Startseite > Security > Kalweit ITS nimmt den Mittelstand ins Visier

Spezialist für Penetrationstests

Kalweit ITS nimmt den Mittelstand ins Visier

5. Juni 2025, 10:30 Uhr | Diana Künstler

Philipp Kalweit, CEO von Kalweit ITS: „Für das größte Geschäftsrisiko unserer Zeit – nämlich Cyberangriffe – gibt es in vielen Unternehmen keinen Verantwortlichen. Das ist absurd.“

Mit nur 24 Jahren zählt Philipp Kalweit zu den bemerkenswertesten Köpfen der deutschen IT-Sicherheitsbranche. Mit seinem Unternehmen Kalweit ITS positioniert er sich als hochspezialisierter Boutique-Dienstleister – und will jetzt den Mittelstand stärken.

Philipp Kalweit ist ein unkonventioneller Unternehmer. Schon mit 16 Jahren erwirkte er vor Gericht seine volle Geschäftsfähigkeit, mit 17 gründete er die heutige Kalweit ITS GmbH (Eigenschreibweise KALWEIT ITS). Heute leitet er ein Team hochspezialisierter Sicherheitsexpert:innen, das Unternehmen jeder Größenordnung bei der Abwehr von Cyberbedrohungen unterstützt. Der Weg dorthin war autodidaktisch geprägt – und von außergewöhnlicher Leidenschaft für IT-Sicherheit. „Ich habe mit zwölf, dreizehn Jahren angefangen zu programmieren und bin mit 13 allein zum Hackathon nach Berlin gefahren“, erzählt Kalweit im Gespräch mit connect professional. Die ersten Aufträge kamen von Bundesbehörden und kleinen Agenturen, heute betreut sein Unternehmen DAX-Konzerne, Banken, Energieversorger und Krankenkassen.

Dass er nie ein Informatikstudium abgeschlossen hat, sieht Kalweit nicht als Makel, sondern als Beweis für seine praktische Tiefe: „Ich habe alles autodidaktisch gelernt – aus Büchern, Foren, Capture-the-Flag-Trainings und echten Kundenprojekten.“ Was ihn auszeichnet, sei keine akademische Titelliste, sondern eine Kombination aus Neugier, methodischem Denken und Respekt vor der Komplexität moderner IT-Systeme: „Ich sehe mich nicht als genialen Hacker oder perfekten Geschäftsführer. Aber ich kann extrem gut zuhören – und lerne in jedem Projekt dazu.“ Diese Lernhaltung prägt auch seinen Führungsstil. Kalweit ist zwar Gründer und CEO, doch viele klassische Führungsaufgaben – Personalverantwortung, operative Steuerung – hat er bewusst abgegeben. „Ich bin mir meiner Grenzen bewusst. Für manche Themen gibt es bessere Leute als mich. Was ich beitragen kann, ist fachliche Tiefe, methodisches Denken und der Wille, neue Perspektiven einzubringen.“ Die Consultants von Kalweit ITS haben anerkannte Zertifizierungen und zumeist ein Studium der IT-Sicherheit oder Informatik. Philipp Kalweit ist der einzige ohne akademischen Bildungsgrad oder abgeschlossene Berufsausbildung.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Spezialisiert statt generalistisch

In einem Markt, in dem viele Anbieter alles gleichzeitig anbieten – von Security-Audits über Software-Reselling bis zu Compliance-Beratung – verfolgt Kalweit ITS einen kompromisslosen Spezialansatz: Man versteht sich nicht als klassischer IT-Dienstleister, sondern als unabhängiger Prüfer mit klarer Fokussierung auf Penetrationstests. Der größte Teil des Umsatzes, rund 75 Prozent, entsteht aus Sicherheitsüberprüfungen, die aus der Perspektive realer Angreifer gedacht sind. Der Rest verteilt sich auf Vorträge, Beratung und Workshops. Kein Produktvertrieb, keine Lizenzmodelle, keine Tools von der Stange. „Viele Tests, die heute als Penetrationstest verkauft werden, sind in Wahrheit automatisierte Schwachstellenscans“, erklärt Kalweit. „Wir machen das nicht. Unsere Prüfungen sind manuell, strukturiert, revisionssicher dokumentiert und umfassen oft über 60 Seiten. Es gibt keinen Shortcut.“ Und: „Wir denken wie Angreifer – weil wir selbst Angriffe simulieren. Das erlaubt uns, reale Schwachstellen aufzudecken, nicht nur regulatorisch abgesicherte“, so Kalweit. Sein Unternehmen grenze sich damit bewusst von großen Beratungen ab, die zwar Breite bieten, aber oft an Tiefe vermissen lassen. Auch das klassische Lizenz- oder Hardwaregeschäft lehnt Kalweit ab – aus Überzeugung.

Der Verzicht auf Skaleneffekte ist Programm. Kalweit setzt auf ein kleines, aber extrem spezialisiertes knapp 15-köpfiges Team. „Wir bieten ein Umfeld, in dem fachliche Exzellenz zählt und echte Weiterentwicklung möglich ist“, ergänzt er. Dabei durchläuft ein Großteil des Teams eine interne Laufbahn: vom Werkstudenten zum Senior Consultant. Akademische Titel sind bei Kalweit nicht entscheidend – wohl aber Substanz, Praxisnähe und eine Leidenschaft für das Thema. Seine Teams arbeiten nach anerkannten Standards wie dem Durchführungskonzept für Penetrationstests des BSI oder dem OWASP Testing Guide, führen alle Prüfungen inhouse – nur durch Festangestellte, ohne Freelancer – durch und verzichten auf White-Labeling. „Wir übernehmen nur Aufträge, bei denen wir selbst auch die Verantwortung für Qualität und Ergebnis tragen können.“ Diese Konsequenz hat ihren Preis: Kalweit ITS ist nur begrenzt skalierbar, der Vertrieb selektiv. Aber sie hat auch eine enorme Wirkung. „Wenn wir sagen: Das ist fundiert geprüft, dann ist das belastbar. Unsere Kunden wissen: Es steckt echte Expertise dahinter, kein automatisiertes Prüfskript.“ Kalweit beschreibt sein Unternehmen als „Boutique“, nicht als Beratungsfabrik. „Unsere Kunden merken sehr schnell, ob wir nur Standards abhaken oder wirklich verstehen, wie ein Angreifer vorgeht.“

Der Mittelstand als kritische Angriffsfläche

Nach Jahren im Konzernumfeld wendet sich Kalweit ITS nun verstärkt dem Mittelstand zu. Für den jungen Unternehmer ein überfälliger Schritt, denn: „99 Prozent der umsatzsteuerpflichtigen Unternehmen in Deutschland sind KMUs – und deren Sicherheitslage ist oft erschreckend schlecht.“ Tatsächlich gibt es in der Praxis ein hohes Maß an Unsicherheit und eine gefährliche Überschätzung der eigenen Schutzmechanismen. „Viele Geschäftsführer verlassen sich auf ihr Bauchgefühl oder auf den Systemadministrator. Dabei fehlen oft das Wissen und die Ressourcen, um modernen Angriffen standzuhalten.“ Besonders dramatisch sei die Lage angesichts gezielter Angriffe durch Gruppen wie „REvil“, vor denen sich selbst große Konzerne kaum schützen können. Kalweit warnt: „Wenn die halbe Branche bereits attackiert wurde, ist es keine Frage ob, sondern wann es einen selbst trifft.“ Zudem könne grobe Fahrlässigkeit bei unzureichender IT-Sicherheit zur Durchgriffshaftung für GmbH-Geschäftsführer führen. Etwa dann, wenn keine angemessenen Schutzmaßnahmen nachgewiesen werden können. Diese rechtliche Komponente sei vielen nicht bewusst, so Kalweit. Dabei lasse sich mit vergleichsweise geringen Investitionen bereits viel erreichen: „Es geht nicht darum, dass jeder Mittelständler Standards aus der Bankenwelt übernehmen muss. Aber wer überhaupt kein Risikobewusstsein hat, handelt fahrlässig und gefährdet nicht nur das Unternehmen, sondern auch sich selbst.“

Kalweit ITS verfolgt deshalb einen Ansatz der angemessenen Sicherheit. Was das heißt? „Nicht jeder braucht Bankenstandards. Aber jeder braucht nachvollziehbare, umsetzbare Schutzmaßnahmen, die zur Unternehmensgröße passen.“ Die Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) – wie etwa zum IT-Grundschutz – oder auch die VdS 10000 für kleinere Betrieben dienen Kalweit dabei als Grundlage. Entscheidend sei, dass Maßnahmen nicht nur technisch sinnvoll, sondern auch wirtschaftlich vertretbar und praktikabel seien. „IT-Sicherheit muss sich anfühlen wie Flugsicherheit: transparent, nachvollziehbar, störungsarm – aber unverhandelbar.“ Kalweit nutzt das Beispiel bewusst: Flugzeuge sind tonnenschwere Maschinen, die unter Extrembedingungen operieren. Und dennoch gehören sie zu den sichersten Verkehrsmitteln der Welt. Warum? Weil Sicherheit nicht optional ist, sondern integraler Bestandteil des Systems.

Security-Mindset muss sich ändern

Was Kalweit von vielen jungen Gründern unterscheidet, ist sein Fokus auf fachliche Tiefe statt medialer Inszenierung. „In unserer Branche funktioniert gutes Storytelling nur kurzfristig. Langfristig zählt allein, ob man wirklich etwas kann“, ist Philipp Kalweit überzeugt. Diese Haltung hat sich bewährt: Kalweit ITS arbeitet für einige der größten deutschen Unternehmen und verantwortet umfassende, sicherheitsrelevante Prüfungen. Dabei ist sich der Gründer seiner Rolle bewusst und bleibt dennoch auf dem Boden: „Ich bin nicht der Klügste im Raum, aber ich lerne unglaublich gerne von anderen. Das ist wahrscheinlich mein größtes Kapital.“

Angesichts der wachsenden Bedrohungslage – insbesondere für den Mittelstand – versteht Kalweit seine Arbeit auch als Aufklärungsarbeit. „Die IT-Sicherheitslage in KMUs ist besorgniserregend, das sagt auch das BSI. Aber in den Nachrichten kommen die Angriffe nicht vor. Deshalb fehlt das Problembewusstsein.“ Der 24-Jährige plädiert für ein neues Sicherheitsverständnis: IT-Sicherheit solle als Enabler gesehen werden, nicht als Hemmschuh. „Wie beim Fliegen: Nur durch hohe Sicherheitsstandards wird ein grundsätzlich unsicheres System überhaupt beherrschbar – und damit erst möglich.“