Athumi spielt eine zentrale Rolle bei der Ermöglichung eines vertrauenswürdigen Datenaustauschs in Flandern, einer der drei Regionen Belgiens (die etwa 60 % der belgischen Bevölkerung ausmacht). Als Datenvermittler erfordert ihre Mission ein Höchstmaß an Datenschutz, compliance und Entwicklerunterstützung. Wir sprachen mit David Van den Brande, CTO von Athumi, um zu erfahren, wie das Unternehmen seine Sicherheitsreife skaliert hat und warum Aikido einem wichtigen Partner auf diesem Weg Aikido .

Aikido ein dynamischer Partner, der genau im richtigen Moment mit der richtigen Ausrichtung reagiert, um dem wachsenden Bedarf an effektiver Cybersicherheit gerecht zu werden.“

Können Sie sich und Ihre Rolle bei Athumi vorstellen?

Ich bin seit den Anfängen bei Athumi, als wir noch ein Programm innerhalb von Digitaal Vlaanderen waren, einer Agentur der flämischen Regierung, die an der digitalen Transformation öffentlicher Dienste arbeitet. Ich überblicke sowohl Technologie als auch Infrastruktur und leite architektonische Entscheidungen, um Kohärenz, Agilität und strategische Passung in der gesamten Organisation sicherzustellen.

Was mich anzog, war das Ausmaß der Herausforderung: Altsysteme mit neuen Plattformen zu verschmelzen, dezentrale Entwicklungsteams mit einer einheitlichen Governance in Einklang zu bringen, um hohe Qualitätsstandards und unternehmensweite Compliance sicherzustellen. All dies muss man tun, während man ambitionierte Innovationsprojekte vorantreibt und Technologie nutzt, um die Zusammenarbeit zwischen öffentlichen und privaten Partnern aufzubauen und zu pflegen.

Was ist die Mission von Athumi und wie unterstützen Sie die belgische Regierung?

Athumi entstand als Teil des Flemish Resilience Recovery Plan während der COVID-Periode, um die wirtschaftliche Erholung in Flandern, Belgien, zu unterstützen. Wir fungieren als Datenintermediär, dem Regierungen und private Organisationen vertrauen, um persönliche und geschäftliche Daten sicher fließen zu lassen.

DSGVO und NIS2 schufen wichtige Schutzmaßnahmen, erschwerten es aber auch Systemen, miteinander zu kommunizieren. Wir sahen eine Marktlücke: Wie kann man Daten freischalten, ohne Vertrauen zu verletzen? Athumi hilft, diese Lücke technisch, rechtlich und organisatorisch zu schließen.

Wie wichtig ist Sicherheit in Ihrer Arbeit?

Sicherheit ist das Herzstück all unseres Handelns. Wir verarbeiten sowohl personenbezogene Daten als auch vertrauliche Geschäftsinformationen. Vertrauen ist nicht verhandelbar. Unser gesamtes Ökosystem hängt davon ab.

Deshalb haben wir frühzeitig in ein dediziertes Informationssicherheits-Managementsystem (ISMS) investiert, einen CISO eingestellt und unsere Organisation so strukturiert, dass Cybersicherheit als Verantwortung auf Vorstandsebene etabliert wird.

Vor welchen Herausforderungen standen Sie, bevor Sie mit Aikido begonnen haben?

Wir standen vor mehreren Herausforderungen:

• Fragmentierung: Wir hatten mehrere Hosting-Ziele, jedes mit seiner eigenen CI/CD-Pipeline und spezifischen Deployment-Regeln.
• Compliance-Overhead: Zentralisierte Audits kollidierten mit teamspezifischen Workflows.
• Abstand der Entwickelnden zum Risiko: Entwickelnde waren sich der Sicherheitsauswirkungen nicht immer bewusst, bis spät im Zyklus.
• Mangelnde Transparenz: Die Führungsebene konnte nicht mit Überzeugung sagen: „Wir liefern sicheren Code aus.“

Das Sicherheitsbewusstsein war sehr unterschiedlich. Während der Vorstand klare Zusicherungen benötigte, brauchten Entwickelnde greifbare, umsetzbare Tools. „Walk your talk“ funktioniert nur, wenn die Menschen die Mittel haben, dies auch umzusetzen.

„Ich wollte nicht der Außenseiter-CTO sein, der Sicherheit von oben nach unten durchsetzt. Aikido Entwicklern, sich weiterzuentwickeln, indem sie sicheres Codieren im Kontext lernen. Jede Schwachstelle, die sie beheben, macht sie besser darin, die nächste zu verhindern.“

Was war der Auslöser, Ihren Sicherheitsansatz zu formalisieren?

Als wir unsere zuvor fragmentierte Hosting-Landschaft teamübergreifend vereinheitlichten, bot sich uns die Gelegenheit, unsere CI/CD-Pipeline neu zu gestalten. Unser Beirat, bestehend aus unabhängigen Sicherheitsexperten, forderte uns heraus: „Wie werden Sie diese neue Pipeline von Grund auf sicher gestalten?“

Das veranlasste uns, Lösungen zu erkunden, die dezentrale Teams unterstützen, ohne eine Einheits-Pipeline zu erzwingen. 

Wie haben Sie Aikido entdeckt?

Aikido durch eine Mischung aus Empfehlungen von Kollegen und Beiträgen des Beirats zu uns. Wir haben den idealen sicheren CI/CD-Prozess entworfen und dabei die Arbeitsweise der Teams bewertet. Aikido durch seine Flexibilität aus: Es ließ sich nahtlos in die bestehenden Arbeitsabläufe des Teams integrieren – egal, ob es um MOBing auf Main, die Arbeit mit Feature-Branches oder den Versand über PRs ging.

Das Team konnte die Kontrolle behalten und gleichzeitig von klaren, automatisierten Sicherheitsprüfungen profitieren.

Was ist bei Ihrer Evaluierung besonders aufgefallen?

Drei Dinge stachen hervor:

1. Feedback von Entwicklern am Arbeitsplatz: Unsere Teams lernen durch praktische Erfahrung, nicht durch die Teilnahme an formellen Sicherheitskursen. Aikido dieser Denkweise.
   
2. Nicht-invasiv: Es läuft als Sidecar. Es ergänzt unsere Workflows, ohne sie zu blockieren.
   
3. Sofortiger Mehrwert: Entwickelnde erhalten schnelle Einblicke, die ihnen helfen, Probleme direkt im Arbeitsablauf zu beheben.
   

„Die Rückkopplungsschleife ist unmittelbar. Entwickler brauchen keine Schulungen, sie lernen durch praktische Erfahrung, und Aikido dies.“

Wie verlief die Integration?

Wir haben einfach angefangen: IDE-Plugins, Slack-Alerts, Jira-Integration, damit Teams sofort Ergebnisse sehen konnten. Die niedrige Einstiegshürde war entscheidend. Jetzt haben wir uns auf Laufzeitsicherheit und Cloud-Konfiguration ausgeweitet. Sie können es in Ihrem Tempo skalieren, Team für Team.

„Es ist nicht eingebettet, sondern ein Sidecar. Sie behalten die Kontrolle über Ihren Produktionspfad, während Aikido die Sicherheit sichtbar und umsetzbar Aikido .“

Wie hat Aikido Ihre Arbeitsweise Aikido ?

Sicherheit ist kein Blocker oder Silo mehr. Sie ist eine Gewohnheit, die fest in den Code-Lieferprozess unserer Teams integriert ist. Wir etablieren aktiv:

• Mehr Bewusstsein bei Entwickelnden
• Schnellere Behebung von Schwachstellen
• Bessere Audit-Bereitschaft
• Zentrale Dashboards für Transparenz
  

Aikido uns dabei, unseren Worten Taten folgen zu lassen, indem es unser Sicherheitsversprechen in echte Maßnahmen in Entwicklungs- und Laufzeitumgebungen umsetzt.“

Hat es bei der Compliance geholfen?

Auf jeden Fall. Wir arbeiten auf die ISO-Zertifizierung hin, und Aikido eine wichtige Rolle bei der Dokumentation, Nachverfolgung und Kommunikation unserer Sicherheitsmaßnahmen.

Sicherheit ist keine Checkbox. Mit Aikido verbessern wir sie strukturell und demonstrieren jederzeit mühelos unsere Reife.

Was würden Sie anderen Tech-Führungskräften im öffentlichen Sektor sagen?

Beginnen Sie mit Vertrauen. Erzwingen Sie keine Tools, sondern statten Sie Ihre Teams mit den richtigen aus. Sicherheit ist keine Back-Office-Funktion. Sie ist ein Produktanliegen, ein Plattformanliegen und ein Business Enabler.

Aikido mit uns Aikido . Es beschränkt uns nicht auf eine bestimmte Arbeitsweise. Diese Flexibilität ist entscheidend, wenn Sie dezentrale Teams leiten und compliance skalieren möchten.

Warum ist es wichtig, dass Aikido europäisch Aikido ?

Es ist wichtiger, als man denkt. Sicherheit ist strategisch. Die Unterstützung europäischer Innovationen steht im Einklang mit unseren Werten in Bezug auf wirtschaftliche Resilienz, Souveränität und Vertrauen sowie der Compliance mit dem sich entwickelnden europäischen Regulierungsrahmen. Einen europäischen (und in unserem Fall belgischen) Partner zu haben, der unseren Kontext versteht, ist ein großer Vorteil.

Wie würden Sie Aikido einem Satz beschreiben?

Aikido ein dynamischer Partner, der genau dann mit der richtigen Ausrichtung zur Stelle ist, wenn man ihn am dringendsten braucht: inmitten hoher interner Sicherheitsstandards, Gesetzgebung und Geopolitik.“