Hallo Aki! Kannst du dich und deine Rolle bei Midaxo vorstellen?

Ich bin Aki Hänninen, CISO und DevSecOps bei Midaxo. Ich habe diese Rollen bewusst getrennt: Der CISO-Bereich befasst sich eher mit Unternehmenssicherheit, Governance und Zertifizierungen wie ISO 27001, während der DevSecOps sich auf Produkt- und Plattformsicherheit konzentriert. Unser Engineering-Team besteht aus etwa 15 Mitarbeitern (in 5 Teams), die sich auf Finnland und die USA verteilen.

Ich habe tatsächlich bei Midaxo als Softwarearchitekt angefangen, als wir unsere Cloud-Plattform von Grund auf neu aufgebaut haben. Mit zunehmender Reife wechselte ich in den Bereich Operations und Security, und jetzt betrachte ich mich als einen „genesenden Softwarearchitekten“ (lacht). Ich bin immer noch nah am Code, konzentriere mich aber darauf, die Sicherheit im gesamten Unternehmen zu ermöglichen.

​

Und was macht Midaxo?

Midaxo ist eine zentralisierte Softwareplattform, die speziell für M&A- und Corporate Development-Teams entwickelt wurde. Sie wurde konzipiert, um komplexe Prozesse wie Akquisitionen, Desinvestitionen, IP-Management und mehr zu verwalten.

Während viele Teams sich noch auf Excel und PowerPoint verlassen, um diese Initiativen zu steuern, bietet Midaxo ein zentralisiertes System, das diese manuellen Tools durch einen strukturierteren, kollaborativeren und wiederholbaren Workflow ersetzt. Es führt alles an einem Ort zusammen, sodass Teams schneller agieren, Risiken reduzieren und mit Echtzeit-Transparenz und Verantwortlichkeit über den gesamten Deal-Lebenszyklus hinweg bessere Entscheidungen treffen können.

​

Wie wichtig ist Sicherheit für Ihr Unternehmen?

Es ist absolut unerlässlich. Die meisten unserer Geschäfte beinhalten Risikobewertungen durch Dritte, und die Erwartungen an Datenschutz und Vertraulichkeit sind hoch (insbesondere angesichts der Art der Arbeit unserer Kunden). Sicherheit ist für uns ein wichtiges Unterscheidungsmerkmal. Es gibt unseren Kunden Vertrauen, Midaxo als Partner bei der Verwaltung sensibler, risikoreicher Prozesse zu wählen.

​

Es geht nicht nur um Compliance oder Checkboxen für eine Sicherheitsbewertung. Wir behandeln Sicherheit als integralen Bestandteil des Produkts. Das umfasst, wie wir entwickeln, wie wir deployen und wie wir Vorfälle oder Schwachstellen intern verwalten. Deshalb haben wir so stark in die Sicherheit auf allen Ebenen investiert: vom Produkt bis zur Infrastruktur.

​

Was waren Ihre größten Sicherheitsbedenken, bevor Sie Aikido verwendet haben?

Wir sind sehr Cloud-nativ und setzen stark auf AWS-Managed Services und serverlose Infrastruktur, was bedeutet, dass wir einen Teil der Infrastruktursicherheit auslagern können. Das verlagert aber auch unseren internen Fokus auf die Anwendungssicherheit.

Das Management von Schwachstellen war mühsam. SCA , SAST, DASTalles war auf verschiedene Tools verteilt (AWS Inspector, SonarCloud und Detectify nur einige Detectify nennen). Es wurde zu einem klassischen Whack-a-Mole-Spiel: „Hey, hat sich schon jemand um diese Schwachstelle gekümmert?“ 

​

„Vor Aikido war das Sicherheitsmanagement ein klassisches Whack-a-Mole-Spiel: „Hey, hat sich schon jemand um diese Schwachstelle gekümmert?“

​

Jedes Tool arbeitete isoliert. Es gab keine einheitliche Ansicht. Schwachstellen mussten manuell triagiert und zugewiesen werden. Das verlangsamte alles. Unser Sicherheitsteam übernahm den Großteil der Arbeit, und die Akzeptanz von Sicherheitstools und -praktiken im gesamten Engineering-Team war gering.

​

Was hat Aikido bei Ihrer Bewertung besonders Aikido ?

Aikido wie für Unternehmen wie unseres gemacht zu sein, die über starke interne Entwicklerteams verfügen, aber nur begrenzte Ressourcen für Sicherheitspersonal haben, und nicht ausschließlich für Großunternehmen (wie einige andere Anbieter in diesem Bereich).

​

„Die Entwickler begannen, Probleme selbst zu beheben, da Aikido es einfach Aikido , zu wissen, was zu tun war und wer es tun sollte.“

​

Die Einrichtung war einfach, die Governance wurde klarer und die Verantwortlichkeiten offensichtlich. Die Plattform half uns, relevante Probleme den richtigen Teams ohne unnötigen Ballast zugänglich zu machen. Was mir am besten gefiel, war, dass es unseren Workflow optimierte. Was für eine Erleichterung, nicht mehr zwischen Dashboards und Tools wechseln zu müssen.

​

Wie verlief der Rollout? War es schwierig, ihn in Ihr bestehendes Setup zu integrieren?

​

„Ehrlich gesagt? Der Rollout war fast unsichtbar. Alles passte wie angegossen.“

​

Wir legen großen Wert darauf, Teams autonom zu halten, und Aikido Teamfilterfunktion war für mich als CISO von entscheidender Bedeutung . Jedes unserer fünf Teams sieht nun genau, welche Sicherheitsergebnisse für seinen Code relevant sind, und das passt perfekt zu unserer Arbeitsweise. Allein dadurch verlief die Einführung reibungslos.

​

​

Wie war Ihre Erfahrung mit der Zusammenarbeit mit dem Aikido ?

Das Team war hervorragend. Als ich endlich Zeit hatte, das Tool auszuprobieren, war das Team sofort zur Stelle, um zu helfen. Jeder, mit dem wir interagiert haben, zeigte eine echte kundenorientierte Mentalität. Sie hören auf Feedback, handeln danach und geben uns das Gefühl, Partner zu sein.

Ehrlich gesagt, ist diese Art von Reaktionsfähigkeit selten und hat bei uns einen bleibenden Eindruck hinterlassen.

​

Was hat sich in der Verwaltung Ihrer Sicherheit geändert?

Dadurch wurde unser Schwachstellenmanagement viel proaktiver und entwicklerfreundlicher. Wir leiten kritische Ergebnisse nun direkt an teamspezifische Slack-Kanäle weiter. Das Bewusstsein ist höher, der Aufwand geringer und der Prozess endlich nachhaltig. Das Sicherheitsteam kann sich zurückziehen und sich auf die Governance konzentrieren, statt sich um tägliche Nachfassaktionen zu kümmern.

​

„Vor Aikido AppSec wie Reibung AppSec . Jetzt ist es einfach Teil des Ablaufs. Sicherheit wird nicht mehr als etwas Externes oder Lästiges angesehen. Es ist einfach Teil der Art und Weise, wie Teams Software ausliefern.“

​

Früher war es schwierig, Teams zum Handeln zu bewegen. Jetzt sehen wir einen stetigen Rückgang kritischer und hochgradiger Probleme. Wir planen, später in diesem Jahr eine Baseline festzulegen, um zu verfolgen, wie gut wir diese verbesserte Haltung über die Zeit beibehalten.
Der größere Gewinn ist zudem kultureller Natur: Sicherheit wird nicht mehr als extern oder lästig angesehen. Sie ist einfach Teil der Art und Weise, wie Teams Software ausliefern.

​

Wie haben die Entwickelnden reagiert?

Das ist das Lustige daran. In der finnischen Kultur hört man davon, wenn etwas kaputt ist. Wenn es funktioniert, hört man nichts.

​

„Dass sich niemand über Aikido beschwert? Das ist so ziemlich das beste Feedback, das man hier in Finnland bekommen kann.“

​

Und wenn ich noch eine kulturelle Anmerkung hinzufügen darf: In der finnischen Kultur sind wir nicht besonders groß darin, Komplimente zu machen. Aber wenn unsere Entwickler sagen „Es ist kein Mist und es funktioniert“, dann ist das so ziemlich das größte Lob, das man bekommen kann (lacht). Und genau so empfindet unser Team Aikido: Es ist nützlich, unauffällig und erledigt seine Aufgabe.

​

Was ist Ihr Lieblings-Feature?

Wie bereits erwähnt, ist die Teamfilterung für mich an erster Stelle. Sie unterstützt unsere dezentrale Arbeitsweise und erleichtert meine Aufgabe, die Sicherheit teamübergreifend zu überwachen, erheblich.

Aber ich möchte auch die Auto-Ignore-Funktion besonders hervorheben. Sie entfernt unauffällig eine Menge irrelevanter Ergebnisse, was uns Zeit und mentale Kapazität spart. Manchmal überprüfe ich die Zahl, nur um ein gutes Gefühl zu haben.

​

„Ich überprüfe manchmal die Anzahl der automatisch ignorierten Elemente, nur um mich gut zu fühlen. Das ist alles Arbeit, die wir nicht erledigen mussten.“

​

​

Zu guter Letzt: Wenn Sie Aikido einem Satz zusammenfassen müssten, wie würde dieser lauten?

„Es funktioniert einfach.“ Und für ein finnisches Entwicklungsteam? Das ist großes Lob.