Hallo Alejandro! Was macht Apheris, und was ist deine Aufgabe?

Apheris betreibt föderierte Datennetzwerke im Bereich der Biowissenschaften und löst damit die kritische Herausforderung des Zugriffs auf proprietäre Daten, die aufgrund von IP- und Datenschutzbedenken in Silos eingeschlossen sind. Unser Produkt ist eine föderierte Datenverarbeitungsinfrastruktur mit Governance-, Sicherheits- und Datenschutzkontrollen, die es Life-Science-Organisationen ermöglicht, gemeinsam qualitativ hochwertigere Modelle auf komplementären Daten von mehreren Parteien zu trainieren. Wir sind ein relativ kleines Team (etwa 25 Ingenieure), das es uns ermöglicht, agil zu bleiben, neue Dinge auszuprobieren und Technologien wie Aikido frühzeitig zu übernehmen.

Ich bin Alejandro und ich leite die Bereiche Sicherheit, Datenschutz und IT bei Apheris. Mit mehr als 12 Jahren Erfahrung in diesem Bereich bin ich von großen Unternehmen wie Cisco, Rackspace und Auth0 in die Welt der Start-ups gewechselt, wo ich Sicherheits-, Datenschutz- und compliance (und die Teams dahinter) von Grund auf aufbaue. Mein Schwerpunkt liegt auf Cloud- und Anwendungssicherheit, Infrastruktur als Code, Automatisierung und der Sicherung von Systemen und Daten.

Ich wohne im sonnigen Alicante, Spanien. Wenn es meine Zeit erlaubt, bin ich immer noch gerne aktiv: Ich schreibe Code, optimiere Erkennungsfunktionen und entwickle interne Tools. In letzter Zeit habe ich mich mit KI und Automatisierung beschäftigt und Governance-freundliche Agenten eingeführt, um Sicherheits- und IT-Workflows zu optimieren und unseren Stack ein wenig intelligenter (und viel effizienter) zu machen.

Welchen Druck üben Ihre Kunden auf Ihre Sicherheits- und compliance aus?

Sehr viel. Und das aus gutem Grund. Wir haben mit Daten aus dem Gesundheitswesen zu tun und verkaufen an einige der am stärksten regulierten Branchen der Welt. Bei einem Unternehmensgeschäft verlangte der Kunde, dass wir vor der Unterzeichnung vier unabhängige Penetrationstests durchführen. Das sind mehr als 100.000 Euro, die wir auf ihrer Seite ausgegeben haben, nur um das Gespräch zu beginnen.

"Ich habe noch nie erlebt, dass man vor der Vertragsunterzeichnung so genau hingeschaut hat. Da gibt es keinen Platz für Abkürzungen".

Sicherheit ist von Anfang an in unser Produkt und unsere Prozesse integriert. Wir sind ISO 27001, SOC 2 Typ I und II, GDPR-konform und haben ein Trust Center eingerichtet, damit unsere Kunden unsere Sicherheitslage leicht erkennen können, ohne dass sie E-Mails hin- und herschicken müssen. Es geht nur darum, schnell Vertrauen aufzubauen.

Wie haben Sie zuvor mit Sicherheit und compliance umgegangen?

Unser Setup war ziemlich typisch für ein schnelles Team: fragmentiert und ohne Zentralisierung. Wir verließen uns auf eine Mischung aus Open-Source-Tools für geheimes Scannen, Snyk für container und Abhängigkeitsmanagement und Detectify für das Scannen von Webanwendungen. Jedes Tool erfüllte seinen Zweck, aber der fehlende Zusammenhalt bedeutete, dass wir erhebliche Anstrengungen unternehmen mussten, um alles mit viel Klebeband und Ellenbogenfett zusammenzuhalten (lacht).

"Wir hatten den Aufwand eines kleinen Teams, das mehrere Open-Source-Tools pflegte. Das war eine Qual."

Jedes Tool erfüllte seinen Zweck, aber keines von ihnen funktionierte zusammen. Das Scannen von Geheimnissen war unübersichtlich und schwer über Repos hinweg zu verwalten, das Scannen von container war für die Techniker schwer zu handhaben. Selbst grundlegende compliance wie das Sammeln von Beweisen oder die Verfolgung von SLAs waren fragmentiert.

Zum Beispiel war der Output von Snyk schwer zu handhaben, insbesondere für Ingenieure, die verschiedene Tools kennen und auf unterschiedliche Weise mit ihnen interagieren müssen. Selbst mit unserer Github-Infrastruktur als Code wurde es zu einem Zeitfresser, diese Tools aktuell und funktionsfähig zu halten.

"Wenn ich als Sicherheitsingenieur Zeit damit verbringen muss, die Ergebnisse zu entschlüsseln, wie kann ich dann erwarten, dass unsere Techniker darauf reagieren? Sie werden sie einfach ignorieren."

Wie sah der Prozess der Sammlung von compliance aus, bevor Aikido mit Vanta kombiniert wurde?

Schmerzhaft manuell. Die Richtlinien wurden in SharePoint gespeichert. Onboarding und Offboarding wurden getrennt verfolgt. Die Zusammenstellung von Prüfungsnachweisen erforderte das Springen über mehrere Tools und Tabellen.

"Manuell, manuell und noch mehr manuell. Jeder Prüfzyklus hat das Unternehmen belastet."

Uns fehlte ein einheitlicher Überblick über Schwachstellen, Inventar, Anbieterrisiken und so weiter. Und für ein kleines Team kann diese Art von operativer Reibung die Dinge wirklich verlangsamen, wenn es am wichtigsten ist

Wie würden Sie die Rolle beschreiben, die Technologie heute bei der Unterstützung Ihrer Sicherheits- und compliance spielt?

Der Unterschied ist wie Tag und Nacht. Die Sicherheit ist für die meisten Entwickler unsichtbar geworden, und das ist auch gut so. 

Aikido macht es den Technikern leicht, Probleme zu erkennen und zu beheben, ohne Fragen an das Sicherheitsteam weiterzuleiten. Jedes Repo enthält relevante, umsetzbare Erkenntnisse. Es ist für die Techniker einfach, sich selbst zu bedienen und Probleme zu lösen, ohne dass ich die Sicherheitsberichte für sie übersetzen muss. Kein Rätselraten. Keine zu interpretierenden PDFs. Die Integration von Pull-Requests und auch IDEs ist ein Kinderspiel.

Aikido und Vanta zusammen bieten uns sowohl Transparenz als auch Automatisierung. Aikido scannt kontinuierlich nach Problemen und speist echte Daten in Vanta ein. Das beinhaltet:

• Verfolgung von Schwachstellen und Patches (SLA)
• Erkennung von Malware
• Management von Veränderungen
• Validierung der Basiskonfiguration (über Terraform & IaC)
• Durchsetzung der GitHub-Richtlinie
• Und automatisierte Schulungen zum Sicherheitsbewusstsein

"Jetzt können wir zeigen, wie wir die SLAs und Kontrollen einhalten, ohne manuell Berichte erstellen zu müssen.

Vanta fungiert dann als unsere einzige Quelle der Wahrheit für Audits, Kundenprüfungen und interne GRC-Überwachung. Es verbindet alles mit Beweisen, die für Audits geeignet und umsetzbar sind.

Was fiel bei der Bewertung der beiden Tools auf?

Bei Aikido waren es die einfache Einführung und die Entwicklungsfreundlichkeit. Wir erwarteten einen schmerzhaften Übergang, aber wir hatten es in weniger als einer Woche in allen Repos am Laufen. Aikido deckt vieles von dem, was wir brauchen, direkt ab. Viele der von uns bereits genutzten Open-Source-Tools wurden in die Plattform integriert, so dass uns die Dinge vertraut vorkamen und unser Migrationsaufwand reduziert wurde. Dank unseres GitHub-Setup-as-Code-Ansatzes konnten wir die Lösung in nur wenigen Tagen in allen Repositories einführen, viel schneller als wir ursprünglich erwartet hatten.

"Aufgrund früherer Erfahrungen hatten wir mit einer langsamen Umstellung gerechnet. Stattdessen haben wir alles innerhalb einer Woche migriert, ohne jemanden zu stören.

Für Vanta war es das Ausmaß der Automatisierung und wie schnell wir die manuelle Beweiserfassung reduzieren konnten. Die Integrationen mit Aikido, Microsoft Defender, GitHub und anderen machten es zur richtigen Lösung, um die compliance zu zentralisieren.

Zusammen haben sie sowohl den Aufwand als auch das Risiko reduziert. Wir gewannen an Sichtbarkeit, verringerten den Lärm und wechselten zu einem System, das keine Vollzeitkraft als Babysitter benötigt.

Können Sie von einem Moment berichten, in dem Aikido und Vanta Ihnen Zeit oder Stress erspart haben?

Auf jeden Fall. Der Teamvergleichsbericht von Aikido gibt uns einen guten Einblick in die Leistung der verschiedenen Teams, und wir veröffentlichen den Bericht sogar in Slack. Es geht nicht um Wettbewerb an sich, aber die Sicherheit wird auf eine gesunde Art und Weise spielerisch verbessert.

Aber auch AutoFix sticht hervor. Nicht nur für das, was es tut, sondern auch dafür, wie schnell das Aikido-Team auf unser Feedback reagiert hat. Zunächst verhinderten unsere PR-Standards, dass Autofix richtig funktioniert, da wir strenge Standards für Pull-Requests wie PR-Titel oder Commit-Nachrichten vorschreiben. Innerhalb weniger Wochen hatte das Team die Unterstützung für unser spezielles Setup hinzugefügt.

Wir kamen von Enterprise-Lösungen, die nicht auf Kundenfeedback reagieren (da wir ein kleines Unternehmen sind), lange Support-Tickets selbst für Kleinigkeiten benötigen und von denen man nur kurz vor der Vertragsverlängerung etwas hört.

"Das Team hat auf unser Feedback reagiert und innerhalb weniger Wochen eine Lösung geliefert. Diese Art von Reaktionsfähigkeit ist wichtig."

Auf der Vanta-Seite bedeutet die Tatsache, dass die Sicherheitssignale von Aikido in unsere compliance einfließen, dass wir nicht mehr um Antworten ringen müssen, wenn Kunden fragen : "Wie verwalten Sie Schwachstellen?" Die Antwort ist bereits da, mit Kontext und SLA-Tracking.

Und schließlich: Wie würden Sie die Wirkung von Aikido und Vanta zusammenfassen?

"Aikido und Vanta geben uns Gewissheit. Sicherheit und compliance sind gewährleistet, so dass sich unsere Ingenieure auf den Bau konzentrieren können."