Hallo Eric! Kannst du uns etwas über dich und HiringBranch erzählen?
Sicher! Ich bin der CTO bei HiringBranch. Ich begann vor etwa 12–15 Jahren als einziger Entwickelnder, und wir sind zu einem kleinen, aber fokussierten Team von 10 Ingenieuren herangewachsen, einschließlich ML-Spezialisten.
Wir begannen ursprünglich im Bildungsbereich, aber heute sind wir auf Pre-Hire Assessments spezialisiert, insbesondere auf die Bewertung von Kommunikations- und Soft Skills mittels NLP und maschinellem Lernen. Was uns auszeichnet, ist, dass wir Kandidaten in einem offenen Format antworten lassen. Anstatt Multiple Choice analysieren wir, was Menschen tatsächlich sagen, um ihre Fähigkeiten zu bewerten. Das ist eine wesentlich natürlichere und genauere Methode zur Bewertung menschlicher Qualitäten.
Welche Rolle spielt Sicherheit im Recruiting-Tech-Bereich?
Es geht um Vertrauen. Wenn Unternehmen unsere Plattform nutzen, vertrauen sie uns sensible Bewerberdaten an. Wir haben die Verantwortung, diese Daten zu schützen, nicht nur weil es das Richtige ist, sondern weil es sich auf unsere Marke und unsere Glaubwürdigkeit auswirkt.
Gab es einen Moment, in dem Sie erkannten: „Wir müssen Sicherheit ernst nehmen“?
Ja, absolut. In den Anfängen, besonders als wir hauptsächlich mit kleineren Kunden arbeiteten, war Sicherheit kein großer Schwerpunkt. Aber als wir vor vielleicht 5 oder 6 Jahren in den Unternehmensbereich vordrangen, änderte sich das schnell. Kunden stellten Fragen, auf die wir keine guten Antworten hatten. Das war ein Weckruf.
Wie sahen Ihre Sicherheits-Workflows vor Aikido aus?
„Wir hatten Open-Source-Tools, Microsoft-Plattformen, Docker-basierte Scans… und nichts davon kommunizierte miteinander. Es war Chaos.“
Ich hatte ein Docker-Image, das ich lokal ausgeführt habe, um den Code zu scannen. Dann habe ich einen Bericht generiert und ihn manuell irgendwohin gepusht. Das war umständlich und fehleranfällig.
Wir nutzten einen Frankenstein-Mix an Tools: Open-Source-Scanner, etwas von Microsoft in Azure, SonarQube, AWS Security Hub… alles notdürftig zusammengeflickt. Und natürlich kommunizierte keines davon miteinander. Es war unübersichtlich und schwer zu warten.
Und wie sind Sie auf Aikido gestoßen?
Wir haben uns Aikido vor vielleicht zwei Jahren zum ersten Mal angesehen. Aber es war viel los, daher sind wir nicht sofort tiefer eingestiegen. Als wir schließlich einen Security Engineer einstellten, begann er, sich mit Aikido zu beschäftigen und kam zurück mit der Aussage: ‚Das erfüllt all unsere Anforderungen.‘ Nach und nach begannen wir, alte Tools zu entfernen. Es war keine Umstellung über Nacht, sondern eine praktische, durchdachte Migration.
Was machte Aikido zur richtigen Wahl?
„Alles ist an einem Ort. Die Slack- und Azure DevOps-Integrationen sind bahnbrechend.“
Der Unterschied für uns war:
- Konsolidierung: Von fünf Tools auf eines reduziert.
- Automatisierung: Schwachstellen werden in Slack angezeigt, wo wir Entwickelnde markieren und schnell handeln können.
- Reporting: “Bei jedem Security-Meeting ziehe ich einen übersichtlichen Bericht mit allem, was wir wissen müssen. Was neu ist, was behoben wurde – alles ist da.”
- Benutzerfreundlichkeit: Es funktioniert einfach. Keine Schulungen oder komplexen Setups.
Sprechen wir über Compliance. Wie haben Sie die Compliance vor Aikido gemanagt?
Ja, wir sind offiziell SOC 2 Type II zertifiziert. Der Prozess begann vor etwa zwei Jahren, und während es bei Type I hauptsächlich um die Dokumentation von Richtlinien ging, war Type II eine ganz andere Herausforderung. Dort setzten die echte operative Strenge und der Aufwand der Beweismittelsammlung ein.
Früher mussten wir Berichte manuell aus verschiedenen Tools exportieren und in Vanta hochladen. Das war umständlich und zeitaufwendig. Jetzt? Es wird automatisch synchronisiert. Es ist nahtlos.
Es war umständlich und manuell. Wir hatten geplant, Sicherheitsberichte von verschiedenen Tools zu exportieren und sie dann in Vanta, unserer Compliance-Plattform, hochzuladen.
Welche Rolle spielte Aikido auf Ihrem Weg zur Compliance?
Aikido, und insbesondere die Vanta-Integration, machte einen riesigen Unterschied während unseres SOC 2 Typ II-Prozesses. Sobald wir es aktiviert hatten, automatisierte es unseren gesamten Workflow zur Erfassung von Sicherheitsnachweisen. Schwachstellen, Behebungen, Kontrollabdeckung – all das begann einfach im Hintergrund zu synchronisieren, ohne dass wir manuell etwas nachverfolgen mussten.
„Wir haben Aikido nicht wegen der Compliance eingeführt, aber als wir sahen, wie sauber es sich mit Vanta integrierte, war es keine Frage mehr. Wir klicken einfach ein paar Knöpfe, und die Nachweise sind bereits vorhanden.“
Das bedeutete, dass wir keine Berichte mehr exportieren, PDFs hochladen oder uns bei Audits über fehlende Dokumentation stressen mussten. Anstatt Compliance nachzuweisen, konnten wir uns darauf konzentrieren, unsere Sicherheitslage tatsächlich zu verbessern.
„Aikido nahm den Stress aus der Compliance. Die Automatisierung funktioniert einfach – sie hält alles audit-bereit, ohne die Hektik.“
Was früher ein vierteljährlicher Kraftakt war, ist zu einem ruhigen, kontinuierlichen Prozess geworden: immer aktiv, immer bereit. Genau so, wie es sein sollte.
Wie hat sich das Sicherheitsdenken Ihres Teams seit der Einführung von Aikido verändert?
Wir sind wesentlich proaktiver geworden. Anstatt auf Probleme zu reagieren oder sie schlimmer noch zu übersehen, erhalten wir jetzt Echtzeit-Benachrichtigungen. Das Scannen erfolgt kontinuierlich. Es gibt weniger Chaos, weniger Rätselraten. Alles ist strukturiert und sichtbar.
Wie war Ihre Erfahrung bei der Zusammenarbeit mit dem Aikido-Team?
Ehrlich gesagt, großartig. Wir haben monatliche Check-ins, die sehr nützlich sind, um neue Funktionen kennenzulernen. Das Support-Team ist reaktionsschnell, und wir haben sogar einen dedizierten Slack-Kanal mit ihnen, was die Kommunikation einfach und schnell macht.
Und schließlich, wenn Sie Aikido in einem Satz zusammenfassen müssten?
„Sorgenfreiheit für den gesamten Sicherheitsprozess.“
Ganz ehrlich. Früher war es ein chaotisches Durcheinander von Tools und Aufgaben. Jetzt ist alles ruhig, sauber und unter Kontrolle.
