Hallo Martijn! Kannst du uns etwas über dich und deine Rolle bei Helin erzählen?
Ich bin der CTO und einer der Gründer von Helin. Ich bin für alles verantwortlich, was mit Sicherheit und sicheren Software-Designprinzipien zu tun hat. Wir haben eine Plattform entwickelt, die es Industrieunternehmen, insbesondere in den Bereichen Schifffahrt und erneuerbare Energien, ermöglicht, Edge Intelligence in großem Umfang zu verwalten.
Unser Entwicklungsteam besteht aus etwa 40 Personen. Die Komplexität der von uns entwickelten Software und der Umgebung, in der sie läuft, erfordert vom ersten Tag an eine sicherheitsorientierte Denkweise.
Was macht Helin, und welches Problem lösen Sie?
Wir bauen eine industrielle App-Management-Plattform auf. Unser Ziel ist es, die Bereitstellung und den Betrieb von Software für Industriekunden zu vereinfachen. Denken Sie an Offshore-Bohrinseln, Windparks, Parks für erneuerbare Energien... Wir sind im Grunde das Betriebssystem für erneuerbare Standorte.
Wir trinken auch unseren eigenen Champagner: Wir lassen zwei unserer eigenen Anwendungen auf der Plattform laufen, um alles, was wir tun, zu testen, zu validieren und zu härten. Das bedeutet auch, dass wir unser eigener Kunde Null sind. Wenn etwas kaputt ist, wissen wir es, bevor es jemand anderes tut.
Was zeichnet Helin im Bereich der industriellen Software aus?
"In unserer Branche ist Sicherheit eine 'Lizenz zum Betrieb'. Wenn Sie nicht beweisen können, dass Ihre Software sicher ist, sind Sie raus."
Sicherheit ist ein zentraler Bestandteil unseres Wertversprechens, weil sie es sein muss. Unsere Kunden erwarten eine "Lizenz zum Betrieb". Dazu gehören volle SBOM-Transparenz, gehärtete Infrastruktur und die Fähigkeit, schnell auf Bedrohungen zu reagieren. Der Bereich der erneuerbaren Energien ist im Hinblick auf die Sicherheit noch relativ unausgereift, so dass wir oft eine Vorreiterrolle einnehmen (zusammen mit Tools wie Aikido, die uns unterstützen).
Was waren die größten Sicherheitsherausforderungen vor Aikido?
Wir hatten schon immer ein starkes Sicherheitskonzept. Aber die eigentliche Herausforderung bestand darin, dies für die Entwickler in etwas Umsetzbares zu verwandeln. Man kann so viele Richtlinien definieren, wie man will, aber wenn die Entwickler die Signale nicht wahrnehmen, ändert sich nichts.
"Sie können Sicherheitsrichtlinien erstellen, so viel Sie wollen, aber wenn Ihre Entwickler sie nicht aufgreifen, werden Sie nichts erreichen.
Wir haben mehrere Tools ausprobiert. Sie deckten alle die Grundlagen ab, aber es fehlte ihnen an Transparenz und Flexibilität. Auch der Kundenservice war nicht besonders gut. Bei einem Anbieter dauerte es sechs Wochen, bis er auf eine Anfrage von uns reagierte. Und viele Tools konnten in Kundenumgebungen aufgrund von compliance einfach nicht eingesetzt werden. Das war ein entscheidender Faktor.
"Wir haben mehrere Tools ausprobiert. Sie deckten alle die Grundlagen ab, aber es fehlte ihnen an Transparenz und Flexibilität. Und der Kundenservice war auch nicht besonders gut."
Warum haben Sie sich für Aikido entschieden?
Weil es zu unserem Verständnis von Sicherheit passt: Sie sollte offen, kooperativ und entwicklerfreundlich sein. Aikido identifiziert nicht nur Schwachstellen, sondern hilft Entwicklern, darauf zu reagieren. Dieser Wandel war enorm.
"Die Entwickler verwenden Aikido gerne. Es ist zu einer Art Sport geworden, Schwachstellen zu reduzieren."
Uns hat auch das transparente Modell von Aikido gefallen. Im Gegensatz zu anderen Anbietern, bei denen man durch eine einfache Azure-Warnung überraschende Lizenzgebühren zahlen muss, ist bei Aikido klar, wofür man zahlt. Eine wahre Geschichte: Wir hatten einmal eine Azure-Warnung an einem Sonntag (nur eine Warnung!), die in einem unserer alten Tools eine zusätzliche Gebühr auslöste. Da wurde uns klar: Wir brauchten einen Partner, kein Strafsystem.
"Im Gegensatz zu anderen Anbietern überrascht Aikido nicht mit Warnmeldungen, die plötzlich Geld kosten."
Was ist Ihr Lieblingsmerkmal?
Integration auf Code-Ebene. Es bringt Erkenntnisse dorthin, wo die Entwickler sind, nicht umgekehrt. Alles lässt sich nahtlos in unsere CI/CD-Pipelines integrieren. Es ist nativ und kein nachträglicher Einfall.
Außerdem funktionieren das Scannen von container und die statische Codeanalyse einfach. Sie erfordern nicht, dass wir unsere Systeme umgestalten. Das ist sehr wichtig, wenn Ihre Infrastruktur strengen Bereitstellungsauflagen genügen muss.
Wie hat Aikido dazu beigetragen, Ihre Sicherheitsergebnisse zu verbessern?
Wir haben unter anderem festgestellt, dass es den Entwicklern Spaß macht, die Zahl der Schwachstellen zu verringern. Es wird zu einer Art Spiel. Dieser kulturelle Wandel ist ein großer Gewinn. Mit Aikido ist es einfacher, die Sicherheit im Auge zu behalten, ohne die Arbeit zu verlangsamen.
"Aikido hilft uns nicht nur beim Abhaken von Kästchen. Es hilft uns, die richtigen Muskeln im Team aufzubauen."
Und da wir in Umgebungen mit strenger Datenkontrolle arbeiten, brauchten wir ein Tool, das uns die volle Datenhoheit gibt. Mit den APIs von Aikido können wir alles sicher innerhalb unserer eigenen Umgebung übertragen und lesen.
Welchen Rat würden Sie anderen industriellen Softwareunternehmen geben, die Sicherheitsplattformen evaluieren?
"Suchen Sie nicht nur nach einem Sicherheitswerkzeug. Suchen Sie nach etwas, das Ihre Entwickler verwenden werden."
Gehen Sie bei der Sichtbarkeit keine Kompromisse ein. Stellen Sie sicher, dass Ihre Entwickler auf das reagieren können, was die Plattform findet. Und wenn Ihre Kunden Wert auf Dinge wie SBOMs und sichere Updates legen (was sie auf jeden Fall tun sollten), stellen Sie sicher, dass Ihr Tool Ihnen dabei hilft, diese zu liefern.
Wenn Sie Aikido in einem Satz beschreiben müssten, wie würde er lauten?
Es ist das einzige Sicherheitstool, das ich kenne, das die Erfahrung der Entwickler mit den Anforderungen der Industrie in Einklang bringt.
.webp){kind=logo}
.png)