Hallo Peter! Kannst du mir etwas über dich und CertifID erzählen?
Gerne! Ich bin Peter Marsh, Leiter Security, Compliance und IT bei CertifID. CertifID hat es sich zur Aufgabe gemacht, Überweisungsbetrug bei Immobilientransaktionen zu eliminieren. Aus eigener Erfahrung mit Betrug entstanden (unser Mitbegründer war von einem Betrugsfall betroffen), ist CertifID das einzige Unternehmen, das sich dem Schutz der Immobilienbranche durch eine SaaS-Plattform zur Identitätsverifizierung, Versicherungsschutz und bewährte Wiederherstellungsdienste verschrieben hat. Durch die Gewährleistung sicherer und versicherter Überweisungen hat CertifID allein im letzten Jahr dazu beigetragen, Betrug in Höhe von 80 Millionen US-Dollar zu verhindern.
Als einer der allerersten Kunden von Aikido, wie haben Sie uns gefunden?
Wir waren dabei, unseren Vertrag mit unserer bisherigen Lösung zu verlängern, waren aber nicht mehr von ihrem Angebot begeistert (da es zu teuer war und viele Fehlalarme lieferte). Aikido war viel einfacher zu handhaben, lieferte deutlich weniger Fehlalarme und enthielt viel Kontext dazu, wie diese zu beheben sind.
Ehrlich gesagt, sind wir zufällig auf Aikido gestoßen. Wir standen kurz davor, unseren Vertrag mit unserer vorherigen Lösung zu verlängern, waren aber mit deren Angebot nicht mehr zufrieden (es war zu teuer und lieferte zu viele False Positives). Dann fragte ich mich, ob es gute Alternativen gab, und recherchierte Wettbewerber zu unserer vorherigen Lösung. So sind wir auf Aikido gestoßen – es wurde als eine der Alternativen aufgeführt.
Ich habe eine schnelle Demo mit einem GitHub-Repository durchgeführt und festgestellt, dass das Produkt viel einfacher zu handhaben war, deutlich weniger Fehlalarme lieferte und viel Kontext zur Behebung der Probleme enthielt.
"Vor Aikido war Sicherheit eine enorme Belastung. Unser vorheriges Tool, Snyk, ließ uns zu viele False Positives verfolgen und war schwer zu navigieren."
Kürzlich erwarb CertifID Paymints.io, um Immobilientransaktionen zu erleichtern. Hat dies Ihre Sicherheitslage stärker in den Fokus gerückt?
Absolut. Die Übernahme von Paymints.io brachte zusätzliche Sicherheitsbedenken mit sich, denn wenn ein US-amerikanisches Unternehmen Finanztransaktionen abwickelt, müssen strenge Compliance-Anforderungen erfüllt werden, einschließlich Anti-Geldwäsche (AML) und GDPR oder HIPAA. Natürlich verlangen dies auch viele andere Länder. Man kann mit Sicherheit sagen, dass die USA und Europa ähnlich funktionieren: In den USA gibt es nationale Gesetze, aber auch Unterschiede zwischen den Bundesstaaten (z. B. New York vs. Kalifornien). Das europäische Äquivalent wären europäische Regeln vs. Vorschriften pro europäischem Mitgliedsstaat.
Als Unternehmen ist unser Hauptprodukt die Integration der Identitätsprüfung in Überweisungssysteme und die Absicherung von Transaktionen bis zu bestimmten Beträgen. Historisch gesehen sind Überweisungen alte, archaische Prozesse, bei denen man normalerweise nur eine Kontonummer und eine Bankleitzahl benötigt, um eine Zahlung durchzuführen – was sehr betrugsanfällig ist. An einem schlechten Tag kann jeder einfach mit diesen beiden Nummern in eine Bank gehen und Bargeldabhebungen ohne weitere Genehmigung vornehmen.
Zusammenfassend: Wie können Sicherheitslösungen wie Aikido dazu beitragen, (virtuelle) Betrugsrisiken zu mindern?
In einem virtuellen Umfeld kann Betrug auf vielfältige Weise geschehen. Die häufigsten Wege sind E-Mail-Kompromittierungen, Domain-Squatting... Diese werden von kriminellen Akteuren (meist organisierten Gruppen mehrerer Personen mit entsprechenden Ressourcen) zur Begehung von Betrugshandlungen ermöglicht. Sie versuchen, die Kontrolle über das System zu erlangen oder es zu ihren Gunsten zu modifizieren.
Aikido spielt eine zentrale Rolle dabei, sicherzustellen, dass die Transaktionen, die unser System durchlaufen, sicher abgewickelt werden. Wenn ich Schwachstellen sehe, weiß ich, dass es sich lohnt, sie zu untersuchen, und ich kann mit meinem Team zusammenarbeiten, um sie schnell zu beheben. Glücklicherweise ist das gesamte Team sicherheitsbewusst, angesichts der Branche, in der wir tätig sind. Und die gute Nachricht? Letztes Jahr hat CertifID verhindert, dass 80 Millionen Dollar an betrügerische Kontakte gesendet wurden!
Wie entscheiden Sie typischerweise über die Aufnahme neuer Technologien in Ihren Stack?
Eines der Dinge, auf die ich bei neuen Tools achte: Lässt es sich in den aktuellen Arbeitsalltag integrieren? Es war großartig zu sehen, wie Aikido sich nahtlos einfügte, ohne dass Änderungen erforderlich waren.
Es war großartig zu sehen, wie Aikido sich nahtlos in Github, Jira und unser Compliance-System einfügte, ohne dass Änderungen erforderlich waren. Das Dashboard von Aikido hilft uns, SLAs zu berichten und Fixes zeitnah umzusetzen.
Um es genauer zu erläutern: Aikido ist nahtlos in unseren Workflow eingebettet, indem es sich in Github (für Code-Scanning), Jira (sowohl für PR-Reviews als auch für Tickets, falls keine Autofixes vorgeschlagen werden) und unser Compliance-System (zur Bereitstellung von SOC2-Nachweisen) integriert. Vor Aikido hatten wir (noch) keine guten Daten zum Berichten. Jetzt hilft uns das Dashboard, SLAs zu berichten und Fixes zeitnah umzusetzen.
Wie schneidet Aikido im Vergleich zu Ihrer alten Sicherheitssoftware ab?
- Aikido bündelt verschiedene Optionen zur Erkennung und Behebung von Schwachstellen (Drittanbieter-Scanning, First-Party-Code, Container, Cloud-Konfiguration…) in einer intuitiven Lösung. Unsere vorherige Lösung hatte im Vergleich dazu verschiedene Pakete, die jeweils unterschiedlich bepreist waren.
- Drastisch reduzierte False Positives
- Klare Datenvisualisierung über das Aikido-Dashboard
- Die Integration mit Secure Code Warrior, die Kontext und Anleitung zur Problemlösung bietet
"Einer der Hauptgründe, warum wir uns für Aikido entschieden haben, ist die enge Zusammenarbeit und Partnerschaft vom ersten Tag an. Es ist großartig zu sehen, wie ein ebenfalls schnell wachsendes Unternehmen das Produkt ständig verbessert und die Kommunikationswege offen hält."
Was ist Ihr Lieblings-Feature?
Die KI-Autofix -Funktionalität (die übrigens mit First-Party-Code noch besser wurde).
