Chancen und Herausforderungen als Immigrant Founder in Deutschland | Automatisierung der Compliance für Startups | Remote first und Trust building: Insights von Secfix - mit Founderin Fabiola Munguia und Mike Mahlkow

Mike Mahlkow:
[0:00] Hey, Fabiola, wie geht's dir?

Fabiola Munguia:
[0:03] Hi, ganz gut. Danke, Mike. Und dir?

Mike Mahlkow:
[0:06] Mir geht's sehr gut. Schön, dass wir es geschafft haben heute. Für alle, die zuhören oder zuschauen, das ist Fabiola, die Gründerin von SecFix. Und wir werden heute über verschiedene Themen reden. Wir werden über Trust, Compliance in Startups reden. Wir reden ein bisschen über Enterprise Sales. Wir reden darüber, wie ist es, als Immigrant Founder in Deutschland was zu bauen und vieles, vieles mehr. Aber vielleicht fangen wir einfach mal damit an. Gib uns mal ein bisschen Hintergrund zu dir selbst. Wie hat es dazu geführt, dass du jetzt gerade Secfix baust?

Fabiola Munguia:
[0:36] Ja, gerne. Genau, also ich bin die Co-Founderin von Secfix. Ich komme ursprünglich aus Salberon. Bin in Deutschland schon seit zwölf Jahren, circa. Genau, wie es alles angefangen hat, das ist, glaube ich, über mehrere Institutionen passiert. Das ist nicht etwas so über Nacht passiert. Aber genau, also ich komme aus dem Netzwerk der Unternehmertum. Also ich habe an der Technischen Universität München studiert und da hat es eigentlich alles angefangen. Also ich war da in einem Accelerator-Programm zusammen mit Grimli, meinem Mitkunden.

Fabiola Munguia:
[1:12] Er hat mich eigentlich überzeugt, das alles zu gründen. Ich wollte es am Anfang eher nicht machen. Ich wollte halt ein Corporate Job. Aber er hat gesagt, komm, lass uns einfach versuchen, irgendwas zu gründen. Und genau, dann haben wir einfach gedacht, okay, lass uns irgendwas in Cyber Security machen. Und so haben wir eigentlich angefangen. Das heißt, am Anfang war es mehr so Trial and Error. Wir hatten eine andere Idee. Aus dieser Idee ist halt ein bisschen was geworden. Wir haben ein paar Kunden bekommen. und über die Zeit haben wir verstanden, dass das halt nicht funktionieren wird. Und somit haben wir aber schon ein paar Kunden gehabt, bei denen wir angefragt haben, hey, wie sieht es eigentlich gerade aus mit Compliance oder generell, was sind eure Painpoints gerade zurzeit? Das heißt, wir haben mit sehr vielen Nutzern gesprochen und einfach, um erstmal herauszufinden, was gibt es gerade auf dem Markt, was sind die aktuellen Sachen, die Unternehmen, vor allem so kleinere mit deutschlandischen Unternehmen halt wirklich stört. Und wir sind dazu gekommen, es gab einen bestimmten Kunden bei uns, der gesagt hat, hey, also die waren ein Startup in Fintech, die sind übrigens immer noch unser Kunde. Und sie haben uns damals gesagt, hey, ja, also eigentlich eine der Sachen, die wir gerade brauchen, ist eine ISO 2701 Zertifizierung. Habt ihr irgendwie so einen Partner, den ihr empfehlen könnt, bei dem wir das schnell machen können.

Fabiola Munguia:
[2:42] Wir brauchen das eigentlich, weil wir halt das für eine Bank nachweisen sollen. Sonst würden sie nicht mit uns quasi den Vertrag schließen. Genau, und dann haben wir gedacht, hey, vielleicht können wir das eigentlich selber automatisieren und haben es auch angeboten. Und so haben wir angefangen, das alles dann aufzubauen.

Mike Mahlkow:
[3:00] Und was macht Secfix jetzt?

Fabiola Munguia:
[3:02] Genau, also Secfix hilft Startups oder kleinmitgliedischen Unternehmen dabei, ihre IT-Sicherheit und Compliance zu automatisieren. Das heißt, wenn man, also normalerweise, wenn man ein Startup ist, man möchte natürlich auch Enterprise-Deals closen zum Beispiel. Und das Erste, was immer kommt, ist, wie sicher ist ein Unternehmen. Das heißt, die potenziellen Kunden, die fragen immer nach einer ISO 2701-Zertifizierung oder SO2-Report zum Beispiel.

Fabiola Munguia:
[3:34] Und da sind halt sehr viele Startups, die haben keine Ahnung, wie sie damit anfangen sollen. Und normalerweise ist der Prozess eigentlich sehr mühsam. Also es dauert sehr lange, bis man sich zertifizieren lassen kann, bis zu 12, 18 Monate. Genau, und man muss auch mit sehr vielen Spreadsheets und Google-Dokumenten und so weiter halt umgehen. Das heißt, was wir gemacht haben, ist das Ganze zu automatisieren. Das heißt, SegFix automatisiert den gesamten Prozess und macht das leichter und einfacher für Startups, um ihre Compliance zu erreichen, aber auch über die Jahre aufrechtzuerhalten. Weil genau solche Sachen wie ISO, SOP2 oder GDPR sind nicht einmalige Sachen, die man erledigen kann, sondern die werden über die Jahre immer wieder geprüft. Und somit übernimmt SegFix so ein, es ist wie eine Überwachungsplattform, die permanent das Unternehmen monitoren kann und sagen kann, hey, da sind die Sachen, die du jetzt halt erledigen solltest, damit du weiter compliant bleiben kannst.

Mike Mahlkow:
[4:41] Okay, das heißt... Ich bin ein Startup oder ich bin ein mittelständisches Unternehmen und aus irgendeinem Grund brauche ich diese Zertifizierung. Also ich muss irgendwelchen Partnern oder Kunden nachweisen, dass ich sicher genug bin, dass ich die Best Practices befolge etc. Und dafür brauche ich dieses Zertifikat. Und normalerweise dauert es ewig, dieses Zertifikat zu bekommen und es ist sehr mühselig, wie du gesagt hast. Und ihr macht es einfach signifikant schneller und einfacher. Ist das eine gute Zusammenfassung?

Fabiola Munguia:
[5:12] Ja, genau. So wie du Bruch beschrieben hast.

Mike Mahlkow:
[5:14] Da auch als guter Kontext. Für eines meiner Unternehmen brauchten wir auch eine ISO-Zertifizierung und wir brauchten andere Zertifizierungen. Und wir haben es dann ja auch sogar über Sackfix gemacht. Ich war nicht direkt involviert. Das haben Leute aus dem Team gemacht. Aber der Hauptgrund, warum man es nicht selber machen will, ist eben, es ist schneller und insgesamt dann auch logischerweise günstiger, als wenn man das über die nächsten Monate zusammen macht. Aber vielleicht brechen wir das nochmal ein bisschen runter für die Leute. ISO werden ja wahrscheinlich fast alle schon gehört haben. Es gibt ja sehr viele verschiedene ISO-Normen und alle möglichen Sachen. Jetzt hast du eine bestimmte Nummer gesagt, eben 27001 und du hast auch SOC2 und noch irgendwie andere Sachen gesagt. Vielleicht erklären wir den Leuten erstmal, was gibt es überhaupt für Zertifikate und worüber muss ich mir denn Gedanken machen? Die meisten, die hier zuhören, werden wahrscheinlich entweder Gründer oder gründungsaffine Leute oder zumindest in dem Umfeld im deutschsprachigen Raum sein. Was ist denn das, was ich mir als erstes anschauen sollte? Oder sagt mir dann der Kunde einfach, ey, ihr braucht dieses Zertifikat und dann schaue ich, wo ich dieses Zertifikat bekomme?

Fabiola Munguia:
[6:22] Ja, also normalerweise, wenn man ganz am Anfang steht, also wenn man sozusagen zum Beispiel eine Plattform hat oder irgendwie ein Service, wo man so Daten austauschen soll, sollte man schon sich vom Anfang Gedanken darüber machen, wie man sozusagen diese Sicherheit erreichen kann, weil die Frage wird sowieso kommen. Also egal, in welchem Stage man ist, dann werden die Kunden irgendwas nachfragen. Die Standards, die am meisten betroffen sind oder die wir halt wirklich sehen, dass international anerkannt werden und einfacher sind, um das Ganze sozusagen skalierbar zu machen, ist normalerweise ISO 2701. Also das ist wirklich der Goldstandard für Europa, würde ich sagen.

Mike Mahlkow:
[7:07] Und was ist das? Also vielleicht erklär mal kurz, was heißt das? Das sind jetzt irgendwelche Buchstaben und irgendwelche Zahlen. Und wie gesagt, eines meiner Unternehmen hatte das sogar. Ich weiß ungefähr, was es macht. Aber was ist das genau? Also was kann ich mir darunter vorstellen?

Fabiola Munguia:
[7:21] Ja, genau. Also das ist wie ein, wie kann ich das am besten erklären?

Fabiola Munguia:
[7:28] Wenn du beim TÜV bist oder gehen musst mit deinem Auto, du musst normalerweise das E-Mail checken, dass es alles sicher ist, dass es alles richtig eingestellt ist. Und dasselbe muss man auch mit ISO 27001 machen. Das heißt, das ist wie ein Stempel, das man als Unternehmen bekommt. Und normalerweise kommt ein Auditor wie TÜV und checkt in deinem Unternehmen, hast du alle Prozesse aufgebaut, um wirklich zu sagen, dass ihr sozusagen in jedem Bereich an Risiken gedacht habt, die für Sicherheit wichtig sind oder auch generell IT-Sicherheit zu definieren. Das heißt, am Ende dieser ISO 27001 ist für alle, die jetzt sozusagen mit einem größeren Enterprise oder einfach generell Prozesse intern haben, um Daten auszutauschen, das wird sozusagen das Wichtigste, was sie erledigen müssen. Anschließend gibt es aber auch andere Standards. Also SOC 2 wäre sozusagen die, ich würde sagen, die Übersetzung von ISO in dem US-amerikanischen Markt. Das ist auch ein bisschen anerkannter in Amerika als in Europa. Aber es ist sozusagen dasselbe Zweck. Also man muss erstmal sozusagen ein Report zeigen und in diesem Report steht dann in Es wurde auditiert, dass deine Inventory, zum Beispiel deine Mitarbeiter,

Fabiola Munguia:
[8:54] Deine Risiken, alles, was du im Unternehmen hast, dass es alles richtig dokumentiert ist und dass du auch Sicherheit im Unternehmen lebst. Und können wir

Mike Mahlkow:
[9:03] Da mal kurz reingehen? Wenn ich zum TÜV gehe, dann schauen die, ist mein Spiegel, hängt mein Spiegel noch dran und ist mein Reifendruck okay. Aber was schauen die sich denn dann bei ISO genau an? Was heißt das quasi, welche Risiken hat denn ein Startup? Und vielleicht gibt es einfach mal ein paar Beispiele, damit wir besser verstehen können, was das überhaupt heißen soll.

Fabiola Munguia:
[9:24] Ja, ich glaube, die wichtigsten Beispiele, die ich auch bei unseren Kunden sehe, zum Beispiel, sind, also ihr müsst erstmal alle eure Lieferanten prüfen. Das heißt, als Teil von ISO müsst ihr halt eine Liste von wirklich allen euren Vendors, die ihr habt, auch ABS oder Google Workspaces, die ihr nutzt oder Office 365, je nachdem. Das heißt, genauso wie eure Kunden euch prüfen werden, müsst ihr auch wirklich nachweisen, dass ihr halt ein Vendor-Review gemacht habt. Und das war zum Beispiel ein Teil, das ein Auditor sehen möchte. Er möchte sehen...

Mike Mahlkow:
[9:59] Dann lass uns da doch kurz drüber reden. Was ist denn ein Vendor-Review? Also ich benutze jetzt AWS zum Hosten und dann habe ich... Also jeder Service, den ich benutze quasi, um mein Produkt zu bauen, muss dann einmal reviewed werden. Aber was review ich denn da? Woher weiß ich denn... Also ich kann AWS ja nicht anrufen und fragen. Also glaube ich zumindest. Wie läuft es dann?

Fabiola Munguia:
[10:18] Genau, also normalerweise gibt es erstmal einen Prozess, das man dokumentiert hat und man sagt, okay, wir werden jetzt AWS zum Beispiel kurz reviewen. Das heißt, man schaut sich erstmal an, Weil wenn AWS jetzt, also wenn man zum Beispiel AWS nutzt, intern, was würde passieren, wenn AWS einfach komplett, entweder das Unternehmen komplett zumacht oder was auch immer, was nicht passieren würde. Aber ja, man muss halt erstmal das Risiko bewerten. Man muss sagen, ja, das wäre halt für uns ein riskanter Vendor zum Beispiel. Wenn dieses Vendor es nicht mehr gibt, können wir eigentlich nicht mehr arbeiten. Also wir können wirklich das Unternehmen nicht weiter betreiben. Das wäre sozusagen ein Teil der Lieferantprüfung, die man macht. Anschließend muss man zum Beispiel auch checken, hat dieser Lieferant, also was für Daten werden da gehostet oder verarbeitet. Das sind dann auch persönliche Daten, wie Mitarbeiterdaten, Kundendaten auch. Und je nachdem, was man da hat, muss man das eigentlich auch höher einstufen, das Risiko oder weniger.

Fabiola Munguia:
[11:23] Und wenn man am Ende sagt, hey, das ist eigentlich ein sehr riskantes Vendor für uns, dann ist der nächste Schritt, dass man sich auch überlegt und auch wirklich reviewt, ob dieses Vendor, mit dem man arbeitet, auch selbst ein Zertifikat hat, wie ISO oder SOG2 oder was auch immer. Genau, was man erreichen möchte, ist, dass man weiß, hey, wir haben tatsächlich die Aufgabe gemacht, um zu prüfen, dass unsere Lieferanten tatsächlich auch ähnliche Sicherheitsanforderungen erfüllen, wie wir das auch machen wollen. Genau, das heißt, am Ende bei einer Vendor Review machst du einfach eine komplette Liste von allen deiner Lieferanten und musst du das dann tatsächlich durchgeben. Gerade ist das halt super manuell gemacht.

Mike Mahlkow:
[12:08] Das heißt, ich liste alle Vendors auf und dann bewerte ich die Risiken von denen. Und dann, falls da ein höheres Risiko ist, schaue ich noch, ob die irgendwelche Zusatzzertifikate haben oder überlege mir, wie ich mit dem Risiko umgehen kann. Ist das eine gute Beschreibung? Okay, das hört sich ja schon mal ein bisschen an, als würde es ein bisschen dauern. Vielleicht gibst du nochmal irgendwie ein anderes Special, weil es ist ja wahrscheinlich nicht nur das Vendor Review, sondern es gibt ja irgendwie signifikant mehr Dinge, die man sich anschauen muss.

Fabiola Munguia:
[12:38] Ja, genau. Also ein anderer Teil ist, dass man auch Mitarbeitercompliance irgendwie nachweisen soll. Also wenn man das manuell macht zum Beispiel, wäre man müsste erstmal eine Liste von allen Mitarbeitern irgendwo ablegen und man muss tracken, was für Aufgaben die Mitarbeiter erledigt haben, um compliant zu werden. Als Beispiel, als Aufgaben, die man machen muss, man muss mindestens einmal im Jahr eine IT-Sieheizschulung abschließen. Das heißt, man müsste theoretisch einfach irgendwo trucken, dass alle diese Mitarbeiter die IT-Sieheizschulung abgeschlossen haben und dass man das auch nachweisen kann mit Zertifikate zum Beispiel. Also irgendwie irgendeine Schulung online und daraus dann wurde halt ein Zertifikat erstellt. Anschließend muss man auch prüfen, dass jeder Mitarbeiter auch die Richtlinien im Unternehmen gelesen hat und verstehen hat. Das heißt, bei ISO 2701 geht es darum, du entwickelst immer Prozesse und das ist auch der Grund, warum es für Startups auch ganz gut ist, dass man von Anfang an das baut, weil wenn man ein bisschen zu spät daran denkt, du hast schon Prozesse gebaut und es ist schwieriger, diese Sachen dann komplett zu ändern und anzupassen. Das heißt, wenn man von Anfang an sagt, hey, wir halten uns an die Best Practices, das ist, was wir zum Beispiel mit unseren Kunden, mit unseren Startups machen, wir geben denen die Best Practices von Prozessen für ETSI und sagen, hey,

Fabiola Munguia:
[14:04] Für AWS musst du das und das machen. Für Office 365 musst du das und das machen. Für Mitarbeiter Compliance musst du halt eine IT-Sieheizschulung einmal im Jahr machen. Du musst einfach checken, dass alle deine Devices von deinen Mitarbeitern richtig eingestellt wurden und so weiter und so fort. Und somit spart man sich dann über die Zeit auch viel mehr Zeit und Aufwand noch. Genau, das heißt, das ist zum Beispiel noch ein Thema, das man in Compliance oder halt zum Beispiel in einem Audien checken würde. Inwieweit die Mitarbeiter dann alle diese Sachen erledigt haben. Und ja, anschließend vielleicht ein noch konkreteres Beispiel. Haben Mitarbeiter Multifaktor-Authentifizierung eingeschaltet? Das ist ganz klassisch, wenn man halt in Office 365 oder mit Google Workspaces arbeitet. Viele vergessen das und manchmal ist das nicht mal ein Forced, aber es ist einer der Gründe, warum man halt zum Beispiel auch gehackt werden kann. Und das ist etwas, das man irgendwie auch nachweisen sollte zu einem Auditor. Genau. Und am Ende, was XFX macht, ist, wir versuchen das wirklich alles anhand von Verbindungen oder halt Integrationen dann alles einzuscanen oder halt wirklich zu extrahieren, damit man schneller und einfacher das dann nachweisen kann. Verstanden.

Mike Mahlkow:
[15:21] Also das Grundprinzip ist quasi, man möchte den Partnern, den potenziellen Kunden, wem auch immer nachweisen, dass man alle Best Practices, was IT-Security und sonstige Prozesse angeht, dass man die einhält. Aber die Partner glauben einem das einfacher, wenn man einen externen Auditor sich reinholt, der das dann auch am Ende überprüft und einem dieses Zertifikat gibt. Und das Zertifikat steht dann dafür, dass man einfach sagen kann, hey, ich halte mich an alle Richtlinien. Und dann ist es für die andere Seite signifikant einfacher, das einfach zu glauben und dann abzuhaken und quasi sich auf das Kernprodukt oder die Kernzusammenarbeit zu fokussieren.

Fabiola Munguia:
[16:02] Genau. Und in den meisten Fällen betrifft es zum Beispiel auch mit Ausschreibungen oder RFPs zum Beispiel. Also es gibt viele Startups, die müssen ja auch, die arbeiten halt mit sehr vielen Unternehmen, die halt ihre Ausschreibungen machen. Und dann gibt es immer so einen Haken, ist man ISO 2799 zertifiziert, ja oder nein? Wenn man Ja angebt, dann hat man natürlich auch hohe Chancen, diese Ausschreibung zu gewinnen. Wenn nicht, dann gibt es noch einen längeren Weg, um dahin zu kommen. Man muss zum Beispiel ein Security-Questionnaire dann ausfüllen. Und das kann mindestens, manchmal sogar 300 Seiten sein.

Mike Mahlkow:
[16:41] Ich habe schon einige von diesen Security-Questionnaires bekommen. Die klickt man teilweise immer noch, nur die werden halt dann signifikant kürzer, wenn man die richtigen Zertifikate hat.

Fabiola Munguia:
[16:50] Ja, genau.

Mike Mahlkow:
[16:51] Da stehen Fragen, über die ich noch nie in meinem Leben nachgedacht habe. Und das Lustige ist, jedes Unternehmen macht das auch anders und jedes Unternehmen schickt einem andere Fragen. Es gibt da keinen wirklichen Standard. Aber ja, klar, mit den Zertifikaten kann man das schon alles ein bisschen beschleunigen. Ich habe zwei Sachen, in die ich gerne abbiegen würde. Aber lass uns gerne erst mal mit der ersten anfangen. Und zwar, das hört sich schon alles, ich spreche jetzt irgendwie aus meiner Startup-Founder, CEO, vielleicht auch dann Angel-Investor-Sicht. Das hört sich alles schon ein bisschen nervig an. Weil ich denke mir jetzt, okay.

Mike Mahlkow:
[17:26] Ich könnte entweder meine Zeit da reinstecken oder ich könnte einfach mein Produkt bauen oder mit Usern sprechen oder Leute. Also ich könnte halt sehr viele andere Sachen mit der Zeit machen, logischerweise. Und es gibt ein paar Sachen, die sehr viel Sinn ergeben. Ja, Two-Factor-Authentication sollte man wahrscheinlich bei den Critical Accounts immer irgendwie anhaben und das auch irgendwie company-wide enforcen. Aber es gibt wahrscheinlich auch ein paar Sachen dabei, wo man sich denkt, ist das jetzt wirklich notwendig? Ich glaube, wir mussten auch in unserem deutschen Büro damals irgendwelche physischen Sachen, also es wurden die physischen Arbeitsorte auch irgendwie überprüft und dann schaut sich der Auditor das irgendwie genauer an. Long story short, was ich eigentlich sagen will, welche Companies brauchen das denn wirklich? Also welche Companies sollten sich die Mühe machen, sich so eine Zertifizierung zu holen? Wir fangen jetzt mal kurz mit ISO und SOC2 an, weil das sind ja quasi mehr oder weniger die Äquivalente, SOC2 für die USA. In den USA, wenn du irgendwie Enterprise Sales oder so machen willst, brauchst du das. In Deutschland ist es dann eher ISO. Wieso?

Mike Mahlkow:
[18:28] Also wann ist quasi so der Punkt, wo ich wirklich, du sagst natürlich so früh wie möglich, ja, aber wenn ich so gerade anfange und dann auch so überlege, was baue ich überhaupt und will jemand überhaupt mein Produkt, dann mache ich mir wahrscheinlich noch nicht so viele Sorgen darüber, welche Vendorliste ich irgendwie habe. Also was ist so der Startschuss normalerweise? Wann quasi, klar ist der frühstmögliche Zeitpunkt am besten, aber wann sollte ich es auf jeden Fall machen, ist vielleicht die eigentliche Frage.

Fabiola Munguia:
[18:53] Ja, das ist eine sehr gute Frage. Ich habe auch mehrere Kunden gehabt, die in unterschiedlichen Phasen angefangen haben. Was du nicht willst, ist, dass du ganz am Ende, also dass du zu spät anfängst. Also zum Beispiel, entweder du hast schon ein Deal verloren und dann erst dann denkst du, oh, ich muss das jetzt machen. Oder dass du gerade dabei bist, irgendwas zu verhandeln und du kannst eigentlich nichts nachweisen. Das heißt, in dem Zeitpunkt bist du einfach viel zu spät. Ich glaube, das Beste ist, wenn man schon weiß, man hat ein Produkt, das funktioniert und das Unternehmen auch für zum Beispiel potenzielle Kunden auch interessant sein kann und man weiß, hey, das ist eigentlich die Richtung, wo es hingeht. Und wir haben tatsächlich schon ein bisschen so Proof of Concept gehabt und so weiter.

Fabiola Munguia:
[19:51] Und man möchte einfach diesen Schritt machen zu Enterprise Sales oder einfach mit so mehreren größeren Unternehmen zusammenarbeiten, dann muss man schon anfangen, darüber nachzudenken. Vor allem, wenn man schon anfängt zu hören, dass man diese Keywords hört, wie IT-Security-Questioners oder halt ISO 2701 oder wie vertrauenswürdig ist eure Plattform. In dem Moment, wo solche Diskussionen anfangen, sollte man eigentlich schon anfangen, die ISO oder halt die SOC2-Compliance dann umzusetzen. Das war meine Empfehlung. Aber wie gesagt, wir hatten bisher immer unterschiedliche Stages gehabt, aber die Besten, und ich habe das auch gesehen mit ein paar Kunden, die wussten, dass es kommt, sie haben schon von anderen gehört, dass sie das machen müssen, sie haben es einfach nicht geneigt, sie haben einfach gesagt, ja, ich weiß, es ist wichtig und ich mache das. Und sie haben es tatsächlich gemacht, frühzeitig.

Fabiola Munguia:
[20:53] Als sie vielleicht nur ein paar Kunden hatten, was daraus passiert ist, wenn ihre Nachfrage noch gewachsen ist, waren sie eigentlich schon bereit, um alle diese Sachen nachzuweisen und es hat ihren Sales-Cycles nicht verlangsamt oder halt wirklich gestoppt. Und die sind halt natürlich auch jetzt super schnell gewachsen. Deswegen, das ist halt tatsächlich meine Empfehlung, wenn man weiß, es kommt immer mehr diese Passwords, ISO, SOP2, Security, dann sollte man halt das nicht einfach nach hinten weiterschieben.

Mike Mahlkow:
[21:22] Ja, das ergibt Sinn. Also bei uns vielleicht auch war es einfach so, wir wussten, wir wollen Enterprise-Sales bald machen. Und dann wussten wir, sehr viele Sachen werden aus dem Weg geräumt, wenn wir einfach SOC2 und ISO machen. Und man kann einfach, man kann überhaupt einige Deals einfach nicht closen, ohne das zu haben. Also sowohl in den USA ist SOC2 eigentlich Table Stakes, wie man hier sagen würde. Also es ist einfach Grundvoraussetzung, um überhaupt Enterprise-Deals zu closen. Und ähnlich ist es in Deutschland mit ISO an sehr vielen Stellen. Also ich glaube, die Grundfrage ist immer so ein bisschen so, wann fängt die Schwelle an? Also wenn du quasi einen DAX-Konzern verkaufen willst, dann weißt du eigentlich, du brauchst es auf jeden Fall. Aber selbst im deutschen Mittelstand ist es halt schon was, was meiner Erfahrung nach dann auch schon einfacher Türen öffnen kann und Prozesse auch sehr viel einfacher macht. Und wie ich immer drüber nachdenke, ist es auch so ein bisschen quasi eine Art und Weise, wie man es schafft, den Stakeholdern auf der anderen Seite ein bisschen Sicherheit zu geben, weil das ist vielleicht auch die nächste Sache, wo wir ein bisschen drüber sprechen können, bevor wir dann irgendwie in breitere Zertifikate oder die Automatisierung reingehen und zwar, wie sieht das in so einem Sales-Prozess aus und so aus eigener Erfahrung heraus.

Mike Mahlkow:
[22:34] Du hast halt immer dann irgendwie eine Person, die will das Produkt, was du dem Enterprise-Kunden fangst, die willst halt. Das ist irgendwie der Champion, wenn man irgendwie im Sales spricht, drüber spricht. Und man macht ja das Leben einfach auch signifikant einfacher und deswegen auch sich selbst das Leben einfacher, wenn sie quasi einfach dieses Zertifikat mitnehmen kann und sich keine Sorgen um irgendwelche Compliance-Issues machen kann, weil am Ende fällt nämlich dann auf die Person, wenn sie das Produkt empfohlen hat, fallen dann irgendwelche Probleme zurück, die dann mit Datensicherheit oder so ein Jahr danach aufkommen. Das heißt, man macht das irgendwie signifikant einfacher. Das heißt, ich glaube, es ist einerseits ein Compliance-Tool, wie wir irgendwie schon gerade gesagt haben, Aber im Endeffekt ist es doch eigentlich mehr. Also es ist ja eigentlich das, was du dann irgendwie brauchst, um wirklich Sales zu machen. Also seht ihr euch auch als Sales-Enablement-Tool oder ist das einfach so, ihr automatisiert quasi einfach die Zertifizierung und macht das einfach signifikant schneller und überlasst es den Unternehmen quasi zu entscheiden, wann sie es brauchen?

Fabiola Munguia:
[23:32] Ne, genau, unbedingt. Also am Anfang, als wir das alle so angefangen hatten,

Fabiola Munguia:
[23:38] Wir wollten einfach den Pain irgendwie wegnehmen. Also, dass man sagt, hey, ja, du hast einen Schmerzen, wir nehmen es weg. Und so haben wir tatsächlich da fokussiert angefangen. Aber mit der Zeit haben wir tatsächlich auch bemerkt, hey, unsere Kunden, die wachsen mit, also... Nach der ISO 2791-Zertifizierung, die bekommen mehr Kunden, die haben einen Wertbewerbsvorteil und die haben auch selbst angefangen zu sagen, hey, wie können wir eigentlich das irgendwie nachweisen auf eine professionelle Art? Und da sehen wir uns tatsächlich halt, dass wir halt bei denen diese, also man kann es irgendwie so nennen, tatsächlich wie Sales Enabler oder Sales Accelerator Tool, weil es gibt nicht nur quasi den Bereich, wie wir automatisieren ihre Compliance-Prozesse, sondern auch, wir bieten auch zum Beispiel ein Trust Center, das man auf der Webseite embedden kann. Und dieses Trust Center, was es macht, das ist eine ganz einfache Seite, wo du wirklich alle deine Zertifikate zum Beispiel einfach zeigen kannst. Und das kannst du verlinken auf deiner Webseite und sagen, hey, ich habe eine ISO 279 Zertifizierung, ich bin GDPR compliant, ich habe NIST 2 noch gemacht und so weiter und so fort. Und du kannst sogar auflisten, welche Subprocessors man hat und das bringt einfach diesen extra Vertrauen,

Fabiola Munguia:
[25:03] Vor allem als Unternehmer, um zu sagen, hey, ich kümmere mich eigentlich um meine Sicherheit und ich sehe halt, es sieht einfach professionell aus, wenn man auch das zum Beispiel auf der Webseite hat. Genau.

Mike Mahlkow:
[25:16] Vielleicht als Punkt aus eigener Erfahrung, das Einzige, was ich eigentlich, also ich als CEO, der dann auch irgendwie quasi Sales bis zum gewissen Grad Und in dem Unternehmen. Was ich am Ende wollte, ist dieses Trust Center. Ich wollte dieses Trust Center haben. Ich wollte meine Sales-E-Mails quasi einfach irgendwie schreiben, hey, wenn ihr irgendwelche Fragen habt, hier könnt ihr irgendwie alle unsere Compliance-Dokumente irgendwie runterladen. Der Prozess dahinter, natürlich ist der wichtig, dass der durchlaufen wird. Aber im Endeffekt, was ich quasi brauche, ich will dieses Trust Center, ich will diese Stempel da drin haben. Und ich will, wenn immer mir jemand die Frage stellt, wie sieht es denn bei euch mit Data Security aus, ich will einfach diesen Link schicken. Und dann, der Link sieht dann auch nochmal signifikant, also diese Website sieht nochmal signifikant professioneller aus, als wenn man selber einfach so einen One-Pager zusammenstellt oder so. Weil dann steht da ja auch irgendwie noch so ein Datum teilweise, glaube ich, oder irgendwas, oder das alles up-to-date ist. Also insgesamt auf jeden Fall, das war das, was mich am meisten gefreut hat, am kompletten Prozess, dass ich dann irgendwann dieses Trust Center hatte und ich das einfach mitschicken konnte. Also es macht auf jeden Fall das Leben signifikant einfacher, weil sonst schickst du halt irgendwie so eine PDF mit, wo du dann irgendwie dieses Zertifikat drin hast oder so, aber das ist natürlich weniger powerful und auch weniger, also nicht ganz so einfach, wie irgendwie dieses Trust Center mitzuschicken.

Mike Mahlkow:
[26:33] Vielleicht auch irgendwie so aus eigener Erfahrung dann auch noch wieder gesprochen. Also die Fragen, die ich am Anfang gestellt habe, waren natürlich auch so ein bisschen so im Sinne von, was ist, wenn jemand noch nicht von ISO oder SOC2 oder so gehört hat? Ich habe mich damit natürlich auch schon sehr viel beschäftigen müssen über die Jahre für die Unternehmen, die ich gebaut habe, die Unternehmen, die ich investiert habe etc. Also was ich quasi sagen würde, ist, wenn du Enterprise Sales machen willst, dann brauchst du diese beiden Sachen. Und dann musst du quasi den effizientesten Weg finden, wie du diese Zertifikate besorgst und meiner Meinung nach ist es eigentlich nicht eine Frage, ob man irgendwie einen externen Service Provider benutzt, sondern einfach nur, welchen externen Service Provider man benutzen sollte, weil ich glaube nicht, dass es sich in irgendeiner Art und Weise lohnt, das selber zu machen. Es gibt vielleicht irgendwelche 0,1% Fälle, wo das der Fall ist, aber die lassen wir alle mal irgendwie beiseite. Ich glaube, die meisten Leute sind glücklicher, wenn die einfach mit einem externen Service Provider gehen und in dem Falle von Startups auch auf jeden Fall mit einem Tech-enabled externen Service Provider und nicht mit irgendeinem Service-based Provider. Also vielleicht mal, geh mal ein bisschen mehr darauf ein und erklär uns, was macht ihr denn wirklich einfach? Du hast von Automatisierung gesprochen, du hast das Trust Center oder so, aber wie sorgt ihr dafür, dass ich das schneller hinbekomme? Und du hast gesagt, es kann irgendwie teilweise zwölf Monate dauern, wenn ich es selber mache. Aber wie lange dauert es denn, wenn ich es mit euch mache?

Fabiola Munguia:
[27:58] Also im Durchschnitt dauert bei uns so circa zwei bis vier Monate maximal. Es kann sogar schneller gehen. Und man muss auch nicht Vollzeit eine Person haben, sondern man investiert so acht bis zwölf Stunden pro Woche, um das alles zu erreichen. Und tatsächlich einfach die Automatisierung oder wie wir das alles so aufgebaut haben, damit das einfacher ist. Erstmal, man integriert sich zu dem TechStack von dem Unternehmen. Also zum Beispiel, wenn man sagt, hey, ich nutze ABS oder ich nutze Jira, Personio, Google Workspaces, was auch immer.

Fabiola Munguia:
[28:35] Und daraus extrahieren wir die Daten, die wir brauchen, um erstmal eine automatisierte Checkliste zu erstellen,

Fabiola Munguia:
[28:42] Die dem Startup sagt, hey, das sind die Sachen, die du jetzt erledigen solltest, um konform zu werden, aber auch zu bleiben. Das heißt, es ist wie im Vergleich zu, ich mache es alleine oder mit einem Service Provider zum Beispiel, wo man selber sich irgendwie überlegen muss, was muss ich konkret machen, weil der Standard auch sehr grob ist. Also es zeigt nicht wirklich, du musst Multifaktor-Authentifizierung einschalten, sondern es gibt einfach so, genauso wie bei Legal, weißt du, einfach sehr, sehr broad terms. Hier geben wir halt einfach unseren Kunden einfach das Rezept und sagen, hey, folgt dieses Rezept. Wir haben hier alles für euch schon so vorgegeben und customized, damit ihr ganz genau wisst, wie es in eurem Unternehmen aufgebaut werden soll. Und dann müssen sie tatsächlich einfach unserem Rezept folgen und dann werden sie zertifiziert. Und somit sparen sie sich einfach wirklich hunderten von Stunden, vor allem von Engineering-Stunden. Wir können sogar Cloud-Scanners einstellen, das heißt, wir können sogar gucken, was ist in AWS richtig eingestellt, was sind die Resources, die vielleicht nicht 100% passen oder zum Beispiel Cloud-Assets, wo es Informationen fehlen oder MFA in Root-Accounts, die nicht richtig eingestellt wurden. Und wir können einfach sogar genau sagen und in real time, das sind die Sachen, die ihr jetzt anpassen solltet.

Fabiola Munguia:
[30:08] Anschließend gibt es noch eine Sache, die man auch für alle diese kompletten Standards verstehen muss. Wenn man anfängt, ist es tatsächlich nicht eine einmalige Sache. Man muss es jedes Jahr wiederholen. Und da hilft ein Automatisierungstool enorm, vor allem, weil man über die Zeit Sackfix übernimmt, diese Sammlung von Nachweisen. Das heißt, beim nächsten Audit wird der Auditor sagen, hey, kannst du mir bitte zeigen, wie du das über das ganze Jahr aufrechterhalten hast. Was hast du eigentlich gemacht im Februar, im März? Hast du deine Access Reviews gemacht? Hast du dein Risiko-Management gemacht? Was viele Unternehmen machen, wenn sie kein Tool nutzen, die lassen sich zertifizieren und dann sagen, okay, wir haben das erreicht. In einem Jahr müssen wir uns wieder beschäftigen damit und dann vergessen sie das. Und dann drei Monate davor sind sie wieder mit dem ganzen Stress. Aber noch mehr, weil sie das ganze Jahr lang nichts gemacht haben. Und im zweiten Jahr sind die Auditorin auch sogar strenger. Und genau, deswegen hier ist halt Sex-Fix viel einfacher, weil du kannst eigentlich wirklich über die Zeit einfach wirklich Erinnerungen bekommen von Aufgaben, die du erledigen solltest oder Sachen, die aktualisieren werden sollten oder Mitarbeiter, die zum Beispiel das Training noch nicht abgeschlossen haben und so weiter und so fort.

Mike Mahlkow:
[31:30] Das heißt, ich habe einfach eine Übersicht, in der alles steht und ich kriege E-Mails, wenn immer ich irgendein Review machen muss oder die Mitarbeiter kriegen dann eine Benachrichtigung, wenn sie ihr Training noch absolvieren sollen. Und das heißt, es läuft quasi so passiv nebenbei und ich muss nicht mehr aktiv dran denken.

Fabiola Munguia:
[31:46] Genau, es läuft tatsächlich einfach passiv und man muss einfach mehr so, mehr reaktiv sein auf die Sachen, die Sex Fix dann empfiehlt, dass man machen soll und nicht selbst darüber nachdenken soll, wie soll ich das oder das einstellen.

Mike Mahlkow:
[32:01] Verstanden. Okay.

Fabiola Munguia:
[32:04] Spannend.

Mike Mahlkow:
[32:05] Ich glaube, eine der Sachen, über die ich noch gerne sprechen will, SOC2 und ISO sind wahrscheinlich so die Standardsachen. Das haben sehr viele Unternehmen. Sobald man Enterprise Sales machen will, braucht man es halt bis zum gewissen Grad. Das ist schwierig irgendwie ohne, in der Regel zumindest. Aber du hast eben auch noch ein paar andere Akronyme genannt, die ich nicht alle parat habe. Deswegen würde mich mal interessieren, ich glaube, du hast irgendwie T-Sax gesagt oder so. Und ich weiß gar nicht mehr, also GDPR auf jeden Fall, aber das kenne ich natürlich noch. Also bietet dir noch mehr Zertifikate an und wann muss ich mir über die Sorgen machen? Muss ich mir da Sorgen machen oder ist das was, worüber sich nur, also wer macht sich quasi über T-Sax oder die anderen Sachen Gedanken?

Fabiola Munguia:
[32:45] Ja, genau. Also es ist tatsächlich so, es gibt nicht nur einen Standard, sondern je nachdem, in welcher Industrie man ist, also in welcher Branche, muss man sich auch Gedanken darüber machen. Und es gibt auch ein paar regulatorische Anforderungen, die man auch erfüllen soll. Als Beispiel, also TSACs tatsächlich, wie du genannt hast, das ist mehr für die Automobilindustrie. Also wenn man sagt, man möchte zum Beispiel mit BMW zusammenarbeiten oder mit VW, die werden immer TSACs anfragen. Und was ist das?

Mike Mahlkow:
[33:16] Also was ist TISAX?

Fabiola Munguia:
[33:17] Genau, das ist dasselbe wie ISO 27001, aber es gibt noch weitere Anforderungen, die man für die Automobilindustrie erfüllen soll, vor allem in Bezug auf Supply Chain Management. Das heißt, das Gute von ZEGFIX ist, man kann eigentlich, und von allen diesen Standards, wenn man ISO 27001 gemacht hat, die meisten Standards, die werden abgeleitet von ISO 27001. Das heißt, später, wenn ein anderes Unternehmer oder Kunde sagt, hey, ich brauche, dass du TSACs machst, du kannst eigentlich schon um die 90 Prozent damit abdecken und du musst dann noch die extra 10 Prozent machen, die dir noch fehlen. Das heißt, es ist sehr einfach, das zu skalieren für andere Standards. Dasselbe mit SOC 2, GDPR zum Beispiel ist auch, natürlich kennen wir halt das Ganze mit Data Privacy, kann man auch teilweise mit ISO 2701 abdecken und dann muss man sich halt natürlich auch an die Legal Requirements dann anhalten.

Mike Mahlkow:
[34:14] Und ist das denn so, wenn ich ISO gemacht habe, dass ihr dann automatisch auch für TSACs das übernehmt oder muss ich das dann alles irgendwie nochmal neu machen?

Fabiola Munguia:
[34:22] Nee, genau. Also bei uns ist das so, und das machen die Kunden auch, also die halt anfangen dann auch noch weitere Standards anzufragen. Die haben ihre ISO 2701 abgeschlossen und dann sagen, hey, ich brauche TSACs. Dann gibt es ein extra Modul, das wir einschalten. Und was wir machen ist, wir machen so ein Cross-Mapping oder Verlinkung von ISO zu TSACs. Und wir können dann sagen, okay, alle diese Aufgaben, die du schon gemacht hast, die kannst du jetzt auch für TSACs schon nachweisen. Und es gibt am Ende so ein Compliance Report, wo Sie tatsächlich sehen können, alle Sachen in Bezug auf TSACs Anforderungen, was Sie jetzt gerade erfüllt haben und was dann noch fällt.

Mike Mahlkow:
[35:03] Verstanden. Also es gibt TISAX für die Automobilindustrie, es gibt ISO und SOC2 als Basis, GDPR, wenn man irgendwie Nutzerdaten verarbeitet, auch als Basis.

Fabiola Munguia:
[35:11] Genau.

Mike Mahlkow:
[35:11] Vielleicht listest du einfach nochmal die anderen Sachen, also jetzt nicht alle, es gibt ja wahrscheinlich, keine Ahnung wie viele Zertifikate, aber gibt es noch irgendwelche wichtigen, die man wissen muss? Zum Beispiel in den USA gibt es HIPAA Compliance für Healthcare, gibt es sowas auch in Deutschland?

Fabiola Munguia:
[35:24] Gibt es auch etwas Ähnliches in Deutschland? Aber gerade das, was wirklich sehr brennt, würde ich sagen, ist diesen EU-AI-Act.

Mike Mahlkow:
[35:34] Das wäre die nächste Frage gewesen. Weil ich, vielleicht kurz da, um das einzuleiten. Das wäre wirklich die nächste Frage gewesen, über die ich nachgedacht hätte. Weil wir haben AI-Produkte sowohl in den USA als auch in Europa verkauft, verschiedene. Und eine Sache, die in Europa wahrscheinlich innerhalb der ersten fünf Minuten in fast jeder Konversation, die ich mit Board-Membern von großen Unternehmen, C-Level, den Head of AI, Head of Technology, es kam immer der EU-AI-Act irgendwann drauf zu sprechen. Das war auch noch vor ein paar Monaten. Also es war auch noch zu einem Zeitpunkt, wo nicht unbedingt alles klar war, was in dem EU-AI drin war oder was man irgendwie machen muss. Aber gibt es da mittlerweile, gibt es ein Zertifikat? Also wie läuft das? Vielleicht kannst du mich da mal reinführen, weil viele von den Zuhörern werden wahrscheinlich auch irgendwelche AI-Produkte entweder quasi direkt vertreiben oder AI sehr signifikant in ihrem Produkt nutzen. Und das ist natürlich eine Frage, die dann sehr oft aufkommen wird, gerade wenn der EU-AI-Act jetzt in Phasen wirklich in Kraft tritt.

Fabiola Munguia:
[36:38] Ja, genau. Also das ist tatsächlich jetzt ein Thema. Und es ist, also wenn man das ein bisschen vergleichen kann, es ist ähnlich wie damals GDPR, wo alle über GDPR gesprochen haben, haben gesagt, hey, man muss jetzt GDPR-Compliant werden. Aber was heißt es eigentlich, GDPR-Compliant zu werden? Da gibt es halt natürlich auch verschiedene Meinungen dazu. Und beim EU-AI-Jagd ist es halt ähnlich. Also es gibt jetzt diese regulatorischen Anforderungen für Unternehmen, die halt AI betreiben oder AI-Tools haben. Das ist wirklich egal, ob man halt in Europa ist oder nicht. Wenn man halt an europäischen Kunden verkauft, muss man das halt haben und man muss das erfüllen. Aber hier ist das Problem, ähnlich wie bei GDPR, man weiß eigentlich nicht, inwieweit muss man das, also wann ist man eigentlich konform und da gibt es halt natürlich auch sehr viele Sachen, die man erfüllen soll. Vor allem

Fabiola Munguia:
[37:38] Es geht eigentlich darum, dass du am Ende zeigen kannst, dass du also diesen Vertrauen und Sicherheit und Responsible AI nutzt, dass man die Daten, die Privacy von Daten zum Beispiel nicht einfach so weitergibt und dass du tatsächlich das richtig alles eingestellt hast. In Bezug auf Zertifikate, es gibt tatsächlich ein Zertifikat, das daraus entstanden ist. Das ist die ISO 42001. Und das ist gerade das Zertifikat, das tatsächlich zeigen kann, dass man AI Responsible dann nutzt. Und dieses Zertifikat ist aus der ISO 27001 abgeleitet. Das heißt, wenn man schon ISO 27001 gemacht hat, hat man tatsächlich schon mehrere Sachen für ISO 4201 abgedeckt. Nicht alles natürlich, aber schon einen gewissen großen Anteil. Und anschließend muss man dann tatsächlich noch die extra Sachen machen, wie zum Beispiel, man muss eine AI-Policy noch extra bauen und definieren. Man muss auch Risiken denken in Bezug auf AI-Produkte, die man hat.

Mike Mahlkow:
[38:49] Also quasi das gleiche Spiel nochmal, nur auf AI bezogen. Okay, gut. Dadurch, dass wir das Produkt, was wir gebaut haben, in dem Bereich auch schon verkauft haben, war mir noch gar nicht bewusst, dass es dieses neue Zertifikat gibt. Weil als wir das nämlich gemacht haben und vertrieben haben, auch in Europa, gab es zu 100 Prozent noch dieses Zertifikat noch nicht. Und akzeptieren die Unternehmen das dann auch? Also bei ISO weiß ich halt aus Erfahrung oder bei ISO und SOC2 beiden weiß ich halt, das ist so ein Standard, wenn du den quasi... Wenn du vorzeigst, dann weißt du quasi, du kommst schon mal weiter. Den Deal musst du immer noch selber closen, aber du kommst quasi schon mal irgendwie weiter. Wie ist denn die Akzeptanz von diesem neuen ISO 42001 Zertifikat? Also wann wird das benutzt? Wird das quasi so angefragt von großen Unternehmen, wenn man irgendwie ein AI-Produkt an die verkaufen will oder auch selbst, wenn man nur AI im Produkt benutzt? Also wann quasi wird das wirklich relevant?

Fabiola Munguia:
[39:48] Ja, es ist ähnlich wie bei ISO 27001. Also wenn man sozusagen am Ende vor allem in AI was verkaufen möchte an größeren Enterprises, gerade gibt es also ein bisschen so eine Umstellung im Markt, dass man nicht nur, also man muss das auch immer berücksichtigen, dass immer mehr weitere Zertifizierungen kommen. Und ISO 27001 ist die Basis, aber bei AI-Unternehmen wird es noch extra ISO 4201 gefragt. Das heißt, ähnliches Spiel wie bei ISO. Man bekommt halt auch bei den Gesprächen, also Sales-Gesprächen halt die Frage, hast du ISO 27001 und hast du auch noch zusätzlich dann ISO 4201?

Mike Mahlkow:
[40:34] Und da jetzt die Frage, weil aus eigener Erfahrung bestimmte Sachen kannst du halt auch ohne Zertifikate einfach übergehen und eben Security-Questionnaires ausfüllen oder eben einfach quasi den eigenen Plan aufzeigen, sagen, wie man zum Beispiel mit AI Daten verarbeitet, wie man Explainability vielleicht gewährleisten kann, wenn man es überhaupt gewährleisten kann. Also das ist nochmal eine andere Frage. Aber ... Und inwiefern quasi ist das genauso, also ist es dann quasi, wenn man dieses Zertifikat nicht hat, dass die Konversation nicht weitergeht? Ich weiß nicht, wie viele Insights du da hast, aber ich glaube, das wäre natürlich sehr spannend für alle Leute zu hören. Ist das denn auch wirklich ein Knockout-Kriterium? Weil ISO 27001 ist es ja teilweise. Aber ist das bei 42001 ähnlich oder kann man das noch einfacher umgehen?

Fabiola Munguia:
[41:22] Also am Ende, es geht darum, dass man nachweisen soll, dass man Responsible AI gebaut hat. ISO 4.2.090 ist der einfachste Weg, um das nachzuweisen. Aber es gibt natürlich auch andere Wegen. Also wie ich gemeint habe, genauso wie bei GDPR Compliance, es gibt kein richtiges GDPR Zertifikat. Es gibt nur noch eine andere ISO, die man dafür nutzen und verwendet kann.

Mike Mahlkow:
[41:47] Irgendwann gibt es für alles eine ISO.

Fabiola Munguia:
[41:49] Genau, es gab auch schon Gespräche darüber. Aber ja, genau, also generell, es ist ein Mittel, um schneller das nachzuweisen und dass man an die Konversation einfach weiterkommt. Aber wenn nicht, dann muss man trotzdem mit zum Beispiel auch Security Questionnaires das nachweisen. Das heißt, man kommt dann wieder in das selben Spiel, Vendors reviewen andere Vendors und dann musst du halt diese Sachen auch in Bezug auf AI beantworten können.

Mike Mahlkow:
[42:15] Ja, also meiner eigenen Erfahrung nach hat der EU-AI-Act, also ich verstehe, wo der herkommt, aber der hat AI jetzt schon so stark ausgebremst in Europa an verschiedenen Stellen, dass mittlerweile sogar die Regulator darüber nachdenken, ob die den irgendwie anpassen sollten oder nicht, weil sie einfach merken, dass wir ins Hintertreffen geraten. Und mit VIA meine ich jetzt einfach Europa, obwohl ich gar nicht mehr in Europa lebe. Aber okay, sehr spannend. Vielleicht nochmal irgendwie abschließend. Also ISO 27001, wenn man in Europa Enterprise Sales machen will. SOC2, wenn man in den USA Enterprise Sales machen will. Falls man ein AI-Produkt anbietet, was unter den EU-AI-Act fällt, das klammern wir jetzt mal aus, das ist wahrscheinlich eine Geschichte für einen anderen Tag. Aber dann kann man noch ISO 4201 machen, wenn man an die Automobilbranche verkaufen will. Beziehungsweise, sagen wir mal, wenn das einer der Hauptkundenbereiche ist, dann sollte man sich wohl TSACs anschauen. Gibt es noch irgendein anderes Zertifikat, was du vielleicht einmal erwähnt haben möchtest, bevor wir das Thema wechseln und nochmal in ein, zwei generelle Dinge reingehen?

Fabiola Munguia:
[43:22] Ja, genau. Also es gab noch NIST 2 und Dora, nur vielleicht nur kurz und knapp.

Mike Mahlkow:
[43:28] Was ist das? Von denen habe ich, glaube ich, nie gehört.

Fabiola Munguia:
[43:31] Genau. NIST 2 ist auch etwas, das vor allem im letzten Jahr gab es sehr viele Gespräche darüber. Und das ist mehr so für kritische Infrastrukturen. Also jeder, der wirklich so im Bereich Energie oder halt... Also zum Beispiel auch die Governmental Institutions und so weiter und so fort und logistische Unternehmen, Supply Chain, die müssen jetzt alle nachweisen, dass sie auch nicht zweikonform sind. Da können wir einfach vielleicht ein anderes Mal ein bisschen tiefer einsteigen. Aber es ist ähnlich wie auch ISO 27001 aufgebaut. Aber man hat für kritische Infrastrukturen weitere Anforderungen.

Mike Mahlkow:
[44:09] Okay, da mache ich mir Sorgen drüber, wenn ich kritische Infrastruktur baue. Und was war das andere?

Fabiola Munguia:
[44:15] DORA. Das ist mehr so für Fintechs oder Financial Institutions. Also jeder, der halt zum Beispiel mit Banken oder Versicherungen arbeiten möchte, muss schon an DORA nachdenken. Genau, das wird von den Versicherungen und Banken dann angefragt.

Mike Mahlkow:
[44:30] Gut, dass ich meinen Fintech in den USA gebaut habe. Da brauchte ich zumindest das Zertifikat. Ja. Okay, spannend. Okay, wir haben jetzt über sehr viel gesprochen. Ich fasse nochmal kurz zusammen. Compliance ist nicht nur irgendwie ein Zertifikat, was man sich holt, sondern teilweise einfach auch sehr hilfreich oder ist das das Minimum, was du irgendwie teilweise brauchst, um Enterprise Sales machen zu können. Auch aus eigener Erfahrung. Wie gesagt, das Erste, was meine Freunde hier in den USA machen, wenn sie Enterprise Sales machen wollen, ist sich SOC2 irgendwie besorgen und ohne wird sehr schwierig in Deutschland und Europa dann ähnlich mit ISO. Wenn man irgendwie in einer bestimmten Branche unterwegs ist, sollte man sich Gedanken machen, ob man eben noch weitere Dinge irgendwie dazuholt und es scheint jetzt dieses neue AI-Zertifikat zu geben. Und ich glaube, das sollte man sich dann auf jeden Fall anschauen, wenn man irgendwie an größere Companies AI-Produkte verkaufen möchte. Wäre jetzt also mein Bauchgefühl, weil gerade in Deutschland ist auch das Gefühl noch mal größer, dass Zertifikate da irgendwie noch mal weitergehen als nur Security Questionnaires. Und das ist eigentlich auch schon ein guter Übergang in das andere Thema, was ich gerne noch mit dir besprechen wollte. Und zwar, ich bin Immigrant Founder, aber aus Deutschland in die USA gezogen. Du bist Immigrant Founder und quasi aus dem Ausland nach Deutschland gezogen. Und jetzt würde mich mal interessieren, wie fühlt sich das an als Immigrant Founder in Deutschland? Also warum Deutschland? Vielleicht als erste Frage. Wieso bist du damals nach Deutschland gezogen? Zum Studieren oder was war der Kontext?

Fabiola Munguia:
[46:00] Ja, genau. Also zum Studieren. Ich war in einer deutschen Schule und ich wollte immer nach Deutschland. Genau, das eine habe ich halt hier studiert und

Mike Mahlkow:
[46:11] Wieso wolltest du immer nach Deutschland? hat das einen bestimmten Grund?

Fabiola Munguia:
[46:14] Ehrlich gesagt, ich glaube, das war einfach so krass in meiner Kindheit irgendwie etabliert mit der deutschen Kultur in der Schule, dass ich wollte es einfach entdecken und einfach gucken, ob es mir gefällt. Und es hat mir tatsächlich gefallen. Ich dachte, okay, ich studiere. Und natürlich auch die Uni und die Kosten und alles, was man in Deutschland haben kann, ist viel günstiger als in den USA. Aber ich meine, ich bin auch USA-Medikanerin, ich konnte eigentlich in der USA studieren. Aber ich dachte, hey, eigentlich hat man auch eine ganz coole Ausbildung hier, das man hier auch in Deutschland machen kann. Und da dachte ich, okay, lieber würde ich mich hier ein bisschen Geld einsparen. Und das war tatsächlich ganz gut.

Mike Mahlkow:
[46:57] Okay, also eines der Kriterien, was wir uns merken müssen, ist, wenn wir mehr richtig gute potenzielle Gründer oder nicht nur Gründer, einfach mehr richtig gute Leute ins Land holen wollen, dann müssen wir unsere Unikosten weiter unten halten und weiterhin gute Bildung anbieten. Okay, das ergibt schon mal sehr viel Sinn für mich. Aber dann ist so der zweite Schritt. Du kommst jetzt irgendwie aus dem Ausland nach Deutschland, studierst dann da und dann gründest du in Deutschland. Du hast gesagt, du hast erst überlegt, dir einen Corporate-Job auszusuchen, aber dein Co-Fan hat dich einfach so lange quasi davon überzeugt, zu gründen. Und jetzt baust du eine Company und es läuft relativ gut. Aber vielleicht geht mal kurz, das interessiert mich eigentlich fast schon mit am meisten. Was ist so dein Eindruck vom Gründertum in Deutschland? Was fühlt sich richtig gut an und was fühlt sich richtig schlecht, nervig, was auch immer an?

Fabiola Munguia:
[47:46] Ja, ich glaube, du weißt die Antwort bestimmt auch.

Mike Mahlkow:
[47:49] Aber ich will es von dir hören.

Fabiola Munguia:
[47:51] Genau, also Bürokratie ist tatsächlich, glaube ich, der große Hindernis. Und zwar damals, als ich angefangen hatte, ein Unternehmen zu gründen in Deutschland, alle haben mir gesagt, ja, es ist super easy, du musst einfach nur zum Notar gehen, du kannst sogar mit einer UB starten, mit einem Euro oder so. Und ich dachte, okay, also es hört sich nicht so schlimm an.

Fabiola Munguia:
[48:15] Aber ich hatte so viele Hindernisse, vor allem, also mein Mitkunder kommt auch aus dem Ausland. Das heißt, wir hatten keine Person, die aus Deutschland kam, die halt in unserem Unternehmen Anteile hatte. Und das hat das alles wirklich sehr kompliziert gemacht, vor allem mit Notartermine oder auch ein Bankkonto zu eröffnen in Deutschland. Obwohl ich, also ich komme aus den USA und es sollte eigentlich sogar ein bisschen einfacher sein. Es war sogar komplizierter. Deswegen, ich glaube, die großen Sachen waren tatsächlich, wie man alle diese Hindernisse wirklich überstehen kann, um wirklich zu gründen. Ich erinnere mich damals, es gab noch ein Thema, das Visum. Ich hatte studiert und ich hatte natürlich auch mein Studentenvisum gehabt. Aber man darf als Student in Deutschland nicht gründen. Also du darfst es nicht. Du musst eigentlich entweder nach der Uni einen Job haben oder du musst dich halt für ein Visum bewerben, damit du dann ein Selbstständigkeitsvisum bekommst.

Mike Mahlkow:
[49:23] Da haben wir ein eigenes Visum quasi. Also es gibt quasi ein Selbstständigkeitsvisum in Deutschland quasi.

Fabiola Munguia:
[49:29] Aber das Wichtigste ist, damit du ein Selbstständiger Suisse bekommst, du musst zeigen, dass du ein Profitable Business hast. Aber wie wirst du dann zeigen, dass du ein Profitable Business hast, wenn du noch nicht erst mal dein Business gegründet hast? Und zweitens, du musst auch zeigen, dass dein Business auch Profitable bleibt. Das heißt, alle Startups haben damit ein Problem, Und zeigst du eigentlich deine Zahlen und sie sagen, hey, warum haben wir so viel Geld eingesammelt und warum haben wir so viel Debt und kein Profit. Und das ist für sie immer so ein bisschen kompliziert zu verstehen. Das heißt, sie müssten sehr, sehr oft mit der Ausländerbehörde sprechen, damit sie verstehen, was wir bauen und warum, wer das baut. Und dass zum Beispiel auch Google und anderen auch sehr lange nicht profitabel waren. Genau, das heißt, das waren so, glaube ich, die großen Hindernisse.

Mike Mahlkow:
[50:25] Okay, das heißt quasi, es gibt diese Standardhöhden von, wir müssen es irgendwie schaffen, den Notar davon zu überzeugen, den Gesellschaftsvertrag richtig aufzusetzen. Und mittlerweile kann man ja zumindest Teile irgendwie dann digital machen, aber vor ein paar Jahren musst du dann ja auch noch irgendwie in Person dahin und dir den Vertrag vorlesen lassen.

Fabiola Munguia:
[50:42] Ja.

Mike Mahlkow:
[50:43] Okay, das ist schon mal Punkt Nummer eins. Und das wird anscheinend noch schwieriger, logischerweise, wenn man dann eben nicht Deutscher ist, weil die Prozesse sind immer ein bisschen schwieriger als Expert, egal quasi, in welchem Land man ist, weil die Prozesse sind einfach nicht für einen gebaut. Ja, weil die Standardprozesse sind halt, in Deutschland ist jemand Deutsches, was gründet, in den USA, dass ein Amerikaner quasi was gründet. Okay, das ist schon mal das eine. Und dann quasi Bankeröffnung ist sogar auch so eine Sache, wenn man eine deutsche Tochtergesellschaft von einem amerikanischen Unternehmen hat. Die meisten Banken nehmen einen einfach nicht. Also du kannst machen, was du willst, die nehmen dich einfach nicht. Du hast bestimmt auch.

Fabiola Munguia:
[51:19] Das Problem gehabt mit deinem...

Mike Mahlkow:
[51:21] Ja, genau. Also es gibt halt irgendwie sehr viele Steine, die einem da in den Weg gelegt werden. Und das mit dem Visum ist natürlich auch eine spannende Sache, weil in meiner Bubble hört man halt sehr oft logischerweise von den Visum in den USA. Und dann gibt es irgendwie verschiedene Arten und Weisen, wie man in den USA als Gründer ein Visum bekommen kann. Auch, um ehrlich zu sein, nicht super straightforward logischerweise und sehr viel Pain mit der ganzen Sache verbunden. Aber natürlich, dass in Deutschland man vorweisen muss, dass man ein profitables Unternehmen hat, ergibt, also ich wusste es zum Echtzusehen nicht, aber es ergibt irgendwie sehr viel Sinn für mich.

Mike Mahlkow:
[51:52] Es ist dann irgendwie wieder typisch deutsch. Ich frage mich aber wirklich, wie das funktionieren soll, wenn man ohne das Visum das Unternehmen halt nicht gründen kann und dann, also, und vor allem, wenn man dann als Student nicht gründen kann. Das heißt, da müssten wir dann wahrscheinlich mal ansetzen und wir sollten irgendwie eine bessere Möglichkeit finden, wie wir es kompetenten Leuten ermöglichen, direkt aus der Uni heraus auch was zu gründen. Weil das in den USA einer der riesen, riesen, riesen Treiber von Fortschritt und von Startups sind Immigrant-Founder. Sehr viele der richtig großen Companies sind von First Generation, teilweise Second Generation, aber sehr viele auch First Generation Immigrant-Founders gebaut worden. Und ich glaube, in Deutschland brauchen wir Ähnliches, um auch mittelfristig in irgendeiner Art und Weise bestehen zu können. Wir brauchen halt schlaue Leute, die in unser Land kommen und gute Companies bauen. Und in eurem Fall ist das ja sogar, wie du gesagt hast, ein Double Immigrant Team. Also es gäbe Sexfix ja nicht, wenn ihr nicht nach Deutschland gezogen werdet. Aber jetzt vielleicht nochmal andersherum. Was ist denn richtig gut am Gründen in Deutschland? Also gibt es irgendwas, was dir was dir auch sehr positiv aufgefallen ist.

Fabiola Munguia:
[53:00] Ja, also es gibt auch Ich glaube, dass das Wichtigste, was uns, ich würde sagen, die Wichtigsten, die uns geholfen haben, waren also erstmal das Netzwerk, das wir aufgebaut haben. Also vor allem an der Unternehmertum zum Beispiel und generell in München und auch in Berlin hatten wir auch ein gutes Netzwerk aufgebaut. Und was ich eigentlich ganz gut davon finde, ist, die meisten Leute, die wollen dir helfen. Also jeder, der halt in der Startup-Community ist oder einfach generell Business Angels sind, die möchten tatsächlich auch Ausländer oder beziehungsweise Immigrants auch, die möchten darin investieren. Also die haben wirklich eine intrinsische Motivation, vor allem unsere Business Angels damals. Wir hatten, ich erinnere mich noch damals, die ersten Investoren von Flixboos haben auch in uns investiert. Und ja, also die wollten einfach, die hatten einfach Bock auf Immigrant-Funders und einfach, dass das halt einfach wirklich junge Leute einfach nach Deutschland kommen und was machen wollen.

Fabiola Munguia:
[54:05] Das hat mich wirklich sehr gut gefallen. Und vielleicht das andere ist, es gibt auch diese ganzen Grants, die man auch bekommen kann, wie Exist oder damals bei uns war Berlin Startup Stipendium. Es war ein bisschen, es sind so 30, 35k, die wir bekommen haben. Einfach so Geld, damit du anfangen kannst. Und das fand ich auch ganz cool, weil du musst nicht sofort einfach jetzt irgendwie so Business Angel Money halt racen oder halt eine VC-Runde racen, sondern man kann wirklich sagen, hey, ich werde einfach kurz einfach mit ein bisschen Geld ausprobieren, ob es funktioniert. Und damit kannst du dich auch ganz gut unterstützen. Ich erinnere mich, wir haben gesagt, wir hatten glaube ich so sechs Monate Runway quasi und haben gesagt, okay, wir haben drei Monate, um das Produkt aufzubauen und auch noch drei Monate, um zu verkaufen, alles in diesen drei Monaten. Und dann haben wir drei Monate, um zu raisen. Das heißt, das hat uns wirklich geholfen, um schnell zu sein, weil wir haben gesagt, okay, wir geben jetzt Gas, diese nächsten drei Monaten, wir müssen ein bisschen Traction zeigen und dass es wächst und dann können wir tatsächlich raisen. Und wenn wir das nicht schaffen, dann müssen wir halt einfach unseren Job suchen. Aber das fand ich eigentlich ganz cool, weil wir haben das tatsächlich erreicht. Also diese Unterstützung von staatlichen Erforderungen finde ich eigentlich ganz cool in Deutschland.

Mike Mahlkow:
[55:32] Ja und das ging dann auch als ausländischer Gründer quasi?

Fabiola Munguia:
[55:36] Ja, genau. Da hatten sie gar keine Anforderungen. Also sie wollten nur, dass du noch nicht dein Unternehmen gegründet hast.

Mike Mahlkow:
[55:43] Okay, also First-Time-Founder quasi.

Fabiola Munguia:
[55:45] Genau.

Mike Mahlkow:
[55:46] Das ist ja ein sehr gutes Programm. Das gefällt mir auch sehr gut. Da sollte es mehr von geben. Spannend. Vielleicht noch als Abschluss eine Sache, die mich würde mir interessieren. Ich glaube, ihr seid in der Company relativ speziell aufgesetzt und habt irgendwie ein Distributed Team bis zum gewissen Grad. Erklär mir nochmal ganz kurz, wie ihr genau organisiert seid und welche Tools ihr dafür benutzt, weil ich glaube, das würde die Zuhörer noch sehr interessieren.

Fabiola Munguia:
[56:14] Ja, also erstmal, wir sind 100% remote. Das heißt, wir sind halt aus der Pandemie aufgewachsen quasi und wir waren, glaube ich, nur einmal im Büro damals. Wir hatten tatsächlich ein Büro und haben gesagt, ah geil, wir machen das alles jetzt hier und hatten dann schon ein Büro und dann kam Covid und haben das alles umgestellt. Die wichtigsten Sachen, die ich aus so 100%igem Remote Environment gelernt habe, sind, wenn man diesen Weg gehen will, ist es eigentlich ein sehr, sehr, sehr cooles Weg, aber man muss auch verstehen, dass man sehr diszipliniert sein muss und dein Team muss außerdem diszipliniert sein und deine Values verstehen. Und auch, also eine der Core-Values, die wir haben, ist, we want to be leaders of the remote. Und das ist etwas, das wir tatsächlich wirklich immer präsent an unserem Team und sagen, hey, alles geht eigentlich über Notion. Also das ist einer der wichtigsten Tools, die wir nutzen. Das ist wie unser natürlich lebendes Herzstück von SegFix. Und alle müssen immer alle Sachen teilen. Das heißt, es gibt bei uns keine privaten Dokumenten. Und wir sagen das auch beim Onboarding.

Mike Mahlkow:
[57:28] Selbst für die Founder gibt es keine privaten Dokumente?

Fabiola Munguia:
[57:31] Genau. Also ich meine, bei uns natürlich auch, wenn es um mehr so Founder-Gesprächen geht oder Investoren-Gesprächen, haben wir halt unsere Bereiche, wo bestimmte Accesses gibt. Aber was ich meine ist, alles, was verfügbar sein sollte für andere Leute, soll eigentlich verfügbar sein.

Mike Mahlkow:
[57:48] Das war damals bei Stripe übrigens auch so, als ich bei Stripe gearbeitet habe. Ich konnte mir die Entscheidung aus einem ganz anderen Büro für irgendeine Product Decision einfach durchlesen, weil es einfach zugänglich war. Und damals hatte Stripe noch irgendwie so 900 Mitarbeiter oder so. Also weil es noch nicht so groß ist, wie es heutzutage ist, noch bei weitem nicht. Und es war so empowering, weil ich mir quasi selber beibringen konnte, was ich dann in dem Moment brauchte. Und wenn ich dann quasi noch zusätzliche Fragen habe, kann ich irgendwie fragen. Genauso hört sich das bei euch auch an. Ihr wollt quasi so ein bisschen das Knowledge einfach automatisch sharen und man kann sich quasi selber empowern, die Sachen zu lösen, wenn jemand anders über das Problem schon mal nachgedacht hat.

Fabiola Munguia:
[58:29] Genau, genau. Tatsächlich. Also bei uns ist Transparenz super, super wichtig. Und das versuche ich auch mit meinem Team zu zeigen. Also wir sharen wirklich alle KPIs mit denen und auch Investor Reports und so weiter, damit sie wirklich alle auf demselben Stand sind und dass sie auch selbst einfach gucken können, was die anderen Abteilungen machen, damit sie komplett wirklich guten Einblick in das Unternehmen haben. Es gibt auch, das ist sehr lustig, also sehr viele Engineers, wir haben die gefragt, was sind so die Slack-Channels, die sie am meisten genießen, einfach zum Lesen und sie meinen den Sales-Chat. Die lieben es, also die gucken immer jeden Tag rein, welche Leads kommen, was wir da besprechen und so weiter. Genau, und vielleicht noch ein anderes Tool, das uns wirklich sehr geholfen hat beim Remote. Also obwohl wir halt 100% Remote sind, wir sind in sync. Remote nennen wir das. Das heißt, jeder arbeitet aus der deutschen Timezone. Und wir haben halt Leute aus Indien zum Beispiel oder in anderen Ländern. Aber wir versuchen immer so Hiring zu machen, nur in Timezones, wo wir wissen, da sind so zwei, drei Stunden Unterschiede. Nicht mehr.

Fabiola Munguia:
[59:37] Und anschließend haben wir auch ein virtuelles Office, das heißt Gather, das ist eigentlich richtig cool, da kannst du sogar deinen eigenen Schreibtisch irgendwie so dekorieren und das Office dekorieren und alles und man kann einfach zu anderen Leuten gehen und mit denen quatschen. Das heißt, das hat komplett Google Meets für uns ersetzt und das hat uns wirklich zusammengebracht, weil du kommst eigentlich jeden Tag wie im Office und kannst einfach mit Leuten einfach sprechen, einfach spontan. Genau, das glaube ich waren so die zwei wichtigsten Tools, die wir nutzen. Und anschließend natürlich auch Slack. Das ist, das geht hohe Frage.

Mike Mahlkow:
[1:00:14] Ich liebe Gava übrigens. Ich liebe dieses Tool. Und ich habe sogar Vorgeschichte in diesem Space, weil ich habe damals, als ich studiert habe, ein Praktikum gemacht nach meinem zweiten Semester im Silicon Valley bei einem Startup, die hießen SoCoco. Und die haben Virtual Office gebaut. Und das war schon vor zehn Jahren. Also ich habe quasi in einer Company gearbeitet, die damals so eine frühere Version von Gava gebaut hatte. Da war man so ein kleiner Bubble und dann konnte man auch irgendwie so umherlaufen und irgendwie man konnte an die Türen klopfen und quasi dieses Remote Office. Ich konnte dann auch quasi von überall mehr oder weniger arbeiten. Das heißt, ich habe so ein bisschen Bezug einfach schon zu diesen virtuellen Office Spaces und ich weiß irgendwie, was es damals alles gab und was so die Zwischenphasen waren.

Mike Mahlkow:
[1:01:00] Und Garza hat es einfach so gut hinbekommen, dass das auf eine Art und Weise, aufzubauen, wie es sich halt wirklich auch so gut sich anfühlen kann, nach einem normalen Office anfühlen und für mich dann natürlich auch, wo ich sofort Kindheitsgefühle bekomme, der ganze Pix-Look ist sehr Pokémon-artig. Das heißt, ich fühle mich wirklich so, als würde ich einfach zur Arbeit gehen und einfach in eine Pokémon-Welt reinlaufen und kann ich meinen Charakter auch so aussehen lassen, wie mein Trainer von damals oder dann irgendwie Red oder Blue oder irgendwas für die Leute, die wissen, wovon ich rede. Also, Gava macht auch unglaublich viel Spaß. Und die haben auch bei Y Combinator damals einige sehr große Events dann in Gava gehabt. So virtuelle Events quasi, wo du dann irgendwie rumlaufen kannst, dich mit irgendwelchen Leuten unterhalten kannst. Macht unglaublich viel Spaß. Also, das wollte ich auf jeden Fall noch kurz einmal mit reinbringen, weil ich glaube, es ist halt schon 100% Remote, ist halt schon irgendwie eine Ansage. Und wie du es gesagt hast, Ich glaube, du musst das Team richtig aufsetzen, also erstmal du musst richtig einstellen, nehme ich an, und du musst dann auch die Kultur wirklich vorleben und auch feste Regeln haben, wie Sachen gemacht werden, sonst wird es wahrscheinlich schwierig. Vielleicht als abschließende Frage dazu nochmal. Wenn Leute dann irgendwie fully remote gehen wollen potenziell, gibt es so ein, zwei Sachen, also die eine Sache ist sehr transparent, aber gibt es noch irgendwie ein, zwei Sachen darüber hinaus, die du quasi jeder fully remote Company empfehlen würdest?

Fabiola Munguia:
[1:02:25] Ja, also ich würde sagen, die wichtigsten zwei Sachen sind erstmal, dass man einfach wirklich nach Results alles macht. Also, dass man wirklich sagt, jede Woche haben wir, alle haben wieder Results oder alle haben wieder Ziele und die müssen das tatsächlich jede Woche zeigen. Es gibt, also wir haben keine Time Tracking oder keine Timesheets im Unternehmen oder so und da wir halt nicht im Office sind, wissen wir auch nicht, ob unsere Mitarbeiter arbeiten oder nicht, auch wenn sie in Gather sind, weißt du. Deswegen, am Ende geht es wirklich sehr viel um Vertrauen. Und wir sind ja auch am Ende eine Service Security Company. Von daher, Vertrauen muss auch sehr wichtig sein. Und deswegen versuchen wir wirklich tatsächlich, unsere Mitarbeiter nach Results eher zu messen und wirklich daran zu glauben, dass sie halt deliveren. Und so haben wir das tatsächlich so aufgebaut. Und das funktioniert ganz gut. Und anschließend, der zweite Tipp wäre,

Fabiola Munguia:
[1:03:22] Over-communicate as much as possible. Also ich glaube, wenn man, und das sieht man auch ein bisschen, wenn man so aus einem Office-Environment kommt, wir nennen es sogar Office-Environment, also der kommt aus einem Office-Environment oder die kommt aus einem Office-Environment bei uns, man merkt, dass man nicht, kommuniziert nicht genug, weil man ist schon daran gewöhnt, einfach einfach sich im Office zu treffen oder einfach generell kurz mit jemand anderem zu quatschen und man hat diese Sachen irgendwo nicht runtergeschrieben. Und bei uns ist immer, du musst Sachen runterschreiben. Also jedes Mal, dass du ein Meeting hast, dokumentiere es in Notion. Jedes Mal, dass du halt ein Zwischen-Update hast, gib uns einfach ein Zwischen-Update. Weil sonst gehen so zwei, drei Tage und wir wissen nicht, was ist eigentlich dazwischen passiert. Hast du daran gearbeitet, hast du nicht daran gearbeitet? Genau, und deswegen, das ist etwas, das wir unser Team immer gesagt haben, Overcommunication ist super, super wichtig und auch in Slack, also manchmal sagen wir, vielleicht hört sich einfach dumm an, dass wir denen einfach wirklich sehr, sehr genau sagen, was wir brauchen und die sagen, aber nee, das ist tatsächlich so, weil sonst einer interpretiert das Message irgendwie und der andere interpretiert die Nachricht anders. Genau, deswegen, das sind so, glaube ich, die zwei wichtigsten Tipps, die ich geben kann.

Mike Mahlkow:
[1:04:39] Also Transparenz, dann dieses Vertrauen, beziehungsweise Results-driven Arbeiten, wo man dann auch jede Woche quasi schaut, dass an den Zielen gearbeitet wird. Und dann zu guter Letzt Over-Communicate. Das ergibt sehr viel Sinn. Das ist auch so ein paar der Sachen, die ich gelernt habe über die Forced Remote-Zeit während Covid und dann dadurch, dass wir auch zwei Büros immer hatten. Das ist mit den Time-Sons natürlich nochmal ein anderes Problem. Aber ja, Fabiola, es hat mich sehr gefreut.

Fabiola Munguia:
[1:05:05] Vielleicht ein GitLab Handbook für Remote.

Mike Mahlkow:
[1:05:09] Ah ja, das ist in der Tat sehr gut.

Fabiola Munguia:
[1:05:13] Es hat mich sehr gefreut,

Mike Mahlkow:
[1:05:14] Mit dir hier zu sprechen. Danke für die ganzen Insights zu Trust und Compliance. Danke aber auch, dass du uns noch mal ein bisschen reingeführt hast, wie es sich als Immigrant Founder anfühlt. Da könnte ich wahrscheinlich alleine zwei Stunden drüber sprechen mit dir. Und noch ein paar Tipps für das Remote-Leben. Wir haben sehr viel abgearbeitet. Wenn Leute irgendwie mehr über dich lernen wollen, nämlich mal anfinden sie dich auf LinkedIn oder einfach segfix.com. Gibt es noch irgendwelche abschließenden Worte von deiner Seite?

Fabiola Munguia:
[1:05:42] Ja, also es hat mich erst mal gefreut, hier zu sein. Und ich glaube, für alle Founders, die jetzt hören, einfach versuch nicht so viel darüber nachzudenken. Just try to do whatever you're doing. Und am Ende lest nicht so viel. Alle Sachen, die vielleicht einfach überall stehen, dass es alles gut läuft bei anderen Unternehmen. Am Ende, wir haben alle diese Struggles und bei uns läuft das auch nicht alles perfekt. Deswegen macht euch nicht so viel Kopf darüber.

Mike Mahlkow:
[1:06:10] Im Hintergrund brennen immer sehr viele Feuer. Die Frage ist nur, wie viele Feuer und brennt gerade irgendwas Kritisches. Das hat mir mal ein, also welches Feuer löschst du zuerst, ist eigentlich die Hauptfrage. Das hat mir mal einer meiner sehr frühen Startup-Mentoren gesagt. Und je größer die Company, desto mehr brennt. Und auch bei den Companies, bei denen man denkt, dass es sehr gut läuft, brennt, wie du gerade gesagt hast, im Hintergrund auch sehr viel. Das war ein perfektes Abschlusswort. Danke dir für deine Zeit und weiterhin viel Erfolg.

Fabiola Munguia:
[1:06:37] Danke dir.