Einführung zu Bound & Security in FinTech
Hallo Dan! Kannst du uns etwas mehr über dich und Bound erzählen?
Hallo, ich bin Dan Kindler und ich bin der CTO und Mitbegründer von Bound. Wir konzentrieren uns darauf, Währungsumrechnung und Hedging günstig, fair und vor allem einfach zu gestalten. Unsere Plattformen helfen Hunderten von Unternehmen weltweit, sich vor Währungsrisiken zu schützen. Derzeit besteht etwa die Hälfte unseres Teams aus Ingenieuren.
Wie ist Bound im FinTech-Sektor positioniert und im Vergleich zum Wettbewerb?
Bevor wir uns mit FinTech selbst befassen, lassen Sie mich zunächst darlegen, wie wir uns gegenüber traditionellen Finanzinstituten positionieren. Traditionelle Banken oder Broker bedienen typischerweise Kunden mit großen Treasury-Teams, die den telefonischen und E-Mail-Kontakt schätzen. Ihre Online-Börsen bieten typischerweise nur Spot-Transaktionen an. Da unser Ziel ist, Hedging einfach und problemlos zu gestalten, bieten wir sowohl Spot- als auch Währungsabsicherungstools an, um Ihre internationalen Cashflows zu verwalten und zu schützen. Im Dezember 2022 erhielten wir unsere FCA-Autorisierung, eine britische Finanzaufsichtsbehörde, die es uns ermöglicht, regulierte Hedging-Produkte anzubieten.
Im Bereich FinTech können wir mit Fug und Recht behaupten, dass wir mit der Einführung von Self-Service-Devisenumrechnungen online Grenzen überschreiten (ja). Unternehmen wie Wise und Revolut haben hervorragende Arbeit geleistet, um Währungsumrechnungen online einfach zu machen – aber sie konzentrieren sich nur auf „Spot“- (oder Sofort-) Umrechnungen. Mit Bound konzentrieren wir uns auf zukünftige Cashflows, worauf sie sich weniger konzentrieren.
Welchen Zweck sollte Sicherheit im FinTech-Bereich erfüllen?
Sicherheit spielt eine enorme Rolle in unserer Branche. Letztendlich geht es um Finanztransaktionen, die Hunderttausende von Pfund/Dollar/Euro wert sein könnten – wenn nicht mehr. Bei Bound überstieg unser Transaktionsvolumen bereits Hunderte Millionen Dollar. Wenn sich ein Sicherheitsrisiko in unser Produkt – oder irgendein FinTech-Produkt – einschleicht, kann man mit Sicherheit sagen, dass die Hölle losbricht. Und nicht nur irgendeine Hölle. Abgesehen von rechtlichen Konsequenzen könnten Hacker die Ersparnisse anderer Leute stehlen und so Unternehmen und Leben zerstören.
Erleichterung der regulatorischen Compliance für FinTech
Im FinTech-Bereich können wir uns vorstellen, dass Regulierungsinstanzen oder staatliche Aufsichtsbehörden Unternehmen, die mit Kundendaten umgehen, stärker unter die Lupe nehmen. Wie hilft Ihnen Aikido dabei?
Der Druck, Compliance zu gewährleisten, ist enorm. Im Vereinigten Königreich navigieren wir ständig durch strenge Vorschriften wie die DSGVO und die Leitlinien der FCA zum Datenschutz und zur Sicherheit. Die Regulierungsbehörden erwarten von uns, dass wir proaktiv mit Schwachstellen umgehen, insbesondere da wir sensible Kundendaten verarbeiten.
Aikido war für uns ein Wendepunkt. Die 9-in-1-Plattform ermöglicht es uns, jeden Aspekt unserer Softwaresicherheit umfassend abzudecken. Dieser Ansatz erleichtert die Einhaltung regulatorischer Anforderungen, ohne mehrere Tools zusammenfügen zu müssen. Ein großes Plus war die Reduzierung von False Positives. In einem regulierten Umfeld können wir es uns nicht leisten, Zeit mit der Verfolgung nicht existenter Schwachstellen zu verschwenden. Die Präzision von Aikido bedeutet, dass wir, wenn eine Warnung eingeht, darauf vertrauen können, dass es sich um etwas handelt, das Maßnahmen erfordert, was bei Audits oder Compliance-Überprüfungen von unschätzbarem Wert ist. Zudem ermöglicht die klare UX unserem Team ein schnelles Handeln, wodurch die Komplexität vermieden wird, die normalerweise mit Sicherheitstools einhergeht. Es stellt sicher, dass wir potenziellen Compliance-Problemen immer einen Schritt voraus sind, ohne unseren Entwicklungsfluss zu stören.
In einer Regulierungslandschaft haben wir nicht den Luxus, Zeit mit der Jagd nach nicht existierenden Schwachstellen zu verschwenden.
Welche zukünftige Regulierung sehen Sie für andere Engineering Leads und VPs, die sie im Auge behalten sollten?
Zukünftige britische FinTech-Regulierungen werden sich voraussichtlich auf die Ausweitung von Open Banking und die Verbesserung der Aufsicht über digitale Assets konzentrieren. Mit Innovationen wie variablen wiederkehrenden Zahlungen (Variable Recurring Payments) und einer digitalen Regulierungs-Sandbox sollten sich Engineering-Teams auf strengere Sicherheitsstandards und neue API-Integrationen vorbereiten.
Einführung in Aikido
Was hat Sie vor Aikido in Bezug auf Sicherheit nachts wachgehalten? Wie sind Sie mit der Sicherheit umgegangen?
Ehrlich gesagt war es ein Chaos, verschiedene Tools für jede Art von Sicherheitsprüfung zu verwalten. Wir waren ständig besorgt, dass etwas übersehen werden könnte, und die Anzahl der False Positives machte es noch schlimmer. Aikido hat alles an einem Ort zusammengeführt, sodass wir jetzt echte Probleme ohne all den Lärm erkennen und es unser Leben erheblich vereinfacht hat.
Aikido hat alles an einem Ort zusammengeführt, sodass wir jetzt echte Probleme ohne all den Lärm erkennen
Wir haben festgestellt, dass Bound einer unserer wenigen Kunden ist, der so gut wie jedes gemeldete offene Problem gelöst hat. Hat Ihnen Aikido dabei geholfen?
Absolut! Wir sind stolz darauf, Sicherheit sehr ernst zu nehmen (wie die meisten Unternehmen – hoffentlich – auch). Für uns hat Aikido einen enormen Einfluss darauf gehabt, wie wir Schwachstellenmanagement und -behebung angehen. Wir betrachten es als unsere einzige Quelle der Wahrheit, und die Deduplizierungs- und Vorfilterungsfunktionen für False Positives der Plattform helfen uns wirklich, den Wald vor lauter Bäumen zu sehen. Sobald eine echte Schwachstelle auftaucht, erscheint ein Trigger in unserem Issue Tracker (Linear), um sicherzustellen, dass wir sie so schnell wie möglich beheben. Der Prozess ist ziemlich sauber und gut in unseren Entwicklungszyklus eingebettet, und wir verlassen uns sehr darauf.
Wie ist Ihre Erfahrung in der Zusammenarbeit mit dem Aikido-Team?
Das Team war vom ersten Tag an extrem reaktionsschnell und unterstützend. Wir können Echtzeit-Feedback teilen, Anfragen stellen und relevante Produkt-Updates über unseren gemeinsamen Slack-Kanal erhalten. Irgendwann fragte ich das Aikido-Team, ob sie wüssten, worauf sie sich eingelassen haben. Wir haben ihr Produktteam nicht schlafen lassen, als wir merkten, dass wir alles fragen konnten!
Was ist Ihr Lieblings-Feature?
Abgesehen von der Reduzierung von False Positives ist der „Import from GitHub“-Button sehr cool. Mir gefällt sehr, dass alle Repos automatisch einem Team zugewiesen werden. Wir können GitHub als Single Source of Truth beibehalten, während Aikido alles nahtlos entsprechend abbildet.
Abschließende Bemerkungen?
Wir hatten Anfang dieses Jahres unseren ersten Penetrationstest und ein Amazon AWS Security Audit, die sehr gut verliefen. Wir hatten nichts über einem Medium (und den meisten Medium-Einstufungen stimmte ich ohnehin nicht ganz zu…). Sie hätten wahrscheinlich viel mehr Interessantes gefunden, wenn Aikido uns nicht ständig angeschrien hätte, also vielen Dank dafür!
