Delve – Gefälschter Compliance-Service

 (deepdelver.substack.com)
1 Punkte von GN⁺ 2026-03-21 | 1 Kommentare | Auf WhatsApp teilen
  • Es wurde aufgedeckt, dass die Delve-Plattform als ein „System betrieben wird, das den Anschein von Compliance erweckt“, ohne dass tatsächliche Sicherheitskontrollen vorhanden sind
  • Ergebnisse interner Untersuchungen und die Analyse durchgesickerter Tabellen zeigen, dass Auditberichte, Tests und Schlussfolgerungen von Delve automatisch erzeugt und von in Indien ansässigen Zertifizierungsstellen nur pro forma unterschrieben wurden
  • Kundenunternehmen übernahmen gefälschte Nachweise, fingierte Sitzungsprotokolle und automatisch ausgefüllte Richtliniendokumente und wurden dadurch so dargestellt, als hätten sie Zertifizierungen nach SOC 2, ISO 27001, HIPAA und GDPR erhalten
  • Delve wirbt mit KI-gestützter Automatisierung, ist in Wirklichkeit jedoch ein formularbasiertes System mit manuellen Eingaben und Screenshot-Uploads, und die meisten „Integrationen“ funktionieren nicht
  • Dadurch veröffentlichen Hunderte Unternehmen einen falschen Sicherheitsstatus nach außen und setzen sich Risiken von HIPAA- und GDPR-Verstößen sowie rechtlicher Haftung aus

Strukturelle Probleme bei Delve und die zentralen Enthüllungen

  • Delve wurde als Compliance-Automatisierungsplattform für SOC 2, ISO 27001, HIPAA und GDPR beworben, verletzte in der Praxis jedoch das Prinzip der Unabhängigkeit von Audits und verfasste Audit-Schlussfolgerungen selbst
    • Entwürfe der Auditberichte enthielten bereits von Delve verfasste Schlussfolgerungen und Testverfahren, während Kunden nur noch Namen, Unterschrift und Diagramme eintragen mussten
    • Alle Berichte teilen dieselbe Satzstruktur und dieselben Tippfehler; mehr als 99 % von 575 Berichten enthalten identischen Text
  • In einem geleakten Google Spreadsheet waren Links zu Auditberichten von Hunderten Kunden enthalten, wodurch sensible Informationen wie persönliche Unterschriften und Systemdiagramme offengelegt wurden
    • Der CEO von Delve bezeichnete dies als „von KI erzeugte gefälschte E-Mails“, doch die tatsächlichen Dokumente wurden in öffentlichen Archiven bestätigt

Verletzung der Audit-Unabhängigkeit und System fingierter Audits

  • Delve übernahm direkt die Rolle des Auditors und verstieß damit gegen AICPA-Regeln
    • Audit-Schlussfolgerungen wurden vorab verfasst, wodurch eine unabhängige Prüfung strukturell unmöglich war
    • Die in Indien ansässigen Zertifizierungsstellen Accorp, Gradient, BQC, Glocert unterzeichneten Berichte über US-Firmenhüllen
    • Einige Berichte enthielten falsche Lizenznummern von Auditgesellschaften, was auf kopierte Vorlagen hinweist
  • Die als Audit-Verantwortliche aufgeführte Jayshree Dutta ist keine US-CPA und gehört nachweislich zu den indischen Unternehmen CyberTryZub und BQC

Scheincharakter von Produkt und Prozessen

  • Delves „KI-Automatisierung“ ist ein manuelles, formularbasiertes System mit kaum realen KI-Funktionen
    • Die meisten „Integrationen“ verlangen nur Screenshot-Uploads ohne Authentifizierungsverfahren
    • Richtlinien, Risikobewertungen und Sicherheitssimulationen bestehen aus Vorlagen mit vorausgefüllten Standardwerten, die sich per Klick abschließen lassen
  • Das Modul Pathways wurde von Delve als Eigenentwicklung dargestellt, tatsächlich wurde jedoch das Open-Source-Projekt SimStudio unrechtmäßig verwendet
  • Kunden mussten gefälschte Sitzungsprotokolle, Ergebnisse von Sicherheitstests und Richtliniendokumente übernehmen; lehnten sie das ab, mussten sie den Großteil der Arbeit manuell erledigen

Manipulierte Berichte und Trust Pages

  • Delves Trust Page markiert Sicherheitskontrollen als „abgeschlossen“, die real gar nicht implementiert wurden
    • 321 von 322 SOC-2-Kunden verwendeten dieselben 51 Kontrollpunkte
    • MDM, Intrusion Detection, Backups, Datenlöschung und andere nicht existierende Sicherheitsmaßnahmen wurden automatisch als vorhanden ausgewiesen
  • In SOC 2 Type II-Berichten wird angegeben, dass „Sicherheit, Verfügbarkeit, Vertraulichkeit und Privatsphäre“ alle Kriterien erfüllen, obwohl tatsächlich nur ein einziger Sicherheitsbereich getestet wurde
    • Alle Berichte enden identisch mit der Formulierung „No exceptions noted“

Regulatorische und rechtliche Risiken

  • Durch Delves fingierte Prozesse geraten Kundenunternehmen in Verstöße gegen GDPR und HIPAA
    • Bei HIPAA-Verstößen drohen strafrechtliche Konsequenzen; bei GDPR-Verstößen sind Bußgelder von bis zu 4 % des weltweiten Umsatzes möglich
    • Betroffen sind auch Unternehmen, die Gesundheits- oder verteidigungsbezogene Daten verarbeiten, was Risiken auf dem Niveau nationaler Sicherheit erzeugt
  • Delve-Kunden haben womöglich ohne ihr Wissen gefälschte Zertifizierungsberichte extern eingereicht und können vertraglich wie reputationsbezogen haftbar gemacht werden

Fazit und Empfehlungen

  • Delve ist ein Fall von industrialisierter „Fake-Compliance-Automatisierung“, der Kunden rechtlichen Risiken aussetzt
  • Bestehende Kunden sollten jede Kommunikation mit Delve schriftlich dokumentieren und gezielt nach Audit-Erstellung, Unabhängigkeit der Auditoren und Umfang des Datenlecks fragen
  • Der von Delve behauptete „KI-basierte Vertrauensprozess“ ist lediglich ein System zur formalen Dokumentenerzeugung und verfügt über keine substanziellen Funktionen zur Sicherheitsprüfung
  • Der Vorfall zeigt einen Vertrauenszusammenbruch im Markt für Compliance-Automatisierung und unterstreicht erneut die Bedeutung unabhängiger Audits und realer Sicherheitskontrollen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-03-21
Hacker-News-Kommentare

  • Viele Startups bewegen sich mit kleinen Teams schnell voran
    Wenn man ein gutes Produkt baut, wollen Großunternehmen es abonnieren, aber dann werden Zertifizierungsprozesse nötig
    Checklisten sind nützlich, aber zu stark auf europäische Bürokratie zugeschnitten
    Man bekommt Fragen wie: „Wo ist das Risikoregister einer Firma mit 7 Leuten?“ und verbringt dann seine Zeit mit Papierkram statt mit der eigentlichen Arbeit
    Am Ende erstellt man Dokumente, die niemand lesen wird, erfindet Prozesse, die gar nicht existieren, und übersetzt ein agiles Unternehmen in die Sprache eines Großkonzerns
    Es braucht praktische und verhältnismäßige Standards für kleine Teams

    • Stimme ich völlig zu. Aber ich frage mich, ob Großunternehmen nicht sogar einen Wettbewerbsvorteil hätten, wenn sie solche Standards intelligenter anwenden würden
      Meine Firma ist ein Fortune-500-Unternehmen, aber der Beschaffungsprozess ist so kompliziert, dass sich SaaS kaum einführen lässt
      Unsere Konkurrenz sichert sich dagegen mit flexibleren Prozessen schnell gute Anbieter. Solche Unterschiede schlagen sich am Ende in Wettbewerbsfähigkeit nieder
    • Ich finde CIS Controls v8.1 realistisch und tatsächlich hilfreich für die Sicherheit
      Level 1 ist als Basis gut, und Level 2 kann je nach Geschäftsrisiko selektiv angewendet werden
      Auch die CIS Benchmarks sind einen Blick wert. Sie sind eine Sammlung von Best Practices für Cloud-, SaaS- und OS-Sicherheit
    • Wenn ein Team nicht bereit ist, sollte es nicht versuchen, sich mit Gewalt durch Due Diligence zu drücken
    • Der Zweck eines Unternehmens ist letztlich, Gewinn zu erwirtschaften
      Wenn dieses „Corporate Theater“ zu Umsatz führt, dann ist auch das Teil des Geschäfts
      Wenn man sein Produkt nicht in der vom Kunden verlangten Form anbieten kann, wird man am Markt am Ende verdrängt
    • Ich denke, diese komplexen Zertifizierungsverfahren sind ein Instrument, das von bestimmten Akteuren entworfen wurde, um den Kundenzugang zu kontrollieren
      Diejenigen, die die Checklisten kontrollieren, profitieren von dieser Struktur

  • Compliance ist nicht so schwer, wenn man keine Abkürzungen sucht und sich die nötige Zeit nimmt
    Ich halte AWS für einen echten Anbieter von CaaS (Compliance as a Service)
    Mit AWS Artifact unterstützt AWS Kunden dabei, komplexe Zertifizierungsprozesse leichter zu bestehen
    Natürlich bleiben Software und Richtlinien weiterhin Verantwortung des Nutzers, aber physische Sicherheit, Hardware-Management und Disaster Recovery werden faktisch „kostenlos“ mitgeliefert

    • Diese Vorteile gelten nicht nur für AWS, sondern für alle großen Cloud-Anbieter
      Verglichen mit einfachen Infrastrukturprovidern wie Hetzner gibt es allerdings eine ziemlich hohe Kostenprämie

  • Ich frage mich, wie wahrscheinlich es ist, dass Gründer Anfang 20 mit Begeisterung Probleme rund um Compliance-Audits lösen wollen
    Das ist so ein langweiliges Feld, dass ich mir schwer vorstellen kann, echtes Interesse daran zu haben. Oder springen sie nur wegen der Chance darauf an?

    • Gerade das Lösen langweiliger Probleme ist eher klassische Startup-Schule
      Es heißt oft, dass gerade unscheinbare Probleme Geld bringen
      So wie in Joel Spolskys Text “Where there’s muck, there’s brass”
    • Ich arbeite bei einem Unternehmen, das maßgeschneiderte Software für regulierte Branchen baut
      Sehr gute Ingenieure in ihren 20ern entwickeln gerade Monitoring für Compliance Management Systems
      Mit AI lösen sie langjährige Business-Probleme. An der US-Ostküste ist das ein großer Markt in Bereichen wie Banken, Stromversorgung und Gesundheitswesen
    • Ich denke, bei vielen Leuten in ihren 20ern ist weniger Leidenschaft als vielmehr der Wunsch, Geld zu verdienen, stark ausgeprägt
    • Ich bin ebenfalls in dieser Branche, und die Domäne ist wirklich trocken und langweilig
      Zum Glück ist die technische Seite interessant
      Aus Kundensicht ist Compliance so schmerzhaft, dass schon ein wenig Automatisierung großen Wert schafft
    • Das wirkt wie eine Art neues Beratungsmodell
      Man versammelt kluge Leute in ihren 20ern und sammelt mit dem Versprechen Geld ein, „die Branche zu revolutionieren“
      Das ist ähnlich wie bei McKinsey-Beratern, die ihren Einfluss eher durch den Markennamen als durch die eigentliche Arbeit bekommen
      YC scheint ebenfalls so eine Rolle zu spielen

  • Selbst wenn dieser Text ein Angriff eines Konkurrenten sein sollte, ist die vorgelegte Beweislage sehr stark
    Wenn das falsch wäre, müsste der Schadensersatz wegen Verleumdung in die zig Millionen gehen
    Ich habe Respekt vor dem Mut, eine solche Enthüllung zu wagen

  • Ich finde es interessant, dass der Autor und sein Netzwerk das Problem erst dann ansprechen, nachdem sich ihre eigene Zertifizierung als ungültig herausgestellt hat
    Jetzt tun sie so, als seien sie die gerechten Leute, die „Delve entlarvt“ hätten

  • Ich habe diesen Prozess selbst durchlaufen
    Der grundlegende Fehler war, dass die Zertifizierungsstelle ohne Verifizierung Geld angenommen und Zertifikate ausgestellt hat
    Vermittler wie Delve haben dieses Versagen nur verstärkt
    Jeder in der Branche wusste, dass das bloß Security Theater war

  • Die Tiefe des Artikels war beeindruckend
    Wir haben uns kürzlich ebenfalls Drata angesehen, und anfangs wirkte es ziemlich gut
    Aber jedes Mal, wenn so etwas passiert, frage ich mich, wie viel noch nicht aufgedeckter Betrug es wohl noch gibt

  • Der einzige Zweck von Tests ist es, Fehlschläge zu finden
    In einer Atmosphäre, in der alle einfach mitlaufen, ist es erfrischend, dass jemand solche Probleme öffentlich anspricht

  • Ich habe diesen Text auf LinkedIn gesehen und fand ihn wirklich interessant
    Bei einem so tiefgehenden Beitrag hätte ich erwartet, dass er inzwischen ganz oben auf HN steht

    • Vermutlich wurde die Sichtbarkeit absichtlich gedrosselt
      Wenn man bedenkt, dass dies die Website von Y Combinator ist, ist das durchaus möglich
      Einige Firmen, die ich kenne, haben über Delve innerhalb von 5 Tagen einen SOC 2 Type 2 Report bekommen
      Sie verwenden sogar wortgleich den Marketing-Slogan „SOC 2 in days“. Schwer zu glauben

  • Compliance ist etwas, das niemand will, aber alle brauchen
    Letztlich wird es als Service zur Haftungsabwälzung gesehen
    Wenn die Aufsicht nachfragt, zeigt man einfach ein Zertifikat von einem Anbieter wie Delve vor, und damit hat es sich

    • Ich würde nicht an so einem Ort arbeiten wollen
      SaaS-Anbieter sollten ein Verantwortungsbewusstsein für den Schutz der Kundendaten haben
      Compliance-Frameworks sind Werkzeuge, die diese Bemühungen unterstützen
      Sie helfen dabei, Lücken zu finden, Risiken zu verstehen, Verbesserungen voranzutreiben und Partnern unser Niveau zu erklären
      Das im Medium-Artikel beschriebene Verhalten ist schlicht Betrug
      Als Gründer möchte ich meinen Kunden ein Höchstmaß an Vertrauen bieten
    • Niemand zahlt gern Steuern oder macht Wäsche, aber es sind Dinge, die man tun muss
      Mit Compliance ist es genauso
    • Als ich noch in der Cybersicherheitsbranche war, war es ähnlich
      Die meisten haben uns nicht engagiert, um die Sicherheit zu verbessern, sondern um Versicherungsanforderungen zu erfüllen
      Am Ende war auch das eine Struktur zur Verantwortungsabwälzung
    • Das klingt nach jemandem, der die B2B-Branche nicht kennt
      Tatsächlich hören viele Gründer immer wieder: „Wir würden euer Produkt gern kaufen, aber ohne Zertifizierung geht es nicht“
      Deshalb steht man morgens auf und denkt: „Heute müssen wir die XYZ-123-Zertifizierung schaffen“
      Compliance ist kein Abschieben von Verantwortung, sondern die Mindestvoraussetzung, um Vertrauen gegenüber Kunden zu belegen
      Jedes lohnende Spiel hat Eintrittsvoraussetzungen
    • Niemand will freiwillig Compliance machen, aber
      wenn man ein Unternehmen gegründet hat, das rechtliche und moralische Pflichten hat, dann ist das eine Verantwortung, die man selbst tragen muss
      Sie auf andere Unternehmen abzuwälzen, ist unverantwortlich