Warum Digitalisierung und Globalisierung die grössten Bedrohungen sind

Wie verlief das erste Halbjahr auf den eigenen Beinen?

Mike Schuler: Das erste Halbjahr ist genauso verlaufen, wie wir es in unserem Businessplan vorgesehen haben. Das ist sowohl erfreulich als auch erstaunlich. Insbesondere der Dienstleistungsbereich entwickelte sich sehr gut. Das zeigt, wie gross die Nachfrage nach guten Security Engineers ist. Und dass meine Mitarbeiter über den entsprechenden Ruf und die Erfahrung verfügen, um diese Nachfrage zu decken. Der Handel verlief jedoch eher schleppend. Aber auch das war zu erwarten. Dafür müssen wir zunächst unsere Engineers bei den Kunden haben, um Projekte zu identifizieren und zu realisieren.

Wie war die Umstellung für Sie vom Manager Sales Support bei Ihrem früheren Arbeitgeber NTT Security zum CEO einer eigenen Firma?

Meine Arbeit hat sich eigentlich nicht wesentlich verändert. Ich war ja auch schon früher in der Geschäftsleitung. Zudem kenne ich die sieben Mitgründer nun doch schon seit bis zu 20 Jahren. Sie sind alle sehr selbstständig und müssen nicht stark geführt werden. Ich bin dafür jetzt wieder vermehrt auch als Account Manager tätig und stehe so wieder direkter im Kontakt mit den Kunden. Was sich jedoch geändert hat, ist die Verantwortung. Die hat zugenommen. Heute mache ich mir deutlich mehr Sorgen, wenn sich die Auftragspipeline nicht ganz so entwickelt, wie ich es gern hätte. Deswegen gab es im vergangenen Halbjahr auch die eine oder andere schlaflose Nacht. Aber da es jetzt meine eigene Firma und meiner Angestellten sind, ist mein Einsatz für sie auch ein ganz anderer.

Meine sieben Mitstreiter kenne ich schon seit bis zu 20 Jahren.

Der Wechsel zu Ensec war zugleich ein Wechsel von einer Grossfirma zu einem KMU. Öffnet das Ihnen neue Türen oder versperrt es Ihnen eher den Weg?

Beides! Manche Unternehmen reagieren sehr positiv darauf, da sie spezifisch mit kleineren Schweizer Resellern zusammenarbeiten wollen. Wir erhalten aber natürlich auch Absagen aufgrund unserer Grösse. Da wir nur fünf Techniker beschäftigen, traut man uns etwa nicht zu, einen professionellen Support rund um die Uhr zu gewährleisten. Wir seien zu neu, zu klein und zu jung, heisst es dann. Da müssen wir einfach etwas mehr Überzeugungsarbeit leisten. Was auch gelingt. Wir bedienen auch ein paar grössere Kunden, die uns ihr Vertrauen geschenkt haben. Grundsätzlich ist bei uns allen die Freude an der Arbeit wieder gestiegen und darauf reagieren auch unsere potenziellen Kunden positiv.

Weshalb wollten Sie ein eigenes Unternehmen gründen?

Das hatte gewiss mit der Übernahme von Infotrust durch NTT Security zu tun. Ich konnte mich einfach nie richtig einleben. Es war plötzlich eine ganz andere Art zu arbeiten, als wir von einer 35-Mitarbeiter-Firma zu einem 200'000-Mitarbeiter-Konzern wurden. Die Schweizer Länderorganisation wuchs zwar nur auf etwa 60 Mitarbeiter an. Aber auch hier änderten sich die Strukturen. So kam etwa ein DACH-Management hinzu und auch noch ein globales.

Wo liegt denn das Problem, für eine grosse Firma zu arbeiten?

Ich sage nicht, dass das Eine besser oder schlechter ist. Es ist einfach anders, aber beides hat seine Vor- und Nachteile. Manche Menschen fühlen sich eher in Grosskonzernen wohl. Daneben gibt es die, die eher für die Arbeit in KMUs gemacht sind. Mein Team und ich gehören zur letzteren Gruppe. Das führte dazu, dass wir uns nach der Übernahme Gedanken über unsere Zukunft machten.

Was war schliesslich der Auslöser für Ihren Weggang?

Das Headquarter in Japan wollte mit einer neuen Strategie die Verkaufsstruktur umwälzen. In dieser neuen Struktur sahen wir für uns jedoch keinen Platz. Also beschlossen wir, das Unternehmen zu verlassen. Diese Strategie wurde jedoch in der Schweiz nie umgesetzt, wie sich im Nachhinein zeigt.

Waren die anderen Mitgründer sofort dabei? Oder mussten Sie sie zunächst noch überzeugen?

Schon kurz nach der Übernahme sassen wir das erste Mal nach der Arbeit zusammen allerdings noch in einer leicht anderen Konstellation. Wir diskutierten darüber, wie es weitergehen soll. Damals beschlossen wir, zu bleiben und dem neuen Arbeitgeber eine Chance zu geben. Nach dem Entscheid, die Verkaufsmannschaften abzuspalten, änderte sich unsere Einstellung jedoch. Wir diskutierten erneut über die gleichen Fragen und fällten diesmal den Entschluss, das Unternehmen zu verlassen. Ab dem Punkt waren eigentlich alle dabei. Naja, alle ausser Maria Zidkova. Sie war nicht ganz so schnell zu begeistern, also mussten wir sie noch ein wenig überzeugen. Heute ist sie aber auch glücklich darüber, ein Teil von Ensec zu sein.

Was verbindet Ensec heute noch mit NTT?

Einzig ein paar wenige Stunden an Dienstleistungen, die sie bei uns aufgrund der Lücke, die wir hinterlassen hatten, bezogen haben. Abgesehen davon bestehen natürlich noch persönliche, private Beziehungen.

Sie sind also nicht im Streit auseinandergegangen?

Nein. Wir können uns noch immer bei einem Bierchen in die Augen sehen. Demnächst treffe ich mich auch wieder mit Tom Hager, dem Country Manager für die Schweiz bei NTT Security. Sofern das Wetter mitspielt, gehen wir zusammen biken.

Es wird relativ viel getratscht in der IT-­Security-Branche.

In der Pressemitteilung, die Sie damals zur Gründung von Ensec veröffentlicht hatten, betonten Sie, dass Sie acht ehemalige Infotrust-Mitarbeiter seien – nicht NTT-Mitarbeiter. Woher kommt diese Nostalgie?

Infotrust symbolisiert für uns den Wunscharbeitgeber. Eine kleine, aber schlagkräftige Firma mit rund 30 Mitarbeitern. Das ist die perfekte Grösse, da man noch keine wahnsinnigen Strukturen aufbauen muss, um die Arbeit zu bewältigen. Hinzu kommt, dass man NTT zum Zeitpunkt der Übernahme hierzulande kaum kannte. Infotrust hatte sich hingegen bereits einen Namen gemacht. Ich verstehe zwar die Gründe für den Verkauf, für uns war das aber keine glückliche Fügung.

Weswegen blieben Sie in Au?

Infotrust wurde damals im benachbarten Wädenswil gegründet und zog anschliessend nach Au um. Das heisst, dass die Mitarbeiter sich auch um diese Region herum ansiedelten. Einige zog es nach Zürich, andere nach Glarus. Als wir ein Büro für Ensec suchten, lag diese Region also wieder in der Mitte. Zufälligerweise fanden wir in Au freie Büroräume. Und die hatten sogar noch eine superschöne Aussicht auf den See. Eine andere Gemeinde wäre mir aber eigentlich lieber gewesen.

Weswegen?

Es wird relativ viel getratscht in der IT-Security-Branche. So habe ich etwa gehört, Ensec hätte sich gar nicht wirklich von NTT Security getrennt. Könnten wir nur schon Horgen oder Richterswil als Ortschaft auf unsere Visitenkarten schreiben, wäre das gewiss schon ein bisschen besser gewesen. Aber wirklich geschadet hat uns das bisher nicht wirklich.

Wie sehen Ihre weiteren Pläne für Ensec aus?

Wenn das aktuelle Wachstum anhält, werden wir 2018 bereits die ersten zwei oder drei neuen Stellen schaffen. So können wir mehr Kunden gewinnen, da das Vertrauen in unsere Supportorganisation wächst. Diese Stellen dann auch zu besetzen, wird die nächste grosse Herausforderung sein. In fünf bis sechs Jahren will ich mit dieser Strategie auf eine Unternehmensgrösse von rund 20 Mitarbeitern kommen. Später will ich schliesslich auf eine Unternehmensgrösse von rund 30 Mitarbeitern kommen. Das sehe ich als die ideale Grösse an. Wichtig ist mir, dass wir diese Ziele durch ein gesundes und natürliches Wachstum erreichen.

Wie wollen Sie diese Ziele erreichen?

Indem wir uns auf die Kunden konzentrieren und spannende Projekte im Bereich IT-Security realisieren. Um das zu erreichen, müssen wir früher bei Kundenprojekten involviert sein. Dafür sehen wir uns derzeit auch neue Lösungen und Ansätze an.

Man muss darauf achten, den Anschluss nicht zu verlieren. 

Was sind das für neue Ansätze?

Ich denke da etwa an das DXL-Protokoll oder Check Points vSec-Lösung. Wir suchen aber auch stetig nach neuen Partnern, um unser Portfolio sinnvoll zu erweitern. Zuletzt ergänzten wir unser Angebot etwa mit den Isolationslösungen von Menlo Security oder den Sicherheitslösungen von Darktrace. Deren Produkte bilden eine Alternative zum klassischen Security Information and Eventmanagement (SIEM). Diese Lösungen stöbern nicht bloss in den Log-Dateien herum, sondern nutzen künstliche Intelligenz und Machine Learning, um den Netzwerkverkehr zu analysieren und Anomalien zu erkennen. Ferner sehen wir uns derzeit auch einige Lösungen im Bereich Deception an. Bei diesem Ansatz versucht man, falsche Ziele für Angreifer im Unternehmen zu verstreuen. Mit diesen kann man Angreifer auf eine falsche Fährte locken und zugleich verfolgen, was sie im Unternehmen machen. Wir haben uns aber noch nicht für einen Hersteller entschieden.

Was ist derzeit die grösste Bedrohung für Unternehmen?

Das ist eindeutig die Globalisierung. Sie hat zwar viel Gutes bewirkt. Sie schafft aber auch die eine oder andere Herausforderung. Dazu zähle ich auch die DSGVO. EU-Recht, das Schweizer Unternehmen trifft. Ebenso sehe ich auch die Digitalisierung als eine Bedrohung. Die Digitalisierung hat langfristig zwar das Potenzial, viele neue Stellen zu schaffen. Vorerst wird sie aber dazu führen, dass viele Jobs automatisiert und schlicht nicht mehr benötigt werden. Das gilt auch für ganze Unternehmen, wenn sie durch moderne Mitbewerber geradezu überrollt werden.

Ensec steht derzeit auf zwei ungleichen Standbeinen – IT-Security und Governance, Risk und Compliance (GRC). Wie wollen Sie das zweite Standbein stärken?

Im ersten Halbjahr mussten wir uns zunächst im Markt etablieren und unsere Mitarbeiter bei den Kunden platzieren. So bauen wir eine Kundenbasis auf, die uns am Leben erhält. Daher wurde das Thema GRC bislang eher stiefmütterlich behandelt. Wir haben derzeit mit Simon Schneiter einen GRC-Consultant mit 100 Prozent Fokus auf dieses Thema und zwei Engineers mit entsprechender Ausbildung, die sich nun Praxiserfahrung aneignen sowie Aufträge für rund 1,5 Vollzeitstellen. In den nächsten Monaten werden wir uns intensiver mit der weiteren Entwicklung auseinandersetzen. Wenn wir im Markt ernst genommen werden wollen, müssen wir mindestens fünf Vollzeitstellen für den Bereich aufweisen. Das können wir derzeit nicht ohne Weiteres vorfinanzieren. Wir versuchen daher die Kunden, die wir über die klassische IT-Security gewinnen, auch für unser GRC-Angebot zu interessieren. Zudem werden wir nächstes Jahr auch mehr Marketing machen müssen, um das Thema präsenter zu machen.

Was vernachlässigen Unternehmen im Zusammenhang mit GRC am meisten?

In der Presse liest man jetzt sehr viel über die neue Datenschutz-Grundverordnung der EU (DSGVO beziehungsweise GDPR auf Englisch). Anfang nächstes Jahr wird sie umgesetzt. Trotzdem verstehen viele Schweizer Unternehmen nach wie vor nicht, dass auch sie davon betroffen sein könnten. Mit unserem ganzheitlichen Ansatz wollen wir mehr Bewusstsein für solche Themen schaffen.

Inwiefern betrifft die DSGVO ein Schweizer KMU? Es handelt sich ja schliesslich um ein EU-Gesetz.

Man ist viel schneller davon betroffen, als man denkt. Wenn ein Schweizer KMU personenbezogene Daten in der EU verarbeitet, könnte das zum Problem werden. Vielleicht hat man Beziehungen zu Kunden oder Lieferanten aus der EU. Vielleicht beschäftigt man aber auch einen Mitarbeiter, der in der EU lebt. In all diesen Fällen kann die DSGVO auch für Schweizer Unternehmen greifen. Schweizer Unternehmen müssen sich aber so oder so mit dem Thema befassen – auch wenn sie nicht von der DSGVO betroffen sind. Denn 2018 oder 2019 kommt voraussichtlich die Schweizer Datenschutzverordnung und die wird wohl in den wesentlichen Punkten eins zu eins der DSGVO entsprechen.

Können Unternehmen sich dagegen überhaupt wehren?

Ich glaube nicht, dass man sich dagegen wehren muss. Man muss eher darauf achten, dass man nicht den Anschluss verliert – vor allem bei der Digitalisierung. Man darf zwar nicht jedem Trend hinterherrennen. Man darf aber auch keine wichtige Entwicklung verpassen. Die Schwierigkeit besteht genau in dieser Gratwanderung.

Wie beurteilen Sie die aktuelle Cyber-Bedrohungslage für die Schweiz?

Die breit gestreuten Ransomware-Angriffe oder auch die DDoS-Attacken mit wahnsinnigen Bandbreiten schlagen derzeit natürlich grosse Wellen. Diese Bandbreiten erreichen sie dank Millionen ungeschützter IoT-Geräte, die irgendwo bei Privatpersonen daheim oder im Unternehmen stehen. Völlig ungeschützt. Die grössere Bedrohung geht meines Erachtens jedoch von gezielten Angriffen auf Unternehmen aus. Zum Teil werden über Monate hinweg Daten abgezogen, ohne dass irgendwer im Unternehmen etwas bemerkt. Das kostet einem Unternehmen schnell mal die Existenz. Etwa wenn die Konkurrenz so die eigenen Entwicklungen früher auf den Markt bringen kann als man selbst.

Was wäre Ihr Rat für Unternehmen in der Situation?

Eine saubere GRC-Beratung! Nein, Spass beiseite. Jedes Unternehmen sollte sich seiner Risiken bewusst sein und sich fragen, wo die Schwachstellen im Unternehmen sind und wie sie sich schützen können. Dazu zählt auch, sich mit Cybersecurity zu beschäftigen und auf dem Laufenden zu bleiben. Künstliche Intelligenz und Machine Learning und die damit einhergehende Automatisierung werden in nächster Zeit grosse Themen sein in dem Bereich.

Wie lautet Ihre persönliche Botschaft an den Channel?

Ich wünsche allen nur das Beste sowie einen fairen und gesunden Wettbewerb. Denn ich hoffe, dass wir auch in Zukunft noch ein wenig um den Markt kämpfen können.

Persönlich: Mike Schuler (48) startete seine IT-Karriere nach Abschluss zum El-Ing. HTL 1996 bei Commcare. 2003 folgte der Wechsel zu Infotrust und somit in die IT-Security, wo er zuletzt als Teil der Geschäftsleitung und als Manager Sales Support amtete. Seit 1. März 2017, nach Abschluss des EMBA HSG, leitet er das gemeinsam mit sieben Kollegen gegründete und auf Informa­tion-Security spezialisierte Unternehmen Ensec. Er ist verheiratet, Vater von zwei Kindern und sportlich gerne auf dem Bike anzutreffen. (Quelle: Ensec)