Mit einer App für sichere Handy-Daten zur Billion-Dollar-Company

Das Thema Datensicherheit brachte die drei selbsterklärten „Security Geeks“ schon zu Uni-Zeiten auf Touren: „Ich studierte mit meinen beiden Mitgründern James Burgess und John Hering an der University of Southern California“, erinnert sich Kevin Mahaffey. „Wir hatten gerade ein Nokia 6310i in die Hände bekommen. Es war das erste Bluetooth-Telefon, dass ich jemals gesehen hatte. Schnell war klar: Wir bauten das Ding auseinander und versuchten, es zu hacken.“ Das machten die späteren Gründer des Billion-Dollar-Startups Lookout dann auch. Und fanden riesige Sicherheitslücken, wie Mahaffey erzählt.

„Damals gab es nicht viele Leute, die sich um solche Sachen gekümmert haben“, so Mahaffey. „Wir wussten von einem in London, einem aus Österreich, einigen aus Deutschland und ein paar in den Staaten.“ Mit den gefundenen Sicherheitslücken wandte sich das Trio direkt an Nokia. Und wurde abgewiesen. Die Reichweite betrage ja nur zehn Meter und es wäre zu teuer, das zu reparieren, meinte man beim Telefonhersteller. Also gingen die drei zur Presse. „Damit die Story gut wurde, haben wir einen Reichweitenverstärker gebaut und gezeigt, dass man das Telefon aus 1,2 Meilen Entfernung hacken kann.“ Das Ganze erschien im Wirtschaftsteil der New York Times und sorgte für einigen Wirbel.

Für richtig viel Aufsehen sorgte auch Lookout-Mitgründer und -CEO Hering: Um auf die Gefahr hinzuweisen, dass sich Mobiltelefone ausspähen lassen, hatte er bei der Oscar-Verleihung 2005 zahlreiche Handys von Prominenten gehackt.

2007 fing das Trio dann an, an einem Produkt zu basteln, das solche Sicherheitsprobleme auch nach der Herstellung noch lösen kann. Es waren die Anfänge von Lookout. „Damals gab es weder iPhone noch Android, nur Windows-Mobile-Smartphones, die fast niemand benutzte“, erinnert sich Mahaffey. Dennoch: Schnell wurde das zunächst als Flexilis gestartete Produkt mit knapp 25.000 Nutzern eines der am weitesten verbreiteten Programme auf der Plattform. Dann kamen Apple und Google, heute nutzen ungefähr 50 Millionen Leute die Software.

Mit seiner letzten Finanzierungsrunde im vergangenen Herbst hat Lookout die Milliardenbewertung überschritten, wurde bereits mehrfach zu den „most disruptive companies“ der Welt gewählt, im Jahr 2012 zum Beispiel vom US-Branchenmedium Fast Company. Wir sprachen mit Kevin Mahaffey über Durchhaltevermögen, den Mittelweg zwischen Komfort und Datensicherheit – und darüber, was er seit der Gründung dazu gelernt hat. Hier geht’s weiter zum Interview.

Bild: Lookout

Es hat ja ganz schön lange gedauert, bis Lookout wirklich abgehoben hat. Wie schafft man es, trotzdem motiviert zu bleiben?

Uns hat es sehr geholfen, dass wir ein klares Problem adressiert haben – eines, das Leute wirklich beschäftigt. Wir haben mehrere Anläufe gebraucht, um herauszufinden, wie man das am besten angeht. Aber das Problem ist das gleiche geblieben. Einstein soll gesagt haben: Wenn er nur eine Stunde Zeit gehabt hätte, um die Welt zu retten, würde er 55 Minuten damit verbringen, das Problem zu definieren und fünf Minuten damit, die Lösung zu finden.

Damals hatten so viele Leute das Problem aber gar nicht.

Stimmt, aber wir hatten einen Nerv getroffen. Die Angst, dass ein Telefon gehackt werden könnte, saß tief in den Menschen drin – auch wenn viele sich der konkreten Bedrohung gar nicht bewusst waren. Anschließend haben wir die entsprechenden Lösungen gebaut und sie immer weiter entwickelt. Die Leute haben unsere Windows-Mobile-Produkte gemocht. Allerdings hatten wir keine Ahnung, wann so ein Produkt reif sein könnte für den Massenmarkt – wir waren 20 Jahre alt und haben einfach gewartet. Wir waren ja die ersten, die sich mit dem Problem überhaupt auseinandergesetzt haben.

Gab es einen speziellen Punkt, der für Dich signalisierte: Jetzt läuft es?

Nein, einen exakten Punkt gab es nicht. Ich schwanke ja heute noch zwischen „Oh mein Gott, wir werden sterben!“ und: „Alles ist wundervoll!“ Und das manchmal mehrmals am Tag. Das mag typisch für junge Gründer sein – oder für paranoide Datensicherheits-Leute. Ich denke immer an tausend Sachen, die schiefgehen können. Um die Sachen, die gut laufen, brauche ich mir ja auch keine Gedanken zu machen.

Wie hält man das aus?

Ab einem gewissen Punkt bekommt man eine dickere Haut: Es gibt immer eine Lösung. Man sieht sie vielleicht nicht gleich, aber es wird immer eine geben. Das haben wir auch recht früh am eigenen Leib erfahren. Als wir das erste Mal versuchten, Kapital zu bekommen, erklärten uns alle: Niemand nutzt Smartphones. Dann hat uns jemand gesagt, wir bräuchten Business-Leute, die einen Markt korrekt bemessen können. Smartphones würden niemals eine große Nummer werden. Und: Ihr müsst Idioten sein, dass ihr den Markt nicht einschätzen könnt. Der war 2007 ja auch noch sehr klein. Aber ab 2008 ist er bekanntlich abgehoben.

Wie habt Ihr dann doch Geld bekommen?

Unser erster Geldgeber war Vinod Khosla. Der hat uns in der Mitte des Pitches unterbrochen und gefragt: Ihr wollt also gegen Symantec und McAfee antreten, weil ihr nicht glaubt, dass die schnell genug die Risiken von Smartphones verstehen und deshalb kein passendes Produkt haben werden? Wir haben mit „Ja“ geantwortet. Vinod sagte: „Okay, das verstehe ich, ich bin dabei.“ Und dann haben über die Bewertung gesprochen. Wir sind ihm zu großem Dank verpflichtet, sonst hatte kaum einer geglaubt, dass so etwas wie Lookout funktionieren kann – wir waren ja als Unternehmen nicht sehr beeindruckend und als Team extrem unerfahren.

Datensicherheit ist ein heißes Thema und „in“. Anbieter wie Dropbox oder Box behaupten, Datensicherheit stehe für sie an erster Stelle. Wie kann man sich da als reines Sicherheits-Startup positionieren?

Wir stehen mit den Dienste-Anbietern nicht im direkten Wettbewerb, die haben ja alle ganz andere Ziele. Stattdessen wollen wir die einzelnen Angebote miteinander verknüpfen und die Lücken auffüllen. Letztere sind ja meist genau der Faktor, bei dem es schief geht. Und keine der Plattformen wird sich jemals darauf fokussieren, ein Weltklasse-Sicherheitssystem zu haben. Das ist einfach nicht ihre Kernkompetenz. Und auch nicht sehr einfach: Wir haben mehrere hundert sehr fähige Leute, die nichts anderes machen, als sich um das Thema zu kümmern.

Und es würde auch den Komfort verringern, den solche Plattformen bieten.

Klar gibt es da einen natürlichen Bias. Wir haben uns zum Ziel gemacht, für Sicherheit zu sorgen, ohne dass zu viele Eingeständnisse gemacht werden müssen. Aber es hat sich gezeigt, dass, wenn sich Leute für Sicherheit interessieren, sie auch das bestmögliche Konzept wollen. Da geht es nicht um „gut genug“, besonders nicht für Firmen. Und oftmals wollen diese Kunden gerade ein Angebot von Drittanbietern. Ein bisschen wie ein Aufsichtsorgan. Zumal die IT-Landschaft in großen Unternehmen ohnehin meistens nicht sehr homogen ist.

Gibt es einen goldenen Mittelweg zwischen Komfort und Effizienz auf der einen und Datensicherheit auf der anderen Seite?

Das kann ich ganz neutral natürlich nicht beantworten. Unser Fokus ist eindeutig die größtmögliche Sicherheit der Daten. Dabei machen wir ja nicht die Daten per se sicher, sondern die Systeme, durch die sie laufen. Wie weit der Nutzer in Sachen Sicherheit geht, bleibt ihm selbst überlassen.

Wobei Einzelpersonen und Unternehmen sicherlich andere Kriterien anlegen.

Bald starten wir deshalb auch unser Enterprise-Angebot. Aber es stimmt: Privat- und Geschäftskunden gleichermaßen zu bedienen, ist sehr schwer.

Wie erklärt man den Nutzern, dass alle Systeme ausspähbar sind – nur Lookout nicht?

Privatsphäre ist sowohl ein Design-Problem wie auch das Problem der Nutzer. Für mich geht es darum, Überraschungen zu minimieren. Es sollte immer klar sein, wie Daten gesammelt und weitergegeben werden. Das nur in einem Rechtsdokument festzuhalten, zählt nicht. Stattdessen muss für jedermann klar einsehbar sein, was mit den Daten geschieht – so etwas gehört nicht in Fußnoten. Viele Funktionen moderner Apps gibt es nur, wenn Datensätze ausgewertet werden können. Das muss man den Nutzern auf verständliche Weise erklären und sie müssen das auch ablehnen können.

Damit werden einzelne, interessierte Nutzer angesprochen.

Es ist eine sehr große und sehr reale Gefahr, dass Nutzer das Vertrauen verlieren – nicht in eine einzelne App, sondern in die Plattformen generell. Es muss mehr Tools geben, die den Leuten klar machen, wie exponiert sie sind. Derzeit gibt es die noch nicht. Es darf nicht zu Technik-Frust kommen, das wäre sehr schädlich für mobile Technologien und würde vielen Startups sehr schaden.

Welche Rolle spielen die App-Stores selbst? Man liest ja immer wieder, dass Apple lange prüft, bevor eine App freigeschaltet wird.

Zwischen 10.000 und 30.000 Apps werden insgesamt jeden Tag bei Apple und Google eingereicht. Es wird niemals einen Mechanismus geben, der diese Menge verlässlich prüfen kann. Also muss die Kontrolle auch beim Nutzer stattfinden können. Und dafür gibt es noch nicht die richtigen Tools.

Noch mal zurück zu Lookout als Unternehmen. Welche drei Dinge habt Ihr bei Lookout absolut richtig gemacht?

1. Wir haben uns sehr genau überlegt, wann wir auf welche Plattformen gehen. Den Sprung zu Android haben wir sehr früh gemacht, das war gut – und damals keinesfalls offensichtlich. Wir haben wir uns sehr schnell gegen Blackberry entschieden – auch wenn wir da eine halbe Million Nutzer hatten.
2. Wir haben uns aus der Startup-Szene lange herausgehalten. Was ich damit meine: Man wird schnell in das Event-Hopping reingezogen und spricht mehr über Konferenzen als man sich Gedanken über das Geschäft macht. Wir haben immer genau ausgewählt, wo wir hingehen und was wir uns davon versprechen.
3. Absoluter Fokus auf das Produkt. Genau genommen haben wir das gut und schlecht gemacht. Am Anfang hatten wir fünf Key Features auf drei großen Plattformen – und ein Team von 15 Leuten. Das war verrückt – und es hat dazu geführt, dass wir nicht die notwendige Qualität liefern konnten. Danach haben wir uns sehr – vielleicht zu sehr – auf das Kernangebot konzentriert und die Plattform nicht ausgebaut. Ich denke, nun haben wir den richtigen Mittelweg gefunden – auch, weil wir genug Kapital zur Verfügung haben.

Bild: Lookout