Hallo Alejandro! Was macht Apheris, und welche Rolle hast du?
Apheris betreibt föderierte Datennetzwerke für Biowissenschaften und löst damit die entscheidende Herausforderung, auf proprietäre Daten zuzugreifen, die aufgrund von IP- und Datenschutzbedenken in Silos eingeschlossen sind. Unser Produkt ist eine föderierte Computing-Infrastruktur mit Governance-, Sicherheits- und Datenschutz-Kontrollen, die es Biowissenschaftsunternehmen ermöglicht, gemeinsam hochwertigere Modelle auf komplementären Daten mehrerer Parteien zu trainieren. Wir sind ein relativ kleines Team (rund 25 Ingenieure), was uns erlaubt, agil zu bleiben, neue Dinge auszuprobieren und Early Adopter von Technologien wie Aikido zu sein.
Ich bin Alejandro und verantworte Sicherheit, Datenschutz und IT bei Apheris. Mit über 12 Jahren Erfahrung in diesem Bereich bin ich von großen Organisationen wie Cisco, Rackspace und Auth0 in die Startup-Welt gewechselt, wo ich Sicherheits-, Datenschutz- und Compliance-Programme (und die dahinterstehenden Teams) von Grund auf aufbaue. Mein Fokus liegt auf Cloud- und Anwendungssicherheit, Infrastructure as Code, Automatisierung und der Sicherstellung der Systemresilienz sowie des Datenschutzes.
Ich lebe im sonnigen Alicante, Spanien. Wenn es die Zeit erlaubt, arbeite ich immer noch gerne praktisch: Code schreiben, Detections optimieren und interne Tools entwickeln. In letzter Zeit habe ich mich intensiv mit AI und Automatisierung beschäftigt und Governance-freundliche Agenten eingeführt, um Security- und IT-Workflows zu optimieren und unseren Stack etwas smarter (und viel effizienter) zu machen.
Welchen Druck üben Ihre Kunden auf Ihre Sicherheits- und Compliance-Praktiken aus?
Viel. Und das aus gutem Grund. Wir arbeiten mit Gesundheitsdaten und verkaufen an einige der am stärksten regulierten Branchen der Welt. Bei einem Enterprise-Deal bat uns der Kunde, vier unabhängige Penetrationstests durchzuführen, bevor er unterschrieb. Das sind über 100.000 € auf ihrer Seite, nur um das Gespräch zu beginnen.
„Ich habe noch nie eine solche Prüfungsintensität vor Vertragsunterzeichnung erlebt. Es gibt keinen Raum für Abkürzungen.“
Sicherheit ist von Anfang an in unsere Produkte und Prozesse integriert. Wir sind ISO 27001, SOC 2 Typ I und II sowie DSGVO-konform und haben ein Trust Center aufgebaut, damit Kunden unsere Sicherheitsposition leicht einsehen können, ohne E-Mails hin- und herschicken zu müssen. Es geht darum, schnell Vertrauen aufzubauen.
Wie haben Sie Sicherheit und Compliance zuvor gehandhabt?
Unser Setup war ziemlich typisch für ein schnelllebiges Team: fragmentiert und ohne zentrale Steuerung. Wir verließen uns auf einen Mix aus Open-Source-Tools für Secret Scanning, Snyk für Containersicherheit und Dependency Management sowie Detectify für das Scannen von Webanwendungen. Jedes Tool erfüllte seinen Zweck, aber die fehlende Kohäsion bedeutete, dass wir erheblichen Aufwand betreiben mussten, um alles mit viel Klebeband und Mühe zusammenzuhalten (lacht).
„Wir hatten diesen Overhead eines kleinen Teams, das mehrere Open-Source-Tools wartete. Das war mühsam.“
Jedes Tool erfüllte einen Zweck, aber keines funktionierte zusammen. Secret Scanning war überladen und über Repositories hinweg schwer zu verwalten, Container-Scanning war für Ingenieure schwer umzusetzen. Selbst grundlegende Compliance-Aufgaben wie das Sammeln von Nachweisen oder das Verfolgen von SLAs waren fragmentiert.
Zum Beispiel war die Ausgabe von Snyk schwer umzusetzen, insbesondere für Ingenieure, die verschiedene Tools kennen und auf unterschiedliche Weise mit ihnen interagieren müssen. Selbst mit unserer GitHub Infrastructure as Code wurde es zu einem Zeitfresser, diese Tools aktuell und funktionsfähig zu halten.
„Wenn ich als Sicherheitsingenieur Zeit damit verbringen muss, Ergebnisse zu entschlüsseln, wie kann ich dann erwarten, dass unsere Ingenieure darauf reagieren? Sie werden es einfach ignorieren.“
Wie sah der Prozess der Compliance-Nachweiserfassung aus, bevor Aikido mit Vanta kombiniert wurde?
Mühsam manuell. Richtlinien wurden in SharePoint gespeichert. Onboarding und Offboarding wurden separat verfolgt. Das Zusammentragen von Audit-Nachweisen erforderte das Wechseln zwischen mehreren Tools und Tabellen.
„Manuell, manuell und nochmals manuell. Jeder Audit-Zyklus bremste das Geschäft aus.“
Uns fehlte eine einheitliche Sicht auf Schwachstellen, Inventar, Lieferantenrisiken, und so weiter. Und für ein kleines Team kann diese Art von operativer Reibung die Dinge wirklich verlangsamen, wenn es am wichtigsten ist.
Wie würden Sie die Rolle beschreiben, die Technologie jetzt bei der Unterstützung Ihrer Sicherheits- und Compliance-Haltung spielt?
Der Unterschied ist wie Tag und Nacht. Sicherheit wurde für die meisten Entwickelnde unsichtbar, und das ist gut so.
Aikido machte es Ingenieuren leicht, Probleme zu erkennen und zu beheben, ohne Fragen an das Sicherheitsteam zurückzuspielen. Jedes Repo liefert relevante, umsetzbare Erkenntnisse. Es ist einfach für Ingenieure, sich selbst zu helfen und Probleme zu lösen, ohne dass ich Sicherheitsberichte für sie übersetzen muss. Kein Rätselraten. Keine PDFs zum Interpretieren. Integrationen in Pull Requests und auch IDEs sind fantastisch.
Aikido und Vanta zusammen bieten uns sowohl Transparenz als auch Automatisierung. Aikido scannt kontinuierlich nach Problemen und speist echte Daten in Vanta ein. Dazu gehören:
- Schwachstellen- und Patch-SLA-Tracking
- Malware-Erkennung
- Änderungsmanagement
- Validierung der Basiskonfiguration (via Terraform & IaC)
- GitHub-Richtliniendurchsetzung
- Und automatisiertes Security Awareness Training
„Jetzt können wir zeigen, wie wir SLAs und Kontrollen einhalten, ohne Berichte manuell zusammenzustellen.“
Vanta dient dann als unsere zentrale Informationsquelle für Audits, Kundenbewertungen und die interne GRC-Aufsicht. Es verbindet alles mit Nachweisen, die audit-bereit und umsetzbar sind.
Was ist bei der Evaluierung beider Tools besonders aufgefallen?
Für Aikido: Es war die einfache Einführung und Entwicklerfreundlichkeit. Wir erwarteten einen schmerzhaften Übergang, hatten es aber in weniger als einer Woche über alle Repos hinweg am Laufen. Aikido deckt vieles ab, was wir sofort benötigen. Viele der Open-Source-Tools, die wir bereits nutzten, waren in die Plattform integriert, was für ein vertrautes Gefühl sorgte und unseren Migrationsaufwand reduzierte. Dank unseres GitHub Setup-as-Code-Ansatzes konnten wir es in nur wenigen Tagen über alle Repositories ausrollen, viel schneller als ursprünglich erwartet.
„Basierend auf früheren Erfahrungen erwarteten wir einen langsamen Übergang. Stattdessen migrierten wir alles innerhalb einer Woche, ohne jemanden zu stören.“
Für Vanta: Es war die Breite der Automatisierung und wie schnell wir die manuelle Nachweiserfassung reduzieren konnten. Die Integrationen mit Aikido, Microsoft Defender, GitHub und anderen machten es zur richtigen Wahl, um die Compliance zu zentralisieren.
Zusammen reduzierten sie sowohl den Aufwand als auch das Risiko. Wir gewannen an Transparenz, reduzierten das Rauschen und wechselten zu einem Setup, das keine Vollzeitkraft zur Betreuung erfordert.
Können Sie einen Moment schildern, in dem Aikido und Vanta Ihnen Zeit oder Stress erspart haben?
Definitiv. Aikidos Team-Vergleichsbericht gibt uns einen hervorragenden Einblick, wie verschiedene Teams performen, und wir veröffentlichen den Bericht sogar in Slack. Es geht nicht um Wettbewerb an sich, aber es gamifiziert die Sicherheit definitiv auf gesunde Weise.
Allerdings sticht auch AutoFix heraus. Nicht nur wegen dem, was es leistet, sondern auch, wie schnell das Aikido-Team auf unser Feedback reagiert hat. Zuerst blockierten unsere PR-Standards die korrekte Ausführung von Autofix, da wir strenge Pull-Request-Standards wie PR-Titel oder Commit-Nachrichten vorschreiben. Innerhalb weniger Wochen hatte das Team Unterstützung für unser spezifisches Setup hinzugefügt.
Wir kamen von Enterprise-Lösungen, die nicht auf Kundenfeedback reagieren (da wir ein kleines Unternehmen sind), selbst für Kleinigkeiten lange Bearbeitungszeiten bei Support-Tickets erfordern und man nur kurz vor dem Verlängerungszyklus von seinen Account Managern hört.
„Das Team hat unser Feedback angenommen und innerhalb weniger Wochen einen Fix geliefert. Diese Art von Reaktionsfähigkeit ist wichtig.“
Auf Vanta-Seite bedeutet das Einfließen von Sicherheitssignalen aus Aikido in unsere Compliance-Dashboards, dass wir nicht mehr fieberhaft nach Antworten suchen müssen, wenn Kunden fragen: “Wie verwalten Sie Schwachstellen?” Es ist bereits vorhanden, mit Kontext und SLA-Tracking.
Und schließlich: Wie würden Sie den Einfluss von Aikido und Vanta zusammenfassen?
“Aikido und Vanta geben uns Sicherheit. Security und Compliance sind abgedeckt, sodass sich unsere Ingenieure auf die Entwicklung konzentrieren können.”
