Fünf Jahre Comcrypto: „Wir sind kein ‚Garagen-Startup‘ mehr“
Das Chemnitzer Startup Comcrypto sorgt dafür, dass E-Mails sicher verschlüsselt werden. Jetzt hat es Geburtstag gefeiert. Founderella hat dies zum Anlass genommen, um Geschäftsführer Georg Nestmann zu interviewen. Im Gespräch berichtet er, wie ein externer Auftrag den entscheidenden Impuls für das eigene Produkt lieferte und warum Quantencomputer für die Industrie gefährlich werden könnten.
Herr Nestmann, Comcrypto hat vor Kurzem seinen fünften Geburtstag gefeiert. Sind sie jetzt überhaupt noch ein Startup?
Georg Nestmann: Das ist eine spannende Frage. Grundsätzlich fühlen wir uns schon länger nicht mehr als Startup. Wir haben bereits vor zwei, drei Jahren gemerkt, dass gerade im Sicherheitsbereich „Garagenfirmen“ nicht gefragt sind. Stattdessen ist es wichtig, dass man 24 Stunden am Tag einen reibungslosen IT-Betrieb hinbekommt und für die Kunden ein verlässlicher Partner ist.
Aus welchen Branchen kommen Ihre Kunden überwiegend?
Unsere Kernkundengruppen sind derzeit Finanzunternehmen, Berufsgeheimnisträger (z.B. Steuerberater, Rechtsanwälte – Anm.d.Red.), die Wohnungswirtschaft und die Gesundheitsbranche. Dort wird uns im Besonderen bewusst, dass wir kein „Garagen-Startup“ mehr sind.
Wir haben beispielsweise Krankenhäuser oder den Verein für Knochenmark- und Stammzellspenden e.V. als Kunde. Da ist es besonders entscheidend, dass alles problemlos läuft. Eine Mail, die durch eine technische Verzögerung drei Stunden später ankommt, könnte im schlimmsten Fall zu gravierenden, wenn nicht gar lebensbedrohlichen Schwierigkeiten führen. Das darf einfach nicht passieren.
Was hat sich in den fünf Jahren bei Comcrypto verändert?
Fünf Jahre sind natürlich für eine junge Firma eine lange Zeit und Vieles hat sich ganz grundlegend verändert. Als wir die GmbH eingetragen haben, waren wir anfangs vier Gründer und eine studentische Hilfskraft. Mittlerweile ist eine echte Firma mit 20 Mitarbeitern herangewachsen. Das ist schon eine andere Hausnummer. Da reicht es zum Beispiel nicht mehr, Dinge einfach über den Flur zu rufen.
Stattdessen haben wir Prozesse und klare Zuständigkeiten etabliert, beispielsweise mit Blick auf die Bereitstellung und Inbetriebnahme der Software. Und natürlich wächst auch die Verantwortung, die man gegenüber den Mitarbeitern hat.
Kommen wir zu Ihrem Produkt – der Software für sichere E-Mails. Welche Entwicklungsschritte gab es dort?
Unser Prototyp war am Anfang ein eigener E-Mail-Client mit dem Ziel, maximale Sicherheit zu erreichen. Damals haben wir aber gemerkt: So geht es nicht. Höchstmögliche Sicherheit ist in der Breite für die Unternehmen gar nicht entscheidend. Stattdessen sollte im Fokus stehen, so einfach und praktikabel wie möglich, die geforderte Sicherheit bereitzustellen, ohne sie unnötig auf Kosten des Nutzerkomforts zu überschreiten.
Dies erfüllt heute unser Gateway comcrypto MXG. Natürlich haben wir in den ersten Jahren neben unserer eigenen Produktentwicklung auch externe Aufträge angenommen. Das war nicht nur gut, um Geld zu verdienen, sondern hat uns auch mit Blick auf unser Produkt weitergebracht.
Inwiefern?
Wir haben bei den Mails am Anfang ausschließlich auf die Verschlüsselung des E-Mail-Inhalts gesetzt. Durch die Anfrage eines Kunden haben wir uns dann auch mit der Transportverschlüsselung beschäftigt – insbesondere mit der Frage, unter welchen Umständen auch sie eine ausreichende Sicherheit gewährleisten kann.
Ende 2018 ging dadurch der Vorläufer unseres heutigen Gateways produktiv. Das war ein wichtiger Impuls, weil wir unserer Zeit damit voraus waren. 2020 kam dann gewissermaßen die Bestätigung, als sich auch die deutschen Datenschutzaufsichtsbehörden höchst offiziell für diese „qualifizierte“ Transportverschlüsselung aussprachen.
Immer, wenn diese bestmögliche Transportverschlüsselung verfügbar ist – und das ist glücklicherweise der Regelfall, kann also auch ohne eine aufwändige Inhaltsverschlüsselung eine ausreichend sichere Übertragung stattfinden. Heute nennen wir dieses Prinzip „adaptive Verschlüsselung“.
Welchen Unterschied hat das im Kontakt mit potenziellen Kunden gemacht?
Es gab ab Mai 2020 endlich eine offizielle Auffassung, auf die wir verweisen konnten. Vorher galt seit 2018 zwar die Datenschutz Grundverordnung (DSGVO). Welche konkreten Auswirkungen sie auf das Feld E-Mail-Übertragung hat, wurde aber sehr kontrovers diskutiert. Das hat sich danach geändert und dadurch natürlich den Vertrieb erleichtert.
Zudem haben wir gemerkt, dass sich in Branchen mit starken Berufskammern, wie zum Beispiel bei Anwälten und Steuerberatern, auch die Grundsatzüberlegung pro starke Transportverschlüsselung durchsetzt, während die Inhaltsverschlüsselung nur im Ausnahmefall notwendig ist. Dafür haben wir dann natürlich das perfekte Tool.
Was waren die wichtigsten Herausforderungen, die sie als Firma in den vergangenen fünf Jahren bewältigen mussten?
Das lässt sich recht einfach sagen: Wir sind als starkes Technikteam gestartet, mussten uns aber sehr viele Gedanken machen, wie wir unser Produkt gut und vor allem einfach erklären. Dazu eine funktionierende Vertriebsstruktur aufzubauen und die entsprechenden Prozesse im Vertrieb zu etablieren, war sicherlich eine der großen Herausforderungen, die wir bewältigt haben.
Kommen wir zum Ausblick. Wie sieht Ihre Vision für die Zukunft aus?
Unsere Software ist jetzt in circa 200 Unternehmen in Deutschland, Österreich und der Schweiz im Einsatz, der resultierende E-Mail-Austausch ist mittlerweile global, sowohl nach Asien als auch in Richtung USA. Und es gibt weiterhin ein großes Potential. Daher ist die Zielstellung ganz klar: Wir wollen ein Standardanbieter für sichere E-Mail-Übertragung werden. Gerade im Bereich der E-Mail-Übertragung mit externen Kommunikationspartnern gibt es für Unternehmen und Behörden weiterhin einen großen Bedarf an einfachen Lösungen.
Haben Sie dabei auch neue Anwendungsfälle im Blick?
Auf jeden Fall. Beispielsweise haben automatisierte Mails bisher nur Postkartenniveau, etwa von Banken oder Versicherungen. Möchte man mehr wissen, muss man sich erst einloggen. Dort könnte unser Ansatz eine zentrale Rolle spielen, den Nutzerkomfort ohne Sicherheitseinbußen zu erhöhen.
Ein weiteres Zukunftsfeld ist die sogenannte Post-Quanten-Kryptographie, also Algorithmen, die auch gegen Quantencomputer sicher verschlüsseln können. Diese könnten nämlich die aktuelle Kryptographie aushebeln. Für die Industrie ist das ein großes Risiko. Neue Verschlüsselungsverfahren sind daher gefragt.
Gibt es neben den Finanz- und Gesundheitsunternehmen sowie den freien Berufen Kunden aus weiteren Bereichen, die sich für Ihr Produkt interessieren?
Ja, natürlich. Mittlerweile ist unser Tool auch über die vorhin genannten Kernbranchen hinaus im Einsatz. Besonders stolz sind wir unter anderem auf unsere Zusammenarbeit mit der Münchner Sicherheitskonferenz oder auch mit einigen bekannten Industrie-Kunden wie Bruno Banani. Denn das sind Kunden mit globaler Strahlkraft.
Kurzbiografie:
Georg Nestmann (33) ist studierter Diplom-Technomathematiker und beschäftigt sich seit über zehn Jahren mit dem Bereich der Kryptografie in der Online-Kommunikation. Er ist Mitgründer und Geschäftsführer der am 5. Januar 2017 gegründeten comcrypto GmbH. Im Bundesverband IT-Sicherheit e.V. (TeleTrusT) engagiert er sich als Mitglied des Arbeitskreises „Stand der Technik“. Georg Nestmann war am Review-Prozess der IRTF (Internet Research Task Force) zum RFC „Elliptic Curves for Security“ beteiligt, in dem neue kryptografische Basis-Routinen spezifiziert wurden, die unter anderem in TLS 1.3 verwendet werden.
Transportverschlüsselung:
Die Transportverschlüsselung ist für gewöhnlich aus dem Browser bekannt. Dort werden, zum Beispiel beim Online-Banking, Daten nur durch einen sicheren und geprüften Transportkanal übertragen. Bei der E-Mail-Übertragung kommt die Transportverschlüsselung als System-zu-System-Verschlüsselung ebenso zum Einsatz, wird aber bei der Übertragung von Server zu Server meist ohne die notwendigen Sicherheitsprüfungen eingesetzt („opportunistische“ Transportverschlüsselung) und gilt daher als unsicher. Als Varianten mit erhöhter Sicherheit sind die obligatorische oder die qualifizierte Transportverschlüsselung möglich, bedingen aber Konfigurationen an den E-Mail-Systemen des Absenders.
Inhaltsverschlüsselung:
Inhaltsverschlüsselungen verfolgen den Ansatz, unabhängig vom Transportkanal eine sichere E-Mail-Übertragung zu gewährleisten, indem der E-Mail-Inhalt selbst beim Absender verschlüsselt und erst beim Empfänger wieder entschlüsselt wird. Dies ist sehr sicher, scheitert in der Praxis aber oft am Aufwand und an mangelnder Kompatibilität zwischen den Systemen von Absender und Empfänger.
Adaptive Verschlüsselung:
Comcrypto bezeichnet mit „adaptive Verschlüsselung“ die Verknüpfung von Transport- und Inhaltsverschlüsselung und deren automatisierte Anwendung. Angepasst an den jeweiligen Sicherheitsbedarf werden E-Mails stets mit derjenigen Technologie verschlüsselt, die ein angemessenes Schutzniveau sicherstellt und beim Empfänger auch verfügbar ist. So entsteht erstmals ein einfacher und automatisierbarer Prozess für die sichere E-Mail-Übertragung, der nur im Ausnahmefall mit manuellem Aufwand (z.B. einer Passworteingabe durch den Empfänger) verbunden ist.