Interview Ein Nährwert-Etikett für Software
Abhishek Shah aus New York will Software-Sicherheit messbar machen. Der Entrepreneurship Explorer Ruhr hat ihn auf dem Weg zum eigenen Start-up vorbereitet.
Normalerweise forscht Abhishek Shah in den Laboren für IT-Sicherheit, Computerarchitektur und Kryptographie an der Columbia University in New York. Mit seiner Gründungsidee konnte sich der Doktorand die Teilnahme am Fortbildungsprogramm Entrepreneurship Explorer Ruhr 2023 (EER) von WORLDFACTORY International und dem Inkubator Cube 5 sichern und erste Start-up-Luft schnuppern. Im Interview berichtet Abhishek Shah, was hinter seiner Idee steckt, wie er seine Zeit hier erlebt hat, und warum sich Bochum nicht hinter New York zu verstecken braucht.
Jedes Jahr lädt der Entrepreneurship Explorer Ruhr internationale Nachwuchsforschende und junge Start-ups ins Ruhrgebiet ein, um sie für die Gründung fit zu machen. In diesem Jahr standen Gründungsvorhaben im Bereich Cyber-Security im Fokus.
Herr Shah, wie sah Ihr Weg zur Gründungsidee aus?
Ich habe an der Columbia University in New York Cyber-Security im Bachelor und Master studiert und mich dem Thema aus unterschiedlichen Perspektiven befasst. Anfangs sah ich meine Hauptaufgabe in der Beratung. Ich habe versucht, die auf dem Markt vorhandenen Sicherheitstools anzuwenden und bei verschiedenen Kunden und Auftraggebern einzusetzen. Diese Tools erwiesen sich jedoch als unzureichend, weshalb ich begonnen habe, selbst neue Tools zu entwickeln. Diese basierten aber auf bestehenden Forschungen, die wiederum eigene Grenzen aufwiesen. Also habe ich mich dazu entschieden, selbst neue Ideen zu entwickeln, um diese Grenzen zu verschieben.
Cybersecurity hat ganz reale Auswirkungen auf unser Leben. Wir sehen, wie Nationalstaaten Einzelpersonen ins Visier nehmen und ausspionieren.
Was begeistert Sie an Ihrer Arbeit im Bereich Cyber-Security?
Ich denke, Relevanz und Geschwindigkeit sind für mich die entscheidenden Aspekte. Cybersecurity hat ganz reale Auswirkungen auf unser Leben. Wir sehen, wie Nationalstaaten Einzelpersonen ins Visier nehmen und ausspionieren, wie Kriegsoperationen gestört werden und kritische Infrastrukturen, darunter Stromnetze, angreifbar werden. Ich arbeite vor allem im Bereich Softwaresicherheit. Das Schöne an der Softwaresicherheit ist, dass sie sich im Gegensatz zur Hardware schnell weiterentwickelt. Hardware braucht von der Idee über die Produktion bis hin zur realen Anwendung Monate oder Jahre; bei Software geht das alles schneller. Ich habe erlebt, wie aus einer Forschungsidee innerhalb weniger Wochen ein Code entwickelt wurde, mit dem jetzt jeder arbeiten kann.
Warum haben Sie sich dazu entschieden nach Bochum zu kommen?
Die Ruhr-Universität Bochum ist im Bereich IT-Sicherheit international bekannt, veröffentlicht viel und ist auf wissenschaftlichen Konferenzen vertreten. So bin ich auf Bochum aufmerksam geworden. Deutschland ist ein angesehenes Land und die Kultur ganz anders als in den USA. Daher dachte ich, dass die Reise eine gute pädagogische und akademische Erfahrung für mich sein kann.
Das „Sicherheitsnährwert-Etikett“ ist ein Ansatz zur Messung von Software-Sicherheit und gibt einen Überblick über die jeweiligen Bestandteile einer Software.
Können Sie Ihre Gründungsidee kurz beschreiben?
Wenn wir Lebensmittel essen, haben wir normalerweise eine Nährwertkennzeichnung, die sowohl die Inhaltsstoffe als auch Gesundheitsaspekte angibt, zum Beispiel, wie viel Fett, Zucker und Kohlenhydrate ein Nahrungsmittel enthält. Etwas Ähnliches wollte ich für Software entwickeln. Das „Sicherheitsnährwert-Etikett“ ist ein Ansatz zur Messung von Software-Sicherheit und gibt einen Überblick über die jeweiligen Bestandteile einer Software. Das Schwierigste ist dabei, Metriken zu entwickeln, die angeben, wie viel Sicherheit in einer Software steckt, wo ihre Sicherheitsmängel liegen und was diese genau bedeuten.
Für wen ist Ihre Gründungsidee spannend?
Den unmittelbaren Anwendungsfall stellen Unternehmen dar, insbesondere Cyber-Versicherungen. Wie gefährdet ein Unternehmen ist, wird aktuell nicht auf Basis der Software bewertet, sondern auf Basis anderer Faktoren. Meine Idee könnte daher ein Werkzeug sein, um bessere Preismodelle für Cyber-Versicherungen zu entwickeln.
Wo befinden Sie sich aktuell im Gründungsprozess?
Derzeit befinde ich mich noch ganz am Anfang des Gründungsprozesses. Ich denke, es wird noch mindestens ein Jahr dauern, bis ich einen ersten Prototypen entwickeln kann. Davor möchte ich meine Promotion abschließen.
Das war mein allererster Pitch und ziemlich nervenaufreibend, aber auch schön.
Wie sah das Programm des Entrepreneurship Explorer Ruhr 2023 aus?
Das Programm bestand aus einer Reihe an Workshops mit unterschiedlichen Themenschwerpunkten. Anstelle von klassischen Vorlesungen haben die Vortragenden ihre eigenen Start-up-Geschichten und Erfahrungen mit uns geteilt. Das Gelernte sollten wir dann auf unsere eigene Gründungsidee übertragen und bekamen anschließend Feedback dazu. Als Höhepunkt hat das Team mit uns einen echten Pitch simuliert. Das war mein allererster Pitch und ziemlich nervenaufreibend, aber auch schön. Wir haben sieben Minuten Zeit bekommen, um unsere Idee vorzustellen, während wir das Piepen des Countdowns hören konnten.
Je weiter man in einer Promotion voranschreitet, desto weniger ist man bereit, Risiken einzugehen.
Wie konnte Ihnen das Programm beim Gründungsprozess helfen?
Mein Cousin hat einmal gesagt, je weiter man in einer Promotion voranschreitet, desto weniger ist man bereit, Risiken einzugehen. Man sieht all die Möglichkeiten, wie eine Idee scheitern kann. Hier war es genau umgekehrt. Ich habe auf einmal all die Möglichkeiten gesehen, wie meine Idee erfolgreich sein kann.
Der Kontakt zur Start-up-Kultur sowie der gesamte Aspekt der Entrepreneurship-Bildung waren ebenfalls hilfreich. Wie ich mich sprachlich in einem akademischen Umfeld ausdrücke, unterscheidet sich von einem nicht-akademischen Umfeld. Hier sind andere Dinge relevant. Wir haben uns den gesamten Gründungsprozess angeschaut: Was ein Start-up ist, welche rechtlichen Aspekte wichtig sind, wie ein Geschäftsmodell aussieht, und wie man eine Strategie zur Markteinführung entwickelt.
Was unterscheidet die Gründerszene in Bochum von der Gründerszene in New York?
Es war wirklich cool zu sehen, wie die deutsche Regierung das Unternehmertum in vielerlei Hinsicht unterstützt, zum Beispiel mit dem EXIST-Programm. In den USA haben wir ähnliche Risikokapitalgesellschaften, aber die staatliche Unterstützung ist nicht so stark ausgeprägt. Sie richtet sich in der Regel an wissenschaftliche Unternehmen und Institutionen, wie Universitäten, anstatt an Start-ups.
Ein derartiges Ökosystem, das hier nur für Cyber-Security aufgebaut wurde, habe ich noch nie gesehen.
Was das Ruhrgebiet betrifft, so war es besonders zu sehen, wie viele Menschen hier im Bereich IT-Sicherheit arbeiten. Es gibt das Max-Planck-Institut, CASA, die Ruhr-Universität, das Horst-Görtz-Institut, und natürlich Cube 5. Ein derartiges Ökosystem, das hier nur für Cyber-Security aufgebaut wurde, habe ich noch nie gesehen. Die einzelnen Teile kann man auch in den USA finden, aber die Kohärenz hier ist wirklich besonders.
Was werden Sie von Ihrer Reise mitnehmen?
Eine Sache, die mir in Erinnerung bleiben wird, ist die Offenheit, die ich hier gespürt habe. Eine meiner Befürchtungen war, dass ich die deutsche Sprache nicht gut genug beherrschen würde. Aber die Leute waren sehr freundlich und bereit, Englisch mit mir zu sprechen.
