Bereich Pannenhilfe oder einem Identity Provider Baustein. Je nachdem, wer dann Zugang zum Kunden hat, bietet die kombinierte Lösung an. In dem Fall ist eins plus eins dann größer als zwei.

Wie leicht findet ihr in eurer Region Mitarbeiter?
Das ist tatsächlich schwer hier. Der Wettbewerb um Talente ist extrem hoch, insbesondere wenn es um Programmierer und Sales geht. Wir konkurrieren mit großen Konzernen wie etwa BMW, Siemens oder Allianz, das ist sehr schwierig. Unser DevOps Team sitzt daher auch schon seit der Gründung in Barcelona.

Und wie steht es in eurem Ökosystem um den Zugang zu Kapital?
Jetzt zur Zeit ist das wegen Corona nicht so einfach, wir haben nun auch unsere nächste Finanzierungsrunde geschoben. Eigentlich hat München aber ein sehr aktives Netzwerk an VCs, die sich auch gegenseitig kennen und es gibt gute Veranstaltungen. Auch Business Angels sind in ausreichendem Maße vorhanden und hinzu kommen die Corporates mit ihren Acceleratoren und Ventures. Es ist an sich ein idealer Standort für ein Start-up. Ich habe mich selbst gewundert, wie wenig wir reisen mussten, um Finanzierungen einzusammeln.

Wie gut gelingt die Zusammenarbeit mit Mittelständlern und Konzernen?
Mit beiden sehr gut, auch wenn die Herangehensweise und Kontaktaufnahme oft eine andere ist. Im Mittelstand läuft immer noch viel über Veranstaltungen. Außerdem kommen Mittelständler oft mit einem konkreten Problem auf dich zu und suchen eine Lösung dafür. Der Kontakt bei den Konzernen läuft eher über die Digitalisierungseinheiten oder -abteilungen. Die sehen eine Lösung und überlegen dann, wo sie ein Problem haben oder sie zukünftig eins lösen können.

Würdet ihr euch von Behörden und Verwaltungen mehr Unterstützung wünschen?
Wir würden uns mehr gemeinsame Projekte im E-Government wünschen. Unterstützung der Öffentlichen Hand sollten es nicht nur als finanzielle Hilfen qua Standort geben, sondern auch mehr als Referenz und Proof of Concept. Es gibt so viele Schnittstellen zwischen Bürgern und Verwaltung wo es noch viel Verbesserungspotenzial gibt – gemeinsame Projekte mit dem Start-up Ökosystem vor Ort können da helfen. Als Start-up kommt man da schwierig gegen etablierte Anbieter an – die Hürden sind durch Zertifizierungen etc. oft hoch. Hier könnten Behörden und Start-ups viel mehr gemeinsam umsetzen.

 

Lest das Interview von Maike Engelmann mit Christian in der Wirtschaftswoche Gründer Forum hier!

 


online Seminar "CSI Online Fraud – aus dem Nähkästchen der Sicherheitsforscher"

Anmelden lohnt sich!

Beim ibi-Seminar "CSI Online Fraud – aus dem Nähkästchen der Sicherheitsforscher" am 19.05. um 14:00 Uhr wird präsentiert, was beim Versuch, digital erfolgreich zu sein, in den letzten Monaten so alles schief gelaufen ist – von TikTok bis PEPP-PT. Schockierende und auch amüsante Fallbeispiele erfolgreicher Hacks und erfolgloser Neukundengewinnung zeigen die Tücken der digitalen Welt und wie man es nicht machen sollte. Es wird aber auch konstruktiv gezeigt, wie man es machen sollte. Das Webinar ist auf Business Owner für Digitalisierung, CTOs und COOs zugeschnitten und verbindet Business und Technik-Aspekte.

Dr. Anja Peters von ibi research freut sich auf das Gespräch mit den beiden Sicherheitsforschern Dr. Christian Schläger, CEO sowie Torsten Leibner, Produktmanager vom ibi-Partnerunternehmen Build38.

Dabei sein:

19.05.2020, 14:00 Uhr, CSI Online Fraud – aus dem Nähkästchen der Sicherheitsforscher

Die Teilnahme an den ibi-online Seminaren ist kostenfrei, es ist jedoch eine Registrierung erforderlich. Die Teilnahme ist per Webbrowser oder Zoom App möglich.