Athumi spielt eine zentrale Rolle bei der Ermöglichung eines vertrauenswürdigen Datenaustauschs in Flandern, einer der drei Regionen Belgiens (die etwa 60 % der belgischen Bevölkerung ausmacht). Als Datenintermediär erfordert ihre Mission höchste Standards bei Datenschutz, Compliance und der Befähigung von Entwickelnden. Wir sprachen mit Athumis CTO, David Van den Brande, um zu erfahren, wie das Unternehmen seine Sicherheitsreife skaliert hat und warum Aikido ein wichtiger Partner auf diesem Weg wurde.
„Aikido ist ein dynamischer Partner, der genau im richtigen Moment mit dem richtigen Fokus reagiert, um dem wachsenden Bedarf an effektiver Cybersicherheit gerecht zu werden.“
Können Sie sich und Ihre Rolle bei Athumi vorstellen?
Ich bin seit den Anfängen bei Athumi, als wir noch ein Programm innerhalb von Digitaal Vlaanderen waren, einer Agentur der flämischen Regierung, die an der digitalen Transformation öffentlicher Dienste arbeitet. Ich überblicke sowohl Technologie als auch Infrastruktur und leite architektonische Entscheidungen, um Kohärenz, Agilität und strategische Passung in der gesamten Organisation sicherzustellen.
Was mich anzog, war das Ausmaß der Herausforderung: Altsysteme mit neuen Plattformen zu verschmelzen, dezentrale Entwicklungsteams mit einer einheitlichen Governance in Einklang zu bringen, um hohe Qualitätsstandards und unternehmensweite Compliance sicherzustellen. All dies muss man tun, während man ambitionierte Innovationsprojekte vorantreibt und Technologie nutzt, um die Zusammenarbeit zwischen öffentlichen und privaten Partnern aufzubauen und zu pflegen.
Was ist die Mission von Athumi und wie unterstützen Sie die belgische Regierung?
Athumi entstand als Teil des Flemish Resilience Recovery Plan während der COVID-Periode, um die wirtschaftliche Erholung in Flandern, Belgien, zu unterstützen. Wir fungieren als Datenintermediär, dem Regierungen und private Organisationen vertrauen, um persönliche und geschäftliche Daten sicher fließen zu lassen.
DSGVO und NIS2 schufen wichtige Schutzmaßnahmen, erschwerten es aber auch Systemen, miteinander zu kommunizieren. Wir sahen eine Marktlücke: Wie kann man Daten freischalten, ohne Vertrauen zu verletzen? Athumi hilft, diese Lücke technisch, rechtlich und organisatorisch zu schließen.
Wie wichtig ist Sicherheit in Ihrer Arbeit?
Sicherheit ist das Herzstück all unseres Handelns. Wir verarbeiten sowohl personenbezogene Daten als auch vertrauliche Geschäftsinformationen. Vertrauen ist nicht verhandelbar. Unser gesamtes Ökosystem hängt davon ab.
Deshalb haben wir frühzeitig in ein dediziertes Informationssicherheits-Managementsystem (ISMS) investiert, einen CISO eingestellt und unsere Organisation so strukturiert, dass Cybersicherheit als Verantwortung auf Vorstandsebene etabliert wird.
Welche Herausforderungen standen Ihnen gegenüber, bevor Sie mit Aikido arbeiteten?
Wir standen vor mehreren Herausforderungen:
- Fragmentierung: Wir hatten mehrere Hosting-Ziele, jedes mit seiner eigenen CI/CD-Pipeline und spezifischen Deployment-Regeln.
- Compliance-Overhead: Zentralisierte Audits kollidierten mit teamspezifischen Workflows.
- Abstand der Entwickelnden zum Risiko: Entwickelnde waren sich der Sicherheitsauswirkungen nicht immer bewusst, bis spät im Zyklus.
- Mangelnde Transparenz: Die Führungsebene konnte nicht mit Überzeugung sagen: „Wir liefern sicheren Code aus.“
Das Sicherheitsbewusstsein war sehr unterschiedlich. Während der Vorstand klare Zusicherungen benötigte, brauchten Entwickelnde greifbare, umsetzbare Tools. „Walk your talk“ funktioniert nur, wenn die Menschen die Mittel haben, dies auch umzusetzen.
„Ich wollte nicht der Außenseiter-CTO sein, der Sicherheit top-down durchsetzt. Aikido hilft Entwickelnden, sich weiterzuentwickeln, indem sie sicheres Codieren im Kontext lernen; jede Schwachstelle, die sie beheben, macht sie besser darin, die nächste zu verhindern.“
Was war der Auslöser, Ihren Sicherheitsansatz zu formalisieren?
Als wir unsere zuvor fragmentierte Hosting-Landschaft teamübergreifend vereinheitlichten, bot sich uns die Gelegenheit, unsere CI/CD-Pipeline neu zu gestalten. Unser Beirat, bestehend aus unabhängigen Sicherheitsexperten, forderte uns heraus: „Wie werden Sie diese neue Pipeline von Grund auf sicher gestalten?“
Das veranlasste uns, Lösungen zu erkunden, die dezentrale Teams unterstützen, ohne eine Einheits-Pipeline zu erzwingen.
Wie haben Sie Aikido entdeckt?
Aikido kam durch eine Mischung aus Empfehlungen von Kollegen und Input des Beirats zu uns. Wir haben den idealen sicheren CI/CD-Prozess abgebildet und evaluiert, wie Teams arbeiteten. Aikido zeichnete sich durch seine Flexibilität aus: Es integrierte sich nahtlos in bestehende Team-Workflows – sei es beim MOB'ing auf Main, der Arbeit mit Feature-Branches oder dem Versand über PRs.
Das Team konnte die Kontrolle behalten und gleichzeitig von klaren, automatisierten Sicherheitsprüfungen profitieren.
Was ist bei Ihrer Evaluierung besonders aufgefallen?
Drei Dinge stachen hervor:
- Praxisnahes Feedback von Entwickelnden: Unsere Teams lernen durch Handeln, nicht durch formale Sicherheitskurse. Aikido passt zu dieser Denkweise.
- Nicht-invasiv: Es läuft als Sidecar. Es ergänzt unsere Workflows, ohne sie zu blockieren.
- Sofortiger Mehrwert: Entwickelnde erhalten schnelle Einblicke, die ihnen helfen, Probleme direkt im Arbeitsablauf zu beheben.
„Die Feedback-Schleife ist sofort. Entwickelnde brauchen keine Schulungen, sie lernen durch Handeln, und Aikido unterstützt das.“
Wie verlief die Integration?
Wir haben einfach angefangen: IDE-Plugins, Slack-Alerts, Jira-Integration, damit Teams sofort Ergebnisse sehen konnten. Die niedrige Einstiegshürde war entscheidend. Jetzt haben wir uns auf Laufzeitsicherheit und Cloud-Konfiguration ausgeweitet. Sie können es in Ihrem Tempo skalieren, Team für Team.
„Es ist nicht eingebettet, es ist ein Sidecar. Sie behalten die Kontrolle über Ihren Produktionspfad, während Aikido die Sicherheit sichtbar und umsetzbar macht.“
Wie hat Aikido Ihre Arbeitsweise verändert?
Sicherheit ist kein Blocker oder Silo mehr. Sie ist eine Gewohnheit, die fest in den Code-Lieferprozess unserer Teams integriert ist. Wir etablieren aktiv:
- Mehr Bewusstsein bei Entwickelnden
- Schnellere Behebung von Schwachstellen
- Bessere Audit-Bereitschaft
- Zentrale Dashboards für Transparenz
„Aikido hilft uns, unseren Worten Taten folgen zu lassen, indem es unser Sicherheitsengagement in echte Maßnahmen in Entwicklungs- und Laufzeitumgebungen umsetzt.“
Hat es bei der Compliance geholfen?
Absolut. Wir arbeiten auf die ISO-Zertifizierung hin, und Aikido spielt eine große Rolle bei der Dokumentation, Nachverfolgung und Kommunikation unserer Sicherheitslage.
Sicherheit ist keine reine Formalität; mit Aikido verbessern wir sie strukturell und demonstrieren jederzeit mühelos Reife.
Was würden Sie anderen Tech-Führungskräften im öffentlichen Sektor sagen?
Beginnen Sie mit Vertrauen. Erzwingen Sie keine Tools, sondern statten Sie Ihre Teams mit den richtigen aus. Sicherheit ist keine Back-Office-Funktion. Sie ist ein Produktanliegen, ein Plattformanliegen und ein Business Enabler.
Aikido entwickelt sich mit uns weiter. Es zwingt uns nicht zu einer einzigen Arbeitsweise. Diese Flexibilität ist entscheidend, wenn man dezentrale Teams verwaltet und Compliance gleichzeitig skaliert.
Warum ist es wichtig, dass Aikido europäisch ist?
Es ist wichtiger, als man denkt. Sicherheit ist strategisch. Die Unterstützung europäischer Innovationen steht im Einklang mit unseren Werten in Bezug auf wirtschaftliche Resilienz, Souveränität und Vertrauen sowie der Compliance mit dem sich entwickelnden europäischen Regulierungsrahmen. Einen europäischen (und in unserem Fall belgischen) Partner zu haben, der unseren Kontext versteht, ist ein großer Vorteil.
Wie würden Sie Aikido in einem Satz beschreiben?
„Aikido ist ein dynamischer Partner, der genau dann mit dem richtigen Fokus zur Stelle ist, wenn man ihn am meisten braucht: inmitten hoher interner Sicherheitsstandards, Gesetzgebung und Geopolitik.“
