Vor 25 Jahren, Anfang Januar 1989 gründeten Oliver Winzenried und Marcellus Buchheit in Karlsruhe die Wibu-Systems und starteten eine Erfolgsgeschichte: Mit innovativen Ideen und kontinuierlichem Wachstums hat sich Wibu-Systems zur Aktiengesellschaft gewandelt und zählt inzwischen zur Weltspitze im Markt für Softwareschutz und Lizenzierung. Eine gute Gelegenheit für das VKSI Magazin, den Gründer Oliver Winzenried im Rahmen unserer Rubrik »Karlsruher Köpfe« zu interviewen.
25 Jahre Wibu-Systems, Herr Winzenried, haben Sie eigentlich Zeit zum Feiern?
Winzenried: Wir hatten letzte Woche die Hannover-Messe Industrie, vorher das Automatisierungstreffen in Böblingen, davor die CeBIT, davor die Embedded World, davor eine große Hausmesse im Januar. Nach Ostern war ich mit Wirtschaftsminister Gabriel und seiner Wirtschaftsdelegation in China, Anfang Mai auf der Industrial Automation in Peking – so richtig viel Zeit bleibt da nicht. Dennoch kann man 25 Jahre nicht einfach so vorbeigehen lassen. Wir haben mit allen Mitarbeitern, ihren Familien, Partnern, Kunden und Freunden, also mit allen, die zum Erfolg der Firma beigetragen haben, am 2. April auf der MS-Karlsruhe bei herrlichem Wetter gefeiert.
Wie lautete vor 25 Jahren die Wibu-Gründungsidee?
Winzenried: Meinen Partner Marcellus Buchheit habe ich schon zu Studienbeginn 1981 bei den Amateurfunkern der Universität Karlsruhe kennen gelernt. Nach dem Studium haben wir beide zunächst Auftragsentwicklung gemacht, zum Beispiel elektronische Türschlösser für die Automobilindustrie aber auch Bühnensteuerungssysteme, etwa für das Thalia Theater in Hamburg und andere, doch das war alles vor Wibu-Systems. Im Laufe der Zeit entstand die Idee, dass man für Software Kopierschutz braucht. 1989 haben wir dann unser erstes Produkt auf den Markt gebracht, den Wibu-Key – ein Dongle für PCs, und daraufhin haben wir unsere Firma gegründet.
Hat Ihre Branche mehr Betriebsgeheimnisse als andere?
Winzenried: Manche sicher.
Inwieweit ist dann Zusammenarbeit möglich? Können Sie Mitarbeiter auf Zeit in Ihr Unternehmen rein holen?
Winzenried: Das geht schon, weil wir die Schutzverfahren, die wir verwenden, nicht geheim halten können. Der Kunde muss sich davon überzeugen können was er bekommt, also gegen welche Art von Bedrohungen unsere Software schützt. Er kann sich nur überzeugen, wenn wir sagen, was wir machen. Der eigentliche Schutz basiert tatsächlich auf der Länge der kryptographischen Schlüssel und auf den Verfahren selber. Die Nachweisbarkeit, dass der Schutz funktioniert, und die Demonstration des Verfahrens sind wichtige Grundlagen für unsere Kunden, Vertrauen aufzubauen. Wenn man Dinge versteckt, ist das »Security by Obscurity«, eine Pseudosicherheit, die häufig auch nicht lange hält.
Wibu-Systems macht ja auch Schutz für Embedded Systeme …
Winzenried: Nach dem Schutz für PC-Software kamen unsere Entwicklungen für den Industriebereich mit speziellen Varianten unserer CodeMeter basierten Donglehardware, die man in einem Embedded System oder einem Automatisierungssystem verwenden kann. Diese überleben auch extreme industrielle Produktionsbedingungen und man kann sie in bestehenden Systemen und Steuerungen nachrüsten. Das ist dann zum Beispiel ein Dongle als Micro SD Karte. Es handelt sich im Prinzip immer um eine Kombination aus einem Speicher und einer sicheren Verschlüsselung in einem Smartcard-Chip.
Wir bieten nicht nur Schutz vor Kopie oder Reverse Engineering. Ein weiteres wichtiges Angebot ist das Licensing, so dass bei einem Gerät, das in großen Stückzahlen einheitlich produziert wird, vor der Auslieferung an den Kunden durch die Konfiguration festgelegt wird, welche Funktionen es eigentlich hat. Wir können außerdem die Verteilung der Lizenzen in die Geschäftsprozesse vom Kunden integrieren, also die Anbindung an ein CRM- oder ein SAP-System, indem dann in der Stückliste von einem Gerät die Software realisierten Funktionen genauso mit einer Teilenummer drin stehen wie die mechanischen Teile.
Außerdem schützen unsere Produkte vor Manipulationen und Veränderungen. Das wird gerade jetzt durch die zunehmende Vernetzung von Steuerungsgeräten, etwa in der Energieversorgung oder in der Verkehrslogistik, oder auch im intelligenten Gebäude, immer wichtiger. Das macht man über eine Art elektronische Unterschrift, das heißt der Hersteller oder berechtigte Herausgeber von einem Stück Programmcode unterschreibt seinen Code und das Embedded System überprüft die Signatur. Dies stellt sicher, dass der Code nicht verändert wurde, und auch, dass er von jemandem kommt, der dazu berechtigt ist. Und nicht von einem Dritten eingespeist wurde. Vor fünf Jahren hat noch niemand nach dieser Komponente gefragt, begonnen hat es mit Stuxnet Mitte 2010.
Niemand konnte eine solche Entwicklung vor 25 Jahren absehen…
Winzenried: Das stimmt. Was wir damals vermutet haben war, dass der Einsatz von PCs sehr stark zunehmen wird und dass es daher wichtiger wird, Software zu schützen, da deren Kopie qualitativ nicht schlechter ist als das Original. Doch Sicherheit gibt es nie zu 100 %, und nie für alle Ewigkeit. Man muss immer die Algorithmen verbessern, die Verfahren verbessern und das möglichst in einer Art und Weise, dass der Kunde, der die Schutzmechanismen einsetzt, oder auch eine Schutzhardware von uns in sein Produkt integriert, nicht die Hardware auswechseln muss.
Wo begegnet man Wibu-Systems im Alltag, mal abgesehen vom PC?
Winzenried: Wenn Sie Geld abheben bei einem Geldautomaten von WincorNixdorf, ist eine Komponente von uns drin oder beim Diagnosestecker von Bosch Esi-Tronic in der Autowerkstatt, cerec, beim Zahnarzt, auch hier steckt in jeder Maschine ein kleiner CodeMeter drin. Der schützt zum einen die Geräte, um den Nachbau zu erschweren, aber auch um sicherzustellen, dass das Gerät genauso funktioniert wie es zugelassen wurde. Das verlangt nicht zuletzt das Medizinproduktegesetz.
Inwieweit war Karlsruhe wichtig für Ihre Gründung?
Winzenried: Erst im Nachhinein hat sich der Standort als sehr vorteilhaft erwiesen. Zum einen was den Zugang zu Mitarbeitern, Absolventen von der Uni, angelangt. Außerdem haben wir auch schon recht früh, etwa 1992 oder 1993 mit der Universität Karlsruhe zusammengearbeitet. Das Europäische Institut für Systemsicherheit, EISS, das Forschungszentrum Informatik, FZI, die Fraunhofer-Gesellschaft, sind alles wichtige Kooperationspartner für uns. Dazu kommen die Netzwerke wie das Cyberforum und der VKSI, die KA IT SI Sicherheitsinitiative. Hier sind wir überall Mitglied und auch aktiv.
Überhaupt sind Netzwerke extrem wichtig, gerade für eine kleine Firma. Wenn man hier das Konsortium richtig wählt, Networking betreibt, dazu inhaltlich an Lösungen arbeitet, kann man von den Kenntnissen der anderen auch profitieren. Hier ist kein im Wettbewerb, hier haben wirklich alle ihren Nutzen. Die Verbände von VDMA bis BITKOM bieten gerade auch für kleine und mittlere Unternehmen die Chance, mit den richtigen Leuten bei großen Unternehmen in Kontakt zu kommen. Karlsruhe liegt auch verkehrsgünstig zwischen Paris, Brüssel, Hamburg und Berlin. Auch die Stadt selbst ist sehr engagiert. Vor vielen Jahren war ich mit der Wirtschaftsförderung in Finnland, als Nokia noch sehr erfolgreich war.
Nun ist Wibu-Systems aber nicht nach Finnland, sondern nach China gegangen…
Winzenried: 2003 haben wir ein Büro in Shanghai eröffnet, 2005 haben wir daraus eine Tochtergesellschaft gemacht, aber wir haben bis 2011 gebraucht, bis wir in China schwarze Zahlen geschrieben haben. Aber ich bin auch heute noch überzeugt: man kann dort nicht hingehen und innerhalb kurzer Zeit erfolgreich sein. Das funktioniert höchstens dann, wenn man lediglich seinen bestehenden Kunden folgt. Unser Ziel war aber, in China unsere Produkte chinesischen Kunden zu verkaufen. Und das hat lange gedauert. Aber jetzt macht es viel Spaß, und wir haben inzwischen auch ein zweites Büro in Peking.
Sie sind oft selber in China, wie gefällt es Ihnen?
Winzenried: Ich bin dort vier- bis sechsmal pro Jahr, und ich bin gerne dort. Die Zusammenarbeit mit den Mitarbeitern dort macht mir Spaß, ebenso die Gespräche mit den Kunden und das Essen schmeckt mir. Das einzige, was mir nicht gefällt, ist die Luftverschmutzung, dauerhaft dort leben wollte ich nicht. Im Karlsruher Verbindungsbüro der Außenhandelskammern hatte ich etwas chinesisch gelernt, ich spreche etwa 200 Worte, das reicht für Höflichkeitsfloskeln, aber noch nicht für Smalltalk. Ansonsten muss das Smartphone helfen und kann schnell ein Zeichen entschlüsseln oder man kann jemandem ein Zeichen zeigen.
Was sind die wichtigsten Höflichkeitsregeln in China?
Winzenried: Ich denke, wir Ausländer dürfen auch Fehler machen. Nur ganz grobe grundsätzliche Fehler sollte man vermeiden. Bei uns in Deutschland etwa lässt man bei Trainings oder Schulungen die Leute bewusst in Fehler hineinlaufen, damit sie selber sehen, »Oh ja, das habe ich falsch gemacht«. Danach zeigt man ihnen, wie es richtig geht. Das würde man in China nicht so machen, denn dann hätten alle Angst mitzumachen, weil sie sich keine Blöße geben wollen.
Was haben Sie durch Ihre Auslandserfahrung über den deutschen Markt gelernt?
Winzenried: Der deutsche Markt ist sehr professionell, sehr strukturiert, man betrachtet Entscheidungen hier viel langfristiger als in anderen Märkten. In Deutschland denkt man mehr mittel- bis langfristig und auch mehr nutzen- und weniger preisgetrieben. Das gilt auch für Österreich und die Schweiz. Für uns ist Deutschland ein toller Markt, noch dazu ist er direkt vor unserer Haustür. In Asien ist der Aufbau einer persönlichen Beziehung unerlässlich zur Vertrauensbildung.
Wie geht es bei Wibu-Systems in den nächsten 25 Jahren weiter?
Winzenried: Wir haben für die nächsten 5-6 Jahre das Ziel, 25 % Weltmarktanteil in unserem Nischenmarkt zu bekommen. Das bedeutet ein starkes Wachstum, aber das ist nicht unrealistisch. Außerdem wollen wir CodeMeter als eine Art De-Facto-Standard etablieren. Der Erfolg der letzten 25 Jahre hat uns gezeigt: Wenn man selber von etwas wirklich überzeugt ist, soll man sich nicht davon abbringen lassen.
Lieber Herr Winzenried, vielen Dank für das Gespräch. (Susann Mathis)