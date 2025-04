Sicherheit ohne Stillstand: Was ich beim Mentoring von Start-ups gelernt habe

Ich habe mich schon immer für neue und innovative Produkte begeistert. Aufgrund der sich ständig verändernden Bedrohungslage ist der Bedarf an Produktinnovationen im Bereich der Cybersicherheit schier unendlich groß – und genau das hat diesen Bereich in den letzten fünf Jahren für mich so spannend gemacht. Ich würde sogar sagen, dass die Bedrohungsakteure selbst zu den größten Innovatoren gehören: Jedes Mal, wenn neue Tools entwickelt werden, um die Bedrohungsakteure zu behindern, entwickeln die Angreifer schnell neue Taktiken, um diese Abwehrmaßnahmen zu umgehen.

Als CISO für ein Unternehmen, das Reisende zu neuen Zielen führt, hatte ich das Privileg, mit einigen innovativen Firmen auf ihren eigenen Wegen zusammenzuarbeiten. Es macht mir große Freude, Start-ups bei der Entwicklung ihrer Produkte und ihrer Produktstrategie zu unterstützen – und ehrlich gesagt, entdecke ich dabei als Mentor auch ständig neue Möglichkeiten, um mein Unternehmen zu schützen.

Ich hatte eigentlich nie die Absicht, ein Mentor zu werden. Aber da ich eine herausragende Position bei KAYAK innehabe, haben mich viele Leute um Rat gebeten (vielleicht wird das nach diesem Artikel sogar noch häufiger passieren!). Als CISO tappt man leicht in die Falle und denkt: „Ich habe keine Zeit für so etwas.“ Tatsächlich hat niemand Zeit im Überfluss, aber ich schaffe Raum für Mentoring, weil ich glaube, dass es einem höheren Zweck dient und dazu beiträgt, kontinuierliche Innovation in der Cybersicherheit zu fördern.

Wir alle wissen, dass Start-ups für das Ökosystem der Cybersicherheit (und das Innovationsökosystem insgesamt) von entscheidender Bedeutung sind. Ihr Wachstum kommt allen Unternehmen zugute, schafft neue Arbeitsplätze und fördert das Wirtschaftswachstum. Es ist ein positiver Kreislauf: Als Käufer von Technologiedienstleistungen möchte ich, dass Start-ups im Bereich der Cybersicherheit mit guten Ideen reüssieren und mehr Kunden gewinnen, sodass sie ihrerseits mehr in die Verbesserung ihrer Produkte investieren können. Da das Unternehmen schneller finanziell auf eigenen Beinen steht, werden auch die Produkte schneller besser. (Alteingesessene Technologieunternehmen zeigen nicht immer die gleiche Dringlichkeit).

Dabei gibt es auch eine persönliche Komponente. Ich liebe es, mit jungen Menschen und Unternehmen zu arbeiten und sie wachsen zu sehen. Es ist ein bisschen wie mit der Erziehung eines Kindes. Da ich mich leidenschaftlich für neue Ideen und die Verbesserung von Produkten interessiere, habe ich beschlossen, dass es sich lohnt, mir etwas Zeit zu nehmen, um einigen dieser Unternehmen zu helfen.

Wie das Mentoring in der Praxis aussieht

Die Arbeit in großen Unternehmen kann zwar Spaß machen, im Vergleich zu kleineren Unternehmen ist es jedoch viel gefährlicher, Risiken einzugehen. Das macht es für sie schwieriger, innovativ zu sein. Größere Unternehmen neigen dazu, das zu schützen, was sie haben, anstatt zu versuchen, die nächste große Innovation zu entwickeln, oder sie kaufen einfach die nächste große Innovation und expandieren durch Übernahmen. In kleineren Unternehmen gibt es mehr Möglichkeiten für Innovationen, weil die Menschen mehr Risiken eingehen können und weniger bürokratische Hürden zu überwinden sind.

Doch Start-ups stehen vor großen Herausforderungen. Sie brauchen mehr als nur eine gute Idee. Wer einen Markt für einen breiten Kundenstamm definieren (oder in eine etablierte Marktkategorie eintreten) will, muss mehr als nur ein einzelnes Problem für einen einzigen Kunden lösen. Start-ups tun sich oft schwer damit, Ideen zu realisieren und voranzutreiben. Genau hier kommen Mentoren ins Spiel.

Die meisten von uns haben nur wenig Zeit, weshalb wir Prioritäten setzen müssen, wie und wen wir betreuen. Bevor ich mich auf ein Mentoring einlasse, stelle ich mir drei Fragen:

Haben sie eine klare Vorstellung davon, was ihr Produkt bietet und wie sie dieses Produkt im Laufe der Zeit weiterentwickeln wollen? Begeistert sie diese Vision? Ist das Unternehmen in einem Bereich tätig, der mich interessiert und begeistert?

Es gibt viele Möglichkeiten für neue Start-ups, zu skalieren und ein Produkt zu entwickeln, das ich eines Tages für unser Unternehmen nutzen würde. Im Moment sehe ich zum Beispiel viele Innovationen im Bereich Identitäts- und Zugriffsmanagement, Zero Trust-Netzwerkdienste und Netzwerk-Mikrosegmentierung, und ich habe ein persönliches Interesse an Projekten, die in diese Bereiche fallen. Es ist schon etwas Besonderes, wenn man sieht, wie sich das Mentoring auf die Entwicklung eines Unternehmens auswirkt. In einem Fall begann ich mit einem Sicherheitsunternehmen zusammenzuarbeiten, das sich mit dem Problem befasste, wie man unabhängige Auftragnehmer sicher einbinden und ihre Identitäten schützen kann.Ihre anfängliche Vision hat mein Interesse geweckt, und unsere Gespräche begannen mit dem Austausch von Ideen. Drei Jahre lang gab ich regelmäßig Feedback zu Produktideen, stieß auf Lücken oder Schwachstellen in ihren Plänen und half, alternative Lösungen zu finden. Ihr Produkt entwickelte sich schließlich zur Erkennung und Reaktion auf Identitätsbedrohungen (Identity Threat Detection Response, ITDR).

In jeder Phase ging ich darauf ein, was sie erreichen wollten und was sie verbessern mussten, einschließlich ihres Signal-Rausch-Verhältnisses (mehr dazu weiter unten). Auch wenn nicht alles auf mein Konto geht, haben sich die Früchte unserer Arbeit gelohnt: Ein Fortune-100-Unternehmen hat das Startup übernommen, und ich stehe ihm noch immer gelegentlich beratend zur Seite.

All diese Interaktionen haben mir geholfen, neue Perspektiven zu gewinnen, die ich in mein Unternehmen einbringen kann, um dort Innovationen voranzutreiben.

Das Mentoring wird je nach Ihren persönlichen Möglichkeiten und den Bedürfnissen des Mentees unterschiedlich aussehen. Manche Unternehmen benötigen eine kontinuierliche Beratung, andere nur ein oder zwei Treffen, um die richtigen Weichen zu stellen. Vieles hängt davon ab, wo das Startup in seiner Entwicklung steht – ob es nur eine Idee hat, ein Modell einer Lösung oder ein fertiges Produkt. Wie auch immer, die Umstände sollten für alle Beteiligten gut sein.

In diesen Bereichen haben Start-ups oft Schwierigkeiten

So wie kein Unternehmen dem anderen gleicht, so gleicht auch keine Mentoring-Beziehung der anderen. Dennoch habe ich Cybersicherheitsfirmen in den letzten Jahren immer wieder empfohlen, sich auf die folgenden Kernbereiche zu fokussieren:

Hohes Signal-Rausch-Verhältnis. Eines der größten Probleme mit Sicherheitstools ist das viele Rauschen. Bei einem hohen Signal-Rausch-Verhältnis werden die Benutzenden ihre Arbeitskraft darauf verwenden, jeder Benachrichtigung nachzugehen, wodurch die Gefahr besteht, dass sie ermüden und wichtige Benachrichtigungen übersehen. Nur weil Sie eine Warnmeldung auslösen können, heißt das nicht, dass Sie es auch tun sollten. Ist die Warnmeldung wirksam und wertvoll? Oder verursacht er einfach nur mehr Arbeit? Dies sind wichtige Fragen, denn wenn es zu viele Warnmeldungen gibt, neigen die Menschen dazu, sie auszublenden. Es geht nicht nur um die Quantität, sondern auch um die Qualität der Warnmeldungen. Sie möchten, dass die wesentlichen Signale, die Sie aussenden, einfach sind, damit die Analyse wenig Zeit und Mühe erfordert.

Einfache Umsetzung. Viele Unternehmen machen es viel zu schwierig, ihr Produkt einzuführen. Jeder wird Ihnen sagen, dass die Umsetzung nur 15 Minuten dauert, aber das ist nicht der Fall. Ich erlebe viele Unternehmen, die fälschlicherweise erwarten, dass Menschen stundenlang vor einer Benutzeroberfläche (GUI) sitzen, um ihr Produkt zu konfigurieren. Das ist ineffizient, vor allem in großem Maßstab. Unternehmen sollten sich darauf konzentrieren, APIs und Automatisierung für die Einrichtung, aber auch für die laufende Nutzung zu verwenden.

Einhaltung von SOC2 oder ISO 27001. Ich bin sicher nicht der Einzige, der sich mehr für die Technik als für die Einhaltung von Vorschriften interessiert. Für cloudbasierte Unternehmen, die sensible Daten verarbeiten, ist die Einhaltung einer dieser Normen jedoch absolut überlebensnotwendig. Nur so kann man das Vertrauen der Enterprise-Kunden gewinnen, und die Einhaltung der Vorschriften muss frühzeitig zum Thema gemacht werden.

Ich bin zwar kein Marketingexperte, aber ich bin oft der Zielkäufer. Ich dränge Start-ups dazu, ihr Wertversprechen zu definieren. Das kann zwar sehr schwierig sein, aber wenn ihre These bei mir Anklang findet, dann glaube ich, dass sie auch bei anderen CISOs gut ankommen.

Ich gebe zwar sehr viel, aber ich bekomme auch sehr viel zurück

Mentoring ist keine Einbahnstraße. Natürlich biete ich viel Hilfestellung, aber auch ich profitiere enorm von diesem Prozess. Wenn ich einen neuen Blickwinkel auf das Thema Cybersicherheit erhalte, bietet sich mir auch die Möglichkeit, die Prozesse in meinem Unternehmen zu verbessern.

Man lernt nie aus. Und einige der besten Ideen ergeben sich aus einem guten Gespräch. Im Zuge des Mentorings des ITDR-Unternehmens erfuhr ich zum Beispiel, dass die Dauer meiner IAM-Sitzung nicht dem entsprach, was ich dachte, und konnte sie korrigieren.

Ich bin ein Informationsjunkie. Ich finde es intellektuell äußerst befriedigend mich mit Menschen zu unterhalten, die sich für dieselben Themen wie ich interessieren. Deshalb stehe ich morgens auf und genieße es, andere Führungskräfte auf ihrem Weg zu unterstützen. Es erfüllt einen auch mit Stolz, jemand anderem zum Erfolg zu verhelfen.

Gründer schaffen und innovieren, weil sie das am liebsten tun. Ein Unternehmen zu führen ist jedoch nicht so einfach, wie auf ein Fahrrad zu steigen, und viele Start-ups scheitern dann leider doch. Mentoring bietet diesen Unternehmen den notwendigen Schubs, um ihre Ideen Wirklichkeit werden zu lassen.

Interessenskonflikte vermeiden

KAYAK verfügt über ein strenges Compliance- und Ethikprogramm. In der Zusammenarbeit mit Anbietern könnte es zu einem Interessenskonflikt kommen, wenn ich glaube, dass das Produkt gut zu KAYAK passen würde. Um dieses Risiko zu mindern, habe ich die erforderlichen Offenlegungserklärungen bei KAYAK eingereicht und die endgültige Entscheidung darüber, ob ein Produkt für unser Unternehmen geeignet ist, meinem Team überlassen.

