Wieso die Schweiz im Bereich der Automatisierung hinterherhinkt

Sie waren am New England Conservatory of Music in Boston. Wie verbinden Sie diesen musikalischen Hintergrund mit Ihrer heutigen IT-Tätigkeit?

Andreas Oswald: Technologie und Innovation haben sehr viel mit Muse und Kreativität zu tun. Die Musik fördert die Innovationskraft und die Kreativität enorm. Während ich am New England Conservatory war, studierte ich zudem Informatik an der Tufts University in Medford. So konnte ich meiner Muse folgen und zugleich auch das Fundament für meinen späteren beruflichen Werdegang in der Informatik legen.

Sind Sie immer noch musikalisch aktiv?

Alle in meiner Familie spielen ein Instrument. Meine jüngste Tochter spielt klassisches Piano, meine älteste Schlagzeug – nebenbei schreibt sie auch noch die Musik für eine Poprock-Band. Meine Frau ist leidenschaftliche Karaoke-Sängerin und ich spiele nach wie vor auf dem Klavier und auf der Gitarre.

Wie hat sich die Coronakrise auf Ihren Alltag ausgewirkt?

Covid-19 hat sicht- und spürbare Veränderungen hervorgerufen. Fast die gesamte Kommunikation verlagerte sich auf digitale Tools wie etwa Videoconferencing. Die Hightech-Branche hat da sicher einen Vorteil: Wir kannten Webex, Zoom, Teams und Co. bereits und waren es schon gewohnt, Vertrauen über den digitalen Kanal zu schaffen. Wenn es um den Vertrieb von Sicherheitssoftware hier in der Schweiz geht, beeinträchtigt die Pandemie die Prozesse daher nur sehr wenig beziehungsweise im Idealfall gar nicht, beispielsweise bei bestehenden Kundenbeziehungen.

Gar nicht?

Die Digitalisierung wird ja nicht eingestellt, weil jetzt ein Virus da ist. Und auch Software wird weiterhin entwickelt. Gerade in dem Bereich werden schon seit Jahren Arbeitsplätze ausgelagert. Darum sind Softwareentwickler auch schon daran gewöhnt, nicht immer in den gleichen Räumlichkeiten zu arbeiten, mit den Team-Kollegen. In anderen Branchen waren die Umstellungen wohl einschneidender.

Was muss man bei der Umstellung ins Homeoffice bedenken?

Auch in meiner Rolle als Country Manager bin ich eigentlich immer noch ein klassischer Verkäufer. Vom Homeoffice aus kann ich nun niemandem mehr die Hand bieten – ich kann nicht einmal mehr potenzielle Kunden in ihren Büros besuchen. Das läuft nun alles digital. Mit Personen, die ich schon kenne, funktioniert das recht gut. Aber die Kaltakquise von Neukunden wird dadurch klar erschwert. Unmöglich ist es aber nicht, eine Vertrauensbasis von Grund auf über den digitalen Weg aufzubauen. Dabei ist es vor allem wichtig, visuell zu arbeiten. So kann sich das Gegenüber ein Bild davon machen, mit wem es spricht.

Aufgrund des Coronavirus fand das Interview mit Andreas Oswald per Videocall statt. (Source: zVg)

War das für Sie gerade besonders problematisch, da Sie Checkmarx in der Schweiz ja erst noch aufbauen müssen?

Nein. Schliesslich bin ich schon seit September für die Schweiz zuständig. Die wichtigsten Businesskontakte hatte ich bereits in den ersten 90 Tagen kontaktiert. Die notwendige Vertrauensbasis war also bei den wichtigsten Key Accounts bereits intakt, bevor der Lockdown in Kraft trat.

Wie ist es Ihnen in dem ersten Halbjahr als Schweiz-Chef ergangen?

Ich lernte Checkmarx als eine super organisierte Firma kennen. Das Unternehmen stellt den Erfolg der einzelnen Mitarbeiter in den Vordergrund. Die Corporate Social Responsibility, über die viele Firmen meist nur reden, wird bei Checkmarx aktiv gelebt. Die positive Energie und Unterstützung, die man hier als Neueinsteiger erhält, habe ich in meiner mehr als 30-jährigen Berufserfahrung so noch nie erlebt. Und das spüren die Kunden auch. Checkmarx ist agil und reaktionsfähig. Wir reagieren schnell auf die Bedürfnisse unserer Kunden, sind aber auch schon vorbeugend für sie da. Kundenzufriedenheit ist eine unserer wichtigsten Wertvorstellungen.

Wie haben Sie den Schweizer Markt vorgefunden?

Der Schweizer Markt für Application Security Scanning – also der Markt, in dem Checkmarx aktiv ist – ist komplett unterversorgt. Das sehen wir daran, dass wir bei Neukunden viel seltener Technologie-Mitbewerber als Substitutionslösungen auf der Basis eigenentwickelter Tools oder Prozesse antreffen. Die meisten Unternehmen versuchen, das Problem der Applikationssicherheit auf eine nicht automatisierte Weise zu lösen, etwa durch Outsourcing an Dritte oder durch Förderung und schulische Ausbildung der Software-Entwicklungs-Abteilung. In der Regel stellen diese IT-Sicherheits-Spezialisten ein, die das Problem dann "irgendwie nebenbei" noch lösen sollen. Nun ist der Schweizer Markt aber im Umbruch. Getrieben durch Digitalisierung, Cloud und Open-Source-Code merken die hiesigen Entwickler, dass die alten Wege, wie man Applikationen auf ihre Schwachstellen prüft, nicht mehr genügen. Dazu zählt etwa das Wasserfallmodell.

Das Wasserfallmodell?

Dabei wird die Entwicklung in mehrere, aufeinanderfolgende Projektphasen aufgeteilt. Für Application Security Scanning heisst dies, dass die Entwickler ihre fertige Applikation an einen Pentester schicken. Diese Firma lässt dann ihre Mitarbeiter an die Software heran, um Schwachstellen zu finden. Im Grunde genommen entwickelt man also zuerst etwas und wartet dann die Resultate ab, um zu sehen, ob man Fehler auf dem Weg gemacht hat. Die digitale Welt fordert aber vermehrt eine agile Softwareentwicklung unter Beiwohnung der IT-Sicherheit in einem automatisierten Prozess. DevSecOps ist somit geboren und eine unerlässliche Notwendigkeit für marktgetriebene Unternehmen.

In welche Richtung bewegt sich der Markt?

Die Entwicklung von Software wird immer komplexer – auch aufgrund des Trends hin zur Nutzung von Open-Source-Code. Da der Markt nicht wartet und Produkte immer mehr über das Internet verkauft werden, wächst der Zeitdruck auf Entwickler stetig: Applikationen müssen immer schneller entwickelt und praktisch im Wochentakt verbessert werden. Auch in der Schweiz beschäftigen sich die Top-Firmen daher mit dem Gedanken, wie sie die Sicherheit bei der Applikationsentwicklung automatisieren können. Stand heute sind aber lediglich bei etwa 10 Prozent der grössten Schweizer Firmen gewisse DevSecOps-Automatismen implementiert. Was Automatisierung und die agile Entwicklung betrifft, hinkt die Schweiz im Vergleich mit anderen technologieorientierten Ländern stark hinterher.

Was macht Ihren Ansatz schneller?

Unsere Lösung arbeitet codebasiert. Die zu untersuchende Software muss also nicht laufen oder kompiliert werden. Oder anders gesagt: Wir finden die Schwachstellen noch während unsere Kunden ihren Code schreiben. Viel schneller kann man Schwachstellen gar nicht identifizieren. Darum haben wir einen Grossteil der wichtigsten Firmen bereits als Kunden gewinnen können – und dafür mussten wir noch nicht mal aktiv Werbung für Checkmarx machen. Ein gutes Produkt spricht für sich selbst, und im Gartner-Quadranten sind wir oben rechts.

Wie viele Kunden haben Sie zurzeit in der Schweiz?

Wir machen diesbezüglich keine detaillierten Angaben. Ich kann jedoch sagen, dass sich die Anzahl grösserer Kunden in der Schweiz im höheren zweistelligen Bereich befindet und die wichtigsten Industriezweige abdeckt.

Wie wollen Sie den Schweizer Markt anpacken?

Checkmarx wächst aktuell extrem schnell. Dabei kommt es immer wieder zu Peaks, weil Kunden ein Projekt möglichst schnell realisieren möchten. Wir können aber nicht jedes Mal 20 neue Mitarbeiter einstellen, wenn wir einen neuen Kunden an Land ziehen. Darum setzen wir auf Partner. Checkmarx berät zwar Kunden direkt und nimmt auch an Ausschreibungen teil – aber immer zusammen mit Partnern. Die anschliessende Transaktion läuft dann über diese Partner, sodass sie ihren Mehrwert miteinflies­sen lassen können. Insbesondere bei der Implementierung der SDLC-Automation.

Wie sieht Ihre Partnerlandschaft aus?

Checkmarx realisierte schon früh, dass das Unternehmen einen Mix aus globalen und lokalen Partnern braucht. Jetzt haben wir in unserem Ökosystem Partner in jeder Ausprägung, die Kunden aller Art unter die Arme greifen, um diese von DevOps zu DevSecOps zu bringen.

Wie würden Sie Ihren idealen Partner beschreiben?

Meiner Meinung nach gibt es drei Ausprägungen, die für Checkmarx sinnvoll sind.

Was ist die erste Ausprägung?

Dazu zählen grosse, internationale Firmen, die eigene, hochspezialisierte Abteilungen für die Cybersecurity-Beratung unterhalten. Beispiele wären etwa Accenture, Capgemini, Deloitte und PWC. Solche Partner sind unabdingbar, wenn man etwa grosse multinationale Banken als Kunden gewinnen will.

Und die zweite Ausprägung?

Das wären die typischen lokalen Systemintegratoren, die ihre Kompetenzen im Security-Umfeld erarbeiteten. In der Regel bieten diese Firmen auch Pentesting an. Solche Firmen sind bestens ausgerüstet, um mit uns den nächsten Schritt in Richtung DevSecOps zu machen.

Und wie sieht die Dritte aus?

Die dritte Ausprägung sind die SOC- und SIEM-Operatoren wie etwa NTT Security oder Infoguard. Diese verfügen bereits über einen sicheren Zugang zur IT ihrer Kunden, um deren Applikationen auf Anzeichen von Missbrauch zu untersuchen. Erkennen, verhindern, beheben: Das ist ihr Geschäft.

Sind Sie aktiv auf der Suche nach neuen Partnern?

Absolut! Und zwar mehr oder weniger in allen drei Kategorien. In der ersten, also die grossen Consulting-Firmen, sind wir nämlich bereits mit vielen relevanten Unternehmen verbandelt. Ich würde vor allem gerne mit noch mehr Pentestern zusammenarbeiten. Denn es ist nur noch eine Frage der Zeit, bis diese Firmen 80 Prozent ihres Umsatzes verlieren werden. Ihr Umsatz beruht nämlich auf Menschen, die vor einem Bildschirm sitzen und Applikationen händisch prüfen. Bei uns übernimmt eine Software­maschine diesen Job.

Heisst das, dass Checkmarx mit seiner Lösung Pentester vom Markt verdrängt?

Nein, wir wollen ihnen definitiv nicht das Business wegnehmen. Checkmarx antwortet lediglich auf ein neues Kundenbedürfnis nach Geschwindigkeit. Aber solange Menschen involviert sind, werden Pentester nie das Tempo erreichen, das man braucht, um am Markt mithalten zu können. Checkmarx bietet ihnen die Möglichkeit, dieselbe Vulnerability Detection und Remediation automatisiert und somit viel schneller zu erledigen. Darum sattelten schon einige Pentester auf unsere Lösung um und sind nun sehr froh mit dieser Entscheidung.

Wie viele Partner wollen Sie hier in der Schweiz für Checkmarx gewinnen?

Ich will ein dichtes, flächendeckendes Netz an Channelpartnern aufbauen. Ich habe nicht die Absicht, hier alles allein zu machen. Stattdessen will ich meine möglichen Mitspieler berücksichtigen. Die Unternehmen, die hierzulande in einer der drei Kategorien aktiv sind, sind genau die Unternehmen, die ich als Partner begrüssen möchte. So können unsere Kunden auch weiterhin mit den Firmen zusammenarbeiten, die sie teilweise schon seit Jahren kennen und mit denen sie eine solide Vertrauensbasis aufgebaut haben.

Wie viele Mitarbeiter haben Sie aktuell in der Schweiz?

Checkmarx hat eine DACH Organisation. Wir operieren in einer Matrix-Struktur, die sich über den DACH-Raum erstreckt und auch auf die zentralen Ressourcen und Dienste in Portugal und Israel für EMEA zugreifen kann. Momentan beschäftigt Checkmarx 9 Personen für die Schweiz, Österreich und Deutschland. Das Team kümmert sich um alles von Presales über Marketing bis hin zum Customer Success Management – das heisst, sie kümmern sich darum, dass unsere Software wirklich sauber funktioniert und dass der Kunde zufrieden ist damit.

Wie lautet Ihre persönliche Botschaft an den Channel?

In der Schweiz muss Software applikatorisch agiler und sicherer werden. Darum sollte man sich möglichst rasch Gedanken machen, wie man sein Application Security Scanning möglichst umfassend automatisiert. Denn der Markt bewegt sich immer stärker in Richtung DevSecOps. Darum muss man jetzt aufpassen, dass man andockt, um den Anschluss nicht zu verpassen.

Gibt es Pläne, mehr Mitarbeiter für die Schweiz einzustellen?

Das ist durchaus der Plan – getrieben durch die steigende Nachfrage im Markt. Der globale Umsatz von Checkmarx wächst jedes Jahr zwischen 40 und 60 Prozent. Das heisst auch, dass wir ständig neue Mitarbeiter brauchen, um unsere Lösung zu verkaufen oder unsere Kunden technisch zu beraten. Weltweit sind wir zurzeit über 700 Mitarbeiter.

Persönlich: Andreas Oswald begann seine Karriere in der IT-Branche im Jahr 1989 als Aussendienstmitarbeiter bei Bull Computer Schweiz. Über die letzten 31 Jahre hat er für einige der grössten IT-Firmen der Welt in führender Stellung national wie auch international gearbeitet. Dazu zählen IBM, Oracle, Siemens, SAS und ­Micro Focus. Heute verantwortet er das Vertriebsgebiet Schweiz für Checkmarx. Er ist 57 Jahre alt, verheiratet und hat zwei Kinder. In seiner Freizeit geniest er Musik oder Kultur und treibt Sport zu Land, Wasser und im Schnee. (Quelle: Checkmarx)