1998–2018: 20 Jahre SySS

Geschäftsführer Sebastian Schreiber blickt im Interview zurück auf die Firmengeschichte

Herr Schreiber, die SySS wird dieses Jahr 20. Wie genau hat alles angefangen?

Die SySS wurde gewissermaßen geboren im Jahre 1998. Ich befand mich damals mitten im Informatikstudium an der Universität Tübingen und hatte außerdem einen kleinen Job bei Hewlett Packard. Dort war ich verantwortlich für die Administration mehrerer Usenet-Server. Diese Server stellten kleine Nachrichtenartikel zur Verfügung, die über ein speziell hierfür zugeschnittenes Protokoll – das Network News Transfer Protocol (NNTP) auf TCP-Port 119 – transportiert werden. Dabei gehörte es zu meinen Aufgaben, mich insbesondere auch um die Sicherheit dieser Server zu kümmern.

Noch während dieser Tätigkeit ergab sich für mich die Chance, einen Penetrationstest für die IBM durchzuführen. Das war für mich superattraktiv. Also bat ich meinen damaligen Chef bei HP, mir diese Nebentätigkeit zu genehmigen. Leider erhielt ich diese Erlaubnis jedoch nicht. Schließlich war IBM damals ja der große Konkurrent von HP. Allerdings unterbreitete mir mein Chef als Alternative einen sehr interessanten Vorschlag: meinen festen Vertrag mit HP aufzuheben und stattdessen als Freelancer dieselbe Tätigkeit weiter auszuüben. Für mich hieß das: Ich würde künftig Rechnungen schreiben und hatte gleichzeitig die Möglichkeit, das erwähnte Projekt für die IBM durchzuführen.

Gesagt getan: Am gleichen Tag haben wir meinen Arbeitsvertrag aufgehoben, ich habe mein Gewerbe angemeldet und sofort zwei Aufträge erhalten, einen von HP und einen von IBM. Das war die Geburtsstunde der SySS im Juli 1998.

Damit waren Sie erst einmal selbstständiger IT-Berater. Welches waren dann die nächsten Schritte hin zum IT-Unternehmer?

Letztlich kam in den folgenden Monaten dann eins zum anderen. Beide Projekte haben mir sehr gut gefallen. Ich administrierte die netnews-Server bei Hewlett Packard und erhielt parallel dazu weitere Testprojekte von der IBM. Als dritten Kunden habe ich damals die Wüstenrot-Bausparkasse gewonnen, vermittelt über einen Freund. Gleichzeitig habe ich mein Studium vorangetrieben. Das war eine unheimlich spannende, dynamische Zeit, auch privat. Denn neben Studium und Beruf war ich noch damit beschäftigt, meine Großmutter zu pflegen.

Irgendwann kam dann der Punkt, dass ich meine erste Mitarbeiterin einstellte: Eine Hilfskraft, die für mich einen Tag in der Woche Rechnungen schreiben sollte, denn ich war sehr knapp an Zeit und wollte – auch aufgrund von familiärem Druck – mein Studium zügig abschließen. Die Unterstützung bei Verwaltungsaufgaben reichte jedoch nicht aus. Noch in der Endphase meines Studiums, als ich schon an der Diplomarbeit saß, stellte ich einen weiteren Mitarbeiter ein, der für mich halbtags Projekte durchführten. Ein Weggefährte aus der Frühphase von SySS, Senior IT Security Consultant Micha Borrmann, arbeitet seit 2002 bis heute für mich. Geschäftlich lief es also schon in der Frühphase rund. Und auch meinen Abschluss zum Diplom-Informatiker habe ich erfolgreich erworben.

Die SySS ist heute Marktführer bei Penetrationstests. War dieses Feld auch schon in der Anfangsphase Ihr Schwerpunkt?

Das ist ein spannender Punkt in unserer Firmenentwicklung. SySS war schon immer eine Pentest Company. 1998 gab es aber noch kaum Nachfrage für Penetrationstests. Streng genommen gab es diese Form der Sicherheitsüberprüfung als geläufige Dienstleistung noch gar nicht. Wir waren also am Anfang noch nicht dazu in der Lage, unsere Auftragsbücher mit Penetrationstests zu füllen und haben in den zwei ersten Jahren auch Systemadministrator-Dienstleistungen angeboten. Später kamen Hacking-Schulungen dazu: Wir verfügten über spannendes Hackerwissen, das sprach sich herum. Doch anstatt Penetrationstests einzukaufen, schickten einige unserer Kunden ihre Mitarbeiter in diese Schulungen, um selbst Security-Know-how aufzubauen. Der Markt war noch nicht reif dafür, simulierte Cyberattacken abzunehmen. Aber er war gierig darauf, Hacken zu lernen und die Magie des Hackens vorgeführt und beigebracht zu bekommen.

In welchen Räumlichkeiten haben Sie damals gearbeitet?

Zunächst einmal lief das alles in meiner Privatwohnung in der Tübinger Weststadt ab. Dort gab es einen kleinen Raum mit 15 Quadratmetern, der als Büro diente. Wir gingen jedoch relativ bald auf die Suche nach neuen, größeren Räumlichkeiten: Zunächst ging es in ein Interimsquartier direkt an der Bundesstraße 28, die mitten durch Tübingen führt, nach Abschluss von Renovierungsarbeiten dann weiter in ein für unsere damaligen Verhältnisse riesiges Büro mit 140 Quadratmetern, ebenfalls in der Weststadt. Lang gereicht hat dies allerdings nicht. Schon bald darauf mieteten wir auch die Nachbarfläche dazu, verfügten dann über 240 Quadratmeter und sind trotzdem aus allen Nähten geplatzt. Damals waren wir zwölf Mitarbeiter.

Eine kleine Anekdote aus dieser Zeit fällt mit dabei ein: Von den zwei Büroeinheiten, die wir gemietet hatten, war die eine klimatisiert und die andere nicht. Bei SySS galt deshalb damals ein zweigeteilter Dresscode. Während also die Mitarbeiter im „heißen“ Büro in kurzen Hosen und barfuß zur Arbeit kamen, waren die anderen ganz normal Business Casual angezogen, weil wir es dort richtig runter klimatisiert haben.

An all diese räumlichen Stationen habe ich gute Erinnerungen. Ich habe dort gerne gearbeitet. Und es gab genug Möglichkeiten, in der Umgebung etwas zu Mittag zu essen, sei es nun chinesisch oder schwäbisch. Das war eine sehr schöne Zeit, aber irgendwann hat auch in unserem „Zwei-Klimazonen-Büro“ der Platz für die mittlerweile zwölf Mitarbeiter nicht mehr gereicht. Wir wollten zunächst etwas in Tübingen mieten, haben aber nichts Passendes gefunden und uns dann für einen Neubau entschieden, im sogenannten „Mühlenviertel“ im Tübinger Stadtteil Derendingen. Damals habe ich zu meinen Mitarbeitern gesagt „Das reicht mir bis zur Rente“. Doch da habe ich mich wohl – im für die SySS allerbesten Sinne – verkalkuliert. Vergangenes Jahr wurde die Immobilie im Mühlenviertel verkauft und wir sind im Juni in unsere ebenfalls vollständig neu gebaute Firmenzentrale gezogen, unweit der Tübinger Innenstadt etwas östlich direkt am Neckar gelegen. Hier ist Platz für rund 280 PENTEST EXPERTS. Bei derzeit rund 110 Mitarbeitern bleibt uns also noch einiger Raum zur weiteren Entwicklung. Zumal wir am neuen Standort über ein Grundstück von insgesamt 14.000 Quadratmetern verfügen, auf denen noch zwei weitere Gebäude ähnlicher Größe entstehen könnten.

Die SySS als Firma hat sich also rasant entwickelt in den vergangenen 20 Jahren. Gilt das auch für die Dienstleistung „Penetrationstest“?

Eine interessante Frage, auf die ich zwei vollständig verschiedene Antworten habe. Einerseits kann man mit einer gewissen Flughöhe sagen: Es hat sich gar nichts verändert. Genau wie vor 20 Jahren führen wir simulierte Hackerattacken durch. Da sind wir uns sehr treu geblieben und haben ein gewaltiges Gebirge an Erfahrung aufgetürmt. Da haben wir also Kontinuität und Konstanz.

Andererseits ist im Detail aber kein Stein auf dem anderen geblieben. Man muss sich einmal vor Augen halten: 1998, das war ja 9 Jahre bevor das erste iPhone auf den Markt kam. Damals gab es noch NetBIOS im Internet. Es war alles sehr heterogen, Webapplikationen waren die Seltenheit. Es gab viele Angriffe auf UNIX- und Network File Service (NFS)-Systeme, Portmapper, die im Internet freigegeben waren. Zu dieser Zeit waren also Perimetertests üblich, sinnvoll und sehr erfolgversprechend. Das hat sich heute verändert. Heute sind bei Tests aus dem Internet insbesondere Webapplikationen und Webservices sichtbar, früher war da praktisch das gesamte Sammelsurium an Diensten im Internet freigeschaltet.

Das heißt also: Einerseits hat sich extrem viel verändert. Andererseits ist die Definition des Begriffs Penetrationstest aber identisch geblieben ist. Wir hacken. Wir sind fasziniert davon, Systeme zu knacken. Das hat sich nicht geändert.

Der Anstoß zur Gründung von SySS war ja, wie Sie eingangs erwähnten, Ihr Testprojekt bei der IBM. Wie lange haben Sie selbst noch aktiv Penetrationstests durchgeführt?

Das ging überraschend schnell vorbei. In den ersten zwei Jahren war ich richtig gut, da war Hacken mein Leben. Da habe ich Hackertools geschrieben. Ich habe an Nessus herumprogrammiert und habe Veränderungen an Nmap durchgeführt, sodass die Arbeit auch geschmeidig läuft. Das ist dann aber schnell sehr stark zurückgegangen. Ich würde also sagen: Die ersten zwei Jahre war ich sehr gut, die nächsten zwei Jahre war ich erträglich, danach war ich – was ich jetzt immer noch bin – der schlechteste Hacker in meinem Team.

Nmap und Nessus wurden also auch damals schon für Sicherheitstests verwendet?

Ja, beide Tools sind so alt wie die SySS und gehören bis heute noch in den Werkzeugkasten jedes Penetrationstesters. 1999 habe ich selbst in der Nessus Attack Script Language (NASL) Skripte geschrieben, die für mich Tests durchführten, z. B. eine Suche nach offenen X11-Servern.

Als Geschäftsführer eines IT-Sicherheitsunternehmens haben Sie nun seit 20 Jahren mit den unterschiedlichsten Angriffsarten zu tun. Welcher Vorfall ist Ihnen davon besonders im Gedächtnis geblieben?

Da fällt mir spontan das Jahr 2000 und der I-love-you-Virus (auch: Loveletter) ein, von dem sehr viele Unternehmen weltweit betroffen waren. Es handelte sich um einen Virus im Word-Dokument, der sich blitzartig verbreitete und Netzwerke lahmgelegte. Gleichzeitig trug dieser Angriff dazu bei, das Thema

Hacking vermehrt in die allgemeine Presse zu bringen. Vor 2000 war über Hacking fast ausschließlich in der Fachpresse zu lesen. Und nun brachte sogar die Bildzeitung eine Titelgeschichte. Ein hochinteressante Verlagerung der öffentlichen Aufmerksamkeit. Ich habe mir diesen Bildzeitungsartikel damals ausgeschnitten und erinnere mich noch an ein Zitat: „Gierig frisst sich das Virus durch Computer und Festplatten“. Diesen Spruch fand ich bezeichnend, weil er zwar versucht, die von der Schadsoftware ausgehende Gefahr zu verdeutlichen, aber gleichzeitig auch ablenkt. In Wirklichkeit frisst ein Computervirus natürlich nichts und verhält sich auch nicht wie ein organisches Lebewesen. Wie dem auch sei, in den Massenmedien ist IT-Sicherheit seit diesem Jahr dauerhaft präsent. Und seit 2005 gilt dies auch für die SySS und meine Person. Für ein Spiegel-Interview zeigten wir damals einige Attacken live. In der Folgezeit und bis heute haben wir uns als fester Ansprechpartner für die Medien etabliert.

Sie haben vorhin gesagt, 1998 war der Markt noch nicht reif für Penetrationstests. Ab wann war diese Marktreife erreicht?

Spätestens 2002 war dieser Punkt erreicht. Wobei ich sagen würde: Eigentlich kann man hier nicht von einem „Punkt“ sprechen. Man liest heute ständig in den Medien Aussagen wie „Cyber liegt voll im Trend“. Diese Aussage ist einfach nur falsch. Die SySS weist seit 20 Jahren mehr oder minder konstante Wachstumsraten auf. Es gab nicht so etwas wie den „Snowden Boost“ oder etwas Ähnliches. Ich würde sagen, dass auch das Marktwachstum rund um das Thema „Cyber“ in den letzten 20 Jahren konstant war. Die SySS ist mit diesem Markt mitgewachsen.

Haben Sie in diesem Zusammenhang irgendwann eine Grundsatzentscheidung getroffen: „Wir nehmen diese Marktdynamik mit und wachsen, solang es geht“?

Nein, es gab da keinen Ruck, der durch mich ging. Für mich war das eher eine organische Entwicklung. Von Kundenseite kamen einfach immer mehr und mehr Anfragen. Und wir haben festgestellt, dass wir die Arbeit nicht mehr stemmen können. Also haben wir Leute eingestellt. Das war damals noch eher reaktiv. Heute haben wir natürlich eine systematische Personalplanung, bei der wir fragen, wo wir in drei oder fünf Jahren stehen wollen. Das ist alles viel strategischer geworden. Damals aber war das intuitiv: „Verdammt, wir packen es nicht, also stellen wir noch eine Halbtagskraft zusätzlich ein.“ Ein Stück weit haben wir heute noch die gleichen Überlegungen, aber letztlich strategischer und auf größerer Basis.

Und die klassische Abschlussfrage: Wo sehen Sie die Zukunft von SySS?

Es ist mir sehr wichtig, für Mitarbeiter und Kunden ein zuverlässiger Ansprechpartner zu sein: glaubwürdig, zuverlässig, durchschaubar. Bisher war es so, dass alle meine Wachstumsprognosen bombastisch übertroffen wurden. Wenn ich jetzt aber davon ausgehe, dass es mit 20 Prozent Wachstum pro Jahr prognostiziert auf fünf Jahre weitergeht, dann riecht das nach Größenwahn. Letztlich kann ich es nicht sagen. Ich muss die Firma so führen, dass ich in der Lage bin, dieses Wachstum mitzunehmen und zu verdauen. Ich muss die Firma aber auch so führen, dass, sollten wir ab heute keinerlei Wachstum mehr haben, meine Mitarbeiter trotzdem dauerhaft einen sicheren Arbeitsplatz haben. Das ist mein Job als Geschäftsführer der SySS. Und ich bin mir sehr sicher, dass mir das gelingen wird.


Termine

25.09.2018 - 27.09.2018
SySS-Schulung – Hack3: Angriffe gegen Windows-basierte Netzwerke
02.10.2018
SySS-Schulung – Secu4: IPv6-Security
16.10.2018 - 17.10.2018
SySS-Schulung – Hack6: Mobile Device Hacking
17.10.2018
SySS-Schulung – Secu5: IT-Recht und Datenschutz für IT-Verantwortliche