Delve und der Verdacht der „Fake Compliance“: Wenn Startups Vertrauen wie eine API behandeln

1. April 2026
5 Min. Lesezeit
Abstrakte Darstellung eines Dashboards mit Sicherheitszertifikaten und Warnsymbolen in einem Startup‑Büro

Delve und der Verdacht der „Fake Compliance“: Wenn Startups Vertrauen wie eine API behandeln

Die Vorwürfe gegen Delve treffen einen Nerv – auch im DACH‑Raum. Nicht, weil ein weiterer US‑Startup stolpern könnte, sondern weil sie zeigen, wie brüchig unser modernes System aus Zertifikaten, Audits und Compliance‑Tools geworden ist. Wer Compliance zur Wachstumsfunktion macht, statt zur Governance‑Aufgabe, schafft starke Anreize zum Schönfärben. In diesem Beitrag ordnen wir den Fall ein: Was bedeuten die Anschuldigungen für Security‑Startups, Auditoren, europäische Regulierer und Unternehmen, die stolz mit „SOC‑2‑konform“ werben?

Die News in Kürze

Laut einem Bericht von TechCrunch steht das US‑Unternehmen Delve, ein Startup für automatisierte Compliance, unter neuem Beschuss. Ein anonymer Whistleblower mit dem Pseudonym DeepDelver hatte Delve zuvor beschuldigt, Nachweise für Kunden‑Audits manipuliert zu haben. CEO und Gründer Karun Kaushik wies dies in einem ausführlichen Post auf X zurück. Einen Tag später legte der Whistleblower nach und veröffentlichte angebliche Belege, darunter ein Video und Screenshots von Slack‑Nachrichten.

Delve, 2023 Absolvent des Y Combinator, wurde von 21‑jährigen MIT‑Drop‑outs gegründet. Die Plattform soll die Vorbereitung auf Sicherheitszertifizierungen und die Dokumentation der Einhaltung von Vorschriften wie der DSGVO automatisieren. Im vergangenen Sommer sammelte das Unternehmen eine Series‑A‑Finanzierungsrunde über 32 Millionen US‑Dollar ein, angeführt von Insight, wenige Monate nach einer Seed‑Runde über 3 Millionen US‑Dollar.

TechCrunch verweist außerdem auf einen prominenten Kunden: LiteLLM. Dessen Open‑Source‑Projekt wurde kürzlich mit Malware kompromittiert – obwohl LiteLLM mithilfe von Delve zwei Sicherheitszertifikate erworben hatte. Der Whistleblower hat weitere Veröffentlichungen in Aussicht gestellt.

Warum das relevant ist

Im Kern geht es um geliehenes Vertrauen. Die meisten jungen Unternehmen im SaaS‑Bereich verfügen weder über voll ausgebaute Security‑Teams noch über jahrelang gereifte Prozesse. Also stützen sie sich auf externe Prüfer, Standardwerke wie SOC 2 oder ISO 27001 und auf Tools, die „Compliance“ versprechen. Wenn ein solches Werkzeug verdächtigt wird, Nachweise zu frisieren, verliert die gesamte Vertrauenskette an Glaubwürdigkeit.

Betroffen sind vor allem drei Gruppen:

  • Kunden von Delve: Sie könnten feststellen, dass ihre Zertifikate und die darauf aufbauenden Deals plötzlich hinterfragt werden. Gerade Enterprise‑Kunden in Deutschland oder der Schweiz haben wenig Geduld mit formalen Siegeln, hinter denen wenig Substanz steckt.
  • Investoren und Auditoren: Eine Series A in Höhe von 32 Millionen Dollar kurz nach der Seed‑Runde deutet auf hohen Wachstumsdruck hin. Die Frage steht im Raum, ob Due Diligence bei „Compliance‑as‑a‑Service“ bislang zu stark auf Präsentationsfolien basierte.
  • Der gesamte Markt für Sicherheitszertifizierungen: In vielen Security‑Teams gilt schon heute: „Zertifikat ≠ Sicherheit“. Ein Skandal um automatisierte Compliance‑Tools würde diesen Zynismus verstärken – und damit auch das Geschäftsmodell vieler Anbieter unterminieren.

Kurzfristig könnten eher konservative Akteure profitieren: große Wirtschaftsprüfungsgesellschaften, interne Informationssicherheitsabteilungen und europäische Spezialanbieter, die seit Jahren betonen, dass echte Risikoreduktion mehr ist als ein SOC‑2‑Logo im Pitch‑Deck.

Die eigentliche Gefahr ist kulturell: Wenn Compliance vor allem Go‑to‑Market‑Beschleuniger ist, nicht Governance‑Funktion, optimiert man auf „Audit bestanden“ statt auf „Risiko gesenkt“. Die Grenze zwischen Pragmatismus und Manipulation wird dann sehr schnell sehr weich.

Der größere Zusammenhang

Die Vorwürfe gegen Delve fügen sich in mehrere Branchentrends ein.

Erstens erleben wir seit einigen Jahren einen Boom bei Compliance‑Automatisierung. In den USA haben Firmen wie Vanta, Drata oder Secureframe den Markt geprägt, in Europa sind Anbieter rund um Datenschutz‑Management und Informationssicherheit entstanden – auch in Berlin und München. Das Versprechen ist immer ähnlich: Fragebögen zentral beantworten, Cloud‑Konten anbinden, Evidenz automatisch sammeln, Reports für Auditoren generieren.

Zweitens beobachten wir eine Delegation von Urteilsvermögen an Templates und Tools. Richtlinien entstehen aus Generatoren, Controls werden mit einem Klick auf diverse Frameworks gemappt, Security‑Fragebögen sind copy‑paste. Das ist hocheffizient – solange niemand anfängt, ausschließlich auf Geschwindigkeit und „schöne Screenshots“ zu optimieren.

Historisch ist das Muster nicht neu. Der Fall Wirecard hat im Finanzsektor demonstriert, wie gefährlich es wird, wenn Wachstumserzählungen kritische Fragen übertönen. In der IT‑Sicherheit wiederum sind mehrfach Unternehmen mit eindrucksvollen Zertifikaten gehackt worden – mit der Folge, dass Zertifikate intern oft als „Eintrittskarte für den Vertrieb“ betrachtet werden, nicht als Qualitätsmerkmal.

Drittens verstärkt der AI‑Hype diese Dynamik. KI‑Infrastruktur will in regulierte Branchen hineinverkaufen – vom Gesundheitswesen bis zur Finanzindustrie. Dort verlangen Kunden belastbare Zusicherungen zu Datenschutz, Modell‑Sicherheit und Compliance. Wer „SOC 2 in wenigen Wochen“ verspricht, verschafft sich einen Wettbewerbsvorteil. Der von TechCrunch erwähnte LiteLLM‑Zwischenfall – Malware in einem Projekt mit zwei Zertifikaten – illustriert, wie groß die Diskrepanz zwischen Siegel und Realität sein kann.

Startups wie Delve agieren mit „Silicon‑Valley‑Taktung“. Doch bestimmte Domänen – Kryptografie, Luftfahrt, kritische Infrastruktur – vertragen diese Kultur nicht. Für viele Aspekte der Informationssicherheit gilt Ähnliches. „Move fast and break things“ ist eine schlechte Devise, wenn das, was bricht, personenbezogene Daten oder kritische Geschäftsprozesse sind.

Die europäische / DACH‑Perspektive

Für europäische Unternehmen ist der Fall Delve ein Lackmustest für ausgelagerte Compliance unter strengen EU‑Regeln.

DSGVO, NIS2‑Richtlinie, die kommende EU‑KI‑Verordnung und sektorspezifische Regelwerke wie DORA für Finanzunternehmen stellen klar: Verantwortlich bleibt stets die Organisation, nicht ihr Toolstack. Wenn ein Anbieter Beweise frisiert und dadurch mangelhafte Kontrollen oder Sicherheitsvorfälle begünstigt, entbindet das weder Management noch Aufsichtsrat von ihrer Haftung.

In der Praxis setzen jedoch auch viele deutsche, österreichische und Schweizer Startups auf US‑basierte Compliance‑Plattformen, um schneller an SOC‑2/ISO‑Siegel zu kommen und als Lieferant großer Konzerne akzeptiert zu werden. Gerade in Berlin, München oder Zürich ist ein Zertifikat oft faktische Voraussetzung, um in Corporate‑Beschaffungsprozesse hineinzukommen.

Sollten sich die Vorwürfe gegen Delve erhärten, sind mehrere Reaktionen wahrscheinlich:

  • strengere Vendor‑Prüfung: Beschaffungs‑ und Informationssicherheitsabteilungen in DACH werden genauer hinschauen, wie automatisierte Tools Evidenz erzeugen und welche Rolle Auditoren dabei spielen.
  • Regulatorische Nachfragen: Aufsichtsbehörden könnten sich dafür interessieren, inwieweit solche Plattformen tatsächlich helfen, Rechenschaftspflichten aus der DSGVO zu erfüllen – oder eher eine Scheinsicherheit schaffen.
  • Stärkung europäischer Anbieter: Firmen, die Security‑by‑Design mit lokalem Datenschutzverständnis kombinieren, können sich klar von „Compliance Theater“ abgrenzen.

Für den traditionell datenschutzsensiblen deutschen Markt könnte der Fall ein weiterer Anstoß sein, wieder stärker auf substanzielle Risikoanalysen und technische Maßnahmen zu setzen – und Zertifikate als das zu behandeln, was sie sind: notwendige, aber unzureichende Bedingungen.

Ausblick

Wie es weitergeht, hängt von zwei Faktoren ab: der Belastbarkeit der weiteren Enthüllungen und der Reaktion des Ökosystems.

Sollte DeepDelver künftig eindeutig belegbare Beispiele veröffentlichen, die zeigen, dass Delve‑Mitarbeitende bewusst Beweise gefälscht haben, wären folgende Schritte zu erwarten:

  • interne Untersuchungen, gegebenenfalls externe Forensik, Druck durch Großkunden,
  • Diskussionen über Vertragsauflösungen oder erneute Audits bei betroffenen Kunden,
  • intensivere Befassung von Aufsichtsbehörden in den wichtigsten Zielmärkten.

Fallen die Belege weniger eindeutig aus und deuten eher auf chaotische Prozesse als auf Vorsatz hin, wird Delve trotzdem als Negativbeispiel bleiben – und der Markt wird seine Hausaufgaben machen müssen.

Worauf sollten Sie als Unternehmen im DACH‑Raum achten?

  • Kundenreaktionen: Distanzieren sich Referenzkunden öffentlich? Kommt es zu Sammelklagen in den USA?
  • Positionierung der Auditoren: Schärfen sie ihre Methodik im Umgang mit automatisierten Evidenzquellen und sagen klar, was sie akzeptieren – und was nicht?
  • Signale der Regulierer: Taucht das Thema „Compliance‑Automatisierung“ in Leitlinien von Datenschutzaufsichtsbehörden oder der BaFin auf?

Die Chance liegt darin, Kultur und Prozesse zu korrigieren. Compliance‑Tools sollten Transparenz verstärken, nicht Blackboxes schaffen. Unternehmen, die bereit sind, ihre Kontrollen in Echtzeit zu demonstrieren und kritische Nachfragen einzuladen, werden Vertrauen gewinnen – selbst inmitten eines Skandals.

Fazit

Der Fall Delve ist weniger eine Geschichte über einen einzelnen YC‑Absolventen als ein Spiegelbild eines Systems, das Zertifikate als Wachstumsbooster missbraucht. Ob sich alle Vorwürfe bestätigen oder nicht: Wer Compliance als Checkbox und Marketing‑Badge versteht, riskiert mehr als nur schlechte PR. Die eigentliche Frage lautet: Kennen Sie die Entstehungsgeschichte Ihres nächsten Zertifikats – oder kennen Sie nur das Logo auf der Website?

Kommentare

Hinterlasse einen Kommentar

Noch keine Kommentare. Sei der Erste!

Ähnliche Beiträge

Illustration einer Einzelperson vor einem leuchtenden Netzwerk aus KI-Systemen
Nachrichten

Wenn die KI-Infrastruktur von Leuten wie Sam Altman abhängt

Was der Fall Sam Altman über Governance und Vertrauen in KI verrät – und warum Europa und die DACH-Region jetzt eigene Alternativen stärken müssen.

5 Min. Lesezeit
Industrieroboter arbeiten in einer Fabrikhalle mit eingeblendeter KI‑Benutzeroberfläche
Nachrichten

Eclipse setzt 1,3 Milliarden Dollar auf „Physical AI“ – und verändert damit den Hardware‑Hype

Eclipse sammelt 1,3 Mrd. US‑Dollar für „Physical AI“. Was steckt dahinter, wie verändert das den Hardware‑Hype – und was bedeutet es für den DACH‑Raum?

5 Min. Lesezeit
Kleines Entwicklerteam vor Monitoren mit Code und schematischer KI-Architektur
Nachrichten

Arcees Trinity-Modell: Warum echte Offenheit für Europas KI-Strategie entscheidender wird als ein paar Benchmark-Punkte

Arcees Trinity zeigt, wie Apache‑lizenzierte Open‑Weight‑Modelle Europas KI‑Souveränität stärken und den Lock‑in großer US‑Labs schwächen können.

5 Min. Lesezeit

Bleib informiert

Erhalte die neuesten KI- und Tech-Nachrichten direkt in dein Postfach.