Hallo Martijn! Kannst du uns etwas über dich und deine Rolle bei Helin erzählen?
Ich bin der CTO und einer der Gründer von Helin. Ich bin verantwortlich für alles rund um Security und sichere Software-Designprinzipien. Wir haben eine Plattform entwickelt, die Industrieunternehmen, insbesondere in den maritimen und erneuerbaren Energiesektoren, die Verwaltung von Edge Intelligence im großen Maßstab ermöglicht.
Unser Entwicklungsteam umfasst rund 40 Personen. Die Komplexität dessen, was wir entwickeln – sowohl die Software selbst als auch die Umgebung, in der sie läuft – erfordert von Anfang an eine Security-First-Mentalität.
Was leistet Helin und welches Problem lösen Sie?
Wir entwickeln eine Plattform für das Management industrieller Apps. Unsere Mission ist es, die Bereitstellung und den Betrieb von Software am Edge für Industriekunden zu vereinfachen. Denken Sie an Offshore-Bohrinseln, Windparks, Parks für erneuerbare Energien... Wir sind im Wesentlichen das Betriebssystem für Standorte mit erneuerbaren Energien.
Wir trinken auch unseren eigenen Champagner: Wir betreiben zwei unserer eigenen Anwendungen auf der Plattform, um alles, was wir tun, zu testen, zu validieren und zu härten. Das bedeutet auch, dass wir unser eigener Customer Zero sind. Wenn etwas kaputt ist, wissen wir es, bevor es jemand anderes tut.
Wie hebt sich Helin im Bereich der Industriesoftware ab?
„In unserer Branche ist Sicherheit eine ‚Lizenz zum Betrieb‘. Wenn Sie nicht nachweisen können, dass Ihre Software sicher ist, sind Sie raus.“
Security ist ein Kernbestandteil unseres Wertversprechens, weil es so sein muss. Unsere Kunden erwarten eine „Lizenz zum Betrieb“. Das umfasst volle SBOM-Transparenz, gehärtete Infrastruktur und die Fähigkeit, schnell auf Bedrohungen zu reagieren. Der Bereich der erneuerbaren Energien ist in Bezug auf Security noch relativ unreif, daher sind wir oft Vorreiter (zusammen mit Tools wie Aikido, die uns unterstützen).
Was waren die größten Security-Herausforderungen vor Aikido?
Wir hatten schon immer eine starke Sicherheitsposition. Die eigentliche Herausforderung bestand jedoch darin, dies für Entwickelnde umsetzbar zu machen. Man kann alle Richtlinien definieren, die man möchte, aber wenn Entwickelnde die Signale nicht aufnehmen, ändert sich nichts.
„Sie können so viele Sicherheitsrichtlinien erstellen, wie Sie möchten, aber wenn Ihre Entwickelnden sie nicht annehmen, werden Sie nichts lösen.“
Wir haben mehrere Tools ausprobiert. Sie alle deckten die Grundlagen ab, aber es fehlte ihnen an Transparenz und Flexibilität. Außerdem war der Kundenservice auch nicht großartig. Ein Anbieter brauchte einmal sechs Wochen Prüfung, nur um auf eine unserer Anfragen zurückzukommen. Und viele Tools konnten aufgrund von Compliance-Einschränkungen einfach nicht in Kundenumgebungen eingesetzt werden. Das war ein Ausschlusskriterium.
„Wir haben mehrere Tools ausprobiert. Sie deckten alle die Grundlagen ab, aber es fehlte ihnen an Transparenz und Flexibilität. Zudem war der Kundenservice auch nicht optimal.“
Warum haben Sie sich für Aikido entschieden?
Weil es zu unserer Vorstellung von Security passt: Sie sollte offen, kollaborativ und entwickelndenfreundlich sein. Aikido identifiziert nicht nur Schwachstellen, es hilft Entwickelnden auch, darauf zu reagieren. Diese Veränderung war enorm.
„Entwickelnde nutzen Aikido tatsächlich gerne. Es ist fast schon zu einem Sport geworden, Schwachstellen zu reduzieren.“
Wir schätzten auch Aikidos transparentes Modell. Im Gegensatz zu einigen Anbietern, bei denen unerwartete Lizenzgebühren durch einen einfachen Azure-Alert ausgelöst werden, macht Aikido klar, wofür man bezahlt. Wahre Geschichte: Wir hatten einmal einen Azure-Alert an einem Sonntag (nur ein Alert!) und dieser löste eine zusätzliche Gebühr in einem unserer alten Tools aus. Da wurde uns klar: Wir brauchten einen Partner, kein Bestrafungssystem.
„Im Gegensatz zu anderen Anbietern überrascht Aikido nicht mit Alerts, die plötzlich Geld kosten.“
Was ist Ihr Lieblings-Feature?
Integration auf Code-Ebene. Sie bringt Ergebnisse dorthin, wo die Entwickelnde sind, und nicht umgekehrt. Alles integriert sich reibungslos in unsere CI/CD-Pipelines. Es ist nativ, keine nachträgliche Ergänzung.
Auch Container-Scanning und statische Codeanalyse funktionieren einfach. Sie erfordern keine Neuarchitektur unserer Systeme. Das ist besonders wichtig, wenn Ihre Infrastruktur strengen Deployment-Einschränkungen genügen muss.
Wie hat Aikido dazu beigetragen, Ihre Sicherheitsergebnisse zu verbessern?
Eine der Beobachtungen ist, dass Entwickelnde tatsächlich Freude daran haben, die Anzahl der Schwachstellen zu reduzieren. Es wird fast zu einem Spiel. Dieser kulturelle Wandel ist ein großer Erfolg. Aikido erleichtert es, Sicherheit stets im Blick zu behalten, ohne den Prozess zu verlangsamen.
„Aikido hilft uns nicht nur, Kästchen abzuhaken. Es hilft uns, als Team die richtigen Fähigkeiten aufzubauen.“
Da wir in Umgebungen mit strengen Datenkontrollen arbeiten, benötigten wir ein Tool, das uns die vollständige Datenhoheit ermöglicht. Die APIs von Aikido erlauben es uns, alles sicher innerhalb unserer eigenen Umgebungen zu übertragen und auszulesen.
Welchen Rat würden Sie anderen Industrie-Softwareunternehmen geben, die Sicherheitsplattformen evaluieren?
„Suchen Sie nicht nur nach einem Sicherheitstool. Suchen Sie nach etwas, das Ihre Entwickelnde nutzen werden.“
Gehen Sie bei der Transparenz keine Kompromisse ein. Stellen Sie sicher, dass Ihre Entwickelnde auf die Ergebnisse der Plattform reagieren können. Und wenn Ihre Kunden Wert auf Dinge wie SBOMs und sichere Updates legen (was sie unbedingt sollten), stellen Sie sicher, dass Ihr Tool Sie dabei unterstützt, dies zu liefern.
Wenn Sie Aikido in einem Satz beschreiben müssten, wie würde dieser lauten?
Es ist das einzige Security Tool, das ich kenne, das die Developer Experience wirklich mit Anforderungen auf Industrieniveau in Einklang bringt.
