Manchmal stammen die erfolgreichsten Startup-Ideen von Leuten, die Tools entwickeln, um ihre eigenen Bedürfnisse zu erfüllen. Dies war der Fall bei Dafydd Stuttard, einem Sicherheitsexperten, der unter dem Spitznamen Daf bekannt ist.
Vor fast zwei Jahrzehnten arbeitete Daf als Sicherheitsberater für verschiedene Kunden in der kleinen Marktstadt Knutsford in Cheshire im Nordwesten Englands.
Nebenbei entwickelte er Apps, die er selbst verwenden konnte, um einige der routinemäßigeren Teile seiner Arbeit zu beschleunigen. Er gab jedem Tool einen zufälligen Namen, verwendete es eine Weile und machte dann weiter. Manchmal erzählte er anderen in seiner Community von den Tools, falls sie nützlich waren. (Daf hatte in der Sicherheits-Community bereits einen Ruf als ethischer Hacker und Autor, sodass er dafür ein bereites Publikum hatte.)
Eines Tages war ein Tool, das er zur Unterstützung von Penetrationstests entwickelte – ohne besonderen Grund Burp genannt – eine seiner Kreationen, die er mit anderen teilte. Es fand schnell Anklang und Daf beschloss, zu sehen, wie weit er es noch bringen konnte.
Wenn wir schnell vorspulen bis heute, können wir die Früchte von Dafs Instinkt hinsichtlich des Werts des Werkzeugs sehen.
Burp ist jetzt Rülps-Suitedas Herzstück eines Startups namens – in Anlehnung an das Thema Trinken – PortSwigger. Mehr als 20.000 Organisationen in 170 Ländern zählen zu den Kunden, 80.000 Einzelpersonen und „weit über“ 1.000 Unternehmen und Organisationen nutzen die kostenpflichtige Enterprise Edition. (Zu den Unternehmen gehören Microsoft, Amazon, FedEx, Salesforce und andere.) Ein weiteres Unternehmen unter dem Dach von PortSwigger, eine Bildungsplattform namens Web-Sicherheitsakademiehat mehr als 1 Million Benutzer. Und ja, es gibt mittlerweile neben Daf noch Dutzende weitere Mitarbeiter.
PortSwigger ist seit seiner Gründung vor 17 Jahren ein Unternehmen, das sich aus eigenen Mitteln finanziert hat und profitabel ist. Nun hat sich Daf zum ersten Mal dazu entschlossen, eine beträchtliche externe Investition von 112 Millionen Dollar anzunehmen, um das Unternehmen auf die nächste Stufe zu heben. Brighton Park Capital aus den USA ist der einzige Investor.
„Um unsere Ziele zu erreichen, brauchen wir mehr Fachwissen“, sagte Daf in einem Interview. „Der Markt wird größer und komplexer und die Bedürfnisse unserer Kunden werden größer.“
„Aber Kapital war nicht der größte Antrieb, da wir einen positiven Cashflow haben und die Firmen, mit denen wir zusammenarbeiten wollten, frei auswählen konnten“, fuhr er fort. Das Interesse kam nicht nur von Investoren, sondern auch von potenziellen Käufern.
Einen Teil seines Erfolgs verdankt das Unternehmen dem guten Ruf und der bescheidenen Zugänglichkeit von Daf.
(„Ich habe eine E-Mail von Daffyd Stuttard bekommen. @portswigger heute als Antwort auf eine Frage zum Thema Rülpser-Extender“, jemand einmal auf Twitter bemerktjetzt bekannt als X. „Fühlt sich an, als hätte Gott mir gerade eine EML geschickt.“
Doch dieser Aufstieg geht auch mit einer deutlich stärkeren Bedeutung der Cybersicherheit einher.
Es gibt eine Reihe von Punktlösungen, die von Anbietern in einer riesigen, komplexen und sich schnell entwickelnden Sicherheitslandschaft angeboten werden – einer Landschaft, die aus der Tatsache entstanden ist, dass Sicherheitsverletzungen und Schwachstellen zunehmen Rekordpreise und sie richten mehr Schaden an als jemals zuvor, nicht zuletzt aufgrund der Einbeziehung von KI in dieses Problem. Dies hat zur Entwicklung weiterer Anwendungen und Ansätze zur Bekämpfung dieses Problems geführt.
Eine Konstante in dieser Mischung ist jedoch die Rolle von Personen mit tiefgreifender Fachkompetenz: Ethische Hacker und menschliche Tester spielen weiterhin eine wichtige Rolle bei der Identifizierung und Behebung von Problemen.
Aber diese Personen benötigen Unterstützung und Werkzeuge, und hier kommt ein Unternehmen wie PortSwigger ins Spiel.
Andere wie HackerOne und Bugcrowd haben sich zum Ziel gesetzt, die Rolle einzelner White-Hat-Hacker in Sicherheitsoperationen zu einem Produkt zu machen. Daf weist darauf hin, dass diese keine Konkurrenten von PortSwigger sind: Sie sind Partner und sein Startup stellt Tools für diese und ähnliche Plattformen bereit, die wiederum von ihren Benutzern verwendet werden.
Längerfristig wird es interessant zu beobachten, welchen Einfluss neuere Technologien und Architekturen auf die Rolle des Einzelnen bei der Bewältigung und Lösung von Sicherheitsproblemen haben werden.
Obwohl man annehmen könnte, dass eine neuere Innovation wie KI in dieser Hinsicht eine Bedrohung darstellen könnte, ist das zumindest im Moment nicht der Fall. Daf weist darauf hin, dass es eine Reihe sich wiederholender Aktionen gibt, die Penetrationstester möglicherweise durchführen und die durch Automatisierung verbessert werden können.
Sein einziger Investor stimmt zu.
„Wir glauben, dass trotz Automatisierung weiterhin Pentester erforderlich sein werden“, sagte Tim Drager, Partner bei Brighton Park, in einem Interview. „Experten verstehen das wirklich. Die Angriffsfläche ist massiv gewachsen und APIs sind zu Hauptzielen geworden, aber wenn man das mit dem Mangel an Cyber-Experten mit tiefgreifender Fachkompetenz kombiniert … braucht man deshalb Tools, die denen, die wissen, was zu tun ist, helfen, effizienter zu sein. Wir sehen darin einen wichtigen Wachstumsbereich. PortSwigger verleiht ihnen Superkräfte.“