Wo UX auf AppSec trifft: Die Verlagerung von Gravity hin zu eingebetteter, proaktiver Sicherheit

Einführung in die Schwerkraft und Sicherheit bei der Gestaltung digitaler Produkte

Hallo Ruben! Kannst du uns ein wenig über dich und Gravity erzählen?

Ja, natürlich! Ich bin Ruben de Baat, Digital Consultant bei Gravity.

Gravity begann als hochtechnische Agentur, die sich auf die Entwicklung kundenspezifischer Plattformen, mobiler Anwendungen und komplexer Integrationen konzentrierte. Seitdem wir zur Loyals Group gehören, haben wir unser Fachwissen erweitert und sind dabei unserem Kernwert treu geblieben: Einfachheit bewegt. Ganz gleich, wie komplex die Technologie hinter den Kulissen ist, wir sorgen stets für eine nahtlose und intuitive Benutzererfahrung.

Als Digital Consultant schließe ich die Lücke zwischen Business und Technologie und bringe Kunden und Entwickler zusammen, indem ich mein Fachwissen in den Bereichen UI/UX, DevOps und Business einsetze. Ich helfe bei der Entwicklung skalierbarer und sicherer digitaler Lösungen, indem ich die Kundenbedürfnisse in technische Anforderungen übersetze und die richtige Architektur, Sicherheit und den langfristigen Wert sicherstelle. 

‍

"Mein Ziel ist es, sowohl Kunden als auch Entwickler zu einer effektiven Zusammenarbeit herauszufordern und Grenzen zu überschreiten, um die bestmögliche digitale Lösung zu entwickeln."

Welche Rolle spielt die Sicherheit in einer Digitalagentur wie Gravity?

Sicherheit ist ein wichtiger Teil unserer Arbeit. Wir entwickeln und verwalten maßgeschneiderte digitale Lösungen für Kunden, von vollständigen Plattformen und mobilen Apps bis hin zu Backend-Tools, Verwaltungsportalen und Integrationen mit allen Arten von SaaS-Lösungen wie ERP- und CRM-Systemen.

Da wir immer mehr Projekte in Angriff nehmen, werden Sicherheit und Tests immer wichtiger. Aber einfach mehr Personal einzusetzen, ist keine nachhaltige Lösung. Deshalb haben wir uns der Sicherheitsautomatisierung zugewandt. Früher wurde die Sicherheit reaktiv gehandhabt, durch regelmäßige Überprüfungen und vertragliche Vereinbarungen mit den Kunden. Aber wir sahen einen wachsenden Bedarf für einen proaktiven Ansatz, der uns zu Aikido führte.
‍

Wie Aikido in den Arbeitsalltag passt

Wie haben Sie Aikido in Ihren Arbeitsablauf integriert?

Wir haben ein internes Tool zur Sicherheitsüberwachung entwickelt, das mit Aikido integriert ist. So können wir unseren Kunden Einblicke in die Sicherheit geben, ohne ihnen direkten Zugang zu Aikido zu gewähren.

Die Kunden erhalten einen klaren, präzisen Überblick über offene Sicherheitsprobleme, behobene Schwachstellen und die Gesamtleistung der Plattform. Betrachten Sie es als ein kleines Sichtfenster, das die Dinge für unsere Kunden einfach und überschaubar hält.

Dieser Ansatz sorgt nicht nur für Transparenz, sondern gibt den Kunden auch die Gewissheit, dass sie in Sachen Sicherheit die Nase vorn haben. Auch wenn wir Aikido nicht ausdrücklich erwähnen, ist Sicherheit ein zentraler Bestandteil unserer vertraglichen Dienstleistungen. Dies schafft einen Mehrwert und unterstreicht unsere Kompetenz.

‍

"Indem wir die Sicherheit direkt in unsere Arbeitsabläufe integrieren, machen wir sie zu einem natürlichen Teil des Prozesses und nicht zu einem nachträglichen Gedanken."

‍

Sie arbeiten jetzt mit größeren Unternehmen und staatlichen Einrichtungen zusammen. Was bedeutet das für Ihren Sicherheitsansatz?

Ursprünglich arbeiteten wir mit Start-ups, bei denen Geschwindigkeit und Funktionalität oberste Priorität hatten. Aber als diese Startups wuchsen und wir begannen, mit größeren Unternehmen und Regierungskunden zu arbeiten, wurden die Sicherheitsanforderungen viel strenger.

Um mit dieser Entwicklung Schritt zu halten, konzentrieren wir uns auf die Automatisierung von Sicherheitsprozessen, damit jedes neue Projekt effizient und in großem Umfang gestartet werden kann. Sicherheit ist nicht länger ein nachträglicher Gedanke. Mit Aikido integrieren wir sie direkt in unsere DevOps-Pipeline, um sicherzustellen, dass sie ein nahtloser Teil unseres Workflows ist.
‍

"Wenn wir skalieren, muss die Sicherheit mit uns skalieren - Automatisierung ist der Schlüssel, um das zu erreichen.

‍

Warum haben Sie sich für Aikido entschieden, und welche Erfahrungen haben Sie bei der Arbeit mit Aikido gemacht?

Das Timing hätte nicht besser sein können, denn gerade als wir auf der Suche nach einer Lösung waren, stießen wir auf die Website von Aikido und kamen ins Gespräch. Was uns sofort auffiel, war ihr agenturfreundliches Modell. Im Gegensatz zu Tools wie Snyk, die für Endnutzer entwickelt wurden, ist Aikido speziell für Agenturen konzipiert. Außerdem ist Aikido in Europa ansässig und GDPR-konform, was sich gut mit dem regulatorischen Rahmen vereinbaren lässt, dem unsere Kunden in der EU unterliegen.

Ein weiterer wichtiger Faktor war die schnelle und direkte Kommunikation. Unsere Fragen werden immer umgehend beantwortet, und die Möglichkeit, auf Niederländisch zu kommunizieren, ist unglaublich praktisch. Auch die Kosteneffizienz ist ein großer Vorteil. Dank des Agenturmodells von Aikido können wir auch kleineren Kunden hochwertige Sicherheit zu einem erschwinglichen Preis bieten.

Außerdem lässt sich Aikido nahtlos in DigitalOcean integrieren, unsere bevorzugte Hosting-Lösung für Kunden ohne bestehende Infrastruktur, und passt somit perfekt. Schließlich klingt Aikidos KI-Autofix-Funktion vielversprechend, und obwohl ich sie noch nicht getestet habe, bin ich gespannt darauf, sie in den kommenden Monaten weiter zu erkunden.
‍

Was sind die nächsten Schritte für die Sicherheit bei Gravity?

Wir haben eine solide Grundlage für bessere Sicherheitspraktiken geschaffen und konzentrieren uns nun darauf, unseren Ansatz zu verfeinern und zu skalieren. Aikido ist ein entscheidender Teil dieses Prozesses und hilft uns, die Sicherheit im Auge zu behalten, ohne die Entwicklung zu verlangsamen. Sicherheit ist nicht länger ein separater Prozess, sondern ein integraler Bestandteil unseres DevOps-Workflows.

‍