Startseite > Security > Im Channel Fuß gefasst

Interview mit Lywand

Im Channel Fuß gefasst

22. Mai 2024, 9:00 Uhr | Interview: Diana Künstler

connect professional im Interview mit Thomas Haak, CEO von Lywand. Das Unternehmen mit Sitz im österreichischen St. Pölten bietet eine Security-Audit-Plattform, mit der MSP vollautomatisierte und kontinuierliche Security Audits der IT-Infrastruktur ihrer Kunden durchführen können.

Security versus Usability? Dass das eine nicht auf Kosten des anderen gehen muss, demonstriert Lywand mit seiner automatisierten Security-Audit-Plattform für MSSPs. Nachdem man 2023 über 200 neue Partner dazugewonnen hat, forciert der Softwareentwickler nun den Marktausbau und Partnergewinn.

connect professional: Herr Haak, was macht Lywand genau?

Thomas Haak: Hinter dem Namen Lywand verbirgt sich weit mehr als nur ein Firmenname. „Lywand“ ist im Prinzip die höchste Auszeichnung, die Ihnen ein Wiener geben kann. Ein Schnitzel kann lywand sein, ein Bier oder der letzte Urlaub. Das bedeutet so viel wie das amerikanische „awesome“ – also genial, großartig – und steht auch für ein gewisses Lebensgefühl.

Gegründet wurde die Firma 2020 ursprünglich mit der Idee, dass wir für die immer näherkommenden Einschläge der Hacker bei den KMUs eine Plattform schaffen, die automatisiert Überprüfungen der Sicherheitslage durchführt. Das war früher in der Regel den Großkunden vorbehalten, da man sehr viel manuelle Arbeit und Know-how in diese Überprüfungen hat stecken müssen. Das schließt beispielsweise Penetration Tests und gezielte Social-Engineering-Angriffe als Auftrags-Angriffe ein.

2016 kam es dann mit dem Aufkommen von Ransomware zu einem massiven Umbruch in der Cybercrime-Szene. Seitdem gibt es Hacker-Gruppen und -Communities, die nicht mehr nur zielgerichtet angreifen. Cyberkriminelle kaufen sich letztlich Listen mit den am leichtesten anzugreifenden Zielen, Listen von IP-Adressen inklusive der Schwachstellen, und exekutieren dann per Knopfdruck automatisiert die Ransomware-Attacken.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

connect professional: … und somit rücken auch kleinere und mittlere Unternehmen in das Visier von Cyberangreifern.

Haak: Genau. Die Hacker greifen nicht nur die Großen an, sondern können auch viele Kleine erwischen. Die Frage ist nicht mehr, ob ich angegriffen werde, sondern wann. Und wenn ich meine tägliche Cyberhygiene nicht mache, also wenn ich mir als Unternehmen bildlich gesprochen „nicht die Zähne putze“, dann habe ich viele leicht anzugreifende Schwachstellen. Lywand konzentriert sich hier auf die kleinsten Unternehmen von einem bis 250 Mitarbeiter.

Da es für solch eine Aufgabe eine Armada an Cybersecurity-Experten bräuchte, um die Überprüfungen von den Unternehmen zu machen, entstand die Plattform von Lywand – hochskalierend und in der Lage, viele Security Audits parallel durchführen zu können, ohne dass man eine riesige Mannschaft von Cybersecurity-Experten einsetzen muss. Hier schließt sich im Prinzip die Lücke zu den IT-Dienstleistern, denn viele MSPs haben ja auch viele kleine Kunden. Oft sind es auch regionale IT-Dienstleister mit fünf bis 15 Mitarbeitern. Und die eine Person, die sich mit Security auskennt, ist nicht selten überfordert mit den Experten-Tools.

connect professional: Beziehen Sie sich auf die zunehmende Zahl an Regularien seitens der EU für die Cybersicherheit von Unternehmen?

Haak: Unter anderem. Das schließt zum Beispiel EU-Regelungen wie NIS-2¹, DORA oder CRA^₂ (Cyber Resilience Act) ein. Das ist nicht nur für die Dienstleister, sondern auch deren Kunden, mit viel Aufwand verbunden. Viele sind komplett überfordert.

Ein großes Problem ist auch das Budget, das man braucht, um sich zu schützen – um Ressourcen und entsprechendes Know-how aufzubauen. Wir reden da von hohen fünfstelligen Summen; bei kleinen Unternehmen vielleicht von 10.000 bis 20.000 Euro für einen Security Audit. Daher verlassen sich die kleinen Unternehmen hauptsächlich auf ihre IT-Dienstleister.

Mit Blick auf NIS-2 gibt es ja zudem eine Forderung, dass man eine immerwährende Schwachstellenüberprüfung realisiert. Das spielt uns natürlich in die Karten, vor allem in Hinblick auf die Unterstützung von kleinen und mittleren Unternehmen. So haben wir seit 2023 komplett auf das klassische MSSP-Modell umgestellt inklusive Consumption Report, also Pay-per-Use, und einer flexiblen Vertragslaufzeit. Wir sind überzeugt von unserem Produkt. Die Partner könnten einfach ihre Kunden reinhängen, einen Monat scannen und wieder raushängen. Die Churn Rate liegt unter 2 Prozent und wir sehen, dass unsere Partner und auch die Endkunden sehr zufrieden damit sind.

connect professional: Was tun Sie dabei genau?

Haak: Wir überprüfen letztendlich mit den gleichen Werkzeugen wie auch die Hacker die externe Sicherheitslage der kleineren Unternehmen. Auch haben wir einen Agenten geschrieben, der auf Endpoints und auf Server platziert wird. Damit überprüfen die MSPs die Härtung der Endgeräte und der Server der Unternehmen, wie zum Beispiel die Patch-Stände, die Versionsnummern und die Registry .

connect professional: Geht damit im weitesten Sinne auch eine Discovery einher, sodass man erst mal schaut, welche Geräte überhaupt im Unternehmen vorhanden sind?

Haak: Das haben wir uns auf die Fahne geschrieben, aber noch nicht umgesetzt. Denn wir haben festgestellt, dass die Hacker gerade bei den kleineren Unternehmen nicht über die Infrastruktur hereinkommen. Vielmehr versuchen sie über die Endpoints und über die User ihre Ransomware zu platzieren. Daher ist es aus unserer Sicht primär im ersten Schritt wichtig, dass man die Härtung der Geräte und der Systeme schafft. Mit Lywand lassen sich ungefähr 85 bis 90 Prozent der Schwachstellen automatisiert finden.

Wenn nun Partner von uns ein KRITIS-Unternehmen betreuen, nehmen sie Lywand als Basis, um die 85 bis 90 Prozent automatisiert zu bekommen. Und wenn dann das kleine Unternehmen bereit ist, noch einen 5-stelligen Betrag für einen manuellen Pentest draufzulegen, dann kommt man auch auf 98 Prozent. Das ist ein entscheidender Aspekt, denn ich hatte ja vorhin gesagt, die Hacker wollen keinen Widerstand. Sie wollen schnell rein und schnell wieder raus, um unkompliziert Geld zu machen – und das in einer hohen Multiplikation. Mit Lywand schaffe ich die Grundlage dafür, dass Unternehmen von der Liste der leicht anzugreifenden Ziele verschwinden.

Wir verhindern zwar nicht, dass jemand eindringt. Aber wir schaffen es – um in der Apfelbaum-Analogie zu sprechen –, dass wir bei unseren KMUs die Früchte so hochhängen, dass man sie nicht im Vorbeigehen pflücken kann.

Nebenbei bemerkt: Wir werfen jedes Jahr auch einen Blick auf die Top-5-Schwachstellen. Die Nummer eins ist immer Patch Management. Da hat der ganze Markt noch einen extrem hohen Nachholbedarf. Bei KRITIS-Unternehmen, die unter NIS-2 fallen, gibt es natürlich auch noch andere Black Spots. Einer ist zum Beispiel die Schatten-IT mit Blick auf das Netzwerk, die Topologie oder das Inventory.

connect professional: Was unterscheidet Lywands Lösung von anderen Experten-Tools?

Haak: Ein entscheidender Unterschied ist die Usability. Viele IT-Dienstleister arbeiten mit Expertenwerkzeugen, die so komplex sind, dass die Benutzerfreundlichkeit darunter leidet. Und wenn die Usability nicht gegeben ist, versucht man die Lösung auch gar nicht anzufassen, weil es zu viel Aufwand ist. Somit war es unser Anspruch, ein sehr komplexes Thema einfach darzustellen. Die Usability quasi so hochzuhalten, dass es den Leuten Spaß macht, damit zu arbeiten, weil der Aufwand eben sehr gering ist. Deshalb haben wir auch sehr viele Prozesse automatisiert.

connect professional: Welche Go-to-Market-Strategie verfolgt Lywand?

Haak: Wir gehen über den Channel rein, arbeiten also mit Distributoren, sogenannten MSSDs zusammen, die uns über ihre Marketplaces den Managed Security Service Providern anbieten. Über Marketplaces wollen wir letztendlich attraktiv werden für unsere Zielgruppe, die MSSPs.

2023 haben wir über 200 neue Partner dazugewonnen. Aktuell haben wir 525 Partner in Deutschland, Österreich und der Schweiz in unserer Plattform. Das Hauptinteresse kommt derzeit aus dem deutschen Markt, wo etwa 90 Prozent unserer Partner herkommen. Dieses Jahr expandieren wir zudem über den DACH-Markt hinaus. Unser Ziel ist es, einen klaren Scale-up zu machen.

connect professional: Wohin wollen Sie expandieren?

Haak: Wir haben eine größere Finanzierungsrunde abgeschlossen und werden uns hauptsächlich auf die Skalierung fokussieren: also noch mehr in Entwicklung und Vertrieb investieren. Und wenn wir in die einzelnen Länder reingehen, auch dort lokale Offices aufbauen. Wir streben hier kurzfristig UK, Benelux, Frankreich und Osteuropa an, langfristig die nordischen Länder. Wir haben aber auch schon einen Distributionspartner im südosteuropäischen Raum. Wir werden nicht überall gleichzeitig expandieren, aber wir haben mit der Infinigate einen strategischen Partner, der Pan-europäisch aufgestellt ist.

connect professional: Wie gestaltet sich die Lösung für die MSSPs?

Haak: Sie können sich über den Distributor die Lywand-Lösung auswählen, kriegen einen Testzugang und arbeiten dann mit unserem System in ihrer eigenen Infrastruktur. Wir bieten eine Multi-Tenant-Oberfläche, wo man ganz einfach Kunden einhängen und relativ schnell – quasi mit ein paar Mausklicks – mit der Überprüfung starten kann. Am Ende des Monats rechnen wir über die Distribution punktgenau für den Partner und alle Endkunden dementsprechend ab.Wenn der Partner den Kunden eingehängt und den Scan gestartet hat, dauert es im externen Bereich zwischen zwei und fünf Stunden. Im internen Bereich scannen wir jeden Tag im Schnitt zehn bis 15 Minuten den Endpoint, sammeln letztendlich in unserer go.lywand.com³ Plattform alle Daten und bereiten sie automatisch auf. Früher wurde das noch manuell gemacht: Also, wenn man gescannt hat, bekam man eine sehr lange Liste an Schwachstellen.

Dann musste man priorisieren, harmonisieren, kategorisieren und eigenes Know-how mit einbringen. Was ist jetzt wirklich wichtig? Auf was muss ich mich konzentrieren? Welche Maßnahmen muss ich umsetzen, um diese Schwachstellen zu schließen? Diesen gesamten Prozess haben wir automatisiert und der Partner bekommt für seinen Kunden ein komplett aufbereitetes Dashboard – vorbereitete Maßnahmen, die er planen kann. Und wir liefern eine Kommunikationshilfe, denn wir arbeiten an dieser Stelle mit der Analogie eines Hauses, um in einfachen Bildern zu vermitteln, dass beim Endkunden „die Haustür offensteht“ oder „die Fassade bröckelt“. Nachdem wir kategorisiert haben, werden diese Kategorien also hinter diese Analogie gelegt.

Wir informieren zudem proaktiv, wenn sich zum Beispiel eine Bewertung bei einem Kunden verschlechtert hat. Das heißt, der Partner muss nicht ständig in das System reingehen. Auch haben wir in dem Zuge Ticketing-Systeme angebunden.

connect professional: Die Haus-Analogie liefert sicherlich auch Ansätze für Gamification-Elemente oder?

Haak: Das ist durchaus ein Gedanke, den wir mit uns herumtragen. Wir haben die Gamification sicherlich noch nicht auf dem Niveau, wo wir sie haben wollen, aber wir spielen derzeit auch noch Szenarien durch: zum Beispiel, dass man Punkte bekommt, wenn man Maßnahmen schließt. Über Punkte erhält man dann vielleicht Lizenznachlässe oder zum Beipsiel ein T-Shirt aus dem kommenden Lywand-Merchandising-Shop (mit einem Augenzwinkern) .

connect professional: Welche Pläne verfolgt Lywand darüber hinaus?

Haak: Zum einen den Marktausbau und Partnergewinn, denn die Partner haben uns bisher über 3.000 Kunden gebracht. Allein in 2023 ein Zuwachs von 2.100 Kunden. Wir werden die Erfolgsgeschichte mit unserem Distributor der ersten Stunde, der Fokus MSP, kopieren und weiter vorantreiben. WIr haben mittlerweile fünf Distributoren und allein im letzten Jahr drei dazu genommen. Derzeit sind wir noch mit zwei Distributoren dabei, Marketplace-Verträge aufzusetzen. Über jeden Distributor kommen wir an viele neue MSPs; das ist also ganz klar unser Multiplikator. Ziel ist es, am Ende des Jahres circa 1.000 Partner in unserem System zu haben. Wenn man sieht, dass wir letztes Jahr an die 200 mit hineingebracht haben in Deutschland und in Österreich, ist das kein unrealistisches Ziel. Skeptiker, die daran zweifelten, dass wir im Channel Fuß fassen, haben wir damit widerlegt. Auch erhalten wir mittlerweile viele Partneranfragen über Mundpropaganda.

Worauf wir auch ein Augenmerk gelegt haben, ist das Onboarding der Partner. Viele Punkte wurden in der Customer Journey automatisiert. Das heißt, wir müssen nicht ein großes Vertriebsteam aufbauen, um zu wachsen, sondern können über diese Automatisierung und über die Distributoren und deren Marketplaces sehr schnell die Partner in unser System onboarden.

Wichtig ist uns auch die Optimierung unserer Plattform. Wir haben letztes Jahr extern an die 15.000 Scans durchgeführt, intern 5,9 Millionen. Das wollen wir mit dem Faktor 10 nach oben schrauben. Zudem haben wir jüngst die Sicherheitsbewertung mit einer KI erweitert. Hierbei geht es beispielsweise darum zu schauen, ob eine als hoch eingestufte Schwachstelle auch wirklich von den Hackern ausgenutzt wird. Also eine Art „Eintrittswahrscheinlichkeit“. Das gibt unseren Partnern die Möglichkeit, sich auf die Dinge zu fokussieren, die wirklich wichtig sind. Worauf wir auch hinarbeiten, ist die Integration von CIS in unsere Agenten und das Thema Cloud-Security/ Office 365. Das heißt nicht, dass wir in die Cloud-Infrastruktur reingehen und sie scannen. Aber wir werden die Herausforderungen, vor denen Endkunden stehen – die Transition von normalen Lizenzgeschäften und „normaler On-Premises“ hin zur fully Cloud-managed Umgebung – unterstützen.

connect professional: Vor welchen Herausforderungen stehen Ihre Partner, die MSSPs?

Haak: Das Hauptproblem ist das Thema Ressourcen. Das zweite ist, dass sich sehr viele IT-Dienstleister neu erfinden müssen – weg vom klassischen Lizenzgeschäft der letzten 20 Jahre hin zum Managed Service Provider, mit einem hohen Augenmerk auf Automation und Skalierung. Klassisches Projektgeschäft wird es sicherlich weiterhin geben, aber eben nur am Rande. Es entwickelt sich alles Richtung MSP/MSSP und da brauchen die Partner Beratung, denn damit einhergehend muss beispielsweise auch eine Vertriebsstrategie angepasst werden.

Zudem schwebt NIS-2 wie ein Damoklesschwert über allem. Die Hauptproblematik ist hier, dass in den Gremien viele Punkte noch nicht wirklich klar definiert sind.

Wo ich eine sehr positive Entwicklung im Channel und auch unter unseren Partnern sehe, sind sogenannten Synergieverbunde. Wir haben beispielsweise einen Partner, der einen informellen Verbund von am Anfang drei IT-Dienstleistern gegründet hat. Inzwischen haben sich 27 Partner angeschlossen. Auch wir arbeiten mit einem sehr großen Verbund zusammen: der Synaxon. Ich finde, das ist eine sehr positive Entwicklung. Es spiegelt wider, dass alle die gleichen Probleme haben und dass es vielleicht zu wenig Beratung gibt in die Richtung. Deswegen fangen die Leute an, sich selbst zu helfen.

^{1 https://digital-strategy.ec.europa.eu/de/policies/nis2-directive

2 https://digital-strategy.ec.europa.eu/de/policies/cyber-resilience-act

3 https://go.lywand.com/}