Ihr beschreibt euer Produkt als „Kondom für den PC“. In welchen Fällen wirkt eure „Verhütung“ und wie funktioniert sie?
Die Metapher ist bewusst zugespitzt, weil sie ein komplexes Sicherheitsprinzip sehr einfach beschreibt: VISS schützt überall dort, wo produktive Rechner heute mit nicht vertrauenswürdigen digitalen Inhalten interagieren müssen, also etwa mit Webseiten, Dokumenten, Portalen, E-Mail-Anhängen oder Remote-Zugängen. Genau dort entsteht in klassischen Architekturen die Angriffsfläche. Dafür schalten wir ein externes System dazwischen: die VISSBOX. Sie besteht aus drei Modulen: Kommunikationsmodul, Opfermodul und Kameramodul.
Das Kommunikationsmodul ist ausschließlich mit dem Host verbunden. Es empfängt Maus- und Tastaturbefehle und leitet sie unidirektional an das Opfermodul weiter. Das Opfermodul verbindet sich mit der Außenwelt und rendert die Inhalte in einer bewusst exponierten Umgebung. Das Kameramodul erfasst anschließend ausschließlich das visuelle Ergebnis des Opfermoduls, überträgt es galvanisch getrennt und verarbeitet es vor der Weitergabe an den geschützten Host weiter. So erhält der Host keinen ausführbaren Input aus dem unsicheren Kontext, sondern nur das dargestellte Resultat.
Unser Ansatz ist damit nicht, Schadcode immer besser erkennen zu wollen. Unser Ansatz ist, den Ausführungspfad per Architektur zu eliminieren. Anders als softwarebasierte Schutzmechanismen, die versuchen, das Schloss schwerer knackbar zu machen, entfernt VISS die Tür vollständig.
Wie unterscheidet sich eure Lösung von klassischen Firewall- oder Antivirus-Systemen?
Wir bauen kein besseres Antivirus. Wir führen eine neue Sicherheitskategorie ein. Klassische Sicherheitslösungen wie Firewalls, Antivirus oder EDR sind wichtig, aber sie arbeiten innerhalb derselben logischen Domäne wie der Angreifer: Software. Sie versuchen Schadcode zu erkennen, Muster zu analysieren, Anomalien zu blockieren und mit immer neuen Updates Schritt zu halten. Das ist zwangsläufig ein permanentes Wettrennen. VISS setzt an einem grundlegend anderen Punkt an. Wir versuchen nicht, Malware immer besser zu erkennen. Wir gestalten die Architektur so, dass der geschützte Endpunkt aus nicht vertrauenswürdigen Kontexten keinen ausführbaren Code mehr übernehmen kann. Damit verschieben wir die Sicherheitsgrenze von der Software-Ebene in die physische Domäne. Genau darin liegt für uns der eigentliche Unterschied: Klassische Lösungen verwalten die Angriffsfläche. Wir reduzieren sie strukturell. Oder anders gesagt: Wir wechseln von Software Trust zu Physical Trust.
Klingt fast so, als bräuchte man keine anderen Sicherheitsmaßnahmen mehr, wenn man eure Lösung nutzt. Stimmt das? Oder gibt es Szenarien, die die VISSBOX nicht abfangen kann?
VISS ist eine neue Basisschicht für Endpunkt-Sicherheit, aber keine vollständige Sicherheitsstrategie. Wir adressieren sehr gezielt eine der gefährlichsten Angriffsklassen: die Kompromittierung produktiver Endpunkte durch Remote-Malware oder andere ausführbare Inhalte aus untrusted Quellen. Wenn diese Interaktion über VISS läuft, ist genau dieser Pfad auf den geschützten Host strukturell unterbrochen. Natürlich bleiben andere Risiken bestehen: Phishing über legitime Zugangsdaten, kompromittierte Identitäten, Insider-Threats, Fehlkonfigurationen, Angriffe auf Backend-Systeme oder physischer Zugriff. Moderne Cybersecurity bleibt immer mehrschichtig. Wir lösen also nicht alles, aber wir entfernen einen zentralen Eskalationspfad, über den heute sehr viele Angriffe beginnen.
„Jede Dekade bringt eine neue Sicherheits-Schicht hervor. Wir glauben, dass physische Endpoint-Isolation die nächste ist.“
Der Schutz kritischer Infrastruktur ist derzeit eine der drängendsten Fragen unserer Gesellschaft. Gibt es aktuelle Vorfälle, die VISS hätte verhindern können?
Wenn man reale Fälle betrachtet, sieht man immer wieder dasselbe Muster: Ein kompromittierender Input trifft auf einen produktiven Rechner, dort beginnt die Ausführung, und von dort startet die Kettenreaktion. Ein starkes Beispiel ist der Angriff auf einen großen deutschen Finanz- und Leasingdienstleister 2023. Nach öffentlich bekannten Informationen führte der Vorfall zu massiven IT-Einschränkungen, langen operativen Ausfällen und später auch zu Daten im Darknet. Berichten zufolge begann die Eskalation mit einer kompromittierten Excel-Datei. Genau das ist der Punkt: Ein einziger kompromittierender Input auf einem produktiven System kann ausreichen, damit aus einem Sicherheitsvorfall ein Unternehmensproblem wird. Wenn diese riskante Interaktion über VISSBOX gelaufen wäre, hätte der geschützte Endpunkt diesen Code nicht ausgeführt.
Ein weiteres Beispiel sind die malware-bedingten Störungen an europäischen Flughäfen 2025 im Umfeld von Collins-Aerospace-Systemen. Dort wurde sichtbar, wie schnell aus einer digitalen Kompromittierung reale operative Folgen werden: Check-in-Ausfälle, manuelle Prozesse, Verzögerungen. Genau in solchen Umgebungen ist physische Entkopplung so wertvoll. Wenn operative Arbeitsplätze und Terminals den nicht vertrauenswürdigen Suchpfad nicht direkt übernehmen, bleibt der Blast Radius begrenzt, statt sich in den laufenden Betrieb hineinzufressen.
Und dann gibt es das alltägliche Szenario, das fast jedes Unternehmen kennt: Ein Mitarbeiter ist unterwegs, nutzt ein öffentliches WLAN oder öffnet eine manipulierte Datei. In klassischen Architekturen kann genau daraus per Lateral Movement eine vollständige Unternehmenskompromittierung entstehen. Mit VISS wird der Inhalt zwar weiterhin angezeigt, aber nicht als ausführbarer Input auf den geschützten Host übertragen.
Die wirtschaftliche Dimension solcher Vorfälle ist erheblich. Laut IBM liegt der durchschnittliche globale Schaden eines Datenvorfalls bei rund 4,9 Millionen US-Dollar. Weltweit wird der Gesamtschaden durch Cyberkriminalität von Cybersecurity Ventures inzwischen sogar auf knapp 10,5 Billionen US-Dollar (US Trillionen) geschätzt.
Was sollten Entscheidungsträger:innen aus Politik, Wirtschaft und KRITIS heute über die Sicherheit der „digitalen Gesellschaft“ wissen?
Cybersecurity ist kein reines IT-Thema mehr, sondern eine Frage von Resilienz, Souveränität und Funktionsfähigkeit. Wenn digitale Systeme ausfallen, stehen nicht nur Rechner still, sondern oft reale Prozesse: Mobilität, Produktion, Kommunikation, Verwaltung, Gesundheit. Genau deshalb reicht es nicht mehr, Cybersecurity nur als Tool-Stack, Betriebskostenblock oder Compliance-Frage zu behandeln.
An kritischen Stellen brauchen wir Architekturentscheidungen, die Angriffsflächen dauerhaft reduzieren und verhindern, dass einzelne Fehler zu systemischen Krisen werden. Unsere Grundthese ist deshalb bewusst groß: Wenn Software-Vertrauen dauerhaft brüchig bleibt, dann muss an kritischen Endpunkten Physical Trust zur nächsten Basisschicht werden.
„Gerade bei sicherheitskritischen Technologien ist die Verbindung zwischen Forschung, Industrie und öffentlicher Hand ein echter Beschleuniger. Für uns ist CISPA deshalb nicht nur Unterstützung, sondern ein Ort, an dem aus einer technologischen These schrittweise belastbare Realität wird.“
Vor etwa zwei Monaten habt ihr bekanntgegeben, dass VISS für das NATO-DIANA-Programm ausgewählt wurde. Was bedeutet dieser Meilenstein konkret für euch?
Für uns ist DIANA nicht nur ein Label, sondern Validierung, Beschleunigung und Zugang zu realen Einsatzumgebungen. Für ein Unternehmen wie VISS ist das besonders wichtig, weil sicherheitskritische Hardware nicht durch Folien gewinnt, sondern durch Tests, Evaluation und belastbare Anwendungsszenarien. Genau dafür steht DIANA. Hinzu kommt der Zugang zu relevanten Stakeholdern, realitätsnahen Testumgebungen und einem Umfeld, in dem Resilienz keine abstrakte Idee, sondern eine operative Notwendigkeit ist. Auch die finanzielle Komponente ist wichtig. Non-dilutive Förderung ist für Deep-Tech-Startups besonders wertvoll, weil sie technologische Reifung ermöglicht, ohne sofort neue Verwässerung auszulösen. Dass wir in einem hochkompetitiven Auswahlprozess aus mehreren tausend Einreichungen ausgewählt wurden, ist für uns deshalb ein starkes Signal: Unser Ansatz wird nicht nur als interessante Idee wahrgenommen, sondern als Technologie mit realer sicherheitspolitischer Relevanz.
Wie profitiert ein Startup wie VISS von der Unterstützung eines führenden Forschungszentrums wie CISPA?
CISPA ist für uns ein Umfeld, in dem eine radikale Sicherheitsidee nicht nur gefördert, sondern ernsthaft geprüft wird. Für ein Deep-Tech-Startup ist genau das enorm wertvoll. Wenn man eine neue Sicherheitskategorie aufbauen will, braucht man kein Umfeld, das nur applaudiert, sondern eines, das technologische Aussagen kritisch hinterfragt. Genau dieses Sparring hilft uns, Architektur, Sicherheitsargumentation und Prioritäten weiter zu schärfen. Gleichzeitig bringt CISPA Zugang zu Netzwerk, Talent und Glaubwürdigkeit. Gerade bei sicherheitskritischen Technologien ist diese Verbindung zwischen Forschung, Industrie und öffentlicher Hand ein echter Beschleuniger. Für uns ist CISPA deshalb nicht nur Unterstützung, sondern ein Ort, an dem aus einer technologischen These schrittweise belastbare Realität wird.
VISS möchte in Zukunft Standard in jeder kritischen IT-Umgebung werden. Wie stellt Ihr euch diesen Wandel vor und was sind die großen Schritte dahin?
Jede Dekade bringt eine neue Sicherheits-Schicht hervor. Wir glauben, dass physische Endpoint-Isolation die nächste ist. Wir sehen den Weg in drei Stufen. Erstens: heute die externe VISSBOX als Plug-and-Play-Lösung für bestehende Systeme. Zweitens: morgen die Miniaturisierung und Integration in sicherheitskritische Geräte und OEM-Umgebungen. Drittens: langfristig eine standardisierte Hardware-Sicherheitsfunktion auf Modul- oder Chip-Ebene. Der Wandel wird nicht über Nacht passieren. Aber wenn Angriffe schneller skalieren als Patch-Zyklen und wenn Resilienz zur strategischen Fähigkeit wird, dann wird Isolation vom Spezialfall zur Basisschicht. Genau darin liegt unsere Vision: von einer Box neben dem Rechner hin zu einer foundational hardware security layer für vernetzte Endpunkte.
