25 Jahre SySS – wir feiern unser Jubiläum!

Ein Rückblick auf die Firmengeschichte, auf Herausforderungen, Veränderungen und Konstanten

Vom Innovator zum Marktführer

Ein Vierteljahrhundert ist es nun schon her, dass Geschäftsführer Sebastian Schreiber die SySS GmbH im Juni des Jahres 1998 in Tübingen gründete – das ist eine Rückschau auf bewegte 25 Jahre allemal wert!

Doch zuerst zurück auf Anfang: Inmitten seines Informatikstudiums an der Eberhard Karls Universität Tübingen legte Sebastian Schreiber bereits die Grundsteine für sein Un­ter­neh­men. Als selbstständiger IT-Berater arbeitete er für HP, IBM sowie die Wüstenrot-Bau­spar­kas­se und führte neben weiteren IT-Tätigkeiten die ersten Penetrationstests (kurz: Pentests) der Firmengeschichte im Alleingang durch. Dies sollte allerdings nicht lange so bleiben. Noch vor dem erfolgreichen Studienabschluss zum Diplom-Informatiker stellte er die ersten SySSler ein: unter anderem eine Unterstützung für die Rechnungsverwaltung und im Jahre 2002 einen der ersten IT-Sicherheitsexperten – Senior Expert IT Security Consultant Micha Borrmann, der bis heute bei der SySS arbeitet und Pentests durchführt.

Neben Penetrationstests, für die es anfänglich noch kaum Nachfrage gab, bot die SySS in ihren ersten Jahren vor allem Systemadministrator-Dienstleistungen an. War die IT-Land­schaft damals auch noch nicht mit dieser Form von Sicherheitsüberprüfungen vertraut, so bestand doch eine hohe Nachfrage bezüglich der Weitergabe von IT-Expertise. Dies erkannte Sebastian Schreiber früh und rief Hacking-Schulungen ins Leben, die sich seitdem einer regen Beliebtheit erfreuen. Die Workshops zeichneten sich auch zu dieser Zeit bereits durch die praxisorientierte Vermittlung von Insiderwissen für Mitarbeitende verschiedenster Unternehmen aus. Die anfängliche Zurückhaltung des Marktes in Bezug auf Penetrationstests sollte sich mit der Zeit jedoch stark ändern und der Penetrationstest etablierte sich, spätestens im Jahre 2002, immer mehr als eigenständige Dienstleistung. Simulierte Cyberangriffe wuchsen – und wachsen – gemeinsam mit dem Pentest-Marktführer SySS. "Ich wünsche mir, dass wir mit unseren Mitarbeitenden und unseren Kunden weiterhin Werte schaffen, Gefahren verhindern und die Welt ein bisschen sicherer machen können.", so Sebastian Schreiber.

Haben sich auch viele Dinge in der (IT-)Welt seit 1998 – teils rasant – verändert, so adaptiert sich die SySS stetig, bleibt am Puls der Zeit und sich dennoch immer treu. Auch heute führt die SySS als Hauptgeschäft immer noch vor allem Pentests von höchster Qualität durch. Und Penetrationstests sind heutzutage wahrscheinlich so existenziell wichtig wie nie zuvor! Neben simulierten Hackerangriffen und Schulungen bietet die SySS allerdings auch weitere sicherheitsrelevante Leistungen an, wie Red Teaming, Digitale Forensik und Incident Res­ponse, Technisches Consulting und Live-Hacking. Damit deckt sie eine größtmögliche Fläche der Cybersecurity für ihre Kunden ab und bietet professionelle Beratungen in allen IT-Si­cher­heits-Le­bens­la­gen an, bei denen die IT Security Experts auf einen enormen, mindestens 25-jährigen Erfahrungsschatz zurückgreifen können.

Momentan, Stand Juni 2023, beschäftigt die SySS insgesamt über 160 Mitarbeitende. Der Hauptsitz der Firma befindet sich seit jeher in Tübingen. Dort war er schon an un­ter­schied­lich­en Standorten, und seit 2017 ist er in der Schaffhausenstraße 77. Jedoch wächst nicht nur die Leber mit ihren Aufgaben, sondern auch die SySS: So gründete Sebastian Schreiber 2018 das Tochterunternehmen SySS Cyber Security in Wien und eröffnete die erste der beiden Niederlassungen in Frankfurt am Main. Ein Jahr später gründete er die Münchener SySS-Dependance, passend zum Oktoberanfang, der für die bayerische Landeshauptstadt auch traditionellerweise schon für Feststimmung steht.

Weitere Details zur räumlichen und personellen (Weiter-)Entwicklung der SySS finden sich in unserem Blogartikel zum 20-jährigen Jubiläum. Und für die Zahlenliebhaber:innen folgen nun einige harte, aber nicht minder spannende Fakten und Statistiken in kompakter Form.

Die SySS in Zahlen

  • Okt. 2017: 100 SySSler:innen
  • Sept. 2022: 150 SySSler:innen
  • 7 SySS-Schwerpunktteams: SAP, Windows, Digitale Forensik und Incident Response, Hardware, Cloud, Red Teaming und Mobile
  • Anzahl der durchgeführten Projekte seit 2018:
    • Pentests: > 8500
    • Digitale Forensik und Incident Response: > 600
    • Red Teaming: > 200
    • Technisches Consulting: > 150
  • Veröffentlichte Advisories: über 250
  • Events/Messen/Tagungen: über 70 Auftritte
  • Medienauftritte: unzählige Interviews, Artikel und Expert:innenbefragungen in Print, Funk und Fernsehen

Herausforderungen und SySS-Lösungsansätze

Die SySS ist immer "mittendrin statt nur dabei" – so auch in den turbulenten letzten Jahren, in denen eine konstant wachsende Bedrohung der IT-Sicherheitslage zu verzeichnen ist. Zum einen informiert die SySS zeitnah über relevante Geschehnisse in der IT-Welt, zum anderen gibt sie Ratschläge, Expert:innenmeinungen und Vorschläge zur Abmilderung von Schwachstellen, die von bösartigen Hackern regelmäßig und (zu oft) erfolgreich ausgenutzt werden. Im Folgenden erhalten Sie einen Einblick in konkrete Vorfälle der jüngeren Vergangenheit und viele dynamische Ideen, die die SySS umsetzte, um sowohl die IT-Welt als auch die Nicht-IT-Welt ein wenig zu verbessern.

Im Jahr 2020 gibt es unter anderem etliche Angriffe auf den Gesundheitssektor und Datenleaks (Preisgaben sensibler intimer Daten) mit Lösegeldforderungen. Neben häufiger auftretenden Cyberangriffen auf große Tech-Unternehmen überschreiten die jährlichen Schäden von Hackerangriffen spätestens 2021 die 220-Milliarden-Euro-Marke. Im selben Jahr kommt es außerdem zu den beiden kritischen Sicherheitsschwachstellen "Hafnium" und "Log4Shell". Auf erstere, eine kritische Sicherheitsschwachstelle in Microsofts Exchange Server, in deren Kontext zehntausende Systeme weltweit gehackt werden, reagiert die SySS prompt mit einem detaillierten Lagebericht und Empfehlungen zur Abschwächung. Darüber hinaus bieten die IT-Sicherheitsexpert:innen eine Hafnium-Sprechstunde an, bei der Kunden ihre individuellen Fragen beantwortet bekommen. Log4Shell betrifft die weit verbreitete Java-Bibliothek "Log4j", woraufhin die SySS für besorgte User ein kostenfreies Q&A via Zoom mit mehreren Consultants anbietet, die die wichtigsten technischen Details aufarbeiten und konkrete Empfehlungen geben, um eine direkte Hilfestellung zu leisten.

Und dann kommt Corona ...
... und für mehrere Jahre ist nichts mehr wie zuvor! Auch außerhalb der Geschehnisse im Feld der IT-Sicherheit kommt es zu großen Veränderungen und neu zu denkenden Dynamiken im Arbeits- und Privatumfeld. Kreative Ideen und Lösungsansätze werden gesucht und auch gefunden! So denkt die SySS bereits nach kürzester Zeit um und führt neue Prozesse im Pentesting-Alltag ein. Im Zeitalter des Physical Distancing werden Penetrationstests nun mit der sog. Pentestbox remote durchgeführt. Die Pentestbox besteht aus einem per Post verschickten Laptop, womit die SySS-Consultants die­sel­ben Szenarien abdecken können wie bei einem Test vor Ort. Daneben werden auch flä­chen­de­ckend Videokonferenzen und Homeoffice weiter ausgebaut, um den neuen Herausforderungen an­ge­mes­sen zu begegnen. Naturgemäß bietet die SySS ihren Kunden auch Pentests der sich immer weiter ver­brei­ten­den Homeoffice-Lösungen an. Ebenfalls ist die SySS stolz, durch Pro-bono-Aktionen andere Unternehmen und Corona-Helfer:innen mit kostenfreien Pentests zu unterstützen und Impftermine anzubieten. Im Winter 2021 alleine werden über 1500 Corona-Impfungen auf dem SySS-Gelände gegeben. Den Kleinen versüßt ein Zauberer die Wartezeit und nach dem Piks gibt es traditionsgemäß etwas vom Grill – von Grillmeister Sebastian Schreiber persönlich zubereitet.

Aber zurück zur IT-Sicherheit: Auch im Jahr 2022 nimmt die Schwere der Cybervorfälle erheblich zu: Der Landkreis Bitterfeld-Anhalt ruft den Cyber-Katastrophenfall aus und Cyberkrieg kommt (v. a. im Kontext des Krieges gegen die Ukraine) verstärkt ins Gespräch. Ebenso werden auch Privatpersonen so häufig wie noch nie zuvor an­ge­grif­fen, z. B. über Social Engineering-Betrugsversuche, bei denen Bankdaten erbeutet werden, oder aber über Trojaner, die für Angreifende immer noch (zu) oft zum Erfolg führen.

Um Cyberkriminalität per E-Mail-Phishing, Krypto-Ransomware etc. noch besser entgegenzuwirken, baut die SySS in den letzten Jahren ihre Abteilungen Red Teaming sowie Digitale Forensik und Incident Response (DFIR) signifikant aus. Die Red Teaming- und DFIR-Spezialisten unterstützen Kunden dabei, nicht nur tech­ni­sche Maßnahmen zur Absicherung zu treffen, sondern auch die Awareness der Mitarbeitenden zu stärken. Darüber hinaus simuliert das Red Team ziel­ge­rich­te­te Angriffe aus externer Perspektive gegen Unternehmensnetzwerke und prüft die Gebäudesicherheit von Betrieben. Das DFIR-Team hingegen steht bereits an­ge­grif­fen­en Unternehmen spontan bez. akuter IT-Sicherheitsvorfälle bei, indem es gerichtsverwertbare Daten erfasst und Aufklärung und Wiederherstellung dieser Vor­fäl­le betreibt.

Ende des Jahres 2022 ereignet sich allerdings noch ein ganz anderer, technologischer Meilenstein: Chatbots wie ChatGPT revolutionieren unser aller Perspektive in Bezug auf künstliche Intelligenz (KI). Neben Gedichten und historischen Abhandlungen kann ChatGPT unter anderem auch Programmcode schreiben. Ist diese neue Form der KI mit der erstmaligen Fähigkeit, komplexe Sachverhalte und Zusammenhänge zu erkennen und zu verarbeiten, auch in der Lage, in Zukunft Penetrationstests durchzuführen? Sebastian Schreiber ist überzeugt, dass qualitativ hochwertige Pentests auch in der näheren Zukunft definitiv noch in Menschenhand bleiben werden. In jedem Fall bleibt die SySS wie bisher stets am Ball, was die technischen Neuerungen der Zukunft betrifft – sowohl in der IT-Sicherheit als auch in anderen Feldern der immer weiterwachsenden digitalen Welt. Nicht zuletzt deswegen gehört die SySS laut Auszeichnung des Wirtschaftsmagazins brand eins in Zusammenarbeit mit dem Statistikportal statista zu den "Besten IT-Dienstleistern 2022" – denn denkt man an IT Security, denkt man an die SySS!

Forschung und Wissenstransfer – eine SySSyphusarbeit?!

Wissensdurst und der Drang, Neues zu erforschen, ist bei der SySS schon seit jeher eine intrinsische Motivation. Angefangen bei den bereits angesprochenen Hacking-Schulungen der Anfangszeit bis hin zum heutigen, umfassenden Schulungsangebot, welches unterschiedliche Themen, Zielgruppen und durchführende IT Security Experts umfasst. Ebenso wie die SySS bei den Pentests die Per­spek­ti­ve eines Hackers einnimmt, so können dies auch die Teilnehmenden der Schulungen tun. Dadurch wird das theoretisch Gelernte sogleich zum praktisch Verstandenen – und nicht zu einer klassischen Sisyphusarbeit, die nur das konstante Wettrüsten zwischen (digitalen) Angreifenden und Ver­tei­di­gen­den betrachtet. Das Angebot erstreckt sich von Hacking-Grundwissen über maßgeschneiderte Angriffe auf Webapplikationen oder Windows-Netzwerke bis hin zu Digitaler Forensik, Phishing Awareness und IT-Recht-Workshops – der SySS ist es wichtig, ein sehr breit gefächertes Spektrum abzudecken. So ist für alle Interessierten mit verschiedenen Hintergründen und Wissensständen immer etwas Spannendes dabei!

Darüber hinaus ist die SySS stolze Unterstützerin junger Forscher:innen (in spe) bei Projekten rund um Naturwissenschaften und Technik und engagiert sich mit vollem Einsatz als Patenunternehmen für das Projekt "Jugend forscht". Außerdem unterstützt die SySS gerne Forschungshungrige, die mehr zum Thema IT-Sicherheit lernen, erfahren und erarbeiten möchten. Vom Praktikum für Studierende, Unterstützung bei der Erstellung von Abschlussarbeiten bis hin zum dualen Studium teilt die SySS ihr langjähriges Wissen gerne mit allen IT-Security-Interessierten.

Die IT Security Consultants der SySS sind naturgemäß selbst auch stets auf Forschungskurs im Ozean der sich rasend schnell entwickelnden digitalen Welt und veröffentlichen unter anderem regelmäßig Security Advisories zu Sicherheitslücken in kommerziellen Produkten. Überdies hat die SySS im Juni 2021 den SySS Tech Blog ins Leben gerufen, um die neuesten Erkenntnisse in Sachen IT-Sicherheit sowie neue, selbst programmierte Tools mit der internationalen Tech Community zu teilen. Weitere Fachartikel und Fachvorträge, die auf diversen IT-Sicherheitskonferenzen gehalten wurden, sind in der SySS Pentest Library zu finden. Daneben publiziert die SySS auch auf ihrem YouTube-Channel "SySS Pentest TV" ebenso eindrücklich wie anschaulich Videos zu identifizierten Schwachstellen, Hacking-Tools und – ganz aktuell – IT-Grundwissen.

Gestützt und gefördert wird der interne Forschungsdrang von der bereits 2013 etablierten SySS-internen Research & Development (R&D)-Abteilung, die mittlerweile auf zehn Jahre Hands-on-Erfahrung und über 250 Projekte zurückblicken kann. So investiert die SySS in Wissenstransfer und Forschung und trägt weiterhin aktiv zum Fortschritt in der IT-Sicherheit bei, ist über alle aktuellen Themen im Bilde und kann die zukünftige Entwicklung der Branche antizipieren. Dies ist allerdings nicht nur für eine interne Qualitäts- und Effizienzsteigerung sinnvoll, sondern die so gewonnene Expertise dient schlussendlich auch häufig der Allgemeinheit – nicht umsonst sind Sebastian Schreiber und weitere SySS-Consultants gerne gesehene Gäste in Print, Funk und Fernsehen, wenn es um die Themen Cybersecurity oder IT-Neuerungen geht.

Nun aber hoch die Tassen, Gläser und Flaschen auf die nächsten 25 Jahre SySS!

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer