Ruhr-Uni-Bochum
HGI

Copyright: HGI, stock.adobe.com: chinnarach

Daten abgeschirmt verarbeiten in der Cloud

Cloud-Dienste nutzen ohne Ärger mit der DSGVO – die Firma Edgeless Systems macht es möglich. Gründer Dr. Felix Schuster blickt zurück auf den nicht immer einfachen Einstieg in einen neuen Markt.

Felix Schuster gründete die Firma Edgeless Systems 2020 während des ersten Corona-Lockdowns.

Copyright: Michael Schwettmann

Die Firma programmiert Software für sicheres Cloud-Computing.

Copyright: Michael Schwettmann

Das Team umfasst zurzeit 15 Mitarbeitende. Weitere werden gesucht.

Copyright: Michael Schwettmann

Das Unternehmen befindet sich in der Phase, in der es darum geht, den Product Market Fit zu optimieren.

Copyright: Michael Schwettmann

Felix Schuster und Thomas Tendyck feierten die Gründung ihrer Firma Edgeless Systems im Frühjahr 2020 während des Corona-Lockdowns zu zweit auf einer Parkbank. Gut zwei Jahre später haben sie ein 15-köpfiges Team, namhafte Kunden und einen repräsentativen Firmensitz in Bochum. Dennoch war der Start nicht immer einfach, berichtet Felix Schuster im Interview.

Herr Schuster, Sie wissen, wie man Cloud-Anwendungen zum Beispiel in den USA nutzen kann, ohne mit der Datenschutzgrundverordnung (DSGVO) in Konflikt zu geraten. Was genau bieten Sie Ihren Kunden?
Wir programmieren Software für sicheres Cloud-Computing – das Marketing-Schlagwort heißt Confidential Computing. Die Cloud hat das grundsätzliche Problem, dass Daten normalerweise im Klartext verarbeitet werden. Das heißt, Mitarbeitende von Cloud-Anbietern oder Behörden haben möglicherweise Zugriff darauf. Das hat zur Folge, dass Unternehmen aus der EU diese Cloud-Dienste, die meistens in den USA beheimatet sind, nicht nutzen können.

Wir sorgen dafür, dass man die Cloud nutzen kann wie einen eigenen Rechner. Voraussetzung dafür ist, dass die Hersteller von Prozessoren seit knapp zehn Jahren Funktionen in die Hardware einbauen, die es erlauben, Daten verschlüsselt zu verarbeiten. Bis dahin konnten die Daten zwar beim Transport und auf der Festplatte verschlüsselt sein, mussten zur Verarbeitung aber entschlüsselt werden. Wir sorgen mit unserer Software dafür, dass die Daten die ganze Zeit über verschlüsselt bleiben und dass das auch überprüfbar ist. Der Prozessor stellt dafür ein Zertifikat aus, das bescheinigt, was mit den Daten gemacht wurde, und dass sie zu keinem Zeitpunkt entschlüsselt wurden.

Für welche Art von Anwendungen ist das bedeutend?
Der typische Fall ist, dass eine Firma eine Anwendung lokal laufen hat, aber aus Ressourcengründen gerne in die Cloud will. Ein Beispiel dafür wäre etwa eine Personalverwaltungssoftware. Da geht es um personenbezogene Daten, die einem besonderen Schutz unterliegen. Oder ein Beispiel aus unserer Praxis: Unser Partner Bosch sammelt Daten vernetzter Autos. Da geht es um geistiges Eigentum, es können auch Bilder von Passanten dabei sein. Die Hardware der Cloud ermöglicht es, diese Daten sozusagen abzuschirmen und verschlüsselt zu verarbeiten. Aber da das nicht von alleine klappt, braucht es dafür eine Software wie unsere.

Kann dann jeder Kunde diese Funktionen ganz einfach nutzen oder muss jemand da sein, der IT-Expertise hat?
Unser Programm basiert auf Kubernetes, einer sehr gängigen Anwendung in Clouds, die beim Kunden meistens schon im Einsatz ist. Die Grundzüge sind daher den Anwendenden oft bekannt. Aber es muss schon jemanden vor Ort geben, der sich auskennt.

Sie haben zu Beginn Ihre Software unentgeltlich und quelloffen angeboten. Wie kann man sich denn davon finanzieren?
Das ist aktuell eher die Norm, dass man zunächst eine Art erweiterte kostenlose Testversion anbietet. Natürlich geht man damit das Risiko ein, dass die Anwender damit zufrieden sind und dabei bleiben, oder dass die Konkurrenz das Programm kopiert. Aber der Vorteil ist, dass man ein sehr niedrigschwelliges Angebot für potenzielle Kunden hat. Der erste Schritt ist damit schon getan, und vielleicht kommt der Kunde auf uns zurück, um eine Enterprise-Version zu kaufen.

In einem so neuen Markt wie unserem ist das eine gute Möglichkeit zu sehen, wo die Kunden stehen. Es hilft auch, Kunden zu identifizieren und zu akquirieren. Ein Jahr nach dem ersten kostenfreien Angebot hatten wir viele schöne Anfragen.
Anders als in den USA ist dieses Geschäftsmodell hier allerdings eher unüblich, und man stößt auf Unverständnis. Aber bei den Investoren sind wir damit wesentlich besser angekommen.

Wenn der Markt noch so jung ist, gibt es dann trotzdem eine nennenswerte Konkurrenz?
Ja, es gibt sogar viel Konkurrenz, vor allem in den USA. Aber unser Produkt ist am weitesten ausgereift. Das muss der Markt nur noch mitbekommen. Aktuell wissen die wenigsten Kunden, was sicheres Cloud Computing ist – sie sehen zwar ihr Problem, kennen die Lösung aber nicht. Da gibt es viel Erklärungsbedarf.

Spielt Ihnen die DSGVO nicht in die Hände?
Das kann durchaus ein Treiber sein. Wir würden vor diesem Hintergrund auch gerne mehr mit europäischen Cloud-Anbietern zusammenarbeiten. Dann könnten wir einen Dienst auf Seiten des Anbieters entwickeln, und der Kunde müsste gar nichts mehr selbst machen, sondern könnte einfach sicher sein, dass seine Daten geschützt sind.

Zurück zu den Anfängen von Edgeless Systems: War es schon immer Ihr Wunsch, Gründer zu werden?
Ich wollte schon zu Schulzeiten eine Softwarefirma gründen. Während des Studiums habe ich in einer kleinen Firma gearbeitet, da hat sich der Wunsch verfestigt. Der Hauptgrund für meine Promotion war auch die Suche nach spannenden Technologien als Basis für die Gründung.

Was prägt heute Ihre Arbeitstage?
Aus den technischen Details bin ich heute raus. Das ist das Spezialgebiet meines Mitgründers Thomas Tendyck. Ich kümmere mich weiterhin um die Produktvision und Teile der Architektur. Weitere Kernaufgaben sind Außendarstellung, Kundengewinnung, Mitarbeiterwerbung und Akquise von Investorengeldern. Dazu kommen viele andere kleinere Aufgaben aus den Bereichen Personal, Operations und Finanzen.

Haben Sie die Gründung je bereut?
Gelegentlich schon – es gibt immer Höhen und Tiefen. Aber im Allgemeinen war es eine gute Entscheidung. Es macht viel Spaß, ist aber sehr stressig. Ich habe gelernt, damit umzugehen.

Wenn Sie in die Kristallkugel blicken und fünf Jahre voraussehen könnten, was wünschen Sie sich dann zu sehen?
Wir sind als Unternehmen noch in der Phase, den Product Market Fit zu optimieren – perfekt ist der, wenn man zum Beispiel während einer Pandemie eine Impfung anbieten kann, also genau das Produkt hat, was der Markt gerade nachfragt. Wir versuchen gerade, diese Passung gut hinzubekommen. Wir lernen viel. Wir wollen die Plattform schlechthin für besonders sicheres Cloud Computing werden.

In fünf Jahren sollten wir unser Geschäftsmodell skaliert und über 100 Mitarbeitende haben. Noch weiter in die Zukunft gesehen sollte ein Börsengang oder ein Verkauf der Firma stehen. Das sind die beiden Ziele für wagniskapitalfinanzierte Firmen, wie wir es sind.

Welchen Rat würden Sie sich selbst geben, wenn Sie zwei Jahre zurück gehen könnten?
Wir haben zu ingenieursmäßig angefangen, haben uns teils verzettelt, um das Risiko zu minimieren. Rückblickend würde ich sagen, wir hätten früher mehr Risiko eingehen und ein mögliches Scheitern in Kauf nehmen sollen. Und: Es ist ein spannender, aber auch schwieriger Markt. Beim nächsten Mal würde ich einen Markt wählen, der schon etwas weiter ist.

Das klingt, als wäre nach einem möglichen Verkauf der Firma eine weitere Gründung für Sie denkbar?
Auf jeden Fall. Vielleicht mit etwas Urlaub zwischendurch.

Über Edgeless Systems
Die beiden Gründer der Firma Edgeless Systems haben sich beim Studium an der RUB kennengelernt. Die Gründung konnten sie mit Unterstützung des Business-Inkubators Cube 5 vorbereiten. Cube 5 ist am Horst-Görtz-Institut für IT-Sicherheit sowie der Fakultät für Informatik der Ruhr-Universität angesiedelt und Teil des Worldfactory Start-up Centers. Aktuell hat die Firma 15 Mitarbeitende, davon zehn Festangestellte. Die Gründer suchen weitere Mitarbeitende, gerne von der RUB, wo auch fast alle Bisherigen ausgebildet wurden.

Der Artikel erscheint im Rahmen der Sonderausgabe IT-Sicherheit des Wissenschaftsmagazins Rubin 2022/23.

Zur Outreach-Webseite

Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.