Das Compliance-Startup Delve wurde aus dem Y Combinator (YC)-Portfolio gestrichen, was auf erhebliche Folgen nach Vorwürfen irreführender Kunden und fragwürdiger Betriebspraktiken hinweist. Das Unternehmen ist nicht mehr auf der Website von YC aufgeführt, und Selin Kocalar, COO von Delve, bestätigte die Trennung von X und erklärte: „YC und Delve haben sich getrennt.“ Dieser Schritt folgt auf eine ähnliche Distanzierung von Insight Partners, die Erwähnungen ihrer Investition vorübergehend entfernten, bevor sie einige Inhalte wiederherstellten.
Der Kern der Kontroverse
Der Streit dreht sich um Behauptungen einer anonymen Quelle, „DeepDelver“, die behauptet, Delve habe seine Compliance-Fähigkeiten falsch dargestellt und potenziell ineffektive Zertifizierungen an Kunden verkauft. DeepDelver teilte durchgesickerte Daten und interne Mitteilungen mit, die darauf hindeuten, dass Delve automatisierte Berichte für fragwürdige Zertifizierungswerke erstellt und gleichzeitig die erforderliche Due Diligence überspringt.
Die Vorwürfe eskalierten noch weiter, als Malware in einem Open-Source-Projekt entdeckt wurde, das von einem Delve-Kunden, LiteLLM, verwendet wurde. Auch wenn der genaue Zusammenhang weiterhin unklar ist, trägt dieser Vorfall zu einer zunehmenden Prüfung der Sicherheit und betrieblichen Integrität von Delve bei.
Antwort von Delve: Angriff oder Whistleblowing?
Die Führungskräfte von Delve, Karun Kaushik und Selin Kocalar, haben die Behauptungen vehement zurückgewiesen und sie als koordinierte Hetzkampagne bezeichnet, die von einem böswilligen Akteur inszeniert wurde. Sie behaupten, ein Angreifer habe sich unter Vorspiegelung falscher Tatsachen Zugang verschafft, Daten exfiltriert und damit den Ruf von Delve geschädigt.
Das Unternehmen behauptet, es habe ein Cybersicherheitsunternehmen mit der Untersuchung beauftragt, weist auf Beweise für Datendiebstahl hin und wirft DeepDelver Fälschung und selektive Beweispräsentation vor. Sie verteidigen auch den Einsatz von Open-Source-Tools mit der Begründung, sie hätten die Lizenzbedingungen eingehalten und die Software aus Compliance-Gründen erheblich verbessert.
Maßnahmen zur Schadensbegrenzung
Um die Folgen abzumildern, kündigte Delve mehrere Korrekturmaßnahmen an:
- Entfernen von Wirtschaftsprüfungsgesellschaften, die ihre Standards nicht erfüllen.
- Bereitstellung kostenloser Re-Audits und Penetrationstests für bestehende Kunden.
- Klarstellung, dass ihre Vorlagen als Ausgangspunkte und nicht als endgültige Compliance-Lösungen gedacht sind.
CEO Kaushik räumte ein, dass das Unternehmen zu schnell gewachsen sei und hinter seinen eigenen Standards zurückgeblieben sei, und entschuldigte sich bei den betroffenen Kunden.
„Wir sind zu schnell gewachsen und haben unseren eigenen Standard nicht erreicht. Bei unseren Kunden entschuldigen wir uns zutiefst für die entstandenen Unannehmlichkeiten.“ — Karun Kaushik
Was das bedeutet
Die Situation von Delve verdeutlicht die Risiken schnell wachsender Startups, bei denen die Skalierung Vorrang vor der Verifizierung hat. Die Anschuldigungen, ob wahr oder falsch, haben das Vertrauen der Anleger beschädigt und werfen Fragen über die Strenge der Compliance im Technologiesektor auf. Der Abschied von Y Combinator ist ein klares Signal dafür, dass selbst hochselektive Acceleratoren ihre Verbindungen zu Unternehmen abbrechen werden, die ernsthafte Integritätsbedenken haben.
Der Vorfall unterstreicht die Bedeutung von Transparenz, Datensicherheit und gründlicher Due Diligence sowohl für Startups als auch für ihre Kunden. Ohne diese können selbst vielversprechende Unternehmungen bei genauer Prüfung schnell scheitern.
