Commvault-CEO über die neue Welt der Datensicherheit
Sanjay Mirchandani hat einen klaren Blick auf das Zusammenwachsen von Datensicherheit und Datenschutz. Im Interview mit CRN spricht der Commvault-CEO über Cyber-Resilienz, aber auch über den Börsengang des Wettbewerbers Rubrik und die jüngste Übernahme von Cohesity.
Commvault geht es gut zurzeit. Für sein viertes Quartal des Geschäftsjahrs 2024 konnte das US-Unternehmen ein Gesamtumsatzwachstum von 10 Prozent vermelden und im Vergleich zum Vorjahreszeitraum ein Plus von 68 Prozent bei den jährlich wiederkehrenden (ARR) Umsätzen. Zustande gekommen sind diese Zuwächse offenbar vor allem durch die Verlagerung des Unternehmensschwerpunkts – von traditionellerer Datensicherungstechnologie im Bereich Backup und Recovery, hin zu Data Resilience. Dazu gehört etwa das Hinzufügen einer starken Sicherheitsebene auf der Storage-Ebene, die verhindert, dass Angriffe direkte Auswirkungen auf die Integrität der Daten haben und die gleichzeitig sicherstellt, dass die Daten im Falle eines Angriffs vollständig und schnell wiederhergestellt werden können, berichtete Sanjay Mirchandani, President und CEO von Commvault.
Dazu gehört auch die Einführung von "Cleanroom Recovery". Hierbei können Kunden im Falle eines Angriffs ihre Daten an eine Cloud-basierte Einheit schicken, wo sie "gesäubert" werden. Wesentlich für Commvault war laut Mirchandani auch die Übernahme von Appranix, ein Anbieter, der Anwendungen in die Cloud bringt, um wiederhergestellte Daten auszuführen. "Wir bringen die Resilienz auch in Cloud-native Anwendungen. Wir erweitern die Möglichkeiten und bieten unseren Kunden ein umfassenderes Angebot", so der CEO.
Im Gespräch mit CRN ging Mirchandani auch auf den Konkurrenten Rubrik ein, der der Branche ein zweites börsengelistetes Unternehmen beschert, an dem Daten-Resilienz messen gemessen werden kann. Die geplante Übernahme des Datenschutzgeschäfts von Veritas durch den Konkurrenten Cohesity spielt er herunter. Dabei handele es sich eher um eine "finanzielle Übung" als um branchenrelevanten Schritt, so der Commvault-CEO.
Die Einzelheiten des Interview unserer CRN-Kollegen in den USA mit Mirchandani geben wir hier in Auszügen wieder.
CRN: Wie sieht Commvault die Ergebnisse des Börsengangs von Rubrik? Was bedeutet das für die Datenschutz- und Datensicherheitsbranche insgesamt?
Sanjay Mirchandani: Aus meiner persönlichen Sicht ist es zunächst einmal eine gute Sache, einen weiteren Akteur an der Börse zu haben. Hier waren wir lange Zeit allein und wurden so zum Maßstab für alles. Jetzt können wir uns ein wenig mehr auf Augenhöhe unterhalten. Es ist eine gute Sache und ich weiß, dass es ein harter Weg war. Bipul Sinha (der CEO von Rubrik) und ich sind immer in Kontakt geblieben. Er ist ein glücklicher Mann.
Abgesehen davon denke ich, dass der Börsengang von Rubrik zeigt, von welch vorrangiger Bedeutung Datenschutz im Cyberspace für Kunden inzwischen ist, egal ob man ihn wie wir unter das Thema Cyber-Resilience stellt oder anders nennt. Und die Tatsache, dass es zwei von uns an der Börse und eine ganze Reihe anderer Privatunternehmen gibt, die versuchen, ähnliche Dinge zu tun, unterstreicht ja nur, dass wir ein schwieriges Problem für die Kunden lösen. Insgesamt würde ich den Börsengang von Rubrik so zusammenfassen, dass er gut für die Branche ist. Es ist gut für uns alle.
CRN: Was ist mit der geplanten Übernahme des Datenschutzgeschäfts von Veritas durch Cohesity? Das hat wahrscheinlich einen direkteren Einfluss auf das, was Commvault tut, oder?
Mirchandani: Darüber habe ich mir den Kopf auch schon zerbrochen. Es handelt sich wohl eher um eine finanztechnische Maßnahme, schließlich ist Veritas eine Legacy Firma. Jeder weiß, dass Veritas es nennen kann, wie es will, aber es ist nun einmal ein altes Unternehmen für Datensicherung und -wiederherstellung. Und fügen sie nun einem Unternehmen hinzu, das es auch schon seit mehr als einem Jahrzehnt gibt? Ich bin mir nicht sicher, was sie da bekommen wollen.
Die behördlichen Genehmigungen stehen noch aus, wir werden also abwarten. Aber ich sage Ihnen eines: Die Kunden haben uns von dem Tag an angerufen, an dem die Ankündigung erfolgte. Und die ganze Zeit über ist es für uns eine sehr schöne Pipeline geworden. Denn wenn ich Veritas-Kunde bin, heißt das nicht automatisch, dass ich zu Cohesity gehe. Ich weiß nicht einmal, wie der Weg dorthin aussieht. Und offen gesagt ist das, was wir ihnen mit Commvault Cloud anbieten, viel attraktiver. Es ist eine einzige Plattform, SaaS und Software. Für uns ist das also eine sehr, sehr gute Sache. Wir arbeiten mit Partnern zusammen, um in diesem Bereich für Kunden wirklich etwas zu bewirken. Wir helfen den Kunden, die Hürde zu überwinden, weil wir wissen, dass sie nicht ein, zwei oder drei Jahre warten müssen, um herauszufinden, was diese Leute tun werden. Wir sind da und lösen das Problem schon heute für sie.
CRN: Sanjay Poonen, der CEO von Cohesity, sagte mir neulich, dass das kombinierte Unternehmen nach Abschluss der Übernahme der größte Anbieter von Datenschutzlösungen in der Branche sein wird. Stimmt das?
Mirchandani: In vielerlei Hinsicht da würde ich ihm da zustimmen – sofern man einen rückläufigen Marktanteil als Maßstab nimmt. Wenn Sie den Umsatz der installierten Basis aus einer beliebigen Anzahl von Jahren nehmen und sagen: "Ich bin der größte", dann ist das richtig. Aber gewinnen Sie Anteile oder verlieren Sie Anteile? Wächst Ihr Geschäft tatsächlich oder schrumpft es? Jahrelang haben wir Veritas Anteile abgenommen und uns gegen Cohesity durchgesetzt. Wenn man der Größte ist, ist man nicht unbedingt der Beste. Ich habe in meiner Karriere schon viele Übernahmen miterlebt. Da gibt es die logischen Dinge wie: Welche Produktlinien rationalisiere ich? Was mache ich mit dem Verkaufspersonal? Und eine Million Fragen dazu. Größe macht also nicht unbedingt besser. Warten wir also ab, wie sich das mit der Zeit entwickelt. Wir konkurrieren einfach mit einer großartigen Plattform. Damit habe ich kein Problem.
CRN: Wie sieht es mit der Datenschutzbranche als Ganzes aus? Was sind Ihrer Meinung nach die wichtigsten Faktoren, die den Datenschutz beeinflussen?
Mirchandani: Ich habe immer gesagt, dass sich Datensicherheit und Datenschutz "vermischen" werden. Sie kommen zusammen und ich würde sogar sagen, dass sie zusammengehören. Diejenigen, die das anders sehen, haben ehrlich gesagt ein unvollständiges Bild. Wo endet die Datensicherheit und wo beginnt der Datenschutz? Wir haben uns umorientiert und das Ganze unter das Oberthema Resilienz gestellt. Was die Kunden brauchen, ist Widerstandsfähigkeit. Natürlich geht es dabei um Daten, aber sie brauchen auch Ausfallsicherheit, um schnell wieder am Start zu sei. Unabhängig davon, ob es sich um ein klassisches Datenschutzereignis handelt, wie z. B. falsche Klicks mit dicken Finger oder um einen Fehler im Zusammenhang mit Cyberangriffen. Aber der vorherrschende Angriffsvektor, der vorherrschende Wiederherstellungsvektor, der Ausfallsicherheitsvektor, ist nun mal der Cyberspace.
Deshalb haben wir viele Sicherheitsfunktionen in unsere Technologie integriert und sind für den Rest Partnerschaften eingegangen, d. h. für alles, was mit dem Perimeter und der Verteidigung zu tun hat, sind wir Partner und ein sehr guter. Alles, was mit Daten zu tun hat, die gesichert und wiederhergestellt werden müssen, braucht die Möglichkeit, vor allem die Recovery zu üben. Man kann keinen Marathon laufen, ohne ihn in Teilen zu absolvieren oder ohne die Strecke vorher zu erproben. Man muss also systematisch vorgehen und die Wiederherstellung einstudieren und üben. Unser Ansatz für Cyber-Resilienz ist die Commvault Cloud.
Ob aus guten oder schlechten Gründen, die Branche hat SaaS von Software getrennt. Wir haben das Ganze demokratisiert. Wir haben gesagt, dass es keine Rolle spielt, wie hoch Ihre Arbeitslast ist, und dass es keine Rolle spielt, woher Sie die Workload nehmen oder wohin Sie sie schreiben wollen. Sie sollen als Kunde das Recht behalten, diese Mobilität zu nutzen und deshalb haben wir unsere Plattform so konzipiert, dass sie genau das ermöglicht. Es dreht sich alles um Daten. Und wir sprechen über Cleanroom Recovery als eine zentrale Fähigkeit innerhalb dieser Plattform. Aber wir sind noch einen Schritt weiter gegangen, als wir ein Unternehmen namens Appranix gekauft haben. Das ist ein wirklich großartiges Cloud-natives Unternehmen mit einem Cloud-nativen Produkt, das alle großen Clouds unterstützt. Und es macht im Wesentlichen da weiter, wo wir aufgehört haben.
Bei einem durchschnittlichen Cyberangriff brauchen Sie mit Commvault nur etwa ein Drittel der Zeit, um Ihre Daten wiederherzustellen, wenn Sie Commvault verwenden. Wir haben gute Backups, die getestet wurden, die wissen, was zu tun ist. Wir haben Appranix gekauft, das in der Cloud Cloud-native Anwendungen unter die Lupe nimmt und alle Assets entdeckt, die eine Anwendung ausmachen, was anders ziemlich umständlich und schwierig wäre. Parallel dazu werden die nativen Funktionen in der Kunden-Cloud gesichert. Dann wird mit buchstäblich einem Klick, alles zurückgebracht: Daten, Anwendungen, Status, Abhängigkeiten, einfach alles.
Diese Fähigkeiten fügen wir jetzt unseren Cleanroom-Recovery-Funktionen hinzu. Das Schöne daran ist, dass wir unseren Kunden nun auch die Lösung für die letzte Meile anbieten. Wir werden nicht nur für die Ausfallsicherheit ihren Daten sorgen, sondern auch für die Ausfallsicherheit in Cloud-nativen Anwendungen. Wir erweitern die Möglichkeiten und bieten unseren Kunden ein immer umfassenderes Angebot.
CRN: Es ist interessant, Sie über die Ausfallsicherheit von Daten sprechen zu hören. Im Rahmen des CRN Storage 100-Projekts haben wir in diesem Jahr den Namen der Kategorie "Datenschutz" in "Datenwiederherstellung/Überwachbarkeit/Resilienz" geändert. Der Begriff 'Datensicherung' reicht nicht mehr aus...
Mirchandani: Das ist auch richtig so. Wenn man überall Hypercloud-Assets hat, wird die Beobachtbarkeit extrem wichtig. Und damit wird die Möglichkeit einer richtlinienbasierten, automatisierten Verwaltung dieser Assets mithilfe von KI und anderen Funktionen sehr wichtig. All das bauen wir natürlich in die Technologie ein, die wir haben. Sie haben also tatsächlich Recht. Ich wünschte nur, jeder würde so denken.
Ich habe einen der berüchtigtsten Security-Breaches in der bisherigen Geschichte durchlebt, den RSA-Breach. Zu der Zeit war ich der amtierende CIO (bei EMC, dem Eigentümer von RSA). Und das war lange bevor Sicherheitsverletzungen zu einem Gesprächsthema auf Cocktailpartys wurden. Sie waren einfach noch nicht bekannt. Die Angriffsvektoren mögen sich geändert haben, aber die Auswirkungen auf ein Unternehmen sind gleichgeblieben. Das Einzige, was sich wirklich geändert hat, auch in Bezug auf die Auswirkungen, ist, dass die Bösen heute gleich der ganzen Welt mitteilen, dass sie beim Einbrechen erfolgreich waren, noch bevor man den Breach selbst bemerkt. Sie stehen unter Beschuss und haben keine Chance, herauszufinden, was zum Teufel da passiert. Glauben Sie mir als altem Kriegspferd, dass hier die Übung den Meister macht. Wer nicht übt, kann sich in falscher Sicherheit wiegen, was er im Ernstfall und unter Druck tun kann. Es ist wie bei jeder Sportart, bei der es auf den Geist und die Übung ankommt. Man muss sicherstellen, dass man einen ruhigen Kopf hat, dass man die Sache getestet hat, dass man genau weiß, wohin man gehen und was man tun muss. Und wenn der Ernstfall eintritt, ist man bereit. Das ist die grundlegende DNA für unsere Überlegungen zur Resilienz.