Sie können eine Software manipulieren und Schutzmechanismus umgehen: Hacker werden zu einem immer grösseren Problem für Unternehmen. Philipp Brügger zeigt mit seinem Startup Hacky jedoch, dass die Fähigkeiten auch anders genutzt werden können.
Das Toggenburger Startup Hacky, gegründet von den Obertoggenburgern Manuel Lusti und Philipp Brügger (Hauptbild), hat beim Incubator-Programm Launchcontrol an den «Startup Nights» in Winterthur einen Platz im Final der Pitch-Competition gewonnen. Mit ihrer Idee haben sie eine Jury aus Investoren und Unternehmer überzeugt und wurden als beste Newcomer in der Kategorie «Idee» ausgezeichnet. Die «Startup Nights» gelten als grösste und wichtigste Veranstaltung für neue und innovative Startups in der Schweiz.
Manuel Lusti, ehemaliger Mitarbeiter des Marketing-Teams der Sunrise und Co-Gründer von Hacky, bringt seine Erfahrung als Mediamatiker und sein aktuelles Studium im Bereich Interaction Design in das Unternehmen ein. Philipp Brügger, ebenfalls Co-Gründer, diejenige aus einem Zürcher Startup und die Ausbildung als Applikationsentwickler.
Die beiden Obertoggenburger arbeiten Vollzeit in ihrer gemeinsamen Webagentur, die Codia GmbH, und studieren nebenbei. Brügger studiert Wirtschaftsinformatik.
Philipp Brügger, die Idee für Ihr Startup wurde geboren, als Sie in einem Schulungsdossier unabsichtlich ein Passwort der FDP Schweiz entdeckt haben. Können Sie uns mehr darüber verraten?
Einige Zeit, nachdem ich das Passwort für die Webseite der FDP Schweiz gefunden hatte, kam mir der Gedanke, dass ich bestimmt nicht der Einzige bin, der so etwas erlebt. Vielleicht könnte daraus auch ein Vorteil für die Firma entstehen.
Wie meinen Sie das?
Beispielsweise, indem man eine Belohnung anbietet, wenn ein solcher Fund gemeldet wird – anstatt ihn für andere Zwecke zu missbrauchen.
Aus diesem Gedanken entstand die Idee für Hacky. Wie ging es weiter?
Eine Herausforderung war, dass kleinere Firmen meist nicht selbst grosse Belohnungen auszahlen möchten oder können. Dazu kommt das fehlende Wissen, wie man eine solche Lücke einstufen soll, und ob es wirklich eine Lücke ist. Deshalb kommen bei Hacky die Einnahmen der Abonnemente aller Firmen in einen gemeinsamen Topf. Aus diesem werden dann die Belohnungen ausgeschüttet.
Mit welchen Vorteilen?
Die Belohnungen fallen dadurch viel höher aus, als wenn die Firma allein dafür verantwortlich wäre. Ebenfalls übernehmen wir alles Komplexe und klassifizieren die Lücken. Alles zusammen leiten wir an die Unternehmen in einer angenehmen und verständlichen Weise weiter.
Hacker sind für wohl fast alle von uns negativ behaftet. Sie wollen mit Ihrer Plattform aber eine Brücke zwischen Unternehmern und Hacker:innen schlagen. Weshalb?
Es gibt unzählige Hacker und Hackerinnen, die nichts Böses im Schilde führen und Firmen einfach helfen möchten. Und wenn sie dafür auch noch eine Belohnung erhalten, umso besser! Dass das Image von Hackern noch manchmal negativ belastet ist, hängt sicherlich damit zusammen, dass man meist nur Schlechtes über sie hört, beispielsweise, wenn wieder eine Firma von Cyberkriminellen gehackt wurde. Das zuvor bereits zehnmal ein netter Hacker oder eine Hackerin eine Lücke gemeldet hat, wird oft nicht kommuniziert. Die Idee hingegen, Hacker:innen die IT testen zu lassen, ist nicht neu.
Wo wird das bereits angewendet?
Banken beispielsweise sind beim Veröffentlichen von neuer Software verpflichtet, diese auch von Hackern testen zu lassen.
Wie kommen Sie an die Hacker heran?
Dadurch, dass wir viele tolle Vorteile für Hacker haben, kommen diese schon fast von allein auf uns zu.
Hacky ist einzigartig, weil nicht die Firma die Hacker bezahlt, sondern Hacky, wie Sie bereits erklärt haben. Weshalb ist dieser Unterschied so wichtig?
Zum einen hat das Unternehmen den grossen Vorteil, dass es genau weiss, wie hoch die Ausgaben sein werden, da es ein fixes Abonnement besitzt. Bei herkömmlichen Bug-Bounty-Programmen – bei denen Belohnungen für gemeldete Sicherheitslücken ausbezahlt werden – bezahlen die Firmen die Belohnung selbst. Je nachdem, wie viele Lücken gemeldet werden, kann dies sehr schnell sehr teuer für die Firmen werden. Oder wenn die Firma einen IT-Dienstleister hat, fällt die Frage und unangenehme Diskussion weg, wer für die Sicherheitslücke bezahlen sollte. Die Firma selbst, weil die Lücke bei ihnen war, oder der IT-Dienstleister, weil er die Systeme zur Verfügung stellt? So zahlt einfach Hacky, und man kann sich auf relevantere Themen wie das Beheben der Lücke fokussieren.
Die Unternehmen sind aber nur eine Seite der Medaille.
Genau. Auch für die Hacker:innen gibt es einen sehr wichtigen Aspekt. Firmen möchten so wenig Geld wie möglich ausgeben. Deshalb untertreiben sie gerne bei der Einstufung. Bei uns liegt das Geld so oder so im Pool. Wir haben also keinen Vorteil davon, wenn die Lücke falsch oder schlechter eingestuft wird. Hacker erhalten immer eine faire Belohnung, ohne ewig lange Diskussionen.
Kann es auch zu Herausforderungen führen, die beiden Seiten zusammenzubringen?
Ja. Wir haben als Plattform zwei verschiedene Anspruchsgruppen. Zum einen unsere Kundschaft und natürlich die Hackerinnen und Hacker. Es ist eine ziemliche Herausforderung, die Bedürfnisse aller abzuholen und sie auch so in die Plattform zu integrieren, dass sie nicht miteinander in Konflikt stehen. Wir sind jedoch sehr zuversichtlich, dass wir da eine optimale Plattform für beide bieten können. Wir sind stetig mit beiden Anspruchsgruppen in Kontakt und lassen deren Inputs immer in die Entwicklung einfliessen.
Wo stehen Sie derzeit?
Wir stecken aktuell mitten in der Entwicklung unseres Prototyps. Diesen werden wir im April fertig haben, um ihn mit ersten Kund:innen und Hacker:innen testen zu können. Aus diesen wichtigen Erkenntnissen können wir dann ableiten, was die nächsten Schritte sein werden.
Bildlegende: Die beiden Gründer Manuel Lusti und Philipp Brügger (rechts) freuen sich über den ersten Platz. (Bild: PD)
Manuela Bruhin (*1984) aus Waldkirch ist Redaktorin von «Die Ostschweiz».
Hier klicken, um die Mobile App von «Die Ostschweiz» zu installieren.