Wie Mediquest Patientendaten mit Aikido sichert

Über das Unternehmen

Mediquest wandelt Daten in klare Informationen um, um die besten Entscheidungen im Gesundheitswesen zu treffen. Sie nehmen Patientendaten und verwandeln sie in nützliche Informationen für Patienten und Gesundheitsdienstleister. Zum Beispiel bringt eine der Lösungen von Mediquest Patienten mit dem richtigen Spezialisten zusammen, basierend auf Faktoren wie Wartezeit, Nähe und Qualität. Auf der Seite der Gesundheitsdienstleister hat Mediquest ein Portal entwickelt, das mehrere Anwendungen (wie Dashboards, Fragebögen, Datenanalysen und mehr) umfasst, damit Gesundheitsdienstleister das Wohlbefinden ihrer Patienten überwachen können. Mediquest betreut mehrere Tausend Kunden in den Niederlanden. 

Die Herausforderung: Gesundheitsdaten sicher halten

Der Umgang mit Patientendaten birgt eine große Herausforderung: Sicherheit. In der Gesundheitsbranche sind Datenschutz und Datensicherheit von entscheidender Bedeutung. Mediquest muss, wie viele Unternehmen in diesem Sektor, sicherstellen, dass Patientendaten sicher, vertraulich und konform mit den Branchenvorschriften aufbewahrt werden. Seit 2015 haben sie rigorose Sicherheitsaudits durchlaufen und die Zertifizierungen ISO9001, ISO 27001 und NEN 7510 erhalten, wobei letztere ein Standard für Organisationen in den Niederlanden ist, die mit Patientengesundheitsdaten umgehen. Trotzdem erkannten sie, dass es eine fortlaufende und komplexe Aufgabe war, mit den sich ständig weiterentwickelnden Sicherheitsstandards Schritt zu halten, insbesondere bei ihren über 100 Cloud-basierten Diensten. Nicht nur für das Unternehmen selbst, sondern vor allem, um Kunden und Patienten besser dienen zu können. Mediquest benötigte eine zuverlässige, optimierte Lösung, um seine Sicherheit zu verwalten und kontinuierlich zu verbessern, ohne Ressourcen zu verbrauchen. In seinem Bestreben, die fortlaufenden Erwartungen an die Robustheit seiner Sicherheitslage zu antizipieren, wollten Erwin Rooijakkers, Software Engineer bei Mediquest, und das Team ein Tool einführen, das bei der kontinuierlichen Überwachung und beim Pentesting hilft.

Die Aikido-Lösung: eine Plattform für alle Sicherheitsbedürfnisse 

Nachdem die Idee, ein eigenes Tool unter Nutzung von Trivy und ZAP zu entwickeln, aufgrund widerstreitender Prioritäten und der Notwendigkeit weiterer Investitionen zur Erlangung der richtigen Expertise verworfen wurde, evaluierte das DevOps-Team von Mediquest verschiedene Sicherheitstools. Viele dieser Lösungen waren jedoch entweder übermäßig komplex oder unerschwinglich teuer, führten häufig zu zu vielen False Positives und es fehlten wesentliche Funktionalitäten. Da stieß das Team auf Aikido, eine umfassende und kostengünstige Plattform, die mehrere Open-Source-Sicherheitstools in einer intuitiven Benutzeroberfläche integriert.

“Auf der Suche nach Sicherheitstools stießen wir durch eine Empfehlung auf Reddit auf Aikido. Jemand teilte seine positiven Erfahrungen, und das führte uns dazu, es auszuprobieren. Es stellte sich heraus, dass es genau das war, was wir brauchten – erschwinglich, umfassend und mit mehr Funktionen ausgestattet als andere Tools, die wir uns angesehen hatten”, erinnert sich Erwin Rooijakkers, Software Engineer bei Mediquest.

Aikido bot die perfekte Lösung und begegnete der Herausforderung von Mediquest mit einem einheitlichen Dashboard, das mehrere ihrer Schlüsselprioritäten abdeckt:

• Schwachstellenmanagement
• Cloud Security Posture Management
• Container-Image-Scan
• Open Source Scan von Softwareabhängigkeiten
• Penetration Testing

Aikido erwies sich als genau das, was wir brauchten – erschwinglich, umfassend und mit mehr Funktionen ausgestattet als andere Tools, die wir in Betracht gezogen haben. Die Plattform half uns, uns zuerst auf die kritischsten Schwachstellen zu konzentrieren, was entscheidend war, um unsere Anwendungen sicher zu halten.

Aikido verschaffte Mediquest einen vollständigen Überblick über seine Sicherheitslage. Die Plattform ermöglichte es dem Team, Schwachstellen zu priorisieren und ihre Systeme zu verbessern, ohne eigene Sicherheitsprüfungen erstellen zu müssen. „Mit Aikido mussten wir nicht mehr alle unsere Sicherheitsprüfungen von Grund auf neu erstellen“, sagt Rooijakkers. „Die Plattform half uns, uns zuerst auf die kritischsten Schwachstellen zu konzentrieren, was entscheidend war, um unsere Anwendungen sicher zu halten.“

„Aikido macht alles, was ich selbst manuell einzurichten versuchte“, fährt Rooijakkers fort. „Wenn man die Sicherheit für 50 Anwendungen verwalten muss, ist man ständig am Codieren und Aktualisieren. Uns fehlte schlicht die Zeit und das Fachwissen, um ausreichende Sicherheitspunkte zu pflegen. Aikido nahm uns diese Last mit seiner All-in-One-Lösung von den Schultern.“

Der Echtzeit-Support war essenziell für uns. Mit Aikido bekomme ich innerhalb einer Stunde, manchmal sogar innerhalb weniger Minuten, Antworten. Es gab mir die Gewissheit, dass ihr Support-Team begründen konnte, warum eine potenzielle Schwachstelle als Risiko eingestuft wurde – oder eben nicht.

Was Aikido wirklich auszeichnete, ist die Qualität seines Kundensupports. „Der Echtzeit-Support war essenziell für uns. Mit Aikido bekomme ich innerhalb einer Stunde, manchmal sogar innerhalb weniger Minuten, Antworten. Es gab mir die Gewissheit, dass ihr Support-Team begründen konnte, warum eine potenzielle Schwachstelle als Risiko eingestuft wurde – oder eben nicht“, sagt Rooijakkers.

Zudem war Aikidos Fähigkeit, Feedback schnell zu integrieren, ein entscheidender Vorteil. „Ich gab Feedback zu bestimmten Problemen, die nicht gekennzeichnet wurden, aber hätten gekennzeichnet werden sollen. Innerhalb weniger Tage nahm Aikido Anpassungen vor – nicht nur für uns, sondern für alle Kunden. Das zeigte mir, dass sie Kundenfeedback ernst nehmen und es zur Verbesserung ihres Produkts nutzen“, fügt Rooijakkers hinzu.

Wenn man den Stundensatz von Entwickelnden und die Zeitersparnis durch Aikido betrachtet, war die Entscheidung, Aikido in unseren Tool-Stack aufzunehmen, ein Kinderspiel.

Das Ergebnis: verbesserte Sicherheit, reduzierter Arbeitsaufwand

Mit Aikido steht Mediquest nicht mehr vor der überwältigenden Aufgabe, die Sicherheit über mehrere Anwendungen hinweg manuell zu verwalten. Stattdessen profitieren sie von einer integrierten Lösung, die verschiedene Sicherheitstools kombiniert und den Prozess vereinfacht, während sie gleichzeitig die Effektivität erhöht. Einer der herausragenden Momente für Rooijakkers war, als Aikido ihm ermöglichte, einen Penetrationstest hinter einer Login-Wall durchzuführen – etwas, das er zuvor tagelang erfolglos versucht hatte, selbst zu bewerkstelligen.

„Dass dies einfach über Aikido funktionierte, war das i-Tüpfelchen“, sagt Rooijakkers und bezieht sich dabei auf die Möglichkeit, erfolgreich einen Pentest hinter einer Login-Wall durchzuführen. „Alle Teile des Sicherheitspuzzles fügten sich plötzlich zusammen. Wir haben jetzt mehr Kontrolle und ein vollständiges Bild dessen, was verbessert werden kann. Bei zukünftigen Audits (und wenn wir allgemein über unsere Sicherheitslage sprechen) können wir selbstbewusst zeigen, dass wir alles unter Kontrolle haben.“

Die durch den Einsatz von Aikido gewonnene Effizienz war ein Game Changer für Mediquest, wodurch sich das Entwicklungsteam auf dringendere Probleme konzentrieren konnte und die Kosten-Nutzen-Rechnung zu einer klaren und einfachen Entscheidung machte.

„Wenn man den Stundensatz von Entwickelnden und die Zeitersparnis durch Aikido betrachtet, war die Entscheidung, Aikido in unseren Tool-Stack aufzunehmen, ein Kinderspiel“, betont Rooijakker.