Threatlocker-CEO Danny Jenkins über Wachstum, Fehler der Vergangenheit und warum es gut ist, Kunden zu "nerven"

Der Mitbegründer und CEO von ThreatLocker spricht im CRN-Interview über seine größten Ängste und Fehler, erklärt warum MSPs für die Strategie des Sicherheitsanbieters enorm wichtig sind und welche Unternehmen er bewundert.

Danny Jenkins, Mitbegründer und CEO von ThreatLocker, ist ein bekanntes Gesicht bei den CRN-XChange-Konferenzen und anderen Veranstaltungen, wo er in der Regel sofort an seinem blauen ThreatLocker-T-Shirt zu erkennen ist. Als er sich mit Stuart Sumner, Chief Content Officer von The Channel Company, auf der 2025 XChange Best of Breed-Konferenz in Atlanta trifft, ist Jenkins jedoch aus Respekt vor den hochrangigen Zuhörern ausnahmsweise komplett in Anzug und Krawatte gekleidet, wie er erklärt. Er nimmt sich eine Stunde Zeit für das Interview und spricht über verschiedenste Themen von seinen Wachstumsplänen über seine größten Fehler bis hin zu seiner Meinung über die Konkurrenz.

CRN: Was steht derzeit ganz oben auf Ihrer Agenda?

Danny Jenkins: Ich denke immer daran, dass wir unseren Konkurrenten nicht hinterherhinken dürfen. Deshalb haben wir unsere Strategie „Defense Against Configuration” veröffentlicht, denn wir haben festgestellt, dass es nur dann zu Sicherheitsverletzungen bei unseren Kunden kommt, wenn sie bestimmte Funktionen nicht aktiviert oder nicht richtig konfiguriert haben. Meine Priorität ist es also, sicherzustellen, dass unsere Kunden mit dem, was sie haben, so sicher wie möglich sind.

Vor allem in der MSP-Welt sieht man oft, dass Leute etwas kaufen, es funktioniert nicht, dann kaufen sie etwas anderes, das auch nicht funktioniert, und dann kaufen sie wieder etwas anderes. Am Ende hat man ein riesiges Durcheinander an Produkten, anstatt einen Satz Tools zu haben, der richtig konfiguriert ist.

CRN: Es muss schwierig sein, einem Kunden zu sagen, dass es seine Schuld ist, wenn etwas schiefgeht?

Jenkins: Es stört mich mehr, wenn wir nicht klar kommunizieren. Deshalb ärgere ich mich wirklich, wenn jemand nach einem Grund sucht, einem Kunden nicht zu helfen.

Wir nerven unsere Kunden, um sicherzustellen, dass sie alles richtig machen. Deshalb schicken wir E-Mails mit dem Hinweis: „Hey, Sie müssen uns anrufen.“ Ich würde sagen, in 99 Prozent der Fälle, in denen jemand Opfer eines Angriffs wird, sagen wir: "Wir haben Ihnen E-Mails geschickt und Ihnen im letzten Jahr 45 Voicemails hinterlassen. Sie haben uns einfach ignoriert.” Ich denke, als Unternehmen sind wir jedes Mal, wenn jemand Opfer eines Angriffs wird, dafür verantwortlich, und wir als Unternehmen konzentrieren uns zu 100 Prozent auf den Kunden. Deshalb haben wir eine Reaktionszeit von 60 Sekunden für den Support. Ich schalte mein Telefon nicht aus und gebe meine Nummer an Kunden weiter. Und sehen Sie, die Leute müssen mich nicht anrufen, weil ihre Probleme normalerweise gelöst werden, aber ich möchte lieber Bescheid wissen.

CRN: ThreatLocker war bislang sehr auf den Channel-Vertrieb fokussiert. Ändert sich das jetzt?

Jenkins: Wir haben viel mehr Direktverkäufe, als die Leute denken. Zunächst einmal waren wir kein MSP-fokussiertes Unternehmen. Als wir anfingen, waren wir zu 95 Prozent auf mittelständische Unternehmen ausgerichtet und nicht auf MSPs. Im Jahr 2020 waren wir bei MSPs unglaublich erfolgreich, was zum Teil daran lag, dass alle Messen weltweit geschlossen wurden und die meisten unserer Kunden nicht nach dem suchen, was wir verkaufen, sie suchen zum Beispiel nicht nach "Zero-Trust-Endpoint-Protection". Im Jahr 2020 haben wir acht Messen besucht und uns nur auf einer mit COVID angesteckt, das ist also keine schlechte Bilanz.

Aber das hat den MSP-Trend wirklich beschleunigt, und als Kaseya 2021 seine Schwachstelle hatte, waren wir die Einzigen, die sie am ersten Tag blockiert haben, sodass wir quasi explodiert sind.

Wir haben zwei Geschäftsbereiche. Der eine ist für Unternehmen, der andere für MSPs. Unser Unternehmensteam war schon immer größer als unser MSP-Team, aber die Einnahmen sind ungefähr gleichmäßig verteilt.

CRN: Welche Rolle spielt der Channel für euer Wachstum und wie wird er sich eurer Meinung nach bis 2026 entwickeln?

Jenkins: MSPs sind unglaublich wichtig für unser Wachstum, denn als Unternehmen ist es unsere Mission, Cyberkriminalität wirklich zu stoppen. Und dabei geht es nicht um das Wachstum des Unternehmens. Als wir mit ThreatLocker angefangen haben, war es unser Ziel, das Paradigma der Sicherheit zu ändern, und wir hatten zwei Ziele, als wir das Unternehmen gegründet haben. Eines war, einen Vertrag mit einem kleinen Unternehmen abzuschließen, und das andere, einen Vertrag mit einem großen Unternehmen abzuschließen. Und wir haben das nicht gemacht, weil wir Geld verdienen wollten. Wir haben es gemacht, weil wir es mussten. Wenn sich die Welt nicht ändert, werden wir in die Knie gezwungen.

Deshalb sind MSPs so unglaublich wichtig, weil 80 Prozent der Unternehmen klein sind. Also kommen 80 Prozent unserer Kunden über diesen Kanal zu uns. Wir können nicht an eine Zahnarztpraxis mit 10 Nutzern oder sogar an ein Autohaus mit 200 Nutzern verkaufen – das ist für uns als Unternehmen nicht rentabel. Deshalb brauchen wir MSPs, die das für uns übernehmen.

CRN: Wie schnell wächst ThreatLocker derzeit?

Jenkins: Wir haben dieses Jahr fast eine Verdopplung unseres Umsatzes geschafft. Und die Mitarbeiterzahl dürfte in Sachen Wachstum nicht weit dahinter liegen. Wir haben eine Pause eingelegt, weil wir unsere Büroräume vergrößert haben, als sie zu klein wurden, aber jetzt stellen wir wieder ein. Ich glaube, wir haben in den letzten zwei Wochen 50 neue Leute eingestellt.

CRN: Gibt es so etwas wie ein zu schnelles Wachstum in Bezug auf Managementaufsicht und Governance?

Jenkins: Im Jahr 2021 sind wir zu schnell gewachsen und hatten infolge unseres Wachstums massive Infrastrukturprobleme. Am Anfang hatten wir keine Vertriebsteams mit Managern, wir hatten keine Struktur, wir hatten keine Support-Teams. Wir sind 2021 um das Fünffache gewachsen, und ich habe die Leute im Juli dieses Jahres angefleht, keine Installationen vorzunehmen, weil wir in ernsthaften Schwierigkeiten steckten. Aber ich finde, dass wir jetzt an einem guten Punkt sind. Wir schaffen es immer noch, unsere Reaktionszeit für den Support unter 60 Sekunden zu halten. Ich denke, am Anfang, wenn man von einer einstufigen zu einer mehrstufigen Unternehmensführung übergeht, kann man in große Schwierigkeiten geraten.

CRN: Was sind eure Wachstumsziele für 2026?

Jenkins: Man will immer eine Verdopplung anstreben. Ich schraube das immer ein bisschen zurück, weil Investoren immer in Prozenten denken. Ich sag ihnen, dass Unternehmen nicht in Prozenten wachsen. Es ist ein Input für Marketing, Vertrieb und Technik und ein Output auf der anderen Seite; es hat nichts damit zu tun, wie groß man am Anfang war.

Aber wenn man bedenkt, dass in zehn Jahren 80 Prozent der Welt Zero Trust als Standard verwenden werden, dann sind wir eindeutig führend in diesem Bereich. Heute haben wir 90 Prozent dieses Marktes inne, aber bis dahin werden wir vielleicht mehr Konkurrenz haben, sagen wir also 30 Prozent. Wir verdoppeln uns immer noch jedes Jahr, um dorthin zu gelangen.

CRN: Welchen eurer Konkurrenten bewunderst Du?

Jenkins: Die Funktionen unserer Konkurrenten entsprechen nicht genau unseren. Realistisch gesehen gibt es weniger als ein Viertelprozent, wo wir tatsächlich direkt konkurrieren. Wahrscheinlicher ist, dass wir eher um Geld als um Funktionen konkurrieren.

Wir haben eine EDR-Funktion, die mit CrowdStrike konkurriert, aber wir verkaufen Ihnen unsere EDR nur, wenn Sie unsere Plattform kaufen, denn unsere Mission ist es, die Welt auf eine Zero-Trust-Architektur umzustellen, und der Verkauf unserer EDR allein reicht dafür nicht aus. Wenn wir also darüber nachdenken, wen wir am meisten verdrängen, dann sind das wahrscheinlich SentinelOne oder CrowdStrike, aber diese Unternehmen haben die wenigsten Funktionen mit uns gemeinsam.

Um ehrlich zu sein, bin ich nicht besonders glücklich mit der Branche und ihrem Ansatz in Sachen Sicherheit. Die Einstellung scheint zu sein: „Wir verkaufen Ihnen genug, damit Sie sich sicherer fühlen, und wir schicken Ihnen Zuckerpillen, anstatt Probleme zu lösen.“ Aus dieser Sicht bewundere ich niemanden, aber ich bewundere Unternehmen, wenn man sich ansieht, wie sie es geschafft haben, einen so großen Marktanteil zu erreichen.

CRN: Wie sieht es außerhalb der Security-Branche aus? Gibt es da andere Unternehmen, die du als CEO bewunderst?

Jenkins: Ich ändere meine Meinung dazu sehr oft. Das iPhone war eine unglaubliche Entwicklung, aber glaube ich, dass Apple ein großartiges Unternehmen ist? Nein, ich glaube, dass sie zu dieser Zeit ein großartiges Produkt und einen großartigen Leiter hatten. Ich denke an Microsoft und daran, was sie aufgebaut haben. Selbst als ich NT 4 bis Active Directory sah, dachte ich: Wow, man kann einfach großartige Technologie entwickeln. Und Tesla kam mit einem Elektroauto auf den Markt und hat eine ganze Branche auf den Kopf gestellt. Ich bin jetzt kein großer Fan von Tesla. Mein Auto ist ständig kaputt gegangen, also habe ich es abgeschafft. Aber sie haben Elektroautos von einem Nicht-Markt zu einem großen Teil der heute verkauften Autos gemacht.

Investoren fragen mich oft: „Hast du Angst, dass jemand anderes mit einer direkt konkurrierenden Technologie auf den Markt kommt?“ Und ich sage nein, weil es für unsere Konkurrenten derzeit zu schwer ist, gegen uns zu gewinnen. In dem Moment, in dem sie damit anfangen, heißt es „wir gegen sie“, und wir müssen nur noch die Besten sein. Und ich bin froh, der Beste zu sein.

Apple hat das iPhone rausgebracht, und jetzt haben wir Androids, die auch eine super Technologie sind, aber nur, weil Apple zuerst mit etwas neuem gekommen ist. Und Tesla hat Elektroautos rausgebracht, und jetzt haben wir Mercedes und Ford und die anderen. Das ist das, was ich uns zum Vorbild nehmen möchte. Wir bringen die Technologie raus und hoffen, dass die Leute uns folgen, weil das einen ganzen Markt schafft.

CRN: Was hält dich nachts wach?

Jenkins: Ich weiß nicht, ob ich genug Zeit zum Schlafen habe, um wach zu bleiben. Ich glaube, was ich mehr als alles andere fürchte, ist die Sicherheit – selbst als jemand, dessen Sicherheitshaltung lautet: „Du kannst nicht auf die Toilette gehen, ohne deine Karte zu scannen.“ ... Wir haben gesehen, wie KnowBe4 versehentlich einen nordkoreanischen Spion eingestellt hat. Sie haben es bemerkt, bevor es zu lange gedauert hat, aber das macht mir Angst.

Könnten wir die falsche Person einstellen? Wir haben jetzt so viele Kontrollen bei ThreatLocker eingeführt, weil ich diesbezüglich paranoid bin.

Wir müssen eine Entwicklung von drei verschiedenen Abteilungen überprüfen lassen, bevor sie veröffentlicht werden kann. Was also bei CrowdStrike [mit dem Ausfall im letzten Jahr] passiert ist, kann uns nicht passieren, weil wir so viele Kontrollen mit so vielen verschiedenen Personen und Abteilungen haben. Wenn du in diesem Bereich tätig bist und dir das keine Angst macht, dann hast du ein Problem. Angst macht dich bereit.

CRN: Was war dein größter Fehler als CEO?

Jenkins: Ich mache jeden Tag so viele Fehler. Anfang 2021 hatten wir einen sehr klaren Weg vor uns, und meine oberste Priorität war es, so viele Menschen wie möglich gleichzeitig darauf aufmerksam zu machen, wer ThreatLocker ist. Das Wachstum verlief wie erwartet, und dann kam im Juli die Sicherheitslücke bei Kaseya, und plötzlich explodierte unser Wachstum. Ich glaube, mein größter Fehler war, dass ich aufgehört habe, nach vorne zu schauen. Mein CFO, unser Vorstand, unsere Investoren – alle stellen mir ständig dieselbe Frage: „Wie hoch sind unsere Einnahmen?“ Eigentlich ist mir das egal, denn meiner Meinung nach wurde das, was wir diesen Monat gemacht haben, schon vor sechs Monaten entschieden, und ich habe jetzt keinen Einfluss mehr darauf.

Und 2021 sind wir so schnell gewachsen, dass ich das Marketing tatsächlich eingestellt habe, weil ich die Entwicklung nicht mehr kontrollieren konnte. Also begann es sich zu verlangsamen, und im zweiten Quartal 2022 befanden wir uns in einer Flaute, weil ich aufgehört hatte, nach vorne zu schauen. Das wurde mir am Ende des ersten Quartals 2022 klar, als ich mir ansah, wie viele Demos wir gemacht haben. Ich erinnere mich, dass ich mir die Daten angesehen habe und dachte: „Warum habe ich mir das vor drei Monaten nicht angesehen?“ Weil ich nie darauf geachtet habe, und bis heute habe ich diesen Fehler nie wieder gemacht. Man sollte sich nie auf den Umsatz konzentrieren und sich nie selbst auf die Schulter klopfen, weil man einen guten Verkaufsmonat hatte. Klopf dir nur auf die Schulter, wenn du eine gute Pipeline aufgebaut hast.

Natürlich war der Vorstand wegen des Rückgangs gestresst. Ich war zu diesem Zeitpunkt nicht gestresst, weil ich am Ende des zweiten Quartals eine vielversprechende Zukunft sah. Ich glaube, wenn der Vorstand die Möglichkeit gehabt hätte, mich zu entlassen, hätte er mich aus der Unternehmensführung entfernt. Vielleicht hätten sie mich nicht entlassen, aber sie hätten mich möglicherweise daran gehindert, Geld auszugeben. Wir sind also in einer Situation, in der wir als Gründer immer noch die Kontrolle über das Unternehmen haben, sodass der Vorstand keine Möglichkeit dazu hatte, aber sie hätten von mir verlangt, dass ich meine Aktivitäten, nämlich die Beschleunigung unserer Marktexpansion, einstelle.

Jedes Mal, wenn wir gebeten wurden, die Kontrolle des Vorstands unverhältnismäßig zu ändern, war meine Antwort immer, dass der Vorstand durch die Anzahl der Stunden, die man im Unternehmen arbeitet, und nicht durch die Anzahl der Aktien kontrolliert werden sollte.

CRN: Wolltest du schon als Kind CEO einer Sicherheitsfirma werden?

Jenkins: Ich bin in den West Midlands in Großbritannien in einer ziemlich rauen Gegend aufgewachsen. Die Schule war so mies, dass einer der Schüler sie tatsächlich niedergebrannt hat. Das Lustige daran ist, dass sie jetzt Phoenix heißt. Sie ist also tatsächlich wieder auferstanden, wurde dann aber wegen der hohen Kriminalitätsrate geschlossen.

Mit 15 habe ich meinen ersten Job als Auszubildender angefangen. Damals war Sicherheit noch kein Thema, daher habe ich nie daran gedacht, CEO eines Sicherheitsunternehmens zu werden. Ich habe mehrere Unternehmen gegründet, von denen keines wirklich erfolgreich war, aber auch keines gescheitert ist.

Als wir mit ThreatLocker angefangen haben, hatten wir 150.000 Dollar Kreditkartenschulden, sodass wir uns nicht einmal Lebensmittel leisten konnten, was sehr schwer war. Ich erinnere mich, dass ich mit drei Kreditkarten Lebensmittel im Wert von 80 Dollar für eine Woche für fünf Personen gekauft habe. Es war also ein schwieriger Start, aber ich glaube, ich hatte schon immer diesen Unternehmergeist, der mich bereit machte, für das Unternehmen Risiken einzugehen oder alles zu riskieren. Und meine Frau, die das Unternehmen mit mir gegründet hat, war auch immer so. Obwohl wir drei Kinder hatten, haben wir es irgendwie immer geschafft, rücksichtslos genug zu sein, um ein Unternehmen durchzuziehen.

CRN: Wie wohl fühlst du dich angesichts deiner unternehmerischen Persönlichkeit jetzt dabei, ein Unternehmen zu vergrößern, anstatt ein neues zu gründen?

Jenkins: Ich wollte schon immer zu Ende bringen, was ich angefangen habe. Und ich glaube, wenn du mich vor fünf Jahren gefragt hättest, hätte ich nicht gesagt, dass ich jetzt noch bei ThreatLocker bin. Und jetzt habe ich keine Absicht, irgendwohin zu gehen. Wir planen einen Börsengang, wahrscheinlich in zwei Jahren.

Ich glaube, einige meiner Erfolge sind darauf zurückzuführen, dass ich nicht wusste, was alles schiefgehen kann. Wir haben zunächst einen Accelerator durchlaufen, und das war die größte Zeitverschwendung überhaupt. Wir mussten eine Markenregistrierung vornehmen, und der Accelerator sagte, wir müssten einen Anwalt beauftragen, was 5.000 Dollar kosten würde. Nun hatten wir aber weniger als 20.000 Dollar auf unserem Bankkonto. Also haben wir stattdessen das ganze Geld für Vertrieb und Marketing ausgegeben, jeden Cent.

Übrigens hatte der Accelerator recht: Wir mussten jemanden wegen Markenrechtsverletzung verklagen, was uns wahrscheinlich weitere 100.000 Dollar an Gebühren gekostet hat. Zu diesem Zeitpunkt hatten wir jedoch Millionen von Dollar auf dem Konto. Wenn ich es noch einmal machen würde – und es gibt wahrscheinlich eine Million solcher Beispiele –, würde ich mich wahrscheinlich zu sehr um Details kümmern; Unwissenheit kann eine Stärke sein.

CRN: Gibt es aus deiner Sicht eine KI-Blase?

Jenkins: Plötzlich haben wir LLMs, die Dinge wie ein Mensch generieren können. Im Grunde genommen geben sie aber nur das wieder, was sie im Internet gelernt haben. Das hat zu einem massiven Boom der KI oder einer massiven Aufmerksamkeit für KI geführt.

Wenn wir uns den Aktienkurs von Nvidia ansehen, lag er bei meiner letzten Überprüfung bei dem 35-fachen des Umsatzes eines Unternehmens mit einmaligen Einnahmen, was erstaunlich ist. Intel wird zum Eineinhalbfachen des Umsatzes gehandelt. Nehmen wir mal an, dass dies eine Anpassung für bessere Technologie ist, dann müsste Nvidia immer noch 10 bis 20 Mal mehr Chips verkaufen, um diese Bewertung zu erreichen, was absolut verrückt ist. Wenn die Leute nächstes Jahr keine Chips kaufen, ist alles weg. Ich denke also, dass es sich bei der KI um eine Blase handelt.

Dieser Artikel erschien zuerst bei unserer Schwester-Publikation crn.com

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden