Treffen sich ein Psychologe, ein Software-Entwickler und ein Betriebswirt… nein, das ist nicht die Einleitung eines Witzes, sondern die Gründerkonstellation von SoSafe. So unterschiedlich die drei Gründer von SoSafe Niklas Hellemann, Lukas Schaefer und Felix Schürholz auch sind, so haben sie doch die gemeinsame Vision: Im Bereich der IT-Sicherheit den Nutzer wieder in den Fokus zu rücken. Wie SoSafe das schafft, wie es ist innerhalb eines Jahres ein großes Wachstum auf über 30 Mitarbeiter zu verzeichnen und was Rocket Internet mit SoSafe verbindet, verrät Co-Founder Dr. Niklas Hellemann im Interview.
Hinweis: Das Interview ist eine schriftlich abgefasste Form der RAKETENSTART-Folge mit Niklas. Es handelt sich nicht um 1-zu-1 Zitate.
Hallo Niklas, du bist einer der Geschäftsführer von SoSafe, bei denen wir gerade im Office sitzen. Möchtest du mal erzählen, was ihr bei SoSafe macht?
Wir bei SoSafe verknüpfen zwei Welten, die auf den ersten Blick gar nicht so viel miteinander zu tun haben: Cyber Security und die Welt der Psychologie, die Welt der Menschen.
Wir machen das, indem wir eine Lernplattform für Mitarbeiter von Unternehmen anbieten, auf der man sich das ganze Jahr über schulen lassen kann. Bei SoSafe lernt man, wie man sich gegen Cyber Angriffe wehrt beziehungsweise auf diese reagiert, damit man sich sicher im Internet mit digitalen Tools bewegen kann. Insbesondere sogenannte Phishing-Mails, die von Betrügern kommen und vorgeben man solle sein Passwort ändern, um so echte Passwörter auszuspähen. Sie versuchen, an vertrauliche Daten oder sogar Firmengeheimnisse zu kommen und sind eigentlich die häufigste Angriffsform. Die meisten Mitarbeiter sind davon betroffen, weil sie das einfachste Einfallstor für Hacker darstellen. Jeden Tag sind 160 Millionen Phishing-Mails im Umlauf. Diese werden mittlerweile so zielgerichtet aufgebaut und verbreitet, dass Unternehmen trotz Filtersystemen angegriffen werden und die Hacker Zugriff auf das System bekommen.
Genau dort setzen wir dann an: Wir schicken Mitarbeitern das ganze Jahr über realistische Phishing-Mails. Wenn sie darauf reinfallen, zeigen wir anhand einer detaillierten Erläuterung der Warnzeichen, wie und woran genau man hätte erkennen können, dass es keine echte E-Mail ist. Zusätzlich befassen wir uns mit dem Thema Passwortstärke und bringen Mitarbeitern in spielerischen Modulen Wissen bei, das tatsächlich hängen bleibt.
Das klingt sehr spannend. Woran erkennt man denn Phishing-Mails und was machen sich Hacker diese genau zunutze?
In den meisten Fällen kann man zwar anhand technischer Daten die Phishing-Mail erkennen, aber meistens sind es psychologische Faktoren, auf die der Mensch reagiert. Diese psychologischen Faktoren haben sich in Zeiten der Evolution herausgebildet, weil sie sich als nützlich erwiesen haben. Hilfsbereitschaft von Menschen wird beispielsweise heute gezielt von den Hackern genutzt. Das codieren wir in unseren Mails und können so zielgerichtet die Mitarbeiter der jeweiligen Abteilungen schulen. Der stärkste Treiber ist gar nicht Geld, wie man vielleicht vermuten würde, sondern Neugier. Eine der Mails, die bei uns extrem gut funktioniert, kommt vermeintlich vom Scanner der Vorstandsetage. Sie hat eine Klickrate von 50 Prozent. Für den Hacker ist das ein minimaler Aufwand von etwa 3 Minuten, in der sich eine solche Datei erstellen lässt. Sie weist aber unglaubliche Erfolgsquoten auf.
Ein Tipp, wenn man sich eben nicht sicher ist, ob die Mail von der Person kommt: die betroffene Person auf anderen Kanälen kontaktieren und sicherstellen, dass sie die Mail auch wirklich verschickt hat. Das Gute ist, wenn man einmal weiß, worauf man zu achten hat, schärft man auch seinen Blick dafür. Der Psychologe würde jetzt sagen, man bildet Heuristiken aus. Und genau dieser Effekt lässt sich auch innerhalb des Unternehmens nachweisen und das schon innerhalb weniger Wochen. Trotz alledem muss man natürlich damit immer am Ball bleiben, da durch Mitarbeiterwechsel und Anpassung der Mails der Effekt sonst irgendwann verloren und die Klickraten wieder hochgehen.
Als „Ritter des Internets“ quasi, seid ihr ja als Trio unterwegs. Wie landet man denn als Doktor der Psychologie bei Fake-Phishing Mails?
Als Psychologe hat man natürlich einen kleinen Helferkomplex. Ich muss aber sagen, dass ich zwar mal die Ausbildung als Psychologe abgeschlossen habe, jedoch lange Zeit in der Wirtschaft bei einer großen amerikanischen Beratung tätig war. Dort habe ich viele Projekte im Bereich Personalberatung gemacht, vor allem aber Mitarbeiterschulungen. Ich kann deshalb ziemlich gut sagen, was in großen Unternehmen angeboten wird und was zeitlich noch auf dem Stand der letzten 10 Jahre ist. Irgendwann bin ich bei einem Projekt auf die beiden anderen Gründer gestoßen. Zu diesem Zeitpunkt haben wir uns erstmal im Bereich des Gesundheitsmanagements, im Präventionsbereich für Unternehmen getummelt. Wir stellten jedoch ziemlich schnell fest, das Unternehmen zwar sagen, dass sie hierfür viel Geld ausgeben wollen, die Budgets aber gar nicht so groß sind.
Den Präventionsgedanken, dass man Mitarbeitern hilft und gleichzeitig den Unternehmen, fanden wir sehr gut. Im Bekanntenkreis und in der Zeitung sind wir letztendlich auf das Thema Phishing-Mail aufmerksam geworden. Ein Bekannter hatte auf diese Art und Weise eine hohe Summe Geld verloren. Als wir uns mehr damit auseinandergesetzt haben, stellten wir fest, dass die Thematik sehr langweilig dargestellt wird und sehr Compliance-getrieben ist. Wir wollten das Thema neu aufziehen und Mitarbeiter für IT-Sicherheit begeistern.
Das Team ist sehr unterschiedlich aufgestellt und wir funktionieren zusammen sehr gut. Das liegt aber auch daran, dass wir sehr unterschiedliche Charaktere sind und unterschiedliche Bereiche besetzen. Felix ist Full-Stack Software-Entwickler, Lukas kommt aus der Betriebswirtschaft mit Digitalisierungstwist und ich als Psychologe bin der Exot. Vom Typ bin ich eher der aus dem Team, der beispielsweise mit neuen Ideen von der Messe kommt und sie direkt umsetzen möchte. Die beiden Anderen gehen eher pragmatisch an die Sache heran, bremsen mich und schauen, ob sich das Produkt überhaupt umsetzen lässt. So kommen wir dann immer zum besten Ergebnis. Im Team kommt es weniger zu Konflikten. Wir diskutieren alles aus, um dann am Ende ein Ergebnis zu erreichen, was von allen gut vertreten werden kann. Neben dem Gründerteam haben wir mittlerweile um die 30 Mitarbeiter und wachsen weiterhin stark.
Ihr habt ja nicht nur Unterstützung durch eure Mitarbeiter, sondern auch einen bekannten Investor im Boot, wie ergibt sich denn sowas?
Genau, SoSafe hat Global Founders Capital, den großen Fond von Rocket Internet als alleinigen Seed-Investor bei uns drin. Für uns war das genau der richtige Zeitpunkt. Wir hatten zwar schon ein paar Kunden, konnten so aber die Gelegenheit nutzen und nochmal wachsen.
Klar, kann man auf einen VC zugehen. Ich persönlich denke aber, es ist wie in allen anderen Bereichen auch, dass man von einem guten Netzwerk, das auch ein gutes Intro machen kann, profitiert. Wenn der Investor proaktiv auf einen zukommt, ist das natürlich das Allerbeste. Bei uns war es eine Mischung aus beidem: Ich bin ganz gut vernetzt an meinem alten Lehrstuhl. Dort überlagern sich ziemlich viele Netzwerke, aus der Startup-Szene und aus der VC-Welt und so kommt man ins Gespräch. Zu dem Zeitpunkt haben wir nicht explizit gesagt, dass wir einen Investor suchen. Der Zeitpunkt war jedoch perfekt und genau das Richtige, um das Geschäft nochmal weiterzubringen.
Bei Rocket Internet speziell war es der Fall, dass wir relativ viele Investment-Teams schon kannten. Dadurch ging die Zusammenarbeit nach den Verhandlungen schnell in ein partnerschaftliches Verhältnis über. Man schaut, woran sowohl das Team, als auch der Investor noch arbeiten können und wo der Investor noch unterstützen kann. Ein gutes Netzwerk und das Investment-Team sind eine unglaubliche Bereicherung. Man kommt mit Leuten zusammen, die unfassbar viel Erfahrung haben, sodass man Themen pragmatisch diskutieren kann und wirklich weiterkommt. Die Bekanntheit eines Investors öffnet auch unbekannte Türen, wodurch man Menschen begegnet, die dich sonst nie wahrgenommen hätten. Je nach Geschäftsmodell und Finanzierungsrunde profitiert man aber auch von einem Investor, der nicht nur einmaliger Business Angel ist, sondern auch nochmal mitgehen kann.
Wo geht es jetzt 2020 für euch hin? Was habt ihr für Ziele und was ist geplant?
Wir sind in den letzten Jahren unglaublich gewachsen und wachsen momentan auf Kundenseiten auch stark weiter. Damit einhergehend, dass unsere Strukturen sich weiter ausdehnen, muss sich unser Management erweitern, um eine gelungene Organisation aufzuzeigen. Das Produkt wird konstant ausgebaut und auch unser Developer-Team hat sich stark vergrößert. Im Ärmel haben wir da noch ein paar Zusatztools und werden den Inhalt konstant weiterentwickeln.
Im internationalen Bereich sind wir für die Zweigstellen unserer Kunden tätig, haben aber vor, uns 2020 in den Ländern selbst aufzustellen. Ansonsten konnten wir Karneval leider nicht mitnehmen, dafür hatten wir die unglaubliche Möglichkeit, an der RSA Konferenz in San Francisco teilzunehmen, der größten Konferenz für Cyber Security. Wir sind da das erste Mal international in Erscheinung getreten. Den großen Schritt haben wir gemeinsam mit unseren Partnern, beispielweise mit der DEKRA, die man von der Autohauptuntersuchung kennt, gemacht. Sie bewegt sich viel im Bereich Cyber Security und ist im amerikanischen Bereich sehr stark vertreten.
Wie ist das für dich persönlich mit einem Unternehmen, das so große Schritte macht, wenn du drei, vier Jahre zurückdenkst?
Vor drei, vier Jahren war ich relativ entspannt, hatte gerade promoviert. Dann bin ich in die Beratung eingestiegen und habe da irgendwie gar nicht mehr nachgedacht, weil ich bis zu 80 Stunden unterwegs war. Ich wollte immer etwas Eigenes machen, bin dann irgendwann aus der Beratung aus genau diesem Grund wieder ausgestiegen. Man probiert sich aus und dann läuft es und im Anschluss läuft es immer besser. Irgendwann kommt man dann morgens ins Büro und sieht seine Mitarbeiter, die man selber eingestellt hat beziehungsweise solche, die man nicht selber eingestellt hat, weil wiederum andere Mitarbeiter sie schon eingestellt haben. Das ist ein total irrsinniger Gedanke, aber auch beruflich sehr erfüllend, das habe ich in keinem Job so erlebt wie hier.
Menschlich wächst man mit seinen Aufgaben, man muss bei uns aber dazu sagen, dass wir alle schon Arbeitserfahrung haben. Ich hatte durch meine früheren Jobs auch Erfahrung in Führungspositionen. Eine Führungsposition muss man für sich entwickeln. Ich habe zum Entwickeln meinen eigenen Kompass und bei uns läuft sehr viel über Feedback-Kultur. Von Management-Büchern halte ich nicht so viel, aber da muss jeder für sich seinen Weg finden. Am Ende arbeitet man mit Menschen und muss auf jeden individuell eingehen.
In einem Unternehmen läuft ja nicht immer alles glatt, was habt ihr denn in den letzten Jahren für Fehler gemacht und in was für Fettnäpfchen seid ihr getreten?
Wir können stolz behaupten, dass wir in all den Jahren gar keine Fehler gemacht haben und bei uns ist auch immer alles glatt gelaufen. Nein, Spaß beiseite. Genau, das ist es ja, was jeder Gründer kennt und Sinn und Zweck ist es, die Fehler zu machen und aus ihnen zu lernen. Rückblickend würden wir sicherlich ein paar Dinge anders machen, aber im Großen und Ganzen gibt es keine großen Fettnäpfchen, in die wir getreten sind.
Was es bei uns gab, sind Thematiken, wann und ob man Aufgaben abgibt oder ob man alles selber macht. Ob ich als Psychologe in rechtlichen Dingen bewandert bin, wage ich zu bezweifeln und natürlich, ist das Geld am Anfang knapp. Aber wenn es schlecht läuft, zahlt man am Ende nur Lehrgeld, statt mit guten Ergebnissen weiter machen zu können. Eine weitere Sache sind Abmahnungen und Bildrechte. Das war eine sehr ärgerliche Angelegenheit für uns, weil wir besonders darauf geachtet haben. Wir haben ein Bildzitat eines Beitrags des WDR als Screenshot auf unserer Website genutzt. Das Problem bei dem Bild war, das im Screenshot des Videorahmens wiederum ein Bild zu sehen war und daran Rechte des Urhebers bestanden. Eine Abmahnkanzlei hat sich dann auch relativ schnell bei uns gemeldet durch eine automatisch generierte Abmahnung. In solchen Situationen sollte man sich rechtlichen Rat holen und vor allem ruhig bleiben.
Hast du zum Abschluss noch Ratschläge für zukünftige Gründer?
Das passt perfekt, wir sind eingestiegen mit dem Thema Menschen und damit möchte ich auch abschließen. Es gibt unglaublich viele Faktoren, die für das Startup eine Rolle spielen, aber nichts ist wichtiger, als das Team mit dem man arbeitet. Damit meine ich nicht nur das Gründerteam, sondern auch die Mitarbeiter des Unternehmens. Diese Menschen begleiten einen im Idealfall eine ganze Weile. Es ist also von großer Bedeutung, dass man sich versteht und nicht nur auf der Arbeitsebene harmonisiert. Außerdem sollte man die gleichen Ansichten und Visionen vertreten. Letztendlich verbringt man viel Zeit miteinander und sollte sich auf sein Bauchgefühl verlassen können.