So verkaufen Sie Ihre SaaS auf sichere Weise an Unternehmen

Aman: In dieser Folge erfahren Sie, wie Sie Ihre SaaS auf konforme Weise an Unternehmen verkaufen können. Dies ist relevant für Entwickler oder Gründer, die einen Markteintritt in Erwägung ziehen. Mein Name ist Aman und ich bin der Leiter der Wachstumsabteilung bei Nuoptima. Ich freue mich, dass Deepak, Mitbegründer und CEO von BoxyHQ, heute bei mir ist. BoxyHQ revolutioniert die Art und Weise, wie SaaS-Unternehmen Compliance- und Sicherheitsfunktionen für Unternehmen integrieren, und macht dies mit nur wenigen Zeilen Code unglaublich einfach.

Wir befassen uns mit der Gründungsgeschichte von Boxy, den versteckten Kosten der Entwicklung maßgeschneiderter Sicherheitslösungen, dem Verständnis der Compliance- und Sicherheitsanforderungen von Unternehmenskäufern, zukünftigen Trends und wie Boxy mit einer marktführenden PLG-Bewegung vermarktet. Aber genug von dieser Einführung, fangen wir an.

Willkommen zu dieser Folge von SaaS Minds. Bei mir ist Deepak, Mitbegründer und CEO von BoxyHQ. Boxy hilft SaaS-Unternehmen, mit ein paar Zeilen Code Compliance- und Sicherheitsfunktionen für Unternehmen zu aktivieren. Deepak kommt aus dem Bereich der technischen Entwicklung und war der Gründer, pardon, der CTO von RedZift, einem Cyber-Startup.

Deepak, danke, dass du bei uns bist. 

Deepak: Ich danke Ihnen. Ich freue mich sehr, hier zu sein. 

Aman: Fantastisch. Also, Deepak, fangen wir an. Ich würde gerne wissen, wer Boxy ist. Was ist Boxy? Was machen sie? 

Deepak: Ja, absolut. Wir bieten also Sicherheitsbausteine speziell für Entwickler an. Wir kommen aus dieser Art von Hintergrund und lösen dieses Problem.

Eines der Probleme ist, dass es den Entwicklern immer am Sicherheitsdenken oder an den entsprechenden Fähigkeiten mangelt, aber sie neigen dazu, mit Aufgaben überhäuft zu werden, die sie in ihr Produkt einbauen müssen. Hier kommen wir ins Spiel und geben ihnen gebrauchsfertige Bausteine an die Hand, die direkt in die Produkte integriert werden können und ihnen Funktionen wie Enterprise Single Sign On, Verzeichnissynchronisation, Audit Logging und bald auch ein Privacy Wallet bieten, mit dem sie sensible Daten schützen können.

Aman: Fantastisch. Und können Sie uns eine Vorstellung davon geben, wie groß die Boxen sind, also wie weit Sie schon sind? 

Deepak: Ganz genau. Es war noch ziemlich früh. Wir haben vor über zwei Jahren angefangen. Und wissen Sie, es handelt sich hier um eine neue Kategorie, es ist also noch sehr früh, aber wir sehen einige sehr interessante Fraktionen auf dem Markt.

Sogar während des Abschwungs, was ziemlich interessant ist, denn die COVID hat die gesamte Phase der digitalen Transformation beschleunigt. Und das bedeutet, dass die Software der Welt hilft und die Sicherheit immer noch nicht ganz aufholt. Es ist also noch sehr früh für die entwicklergesteuerte Sicherheit, oder wie wir es typischerweise nennen, die Linksverschiebung in der Sicherheit, bei der die Sicherheit mehr in Richtung der Entwickler geht, wo sie sozusagen zu ihrer Verantwortung wird, und nicht nur die Sicherheitsteams.

Ja, wir sind also seit etwa zweieinhalb Jahren im Geschäft. Wir haben eine Seed-Runde gemacht, also sind wir von einem Venture Capital unterstützt. Unsere Strategie für die Markteinführung war vom ersten Tag an Open Source, was ebenfalls sehr interessant ist. Dafür gibt es ein paar Gründe, auf die wir später eingehen können. Aber um es kurz zu machen, wir sind heute etwa sechs Leute.

Das Team ist also sehr klein, sehr schnelllebig, sehr schnelllebig. 

Aman: Erstaunlich. Erstaunlich. Und ich kann mir nicht vorstellen, dass jemand aufwacht und sagt: "Ich will, wissen Sie, wenn ich an der Universität bin, weil ich als Kind Sicherheitsfunktionen für Unternehmen entwickeln will. Ich meine, wie sind Sie überhaupt in dieses Gebiet gekommen? Wie sah die Gründungsgeschichte aus?

Deepak: Ja, nein, absolut. Ich denke, was Sie gesagt haben, ist genau richtig, oder? Niemand wacht auf, um Sicherheitsfunktionen zu entwickeln. Das kommt einfach so daher, während man sein Kernprodukt entwickelt. Und genau das ist mir auch schon passiert. Nicht nur einmal, sondern mehrere Male in meiner Karriere. Zuletzt war ich CTO bei einem großen Cybersicherheitsunternehmen, wo ich sieben Jahre lang tätig war und wir diese klassische Reise durchliefen.

die Anpassung des Produkts an den Markt für KMU, die sich schnell entwickeln. Sie können sie also dazu bringen, Ihr Produkt sehr schnell zu übernehmen. Als wir dann aber begannen, den Markt zu erobern, stellten wir fest, dass das ein ganz anderes Spiel ist, oder? Man muss die Beschaffung durchlaufen, man muss die RFPs der Info-Sec-Teams durchlaufen, Sicherheitsfragebögen ausfüllen.

Wissen Sie, noch bevor Ihr Produkt von jemandem genutzt wird, ist es eine ganz andere Denkweise, als man sie bei einem Unternehmensverkauf gewohnt ist. Und nachdem ich das gemacht habe und gesehen habe, welche Kopfschmerzen das bereitet, ist es natürlich sehr vielschichtig, oder? Es geht nicht nur um die Technologie, sondern auch darum, wie man jemanden dort überzeugen kann, welche Probleme man dort löst und wie das größere Unternehmen das Risiko einschätzt, das man eingeht.

Aber mir wurde klar, dass wir einen großen Teil unserer Entwicklungszeit mit - wie ich es nenne - sehr undifferenzierten und nicht zum Kern gehörenden Funktionen verbrachten, also mit Dingen wie Authentifizierung, Autorisierung, Protokollierung von Audits, und das alles, um vor allem die Compliance zu gewährleisten, d. h. man muss den Anforderungen des Unternehmens gerecht werden.

Aber sie werden zu Schlüsselfunktionen und man muss sie pflegen. Das war also mein Hintergrund, und als ich mir das ansah, habe ich mich hingesetzt und gedacht, warum gibt es für all das nicht einen Ansatz wie Stripe? Und das war sozusagen die Geburtsstunde von BoxeHQ mit meinem Kern. Cool. 

Aman: Ich meine, und um das Ausmaß des Problems zu verdeutlichen, wie schmerzhaft war es für Sie, dies bei dem letzten Unternehmen maßgeschneidert zu machen, und ich nehme an, Sie haben es schon mehrmals maßgeschneidert gemacht.

Wie schmerzhaft ist das? Was kostet das? Und wie könnte sich das auswirken? Ein Start-up, das sich auf dem Markt etablieren will. 

Deepak: Ganz genau. Es kommt also nur auf die Zeit an, die Sie für die Vermarktung benötigen, richtig? Sie haben also herausgefunden, dass Sie auf den Markt kommen wollen. Natürlich versuchen Sie, die Unternehmen davon zu überzeugen, dass sie Sie übernehmen sollten.

Aber zur gleichen Zeit, bis Sie diese haben. Ich nenne sie jetzt "Table Stakes"-Funktionen, weil das, was früher die einzigen Unternehmensfunktionen waren, jetzt von allen verlangt wird, oder? Man muss sie fast vom ersten Tag an haben. Ich würde sagen, man kann nicht länger warten.

Das bringt Sie also in eine gewisse Lage. Man muss sich erst einmal Gedanken darüber machen, was die Anforderungen sind und wie das in das Produkt integriert werden kann. Es gibt also eine Menge Entwicklungszeit, dann Wartung, und dann, wissen Sie, auf dem Laufenden bleiben mit all der Sicherheit, während sie in der Lage sind, so.

Es ist eine Art klassischer Softwareentwicklungs-Lebenszyklus, Sie wissen schon, all die Kosten in Bezug auf Entwicklungsstunden, Wartungsstunden, Tests und, was noch wichtiger ist, Kundensupport auf der Rückseite von all dem, Sie stoßen auf Probleme, wie lösen Sie sie? Das ist sozusagen der große Wurf.

Das tun wir. Wir kombinieren ein Produkt und Sie erhalten Lösungen von der Stange, die Sie anschließen und sofort einsetzen können. So wird die Markteinführung von ein paar Wochen oder sogar Monaten auf ein paar Tage reduziert. 

Aman: Erstaunlich. Und ich vermute, dass Sie als Entwickler, dem gesagt wurde, okay, Sie müssen in den Laden gehen, diese Sicherheitslösung brauchen.

Und wahrscheinlich ist es der Verkäufer, der sagt: "Hören Sie, Sie müssen das tun. Sonst kann ich diesen, Sie wissen schon, hundert KACV-Vertrag nicht verkaufen. Und plötzlich geht der ganze Druck von "Hey, Vertriebsteam" zu "Hey, Entwicklungsteam, warum habt ihr das nicht früher gemacht? Wie, was ist das für eine Dynamik? Zum Beispiel für das Entwicklungsteam oder für denjenigen, der sich mit diesem Problem auseinandersetzen muss. 

Deepak: innerlich.

Ja, absolut. Als Unternehmen in der Frühphase tragen die Entwickler sozusagen mehrere Hüte. Denn man hat nicht wirklich spezialisierte Teams, die sich um bestimmte Dinge kümmern. Man hat ein Ingenieurteam, das auch eine Art Produktteam ist, weil man normalerweise keine spezialisierten Produktleute hat, es sei denn, der Mitgründer, einer der Gründer kommt aus dem Produktbereich.

Und dann gibt es das Verkaufsteam, das hinausgeht und, Sie wissen schon, Ihr Produkt verkauft. Da gibt es natürlich den klassischen Konflikt zwischen dem, was der Vertrieb verkauft oder verspricht, und dem, was man als Entwicklungsteam zu liefern hat. Das ist also der Punkt, an dem so etwas typischerweise auftritt, oder?

Das Vertriebsteam geht zu einem größeren Kunden. Sie sagen: "Sie haben kein Single Sign On". Und sie sagen: "Oh, wir bauen das in zwei Monaten. Und dann kommt man zurück und spricht mit dem technischen Team, und das sagt: Oh, wir haben so viele andere Dinge zu tun, wir können das nicht schaffen. Dann kommt es zum klassischen Kampf: Wie setzt man die Prioritäten?

Wissen Sie, was Sie sonst nicht tun? Weil man jetzt Single Sign On machen muss. Das ist also das klassische Problem für das technische Team, wenn es darum geht, Kernfunktionen mit Nicht-Kernfunktionen wie diesen in Einklang zu bringen. Und natürlich gibt es immer wieder Dinge, die zwischendurch kaputt gehen, weil der Kundensupport einen mit Dingen bombardiert, die schief gelaufen sind.

Es ist also eine klassische Abwägung, wann man es tut. Wann sollte man die Ressourcen dafür bereitstellen und dann herausfinden, was man dafür tun muss. Also, Vertrieb, ich meine, Vertrieb, Produkt und Technik, richtig? Es ist ein klassisches Gerangel zwischen den dreien, um das hinzubekommen.

Und deshalb ist es für alle drei Teams wichtig, denn der Vertrieb möchte diese Informationen natürlich in seinem Instrumentarium haben, um zu verkaufen. In vielen Fällen, wenn Sie in einer bestehenden Kategorie sind. Alle anderen haben es schon, also können Sie es sich nicht leisten, es nicht zu haben. Und wenn es sich um eine neue Kategorie handelt, wird es auch zu einem Wettbewerbsvorteil für Sie, denn wenn Ihre Konkurrenten es noch nicht haben.

Dann kann man sagen: "Hey, ich habe ein unternehmensfähiges Produkt, das ihr übernehmen könnt. Das mindert das Risiko für das Unternehmen enorm. 

Aman: Ich nehme also an, dass Sie jetzt, wie früher, als Sie die CTR waren, die Skalierung vornahmen, dass der Ablauf so war, dass Sie an Unternehmen verkauften und dann die Compliance-Funktionen im Nachhinein bauten, wenn Sie, Sie wissen schon, eine Ahnung hatten, dass ein Geschäft bevorstand.

Deepak: Ganz genau. Das ist eine knifflige Angelegenheit, oder? Es kommt darauf an, wie man ihm begegnet. Für uns war es so, dass wir es im Eiltempo lernen mussten. Wir sind also zu den größeren Unternehmen gegangen und haben gefragt: Hey, haben Sie mit unserem Beschaffungsteam gesprochen? Und dann bekommt man diese lange Liste von 22, 23 Seiten an Ausschreibungen, die man ausfüllen muss.

Und das ist der Moment, in dem man wirklich über die Einhaltung von Vorschriften nachdenkt und darüber, warum sie das tun. Wie denken Sie intern über Ihre eigene Sicherheit nach? Bis dahin, wissen Sie, haben Sie sich irgendwie. Man konzentrierte sich darauf, die Dinge zum Laufen zu bringen, und jetzt ändert sich die Denkweise dahingehend, dass man sagt: "Okay, ich muss ein bisschen mehr über Sicherheit nachdenken, aber wie viel denn nun?

Denn es ist ein breites Spektrum. Für uns war es also ein klassisches Beispiel dafür, dass man rausgeht, auf diese Einwände stößt und dann zurückkommt und sagt, okay, ist es jetzt der richtige Zeitpunkt, um sich damit zu befassen, oder sollten wir noch ein bisschen warten? Es ist also einDeepak, wissen Sie, es waren nicht diese Art von sofort einsatzbereiten Tools.

Das bedeutete also, dass mein Team losziehen und es herausfinden musste, ein paar Dinge zusammenschustern. Man musste im Detail verstehen, wie das Ding funktioniert. Das kostet natürlich Zeit, und dann muss man all die verschiedenen Probleme lösen und dafür sorgen, dass die Integration funktioniert.

Das ist es also, was zeitaufwendig wird und gleichzeitig alles andere blockiert, was man in der Zwischenzeit hätte tun können. Ich denke also, dass es angesichts der Konkurrenzsituation und der Tatsache, dass der Markt diese Dinge einfach voraussetzt, richtig ist. Man muss sie haben, warum sonst sollte man überhaupt mit uns reden?

Sie werden also mehr und mehr zu einer Selbstverständlichkeit. Das Gute daran ist, dass man mit einer dieser Funktionen einsteigen kann, ich meine, vor allem mit dem Single Sign On für Unternehmen, denn so geht das. Unternehmen greifen auf Ihr Produkt zu, und wenn Sie das tun, gewinnen Sie eine Menge Zeit, nicht wahr? Wenn Sie erst einmal dabei sind, wenn Sie den Vertrag abgeschlossen haben, dann brauchen Sie auch Zeit, um sie einzubinden.

In der Zwischenzeit haben Sie also genug Zeit, um zu sagen, dass wir in der Zwischenzeit die Verzeichnissynchronisierung oder die Audit-Protokollierung in Ordnung bringen müssen. So sehen wir das also jetzt. Das Bewusstsein dafür ist viel größer geworden. Wenn Sie zum zweiten oder dritten Mal gründen, wissen Sie, dass Sie diese Erfahrung gemacht haben.

Sie denken also fast vom ersten Tag an darüber nach. Für die anderen ist es der Lernprozess, richtig? Sie haben schnell gemerkt, dass sie sich um die Einhaltung von Vorschriften kümmern müssen. Und wenn Sie an Rahmenwerke wie ISO 27, 001, SOC 2 denken, die wiederum sehr wichtig für den Unternehmensvertrieb sind, denn wenn Sie konform sind und die Zertifizierung haben, ist das so gut wie die Erfüllung ihrer Ausschreibungen, oder?

Einige von ihnen sagen jetzt sogar: Schicken Sie uns einfach einen Bericht. Sie müssen nicht einmal eine Ausschreibung ausfüllen. Das ist es also. Für ein Geschäft mit Unternehmen ist es ein Kinderspiel, diese Compliance-Funktionen zu haben, die Compliance-Zertifizierung selbst nimmt eine ganze Menge Stress aus dem Unternehmensverkauf.

Aman: Ja. Also für alle, die jetzt zuhören, bin ich mir sicher, dass sie vielleicht die Hälfte der Wörter kennen, die Sie gesagt haben, und sie wissen, was die ISO-Spezifikationen sind, und vielleicht jemand, der sagt, oh Mist, das ist ein ganz neues Wort. Könnten Sie für jemanden, der gerade zuhört, eine Checkliste abklappern, auf der steht, dass Sie das haben müssen und dass Sie das in etwa drei Monaten haben sollten, um 

Deepak: Beispiel?

Ja. Das ISO 27001-Rahmenwerk SOC 2 ist also das, was man im Großen und Ganzen als Rahmenwerk für die Einhaltung der Informationssicherheit klassifizieren würde. Das bedeutet also, dass es weniger um Regeln geht, richtig? Es ist eher ein Rahmenwerk, in dem Sie sagen: Das ist es, was ich tue. Und das sind all die Risiken, die mit dem Geschäft einhergehen.

Vor allem für ein digitales Unternehmen. Das ist die Frage, wie Sie Ihre Daten schützen können, denn schließlich sammeln Sie Daten von Ihren Kunden. Darauf haben es die bösen Menschen abgesehen. Das sind also die Kronjuwelen, oder? Sie versuchen, diese am Ende des Tages zu schützen. Mit dem Rahmenwerk wird also versucht, eine Art Grundlinie zu schaffen, auf die Sie sich stützen können.

Wie soll ich das aufbewahren? Wo bewahre ich es auf? Wie wird es verwendet? Wie schütze ich es? Dann muss man sich Gedanken darüber machen, wie man im Falle eines Einbruchs die Dinge wieder zum Laufen bringt. Dann denkt man darüber nach, ob ich die Daten richtig gesichert habe. Wenn ich heute alles verliere, kann ich dann alles wiederherstellen?

Wie schnell kann ich wiederherstellen? Eine Serviceverfügbarkeit und alle Daten, die ich gesammelt habe. Im Großen und Ganzen zwingen einen diese Compliance-Rahmenwerke dazu, darüber nachzudenken, was schiefgehen könnte und welche Maßnahmen man ergreift, um jedes Risiko zu mindern. Das ist, glaube ich, ein langfristiges Ziel für ein Startup, denn man kämpft immer mit der Anpassung des Produkts an den Markt.

wirklich konform zu sein und bereit zu sein, zu skalieren, wissen Sie. Diese Compliance-Frameworks spielen also eine große Rolle, wenn man anfängt zu skalieren, weil man es nicht mit einem oder zwei Unternehmenskunden zu tun hat, sondern mit Dutzenden, vielleicht sogar Hunderten von Anfragen, die eingehen. Das ist also das, was ich als Sicherheitsprozess bezeichnen würde, über den man nachdenken muss.

Aber ein Teil davon ist das, was man als "Enterprise Readiness" bezeichnen könnte, und das ist eine Art Überlegung, was Ihr Produkt braucht, um in die Beschaffung eines größeren Unternehmens zu gelangen. Deren Grundpfeiler sind heute, Sie wissen schon, Enterprise Single Sign On. Das ist effektiv. Es gibt Identitätsanbieter wie Okta, die heute sehr bekannt sind, Azure, die Active Directory-Lösung von Microsoft.

Und das sind Orte, an denen Sie ein Mitarbeiterverzeichnis führen. Sie sind ein großes Unternehmen, wissen Sie, Deepak ist CEO, Sie wissen, Sie wissen, jemand anderes ist Leiter des Vertriebs. All diese Informationen wollen Unternehmen nutzen, um in eine SaaS-Anwendung einzusteigen, weil das IT-Team dann die Möglichkeit hat. Das IT-Team hat dann eine viel bessere Kontrolle darüber, ob Deepak Zugriff auf die App XYZ haben soll oder nicht.

Enterprise Single Sign On gibt Ihnen das, und ich denke, dass die meisten Startups, die in das Unternehmen verkaufen oder verkaufen wollen, das heute als Minimum haben sollten. Sie verfügen bereits über eine Art von Authentifizierung. Jetzt geht es darum, das zu erweitern und zu sagen, wir unterstützen Okta, Azure Active Directory und etwa 20 andere Anbieter.

Unternehmerische Unternehmen werden sich also anmelden. Dann denken Sie über die Synchronisierung von Verzeichnissen nach, über viel größere Unternehmen, die es ihnen leicht machen, denn Menschen treten ein, Menschen verlassen Unternehmen, und Sie möchten das Gleiche tun, dies in Ihrer Anwendung widerspiegeln, denn es ist immer ein Sicherheitsproblem, den Zugang für jemanden zu hinterlassen, der das Unternehmen verlassen hat.

Dann Audit-Protokolle. Denn Sie müssen über alle Ereignisse nachdenken, die innerhalb des Produkts passieren, man kann es fast als Forensik bezeichnen, oder? Wenn etwas schief gehen sollte, wollen Sie zurückgehen und sehen, was Deepak in den letzten zwei Wochen getan hat, das etwas verursacht haben könnte.

Oder Sie brauchen Beweise für die bereits erwähnten Compliance-Rahmenbedingungen. Und das kann man aus Audit-Protokollen ableiten, indem man sagt: "Okay, Zugriffskontrolle, nur Administratoren können etwas ändern, und hier ist der Beweis, dass das der Fall ist. Das ist also der Funktionsumfang, an den man normalerweise denkt, wenn man anfängt.

Und mit der Zeit werden dann Dinge wie die Datenschutzabteilung interessant, weil Sie, Sie wissen schon, Ihre Datenvorschriften ins Spiel kommen, Datenaufenthalt, Datenvorschriften. Die DSGVO ist natürlich das Aushängeschild, das den Weg vorgibt, und alle anderen Datenvorschriften folgen dem ziemlich genau.

Sie denken also darüber nach, was ich als viel größeres Unternehmen mit mehr Verantwortung für meine Daten bei der Skalierung tun muss, um sie zu schützen. Das sind also im Großen und Ganzen, wissen Sie, die. Die Enterprise-Readiness-Funktionen, die Sie antreffen würden. Der Schwerpunkt liegt dabei natürlich auf der Sicherheit, den undifferenzierten Funktionen.

Aber als Kernprodukt denken Sie auch über andere Dinge nach, die es für Ihre größeren Kunden nützlich machen. Es gibt also sehr weiche Dinge wie die Möglichkeit, Teams einzuladen und es für Teams einfacher zu machen, Ihr Produkt zu nutzen. Das ist eher eine Funktion für Unternehmen, denn kleinere Unternehmen haben nicht so viele Mitarbeiter, oder?

Sie können also mit nur wenigen Konten auskommen. Innerhalb dieser Konten kann man dann Rollen einrichten, z.B. wer Zugriff auf die Abrechnung hat, wer Zugriff auf alles hat, wer einladen und wer verwalten kann. Die App, aber dann wollen Sie wahrscheinlich, dass jemand anderes nur eine Teilmenge davon sieht, also wie Sie sehen können, ein ziemlich großes Spektrum, ziemlich viele Dinge, über die man nachdenken muss, wenn man sie aufbaut.

Aber sie beziehen sich alle irgendwie auf die Betreuung von, Sie wissen schon, viel größeren Unternehmen. Ja, 

Aman: Das klingt nach einem Unterfangen für sich. 

Deepak: Ja, ja, ja. Aber gleichzeitig ist es auch eine Chance, oder? Denn das sind die schwierigen Dinge, die Ihnen diese Geschäfte einbringen. Noch bevor du dann, du weißt schon, die wahren Fähigkeiten deines Kernprodukts präsentieren kannst, und dann fängst du an, darüber nachzudenken, wie, wie kann ich innerhalb des Kernprodukts selbst wettbewerbsfähiger sein?

Sie wollen also so wenig Zeit wie möglich auf die undifferenzierten Teile und so viel Zeit wie möglich auf Ihr Kernprodukt verwenden. Und 

Aman: Wie wird sich dies Ihrer Meinung nach in Zukunft entwickeln? Sie haben die Begriffe Compliance und Sicherheit fast synonym verwendet. Sehen Sie, wie sich das in den nächsten, sagen wir mal, einem Jahr und dann in den nächsten, sagen wir mal, fünf Jahren entwickeln wird?

Deepak: In der Vergangenheit und auch in der Zukunft wird die Einhaltung von Vorschriften oft als Sicherheit missverstanden. Ich würde sagen, dass sie wie die zwei Seiten einer Medaille sind, oder? Normalerweise denkt man nicht über Sicherheit nach, es sei denn, jemand zwingt einen dazu, oder? Wie bei allem im Geschäft oder im Leben.

Die Einhaltung von Vorschriften ist der Grund, warum es Rahmenwerke für die Einhaltung von Vorschriften gibt, denn sie zwingen einen dazu, über diese Dinge nachzudenken. Aber die Einhaltung von Vorschriften bedeutet nicht unbedingt, dass man sicher ist, denn man könnte ein sehr schlecht gebautes Infrastrukturprodukt haben, das alles zunichte macht, oder?

Denn es gibt keine hundert Prozent, es ist ein Prozess. Das ist also so ziemlich das, was du verfolgst. Und Sie sagen, Sie können, wissen Sie, ich hatte es die letzten 10 Jahre, aber das bedeutet nicht, dass Sie nicht notwendigerweise verletzt werden. Compliance-Sicherheit geht also Hand in Hand, wenn man als wachsendes Unternehmen über Sicherheit nachdenkt, nur weil man es muss, aber dann merkt man auch schnell, dass man eigentlich genau das hätte tun sollen, denn stellen Sie sich vor, es gäbe einen Einbruch, richtig?

Reputationsschäden, Sie wissen schon, Sie müssen Ihre bestehenden Kunden davon überzeugen, dass Ihr. Das wird nicht noch einmal passieren. Was haben Sie getan, um den Schaden zu begrenzen? Was ist eigentlich mit den Daten passiert, die rausgegangen sind? Es wird also sehr kompliziert.

Und dann muss man sich damit befassen, dies zu melden. Jetzt gibt es Geldstrafen. Wenn man nicht alle Maßnahmen ergreift, um den Angriff abzuschwächen, muss man mit hohen Geldstrafen rechnen. Das ist also die Tendenz, die sich heute abzeichnet. Es ist sehr einfach für jemanden, dich anzugreifen.

Die Kosten für einen Angriff auf Sie sind recht gering, nicht wahr? Im Vergleich zu den Kosten, sich zu schützen. Es gibt also einen großen Unterschied zwischen den Kosten für einen Angriff und den Kosten für die Verteidigung. Und ich glaube, dass sich das mit der KI nur noch verschlimmert, wissen Sie. Es wird sogar noch schwieriger werden, und man spielt ständig Katz und Maus, nicht wahr?

Man muss aufholen, denn als wachsendes Unternehmen verfügt man nicht unbedingt über die richtigen Sicherheitsressourcen, um dies in Angriff zu nehmen. Gleichzeitig werden aber auch die Werkzeuge auf beiden Seiten immer besser. Ich glaube, der Markttrend, den wir beobachten, ist, dass das Thema Sicherheit jetzt ganz oben auf der Agenda steht, oder? Jeder weiß, wie wichtig sie ist.

Sie wissen, dass sie, wenn sie populär werden, angegriffen werden. Sie wollen dem also irgendwie zuvorkommen. Und es gibt großartige Unternehmen, die Ihnen all diese Werkzeuge zur Verfügung stellen. Zum Beispiel, CloudFlare. Wenn Sie Ihre App, Ihre Web-App mit CloudFlare ausstatten wollen, erhalten Sie eine ganze Reihe von Funktionen für die Netzwerksicherheit, die Sie heute möglicherweise nicht selbst entwickeln können.

Wie Sie wissen, sehen wir, wie der Markt reift und diese Dinge ausbrechen, und wir sehen, dass es viel mehr Werkzeuge für die Sicherheit gibt. Und es ist sehr vielschichtig, richtig? Man muss also an die Infrastruktur denken, an das Netzwerk, an das Produkt selbst, an die Art und Weise, wie man Software entwickelt, und dabei kann die Sicherheit eine Rolle spielen.

Denken Sie tatsächlich über Angriffe nach, wenn Sie etwas bauen, und nicht erst später? Das ist es also, was die Industrie typischerweise als Linksverschiebung bezeichnet. Man baut also ein Produkt und sagt, jetzt ist das Sicherheitsteam dafür verantwortlich, aber das funktioniert nicht ganz. Ich meine, sie, sie, sie müssen natürlich eine Menge Dinge tun, aber sie kennen das Produkt nicht gut.

Es gibt also ein klassisches Gleichgewicht zwischen der Frage, wie viel der Entwickler und wie viel das Sicherheitsteam tun sollte. Vieles davon hat sich also in dem Sinne zurückentwickelt, dass es im Prozess eine Rolle spielt. Entwickler und Sicherheitsteams sagen jetzt, dass wir bei der Entwicklung einer Funktion über die Modellierung von Bedrohungen nachdenken sollten.

Und nicht danach. Diese Denkweise, dass in mein System eingebrochen wird. Wie kann ich also sicherer werden, ist schon ein wenig gereift. Wie wir sehen, sollte das ganz oben auf der Agenda stehen, und es wird langsam zu einer Selbstverständlichkeit. Sobald man die Dinge zum Laufen gebracht hat, fängt man an zu sagen: Okay, jetzt will ich sehen, wie ich die Dinge sicherer machen kann. So sehen wir also die Cybersicherheitsbranche.

Sehr vielschichtig. Sie können keinen 100-prozentigen Schutz bieten, aber Sie machen es so schwer wie möglich, in Ihre Systeme einzudringen. Und dann, als letzte Maßnahme, gehen Sie davon aus, dass die Leute in Ihr System eindringen können, und dann denken Sie über die interne Sicherheit nach, was sind die Stellen, an denen Sie das tun, was man klassischerweise als Privilegieneskalation bezeichnet, richtig?

Man kommt irgendwo rein. Und man stellt fest, dass man jetzt Zugang zu einem System hat, das einem beispielsweise Zugang zur Infrastruktur verschafft, wo der größte Schaden angerichtet werden kann. Das ist es also, worauf sich die Unternehmen jetzt wirklich konzentrieren, auf die Einhaltung der Vorschriften auf der einen Seite, aber auch auf die Überbrückung dieses Missverhältnisses zwischen der Einhaltung der Vorschriften und der Sicherheit und auf die Frage, ob die Cybersicherheitslösung mir wirklich diese bessere Sicherheit bieten wird.

Es geht darum, wie und nicht nur, weil der Markttrend besagt, dass ich X, Y und Z haben sollte, und wir glauben wirklich, dass Entwickler dabei eine große Rolle spielen werden, weil sie das Produkt bauen, sie wissen, wie es geht, und auch wenn sie nicht unbedingt die Sicherheitsfähigkeiten haben, kann ein Sicherheitsteam in Kombination mit einem Sicherheitsteam viel mehr tun, als wenn jeder isoliert an seinen eigenen Aufgaben arbeitet.

Es ist super 

Aman: interessant. Und ich denke, dieser ganze Teil über den Verkauf an Unternehmen ist sehr wertvoll für jeden, sagen wir mal, Gründer in der Frühphase, der gerade den Schritt in den gehobenen Markt macht, oder für jemanden, der seine ersten Deals abgeschlossen hat und sich fragt, ob mich etwas blockiert, und das ist es, was mich blockiert 

Deepak: sie, 

Aman: Das ist also großartig.

Ich möchte den Chat jetzt ein bisschen drehen, um mich wirklich auf Boxy als Unternehmen zu konzentrieren. Also, wie habt ihr eure ersten, ihr wisst schon, ein, zwei, drei Kunden gefunden? 

Deepak: Ja, genau. Als wir anfingen, war das am 21. August, also mitten in der Pandemie. Wir haben das Team also sozusagen dezentral aufgebaut.

Etwa ein Jahr bevor wir anfingen, haben wir mit der Validierung begonnen. Sie wissen schon, ist das ein Problem? Wie groß ist es? Wer wird damit konfrontiert? Wie können wir diese Leute erreichen? Wir hatten also sozusagen Designpartner zusammengestellt. Also Leute, von denen wir wussten, dass sie dieses Problem hatten und es lösen wollten, denn es ist immer eine Frage des Timings, oder?

Sie wollen. Manchmal gibt es ein Problem, das aber nicht unbedingt sofort gelöst werden muss. Wir wollten also sicherstellen, dass die Dringlichkeit, dieses Problem zu lösen, übereinstimmt. So konnten wir unser Produkt gestalten, die Art und Weise, wie wir es aufbauten. Unsere ersten 10, 20 Kunden waren also hinter uns.

Wir haben Leute angesprochen und dann innerhalb unseres Netzwerks gefragt, ob wir mit typischen CTOs in Kontakt treten können, weil wir wussten, dass wir uns auf den Anwendungsfall der Unternehmensbereitschaft und auf frühe Unternehmen in der Seed- bis Serienphase konzentrieren. Das war sozusagen unser anfänglicher Fokus. Weil wir von dort kamen, wussten wir, dass sie es tun würden.

Normalerweise haben sie dieses Problem, es sei denn, sie verkaufen nur an kleine und mittelständische Unternehmen, in diesem Fall können sie es ein bisschen mehr hinauszögern. So haben wir also unsere ersten 10, 20 Kunden bekommen, die wir sozusagen von Hand ausgewählt haben, und wir haben ihnen auch bei der Integration des Produkts geholfen, denn wir haben die API für die Entwickler entwickelt.

Wir wollten also sicherstellen, dass sich das gut einfügt. Und dann, als das ausgereift war, haben wir sie dazu gebracht, es zu tun und alle Reibungen herauszufinden, auf die sie gestoßen sind. Dann halfen wir ihren Unternehmenskunden, an Bord zu kommen. Dann sahen wir all die Probleme mit dem Kundensupport, die sich daraus ergaben, und überlegten, was wir innerhalb des Produkts tun könnten, um dies nahtloser zu gestalten.

So haben wir also die anfängliche Produktentwicklung durchgeführt. Wir haben das Feedback von Kunden eingeholt, die es live genutzt haben, und es war wichtig für sie, dieses Teil zu veröffentlichen. Gab es ein Experiment, das man ignorieren konnte? 

Aman: Gab es ein externes Signal, das Ihnen sagte: "Hey, diese Leute sind jetzt auf dem Markt, um unternehmensfähig zu werden?

Warte, hast du gesehen, wie plötzlich Logos auf ihrer Website auftauchten? Was war das äußere Zeichen für euch? So nach dem Motto: "Oh, dieser Typ ist es jetzt wert, dass man auf ihn zugeht. 

Deepak: Ja, anfangs ging es also nur darum, mit ihnen zu reden. Und wissen Sie, es war fast eine Entdeckungsphase, richtig? Und am Ende dieses Gesprächs wussten wir, in welchem Stadium sie sich befanden und wie weit sie davon entfernt waren, so etwas zu brauchen.

Aber wie Sie schon sagten, fingen wir langsam an, diese Signale wahrzunehmen, richtig? Denn das Timing ist wichtig. Oft müssen wir erst von uns hören und dann, Sie wissen schon, zweitens, müssen sie in einem Stadium sein, in dem sie unser Produkt tatsächlich nutzen können. Für uns war es also wirklich so, dass wir diese Phase gewählt haben, oder?

Wir wussten in dieser Phase und die anderen weichen Signale, oder? Sie haben vielleicht etwas angekündigt. Das ist typischerweise ein Signal dafür, dass man über die nächste Phase nachdenkt, die typischerweise mit der Suche nach größeren Geschäften einhergeht, was sie automatisch auf den Markt bringt.

Die Produkt-Markt-Fit-Sache ist natürlich ein breites Spektrum, aber sie haben ein gewisses Gespür für PMF und denken gleichzeitig darüber nach oder haben begonnen, diese Anfragen zu erhalten. Viele unserer potenziellen Kunden, mit denen wir gesprochen haben, erhielten diese Anfragen von größeren Unternehmen, die sagten: "Uns gefällt, was wir sehen, wir haben von Ihnen gehört, wir möchten Sie nutzen.

Das ist also ein klares Indiz dafür, dass, Sie wissen schon. Sie sollten das irgendwann tun. Und dann hat sich das Gespräch schnell dahingehend verändert, dass es darum ging, wann Sie das machen wollen. Und natürlich waren sie auch daran interessiert, wie schnell sie es erledigen können. Gleichzeitig hatten wir viele Interessenten, die sagten: Ich muss einen Pilotvertrag unterschreiben.

Können wir also loslegen? Das ist sozusagen das Spektrum, mit dem wir uns beschäftigt haben. Und das sind die Signale, richtig? Dass sie ein gewisses Interesse von Unternehmen haben oder dass sie es manchmal vorwegnehmen. Oder, wissen Sie, sie hatten einige Pilotprojekte laufen, so dass wir die Signale leicht erkennen konnten. Richtig. 

Aman: Ja, ja, ja. Ja, ja, ja.

Und dann haben Sie erwähnt, dass Sie einen Concierge-Service haben, bei dem Sie ihnen bei der Installation helfen. Dann haben Sie gesagt: "Hey, schau mal, hier ist die API. Hier ist die Dokumentation. Benutzen Sie sie selbst. Dann war es so, dass Sie Ihren Unternehmenskunden bei der Nutzung helfen. Sie machen quasi beides. Sie sind wie dieser Concierge-Service und diese API, das sind fast zwei verschiedene Modelle, die da laufen.

Wie haben Sie das als Team und in Zukunft in Ihrem Unternehmen gemeistert? 

Deepak: Ja. Das ist also sehr viel, ich meine, die APIs sind fast eine Art, man könnte sagen, auf der Rückseite davon poliert, nicht wahr? Denn das ist die Reise. Wenn man heute sieht, dass wir eine Dokumentation haben und die Leute es ausprobieren, ohne dass wir es wissen, weil es ein sehr selbstgehostetes Open-Source-Modell ist.

Aber damals, als das Produkt entwickelt wurde, änderte es sich sehr schnell. Ohne den Concierge-Service wären unsere Kunden also ziemlich verwirrt gewesen. Sicherlich nicht so sehr über die API-Kette, sondern mehr über das, was tatsächlich darunter passiert. Es war also eine sehr bewusste Vorgehensweise, fast so, wie man das klassische Sprichwort hört: "Tu Dinge, die sich nicht skalieren lassen, weil du den Prozess verstehst, du verstehst die Reibungspunkte, und du kannst als Team zurückgehen und dich auf diese Teile konzentrieren.

Für uns war der Concierge-Service eine Möglichkeit zu sagen. Was sind die Dinge, die wir schlecht gemacht haben, so dass wir zurückgehen und sie für den nächsten Kunden aufpolieren können? So sind wir also an die Sache herangegangen, richtig? Denn für ein API-gesteuertes Produkt ist die Erfahrung der Entwickler entscheidend. Und diese Erfahrung können Entwickler nur machen, indem sie die Nutzung ihres Produkts beobachten.

Wir sitzen also praktisch mit ihnen zusammen und sagen ihnen, dass wir das jetzt mal durchgehen sollten. Wissen Sie, was ist Ihr technischer Stack? Was ist Ihr Authentifizierungs-Stack? Hier ist, wie wir es einbinden können. Und wir würden ihnen alle Schnipsel geben, die sie brauchen, um das zu realisieren. Oder wir erstellen ein Beispiel und senden einen Link zu diesem Beispiel.

Und dann, wissen Sie, würden sie das nutzen, um ihre Art zu bauen. Die Integration und kommen zurück und sagen, ich habe es bis zu diesem Punkt geschafft. Jetzt stecke ich fest. Ich verstehe nicht, was hier los ist. Und man geht zurück und, wissen Sie, und dann, wissen Sie, es hat uns geholfen, über den Inhalt nachzudenken, wissen Sie, Sie werden eine Menge unserer Blogs sehen.

Für uns ging es bei der Marketing- und Vermarktungsstrategie schon immer um Inhalte. Wie können wir ihnen nützliche Inhalte bieten? Weniger über BoxeHQ, richtig? Mehr über das Problem, das sie lösen wollen. Denken Sie zum Beispiel an das SAML-Protokoll in Enterprise Single Sign On.

Es ist ziemlich komplex, denn es basiert auf XML, das vor etwa 18 bis 20 Jahren entwickelt wurde. Viele der modernen Entwickler haben das noch nie gesehen oder sich damit beschäftigt. Im Detail. Wir müssen also diesen Fluss für sie aufschlüsseln und ihnen helfen, ihn zu verstehen, ohne zu sehr ins Detail zu gehen, denn sie müssen nicht viele dieser Details kennen.

Das hilft also, herauszufinden. Wissen Sie, welche Art von Flussdiagrammen würde es einfacher machen? Wie können wir den Ablauf erklären? Manchmal telefonieren wir sogar mit ihnen und zeigen ihnen den Ablauf. Und sie sagten dann: "Oh ja, jetzt verstehe ich es. Das hat es ihnen sehr viel leichter gemacht, Dinge visuell darzustellen, die für sie sonst schwer zu begreifen gewesen wären.

Das war also so eine Art, wissen Sie, das Ganze, weil man, man macht ja eine Menge Dinge, richtig? Du baust sie auf, du dokumentierst sie, du denkst auch über Inhalte nach. Um effektiv entdeckt zu werden, und dann die Onboarding-Reise selbst, wissen Sie, sobald sie reinkommen, haben sie genug Schritte, um zumindest die nächste Stufe zu erreichen, nicht unbedingt das Ende.

Und gleichzeitig haben wir damit begonnen, unsere Community aufzubauen, denn das ist der Ort, an dem die Leute zu uns kommen und mit uns reden. Vor allem, wenn sie ein Problem haben, kommen sie manchmal und sagen uns, dass wir alles integriert haben und ein großartiges Produkt sind, was natürlich ein großartiges Zeichen für die Entwicklererfahrung ist, die ich gerade erwähnt habe.

Das war also sozusagen unser ganzer Prozess. Wir haben eine Produktgemeinschaft gegründet und sichergestellt, dass das Problem so gelöst wird, wie der Markt es sieht, und nicht so sehr aus unserer eigenen Perspektive. Ja, 

Aman: cool. Und wenn Sie ins Jahr 2024 gehen, sind dann Inhalte immer noch ein wichtiger Teil Ihres Marketingplans, oder wie sieht Ihre Marketingstrategie jetzt im Jahr 2024 aus?

Deepak: Ja, absolut. Wir haben gerade unser SAS-Produkt auf den Markt gebracht, das bis jetzt nur selbst gehostet wurde. Wir hatten nicht wirklich eine gehostete Lösung. Das haben wir jetzt vor einem Monat sozusagen als Soft-Launch eingeführt, und das bedeutet jetzt Folgendes. Bis jetzt war das Marketing also rein organisch, richtig?

Wir mussten da rausgehen und über uns selbst sprechen, uns nützlich machen. Wir haben uns in Gespräche eingeklinkt, in denen es um Single Sign On ging. Wir haben einfach versucht, zu sagen: Hey, hier ist ein Open-Source-Projekt. Wir würden gerne Ihr Feedback erhalten. Oder, Sie wissen schon, Ihnen bei der Lösung dieses Single-Sign-On-Problems helfen.

Und, wissen Sie, die klassischen Inhalte, nicht so viel ist, wissen Sie, sehr SEO getrieben, nicht wahr? Bis jetzt sehr organisch. Wir haben nicht wirklich viel für bezahltes Marketing ausgegeben, vor allem, weil wir keinen Trichter hatten, um Leute einzufangen. Jetzt, mit dem SAS-Produkt, haben wir einen Ort, an dem. Die Leute können sich anmelden und das gibt uns die Möglichkeit, voranzukommen.

Das ist einer der Grundpfeiler für uns, oder? Wir experimentieren einfach mit bezahltem Marketing, mit den Keywords da draußen. Wir tauchen zwar organisch bei Google auf, aber wir wollen sicherstellen, dass wir für die richtigen Keywords und die richtigen Absichten gefunden werden. Inhalt ist also immer noch eine sehr wichtige Strategie.

Wir sehen, dass das gut funktioniert. Alle Unternehmenskunden, die zu uns kommen, haben uns aufgrund von Inhalten oder Beispielen entdeckt, die wir veröffentlicht haben. Das heißt, wir verdoppeln das weiterhin. Das ist eine Mischung aus, Sie wissen schon, für uns geht es bei den Inhalten auch um, Sie wissen schon, kostenlose Tools rund um das Thema.

Wir haben zum Beispiel einen Dienst, der das nachahmt, was Octa und die andere Identität uns zur Verfügung gestellt haben, und der sehr nützlich für Tests ist, so dass die Leute uns manchmal von dort aus entdecken und dann feststellen: Oh, wir haben ein vollständiges Single Sign On. Proxy-Lösung auf der anderen Seite. Das ist also auch weiterhin eine wichtige Marketingmaßnahme für uns.

Wir haben einen Ingenieur für Kundenerfolg eingestellt. Das war eine Art, Sie wissen schon, auch eine Person für die Beziehungen zu den Entwicklern. Es ist, wie gesagt, ein weißes Spektrum, es ist eine sehr verwirrende Rolle. Aber wir haben jetzt ein gutes Gespür dafür, was diese Person tun sollte, nämlich in erster Linie unseren potenziellen Kunden helfen.

Und gleichzeitig, wissen Sie, bringen wir diese Lektionen zurück, um zu sagen, wir können darüber schreiben oder, wissen Sie, wir können es in dieses Framework integrieren, weil es dort oben weit verbreitet ist. Das ist also ein großer Teil der Gemeinschaftsarbeit. Und auch das Marketing, richtig. Für uns ist es Open Source. Das sind also im Wesentlichen die beiden Marketingbemühungen von unserer Seite aus.

Die eine ist, Sie wissen schon, eine organische Community, die auf Inhalten und kostenlosen Tools basiert. Das andere ist eher ein klassischer Unternehmensverkauf, bei dem mein Mitgründer und ich Outbound-Kampagnen durchführen. Wir haben natürlich ein gutes Gespür dafür, wer uns in den größeren Unternehmen gebrauchen könnte. In vielerlei Hinsicht ist das also unsere eigene Reise zur Unternehmensreife, richtig?

Es ist ein Teufelskreis, aber wir haben, wir haben die ganzen Werkzeuge dafür. Wissen Sie, es ist genau, aber es ist die andere Seite davon, richtig? Zum Beispiel, wie finden wir sie? Sind sie zur richtigen Zeit da? Welche Art von Sicherheiten gibt es? Das Begleitmaterial ist für Entscheidungsträger ganz anders als für die Entwickler, die uns entdecken.

Wir haben bereits gute Inhalte für die Entwickler, aber worauf schauen die Entscheidungsträger, Sie wissen schon, der Vertriebsleiter, wie wir gesprochen haben, sie suchen diesen Produktleiter, manchmal auch die Sicherheit. Das sind also die drei wichtigen Stakeholder für uns, die letztendlich die Macht haben, diese Entscheidung zu treffen. 

Aman: aus der Marketing-Perspektive.

Ich denke, du hast es auf den Punkt gebracht, denn es geht um das Timing deines Unternehmens und deines Produkts speziell für Entwickler. Das macht das Entwicklermarketing halbwegs einfach, denn man muss nur zur richtigen Zeit am richtigen Ort erscheinen, was bedeutet, dass man entweder organisch hoch ranken muss oder man muss ranken und für diese Position bezahlen.

Oder man muss in Reddit-Foren sein und den Leuten die Anleitungen oder Tutorials erklären, damit sie diesen Schritt lernen können, bevor sie dich brauchen. Und dann heißt es: "Oh, Voxie ist die perfekte Lösung. Denn es hat einfach alles gemacht, was. Es sah so mühsam aus, aber in ein paar Schritten, Ja, 

Deepak: genau. Ich nenne es den klassischen Marketingtrichter.

Das stimmt. Ich meine, natürlich sagen die Leute jetzt, dass es ein Schwungrad sein sollte, aber letztendlich ist es, wissen Sie, Ihr, was im Volksmund als Tofu, Mofu, Bofu bekannt ist, Top of Funnel, Middle of Funnel, Bottom of Funnel. Sie wollen am oberen Ende des Trichters bekannt sein, richtig? Jemand muss über uns Bescheid wissen, damit wir beim nächsten Mal, wenn er darüber nachdenkt, wieder hier auftauchen.

Wir haben natürlich auch herausgefunden, wo unsere Konkurrenten sind, ein paar Konkurrenten waren uns voraus, und das machen wir uns zunutze, weil wir auf der Ebene des bezahlten Marketings auch nicht mit ihnen konkurrieren können. Wir haben noch nicht diese Art von Fundraising, aber das erlaubt es uns, ziemlich clever und sparsam damit umzugehen, oder?

Wir sind da. Wir machen Lärm, wo sie sind, so dass die Leute, wenn sie auf sie schauen, auch auf uns schauen und, Sie wissen schon, irgendwie. Wir stehen ganz oben auf der Prioritätenliste, weil es immer einen Auswahlprozess gibt. Wir wollen also sicherstellen, dass wir, zumindest in der Denkweise des Auswahlverfahrens, ganz vorne mit dabei sind.

Ja, genau. Wir versuchen 

Aman: zu entscheiden, wer der billigere und wer der teurere ist. Was bringt mir mehr, was kostet mich mehr an Wartungszeit. Ich denke, das ist das Wichtigste. 

Deepak: worüber sie auch nachdenken. Ganz genau. Ich meine, da ich selbst Entwickler war, habe ich nie gerne mit Verkäufern gesprochen, oder?

So. Das ist der Grund, warum unser Open-Source-Modell auch diesen Vorteil hat, weil sie nicht einmal mit uns sprechen müssen. Sie kommen rein, wissen Sie, sie führen die App auf ihrem Laptop aus. Sie können sie ausprobieren. Sie finden heraus, ob sie nützlich ist oder nicht. Und dann, wissen Sie, fängt der Prozess danach erst richtig an.

Entweder kontaktieren sie uns, um mehr Details zu erfahren, oder sie schicken jemanden zu uns, um zu fragen: Was sind Ihre derzeitigen Pläne? Sie wissen schon, was bieten Sie an? Was sind die Bereitstellungsmodelle? Damit beginnt das Gespräch für uns. Und bis dahin haben sie uns bereits in irgendeiner Form ausprobiert. Richtig? Genau. Das ist sozusagen der große Vorteil, den wir im Open-Source-Modell sehen.

Und das ist, glaube ich, der richtige Weg, um an Entwickler zu verkaufen. Oh, nun, nicht an Entwickler zu verkaufen, die Art 

Aman: von. Wenn man bedenkt, dass du selbst ein Entwickler warst, hast du einen wirklich interessanten Karriereweg hinter dir, sagen wir mal vom Entwickler zum CTO und jetzt zum CEO, was ich denke, dass der letzte Punkt sehr interessant ist.

Ich meine, ich bin sicher, dass es Entwickler gibt, die das hier hören. Wahrscheinlich juckt es sie in den Fingern, diese Reise zu machen, haben sie vielleicht irgendwelche Tipps für sie. 

Deepak: Ja, das stimmt. Also ich meine, CEO zu sein ist nicht gerade glamourös, oder? Ich denke, die meisten Leute wissen das sowieso, weil ich nicht mehr die coolen Sachen machen kann. Obwohl ich immer noch das Produkt vorantreibe und versuche zu programmieren, wenn ich kann.

Aber ich glaube, ich sehe, dass sich deine Einstellung irgendwie ändert. Es ist ziemlich drastisch, oder? Du denkst darüber nach, wie du diese alte, du weißt schon, langfristige Vision ausgleichen kannst. Du hast diese Vision, aber du kannst sie nicht so schnell durchschauen. Richtig. Und besonders bei der Erstellung von Kategorien braucht man diese Geduld, um das zu schaffen.

Aber Sie müssen auch darüber nachdenken, worauf Sie sich kurz- und mittelfristig konzentrieren müssen. Ihre Denkweise ändert sich also schnell von der Durchführung von Dingen hin zur Sicherstellung, dass alle die richtigen Dinge tun, die Sie in die richtige Richtung bringen, richtig? Man gibt also eher die Richtung vor, als dass man sie tatsächlich ausführt oder umsetzt.

Es geht also wirklich darum, das Team um diese gemeinsame Mission zu versammeln. Wissen Sie, Sie definieren Ihre Werte und was Sie antreibt, denn wenn Sie ein sehr schwieriges Problem lösen, ist das schwierig, oder? Es heißt, dass man mehr schwere Tage hat als gute Tage. Es ist also wichtig, dass man versucht, stabil zu bleiben.

Was Sie als Entwickler tun, unterscheidet sich also sehr von dem, was Sie als Gründer zu tun haben, richtig? Weil du dich mit so vielen anderen Dingen beschäftigst, wie zum Beispiel Verwaltung und Buchhaltung und all diese Dinge kommen auch noch dazu, was definitiv nicht etwas ist, woran du gewöhnt bist. Ich denke also, es geht genau darum, oder?

Man muss wissen, dass es einen Mentalitätswandel geben wird, eine Veränderung der Rolle, und man muss absolut offen damit umgehen, oder? Denn sonst gerät man in das Problem, dass man vielleicht als CTO besser dran ist als als CEO, weil man sich dann ganz auf die technischen Aspekte konzentrieren kann. Das ist meiner Meinung nach der größte Bewusstseinswandel, wissen Sie, die Veränderung als CEO, man schaut sich tatsächlich alles andere an, richtig?

Ich meine, bei einem Startup geht es nur um das Produkt und den Vertrieb, aber der Vertrieb ist etwas ganz anderes als die Entwicklung eines Produkts. Ich denke, das ist der größte Bewusstseinswandel, oder? In der Lage zu sein, zu verkaufen, und zwar nicht in dem Sinne, dass man ein guter Verkäufer sein muss, sondern dass man das Problem versteht und weiß, wie man das Richtige findet.

Wissen Sie, eine Reihe von Leuten, die dieses Problem lösen wollen, müssen sich immer in der Entdeckungsphase befinden, in der man sagt: Okay, ich habe diese Sache im Kopf, aber vielleicht ist es nicht das Richtige, oder vielleicht muss man es auf eine andere Weise angehen. Das ist, glaube ich, der größte Bewusstseinswandel, der sich für mich als CEO ergeben hat.

Und dann denkt man auch an die Mittelbeschaffung, damit genug Geld auf der Bank bleibt, und stellt sicher, dass man alles für die nächste Runde richtig plant. Was sind die Meilensteine auf dem Weg dorthin? Wie denken die VCs auf der anderen Seite über diese Gelegenheit?

Also auch das Geschichtenerzählen, richtig? Das muss man sich mit der Zeit aneignen. Und als Entwickler ist man darin kein Naturtalent, aber man lernt es mit der Zeit. Ich glaube, man muss einfach offen dafür sein, zu lernen und langweilige Dinge mehr zu tun als andere. 

Aman: Schön. Und dann bin ich darauf bedacht, die Hälfte der Zuhörer nicht zu verprellen, also für die SaaS-Gründer, die über Sicherheit nachdenken, was ist der wichtigste Tipp, den Sie ihnen geben würden?

Deepak: Ja, genau. Also ich meine, das ist, was ich immer sagen würde, richtig? Natürlich gibt es utopische Dinge, die man tun muss, aber als Gründer wissen wir das alle. Weißt du, du musst es eins nach dem anderen angehen, richtig? Aus der Sicherheitsperspektive sollte man also darüber nachdenken, wann man damit anfangen muss, und wie ich schon sagte, man sollte es nur dann tun, wenn die Stadt am Anfang steht, denn.

Du kämpfst auch damit, herauszufinden, was funktioniert, damit du nicht durcheinander kommst und zu viel Zeit auf die Sicherheit verwendest. Das ist auch für Sie ein Haken, oder? Man muss sich früh damit befassen, aber nicht so früh, dass alles andere dadurch blockiert wird, denn letztendlich kostet die Sicherheit Zeit und Ressourcen.

Es geht also darum, das auszugleichen, oder? Sie wissen, dass die Chance für Unternehmen da ist. Das ist ein guter Zeitpunkt, um über Sicherheit nachzudenken. In vielerlei Hinsicht ist das erste Sprungbrett für Sicherheit ein größerer Kunde, richtig? Das ist, das ist eine Art und sie haben, wissen Sie, genug Standardrichtlinien, um Sie für die nächsten, wissen Sie, 10 Kunden zu bringen.

Es geht also wieder nur um das Timing, richtig? Sie wollen es planen. Sie wollen es wahrscheinlich im Kopf haben, aber machen Sie es genau dann, wenn, Sie wissen schon. Sie sind bereit, loszulegen, anstatt zu sagen, ich füge jetzt alles ein, aber stellen Sie sicher, dass Ihr Produkt da ist, Sie wissen schon, dass Ihr Hauptunterscheidungsmerkmal da ist.

Und dann können Sie über Folgendes nachdenken. Es sei denn, Sie verkaufen vom ersten Tag an an Unternehmen, dann ist es ein Kinderspiel, oder? Sie müssen das vom ersten Tag an einbauen.

und es ist nicht so schwer, wie es aussieht. Also, es ist, es ist nur mühsam. Also, ja. 

Aman: Gut. Ich glaube, wir sind beim letzten Teil des Abschnitts angelangt, nämlich bei den Schnellfeuerfragen. Ich stelle dir also vier Fragen und du kannst mir vier davon beantworten. Aufschlussreiche Antworten. Frage Nummer eins ist also: Welches ist das beste Buch, das du in letzter Zeit gelesen hast?

Deepak: Kürzlich erschien das Buch Predatory Thinking von Dave Trott. Wirklich interessant, aber sehr kurze Geschichten über seine, wissen Sie, er arbeitete bei Ogilvy Werbung. Er hat also großartige Geschichten darüber, die sich speziell auf das Marketing beziehen, aber man wird nicht unbedingt in diese Schublade gesteckt. Es ist eine interessante Art und Weise, über Marketingkonkurrenz im Allgemeinen nachzudenken, wie man jemanden übertrumpfen kann, der viel mehr Ressourcen hat als man selbst.

Cool. 

Aman: Welchen Unternehmer oder Wirtschaftsführer bewundern Sie am meisten? 

Deepak: Für mich war es immer Bill Gates, und das wird auch weiterhin so sein. 

Aman: Was ist der beste Ratschlag, den Sie je erhalten haben? 

Deepak: Ich meine, für mich ging es immer darum, ich meine, es gibt, es gibt, es gibt eine Menge Ratschläge da draußen, richtig.

Aber einer, der sagte. Höre auf Ratschläge, aber denke auch über den Kontext nach, bevor du, du weißt schon, bevor du ihn annimmst, bevor du ihn vollständig annimmst. Genau. Das war ziemlich interessant, weil es einfach bedeutet, dass es vielleicht nicht auf Sie zutrifft oder auf eine andere Art und Weise. Es geht also nur darum, den Kontext zu bestimmen, was seltsamerweise eine Metasache ist, oder?

Es ist ein Ratschlag über, ich 

Aman: Ich denke, das ist ein guter Ratschlag. Es ist ein sehr weiser Ratschlag. Denn wenn man erst einmal so viele Ratschläge erhält, merkt man, dass alles widersprüchlich ist und alles davon abhängt, was der Person passiert ist. Diese ganze Reise. 

Deepak: Ganz genau. 

Aman: Ich danke Ihnen vielmals für Ihre Zeit. Ich weiß es wirklich zu schätzen.

Und ich freue mich darauf, zu sehen, wie Boxy in Zukunft wachsen wird. 

Deepak: Ich danke Ihnen vielmals. Es war mir ein Vergnügen. Danke, dass Sie hier geblieben sind. Wenn Sie die Sendungsnotizen sehen wollen, gehen Sie bitte zu neoptima.com slash SAS podcast. Ansonsten sehen wir uns bei der nächsten Folge. Tschüss.

​