Automatisierte Schwachstellenerkennung by Code Intelligence

 

Eine spannende Innovation aus dem Bereich Security: Das Bonner Start-up Code Intelligence entwickelt ein System für die automatisierte Schwachstellenerkennung von Software. Dafür hat das Start-up jüngst 650.000 Euro Anschubfinanzierung aus dem „Exist“-Förderprogramm erhalten.Die Idee: Der Maschinencode wird dekompiliert und in visuelle Graphen gewandelt. Durch Abgleich zwischen Graphen und bestehenden sowie bekannten Sicherheitslücken mittels Big-Data-Technologie lässt sich sehr schnell identifizieren, ob und welche Sicherheitslücken vorhanden sind. Wir haben mit den Teammitgliedern ein Interview geführt.

 

!!! Aktueller Beitrag [3. Juni 2020] über Code Intelligence: Bonner Start-up testet Corona-Warn-App auf Schwachstellen !!!

 

Erzählt mal, was ihr so macht, und seit wann es euch gibt?

Wir bauen gerade ein Analysetool zur automatisierten Schwachstellenerkennung von Maschinencode und versuchen damit unsere alltäglichen, mit dem Internet verbundenen Geräte wie z.B. Router sicherer zu machen. Die Idee zur Realisierung von Code Intelligence ist Mitte 2016 entstanden, doch wirklich gestartet sind wir erst um 1.4.2017.

 

Was ist euer Background?

Als bald promovierte Informatiker sind wir, Khaled, Sergej und Henning, seit Jahren in der IT-Security aktiv. Viele unserer Forschungsarbeiten wurden mit Auszeichnungen auf Top Tier Konferenzen ausgezeichnet – auf dem NDSS Symposium in San Diego z.B. haben wir den Distinguished Paper Award gewonnen.

Im Team arbeiten wir schon seit Anfang 2014 in der Usable Security and Privacy Arbeitsgruppe der Uni Bonn. Zudem haben wir drei in unterschiedlichen Bereichen im Frauenhofer Institut gearbeitet: Khaled als Shared Software Analyst, Henning und Sergey als Projektleiter. Sergej war beim Industrial Data Space und Hennig bei einem Projekt, das Netzwerkdaten visualisiert hat.

Und Philipp, dein Background?

Ich war Business Development Manager und habe mit Start-ups zusammengearbeitet. Gründungserfahrung bringe ich auch mit: ich hatte ein Software-Unternehmen für Schulsoftware. Parallel zum BWL-Studium mit der Spezialisierung im Bereich Entrepreneurship und Finance an der Hochschule Hannover konnte ich Erfahrung als Analyst bei einer Venture Capital Gesellschaft sammeln und habe als Projektleiter den Aufbau einer Gründungsplattform zusammen mit dem luxemburgischen Wirtschaftsministerium und einem deutschen Kosmetikkonzern initiiert.

 

Wer gehört mit zu eurem Team? Und wie habt ihr euch gefunden?

Wir, Henning, Sergej und Khaled, haben uns über unsere Arbeit in der Arbeitsgruppe in Bonn kennengelernt, und Philipp wurde als ehemaliger Gründer für das Projekt rekrutiert, um sich parallel zur Produktentwicklung um den Unternehmensaufbau zu kümmern.

Prof. Dr. Matthew Smith, unser Doktorvater und Leiter der Arbeitsgruppe Usable Security and Privacy der Uni Bonn, ist ebenfalls Gesellschafter und unterstützt uns mit Mentoring. Als wirtschaftlichen Mentor konnten wir Thomas Tschersich gewinnen, der Senior Vice President der IT-Sicherheit bei der Telekom ist.

 

Habt ihr Tipps, wie man an passende Mit-Gründer bzw. Teammitglieder kommt? Wie seid ihr vorgegangen?

Unterwegs sein, Leute kennenlernen und auch viel über Ideen sprechen und austauschen. Try & Error ist die Devise. Ab und an stößt man auf interessante Persönlichkeiten, die man anschließend mit der Idee für sich gewinnen muss.

 

Wie kam es zur Idee eures Start-ups?

Nach einer Security-Konferenz in den USA sind Google und Facebook auf uns zukommen und haben gefragt, ob wir nicht Interesse daran hätten, bei ihnen einen Vortrag über unsere Software zu halten. Das Feedback war sehr positiv – sie hätten unsere Software gerne bei sich eingesetzt. Unser Doktorvater Prof. Smith war ebenfalls ziemlich begeistert von unserem Projekt. Das hat uns darin bestärkt, unser Tool in den Markt zu bringen.

 

Wart ihr überrascht von dem positiven Feedback aus der Wirtschaft?

Ein bisschen, aber wir wussten auch, dass wir coole Sachen machen

 

Was ist das Besondere an eurer Geschäftsidee?

Durch die Nähe zur Wissenschaft werden die aktuellsten Forschungsergebnisse in die Produktentwicklung übertragen. Darüber hinaus ist die Technologie, die zur Schwachstellenanalyse verwendet wird, derzeit einzigartig. In dem Umfang wie wir die Software entwickeln, sind wir ersten weltweit.

 

Was kann man sich denn genauer darunter vorstellen?

Software wird meistens als Maschinencode geliefert. Bei Routern und IOT Geräten z.B. weiß man nichts über die Qualität des mitgelieferten Codes. Durch innovative Verfahren ist es für uns möglich, die Software im Binärcode zu analysieren, in dem Umfang, als läge uns der Quellcode vor.

 

Warum ist das wichtig?

Unternehmen, die viele Geräte importieren, haben keine Kontrolle über die eingebaute Software. Durch uns können sie die Geräte auf die Software-Qualität überprüfen – so können Schadensfälle wie z.B. Angriffe präventiv verhindert werden.

Damit unterstützen wir die Sicherheit von Unternehmen und Privatkunden gleichermaßen: Unternehmen stellen sicher, dass ihre Produkte aktuell und sicher sind und vermeiden schlechte Publicity im Angriffsfall, und der Privatkunde zuhause muss sich keine Sorgen um unsicher vernetzte Hardware machen.

 

Wie macht ihr Marketing und Vertrieb?

Bisher sind die Interessenten auf uns aufmerksam geworden. Unser erster Pilotkunde ist z.B. die Telekom AG. In Zukunft arbeiten wir verstärkt mit direkter Kundenansprache.

 

Und wie finanziert ihr euch derzeit?

Wir finanzieren uns über den EXIST Forschungstransfer, bei dem wir rund 650.000 € eingesammelt konnten und somit die kommenden 18 Monate durchfinanziert sind.

 

Habt ihr schon mal bei Gründerwettbewerben mitgemacht?

Bislang haben wir noch keine Erfahrung mit Wettbewerben.

 

Was waren die größten Schwierigkeiten während eurer Gründung bisher?

Größere Schwierigkeiten hatten wir bisher zum Glück keine. Nur gute Programmierer mit starkem Security-Hintergrund für unsere komplexe Software zu finden ist nicht so einfach.

 

Was sind die nächsten großen Steps für euch?

Die Entwicklung eines MVPs und die Gewinnung weiterer Pilotkunden.

 

Habt ihr einen Tipp für Leute, die selber gründen wollen?

Ganz allgemein: Wer nicht wagt, der nicht gewinnt! Für Start-ups aus der Wissenschaft gibt es viele verschiedene Fördermöglichkeiten für Uni-Ausgründungen – im Vergleich zu nicht-wissenschaftlichen Start-ups hat man hier sehr viele Möglichkeiten, auch auf internationaler Ebene. Der Gründungsbeauftrage eurer jeweiligen Uni unterstützt euch sicher gern bei der Wahl und der Antragsstellung des jeweiligen Förderprogramms – bei uns war das Herr Rüdiger Wolf von der Uni Bonn.

 

Könnt ihr noch etwas zu euren Tools erzählen, die ihr im Team nutzt?

Wir benutzen Slack für die Teamkommunikation und arbeiten viel mit Whiteboards zur Visualisierung von Strukturen. Außerdem nutzen wir GitLab als Cloudlösung.

 

Habt ihr eine Blog-Empfehlung für Gründer oder Gründungsinteressierte?

Für Start-ups finden wir Bootstrapping.me super.

 

Und zuletzt – wo können Interessenten mehr zu eurem Start-up erfahren?

Sehr bald auf www.code-intelligence.com. Ende Mai launchen wir unsere Website.

 

Vielen Dank für das Gespräch! Wir wünschen den Jungs von Code Intelligence weiterhin viel Erfolg!