Hallo Martijn! Kannst du uns etwas über dich und deine Rolle bei Helin erzählen?

Ich bin der CTO und einer der Gründer von Helin. Ich bin verantwortlich für alles rund um Security und sichere Software-Designprinzipien. Wir haben eine Plattform entwickelt, die Industrieunternehmen, insbesondere in den maritimen und erneuerbaren Energiesektoren, die Verwaltung von Edge Intelligence im großen Maßstab ermöglicht.

Unser Entwicklungsteam umfasst rund 40 Personen. Die Komplexität dessen, was wir entwickeln – sowohl die Software selbst als auch die Umgebung, in der sie läuft – erfordert von Anfang an eine Security-First-Mentalität.

Was leistet Helin und welches Problem lösen Sie?

Wir entwickeln eine Plattform für das Management industrieller Apps. Unsere Mission ist es, die Bereitstellung und den Betrieb von Software am Edge für Industriekunden zu vereinfachen. Denken Sie an Offshore-Bohrinseln, Windparks, Parks für erneuerbare Energien... Wir sind im Wesentlichen das Betriebssystem für Standorte mit erneuerbaren Energien.

Wir trinken auch unseren eigenen Champagner: Wir betreiben zwei unserer eigenen Anwendungen auf der Plattform, um alles, was wir tun, zu testen, zu validieren und zu härten. Das bedeutet auch, dass wir unser eigener Customer Zero sind. Wenn etwas kaputt ist, wissen wir es, bevor es jemand anderes tut.

Wie hebt sich Helin im Bereich der Industriesoftware ab?

„In unserer Branche ist Sicherheit eine ‚Lizenz zum Betrieb‘. Wenn Sie nicht nachweisen können, dass Ihre Software sicher ist, sind Sie raus.“

Sicherheit ist ein zentraler Bestandteil unseres Wertversprechens, weil sie einfach unverzichtbar ist. Unsere Kunden erwarten eine „Betriebsgenehmigung“. Dazu gehören vollständige SBOM , eine gehärtete Infrastruktur und die Fähigkeit, schnell auf Bedrohungen zu reagieren. Der Bereich der erneuerbaren Energien ist in Bezug auf Sicherheit noch relativ unausgereift, daher sind wir oft Vorreiter ( Aikido durch Tools wie Aikido ).

Was waren die größten Sicherheitsherausforderungen vor Aikido?

Wir hatten schon immer eine starke Sicherheitsposition. Die eigentliche Herausforderung bestand jedoch darin, dies für Entwickelnde umsetzbar zu machen. Man kann alle Richtlinien definieren, die man möchte, aber wenn Entwickelnde die Signale nicht aufnehmen, ändert sich nichts.

„Sie können so viele Sicherheitsrichtlinien erstellen, wie Sie möchten, aber wenn Ihre Entwickelnden sie nicht annehmen, werden Sie nichts lösen.“

Wir haben mehrere Tools ausprobiert. Sie alle deckten die Grundlagen ab, aber es fehlte ihnen an Transparenz und Flexibilität. Außerdem war der Kundenservice auch nicht großartig. Ein Anbieter brauchte einmal sechs Wochen Prüfung, nur um auf eine unserer Anfragen zurückzukommen. Und viele Tools konnten aufgrund von Compliance-Einschränkungen einfach nicht in Kundenumgebungen eingesetzt werden. Das war ein Ausschlusskriterium.

„Wir haben mehrere Tools ausprobiert. Sie deckten alle die Grundlagen ab, aber es fehlte ihnen an Transparenz und Flexibilität. Zudem war der Kundenservice auch nicht optimal.“

Warum hast du dich für Aikido entschieden?

Weil es zu unserer Vorstellung von Sicherheit passt: Sie sollte offen, kooperativ und entwicklerfreundlich sein. Aikido identifiziert Aikido nur Schwachstellen, sondern hilft Entwicklern auch dabei, darauf zu reagieren. Diese Veränderung war enorm.

„Entwickler nutzen Aikido tatsächlich gerne. Es ist fast schon zu einer Art Sport geworden, Schwachstellen zu reduzieren.“

Wir schätzen auch das transparente Modell Aikido. Im Gegensatz zu einigen Anbietern, bei denen man durch eine einfache Azure-Warnmeldung mit überraschenden Lizenzgebühren konfrontiert wird, Aikido deutlich, wofür man bezahlt. Eine wahre Geschichte: Wir hatten einmal an einem Sonntag eine Azure-Warnmeldung (nur eine Warnmeldung!) und dadurch wurden bei einem unserer alten Tools zusätzliche Kosten ausgelöst. Da wurde uns klar: Wir brauchen einen Partner, kein Strafsystem.

„Im Gegensatz zu anderen Anbietern überrascht Aikido Sie Aikido mit Warnmeldungen, die Sie plötzlich Geld kosten.“

Was ist Ihr Lieblings-Feature?

Integration auf Code-Ebene. Sie bringt Ergebnisse dorthin, wo die Entwickelnde sind, und nicht umgekehrt. Alles integriert sich reibungslos in unsere CI/CD-Pipelines. Es ist nativ, keine nachträgliche Ergänzung.

Außerdem funktionieren container und statische Codeanalyse . Sie erfordern keine Neugestaltung unserer Systeme. Das ist besonders wichtig, wenn Ihre Infrastruktur strenge Bereitstellungsbeschränkungen erfüllen muss.

Wie hat Aikido , Ihre Sicherheitsergebnisse zu verbessern?

Wir haben festgestellt, dass Entwickler tatsächlich Spaß daran haben, die Anzahl der Schwachstellen zu reduzieren. Es wird zu einer Art Spiel. Dieser kulturelle Wandel ist ein großer Gewinn. Aikido es einfacher, die Sicherheit im Blick zu behalten, ohne den Arbeitsablauf zu verlangsamen.

Aikido hilft unsAikido nur dabei, Aufgaben abzuhaken. Es hilft uns auch dabei, als Team die richtigen Muskeln aufzubauen.“

Da wir in Umgebungen mit strengen Datenkontrollen arbeiten, benötigten wir ein Tool, das uns die vollständige Kontrolle über unsere Daten ermöglicht. Mit den APIs Aikidokönnen wir alle Daten sicher innerhalb unserer eigenen Umgebungen übertragen und lesen.

Welchen Rat würden Sie anderen Industrie-Softwareunternehmen geben, die Sicherheitsplattformen evaluieren?

„Suchen Sie nicht nur nach einem Sicherheitstool. Suchen Sie nach etwas, das Ihre Entwickelnde nutzen werden.“

Gehen Sie bei der Transparenz keine Kompromisse ein. Stellen Sie sicher, dass Ihre Entwickelnde auf die Ergebnisse der Plattform reagieren können. Und wenn Ihre Kunden Wert auf Dinge wie SBOMs und sichere Updates legen (was sie unbedingt sollten), stellen Sie sicher, dass Ihr Tool Sie dabei unterstützt, dies zu liefern.

Wenn Sie Aikido einem Satz beschreiben müssten, wie würde dieser lauten?

Es ist das einzige Security Tool, das ich kenne, das die Developer Experience wirklich mit Anforderungen auf Industrieniveau in Einklang bringt.