Die eigenen Vergehen auf dem Schulhof dürften mittlerweile verjährt sein: Carsten Willems schlich sich früher in Pausen verbotenerweise vom Schulgelände zum Kiosk und zurück – und verkaufte dann Eis mit einem Aufschlag an seine Mitschüler:innen. „Das Geld war damals schon ein Mittel, um unabhängig zu sein“, sagt der 46-Jährige heute. Bald danach verlagert Willems seine Geschäfte in die IT-Branche.
Dort begann er mit einem Schülerjob und wurde nach kurzer Zeit EDV-Kaufmann. Zuerst kopierte er in einer Softwarefirma die kaufmännischen Programme auf Disketten, dann beriet er die Kund:innen und hinterher ließ er sich dort zum Programmierer ausbilden. Als sich dann das Informatik-Studium in Aachen anschloss, machte sich Willems mit eigenen Softwareprojekten selbstständig – und konnte damit seinen Lebensunterhalt während des Studiums selbst finanzieren.
Sein fachlicher Fokus wurde mit jedem Semester klarer. „Ich habe mich immer für Security interessiert“, sagt Willems, „aber damals gab es quasi keine Security-Industrie“. Da es damals für kriminelle Hacker:innen kaum Wege gegeben habe, mit Cyberangriffen Geld zu verdienen, seien auch die Verteidigungsbudgets überschaubar gewesen. Ab Anfang der 2000er änderte sich das. Immer häufiger erbeuteten Angreifer wichtige Daten oder erpressten Unternehmen – also gaben diese auch mehr Geld aus, um sich zu schützen.
Früher Fokus auf Sandboxen
Willems war damals schon nah dran an einer Schlüsseltechnologie. In seinem Studium beschäftigte er sich mit sogenannten Sandboxen. Das sind isolierte IT-Umgebungen, in der verdächtige Dateien versuchsweise geöffnet werden – um sie auf schädliche Aktionen zu überprüfen. Das Problem: Angreifer:innen trainierten ihre Programme schnell darin, im virtuellen Teststand keinen Verdacht zu erregen. Das erinnert an die manipulierte Software bei Dieselmotoren: Auch die täuschten auf dem Prüfstand vor, dass alles normal sei – und rissen im Alltagsbetrieb alle Schadstoffgrenzen.
Mit seiner Diplomarbeit hatte Willems 2005 zum ersten Mal eine Lösung für dieses Problem entworfen. Die sollte er auf der US-Hacker-Konferenz Defcon einer interessierten Firma präsentieren, verpasste aber den ersten Flug, weil er nur mit Personalausweis über den Atlantik reisen wollte. Am letzten Messetag gelang dann doch noch das Treffen in Las Vegas. Aus seinem Forschungsvorhaben wurde die Grundlage für eine erste kommerzielle Anwendung, die er dem Unternehmen gegen einen Betrag überließ. Ein paar Jahre später entwickelte Willems die Technologie weiter und verkaufte diese an eine andere die nächste Version, die ebenfalls an eine US-Firma ging.
Vom Doktor zum Start-up-Gründer…
Ihn selbst zog es für eine Promotion zurück an die Uni. In Mannheim kreuzten sich seine Wege mit Ralf Hund, der ebenfalls Sandboxen weiterentwickelte. Sie wechselten etwas später beide an die Ruhr-Uni Bochum und gründeten ihr eigenes Unternehmen.
Ihr Unternehmen VMRay, das sie im Herbst 2013 gründeten, setzte neue technologische Maßstäbe für die Cybersecurity-Branche. Willems nennt drei Erfolgsfaktoren: Erstens tarne sich die Software gegenüber Schädlingen besonders gut. Zweitens erkenne das Programm verdächtige Vorgänge auch dann, wenn diese zum ersten Mal auftauchen und noch nicht in Datenbanken gespeichert sind. Und drittens arbeite die Software automatisiert und könne so größere Dateimengen kontrollieren.
Das weltweite Netzwerk und der gute wissenschaftliche Ruf der Co-Gründer sorgten dafür, dass früh die ersten Unternehmen auf das Start-up aufmerksam wurden. „Die ersten fünf bis sechs Jahre haben wir uns nur auf die Technik konzentriert – und die war so gut, dass Kunden uns gefunden haben“, sagt Willems. Die Nutzer:innen benötigen die Software, um mögliche Angreifer auf ihre Systeme abwehren oder schneller erkennen zu können. Die Kund:innen stammen bis heute zum einen aus der freien Wirtschaft, zum anderen sind es Staaten und Sicherheitsbehörden. Bei Referenzkund:innen verstummt Willems daher schnell.
… vom Techie zum CEO
Vor zwei Jahren wechselte das Start-up dann die Gangart. Kurz zuvor hatten Investoren neun Millionen Euro bereitgestellt. Ein professionelles Team für Marketing und Vertrieb entstand, das Führungsteam wuchs – um die Arbeit auf mehr Schultern zu verteilen. Mehr als 100 Mitarbeiter:innen arbeiten heute in Bochum und Boston für VMRay. 200 Unternehmen nutzen die Software mittlerweile, manche für vierstellige, manche für sechsstellige Beträge im Jahr, berichtet Willems. 2021 habe man den Umsatz so um 50 Prozent steigern können. Etwa die Hälfte der Erlöse stamme dabei aus den USA.
Auch seine eigene Rolle habe sich auf dieser Reise radikal
gewandelt. „Ich war ein sehr guter Security-Experte, von diesen Fähigkeiten
nutze ich seit Jahren fast nichts mehr“, sagt Willems. Je stärker das
Unternehmen wuchs, desto mehr wurde aus dem Techie ein CEO. Statt um Fachfragen
geht es um die nächste Finanzierungsrunde, statt ums Programmieren um
Personalentscheidungen, statt um Sicherheitslücken geht es um die große
Strategie. Mittlerweile habe er Spaß an dieser Art von Aufgaben gewonnen,
berichtet Willems. Doch die Umstellung habe einige Zeit benötigt. „Als CEO habe
ich einen riesigen Hebel, um Dinge zu bewegen“, sagt Willems, „aber was die
Glücksgefühle angeht, war das Leben als Hacker tausendmal schöner“. Manuel Heckel
