David Gugelmann, Gründer und CEO des Zürcher Startups Exeon, ist äusserst überzeugt von seiner Software: "Wir hätten in Echtzeit erkannt, dass die Systeme von Solarwinds kompromittiert sind", sagt er im Gespräch mit inside-channels.ch. Der gigantische Supply-Chain-Hack sorgte Ende 2020 für Aufsehen. Er blieb lange unentdeckt.

Man habe den Angriff nachgestellt, erklärt Gugelmann, das Modell aus seinem Haus habe den illegitimen Netzwerkverkehr umgehend aufgespürt. Die Lösung ist unter anderem auf das Erkennen von Domains spezialisiert, die von Algorithmen generiert werden. Diese Methode nutzen Verbrecher, damit sie für die Kommunikation mit dem C&C-Server nicht auf eine statische Adresse angewiesen sind, die einfach blockiert werden könnte. Die Solarwinds-Angreifer hätten zwar keine klassische Methode angewandt, aber auch Domains generiert. "Es hat mich überrascht, dass sie nicht geschickter vorgegangen sind", sagt der CEO von Exeon und ergänzt: "vermutlich haben sie sich dabei einfach zu wenig Mühe gegeben".

Die Lösung von Exeon soll illegitimen Verkehr besonders gut erkennen, weil sie doppelt trainiert wurde. So lernt sie im "supervised Machine Learning" unter Überwachung im Labor, wie legitimer Webverkehr beschaffen ist. Die Daten dazu generiert das Startup selbst mittels automatisierten Webbrowsern. Beim Kunden lernt das Modell dann aber unbeaufsichtigt weiter, wie das normale Verhalten im konkreten Netzwerk aussieht. Dazu muss es den Inhalt des Datenverkehrs nicht kennen, sondern lediglich die Muster der Datenflüsse. Bei einer auffälligen Verhaltensänderung schlägt es Alarm.

Deshalb könne die Lösung auch mit verschlüsselten Daten arbeiten, betont Gugelmann. Diese Nutzung der Metadaten sei besonders für regulierte und sensible Bereiche wie den Finanzsektor wichtig. Exeon zählt unter anderem Postfinance und den österreichischen IT-Dienstleister "3 Banken IT" zu seinen Kunden.

Die Software von Exeon basiert auf der Doktorarbeit von Gugelmann, die er 2015 an der ETH Zürich zum Thema Netzwerkforensik fertiggestellt hat. Die Industrie zeigte rasch Interesse. In der Folge gründete er zusammen mit einem Partner Exeon. Mittlerweile arbeiten 23 Leute beim Unternehmen in der Nähe des Zürcher Bahnhofs Binz, bis Ende Jahr soll das Team verdoppelt werden. Der Cashflow war 2020 positiv, allerdings zählen dazu auch Subskriptionen über mehrere Jahre. "Die Kunden vertrauen uns", unterstreicht Gugelmann.

Davon sind offenbar auch Investoren überzeugt. Anfang Mai sammelte Exeon rund 4 Millionen Franken und will nun grössere Anteile im europäischen Markt gewinnen. Erste Grosskunden in Deutschland und Österreich habe man bereits gefunden, sagt Gugelmann. Das Ziel ist hochgesteckt: Das ETH-Spinoff will zum führenden Anbieter für Network Detection und Response in Europa werden.

Grosse Konkurrenten auf diesem Gebiet sind Darktrace und Vectra. Das Unicorn Darktrace, gegründet in einer Kollaboration zwischen dem britischen Geheimdienst und Mathematikern der Universität Cambridge, zählt mittlerweile rund 1300 Angestellte. Das Unternehmen setze über 80% des Budgets für Sales und Marketing ein und wirke entsprechend attraktiv, sagt Gugelmann. Man finde die Lösung aber vor allem bei kleineren Firmen, während Exeon grössere Unternehmen anpeile.

Das kalifornische Startup Vectra, das auch einen Ableger in der Schweiz hat, zählt laut Linkedin über 400 Angestellte und hat schon über 350 Millionen Dollar an Geldern gesammelt. Es gilt mit einer Bewertung von 1,2 Milliarden Dollar ebenfalls als Unicorn. Vectra treffe man auch bei den grösseren Firmen an, so Gugelmann.

Auf der Website von Exeon werden die beiden Konkurrenten explizit genannt. "Unsere Kunden sagen, es ist einfach smarter", heisst es dort zum eigenen Produkt. So glaubt Gugelmann einige Argumente auf seiner Seite: Ein grosser Vorteil der hauseigenen Lösung sei, dass man keine zusätzliche Hardware oder Software-Agenten brauche, sondern die bestehende Infrastruktur nutzen könne. ExeonTrace sei deshalb innert weniger Stunden einsatzbereit und könne vollständig remote eingerichtet werden.

Auch künstliche Intelligenz – bei Exeon spricht man spezifischer von supervised und unsupervised machine learning – führt Gugelmann als Argument an. Konkurrenten aus dem grösseren Feld der Security-Analytics hängen sich gerne dieses Label um. "Liest man aber zwischen den Zeilen des Marketing Materials, so sieht man, dass vieles Show ist", sagt der Exeon-CEO, beispielsweise sei die versprochene KI zum Teil schlicht eine Schnittstelle zu einem Klassifizierungsdienst im Internet.

Exeon könne zudem den Datenverkehr detailliert sichtbar machen, erläutert Gugelmann: "Visibilität wird viel zu wenig Gewicht beigemessen, viele Firmen wissen gar nicht, was bei ihnen im Netzwerk steckt". Häufig gebe es dann ein grosses "Aha", wenn man die Lösung starte. "Das ist doch der Dienst, den wir vor zwei Jahren abgestellt haben, hört man oft", so Gugelmann. Wenn man keinen Einblick habe, verstehe man das Netzwerk auch nicht. Dies sei aber die allererste Voraussetzung für stimmige Security-Massnahmen.