Hallo Aki! Kannst du dich und deine Rolle bei Midaxo vorstellen?
Ich bin Aki Hänninen, CISO und DevSecOps-Leiter bei Midaxo. Ich habe diese Rollen bewusst aufgeteilt: Die CISO-Seite befasst sich mehr mit Unternehmenssicherheit, Governance und Zertifizierungen wie ISO 27001, während sich die DevSecOps-Seite auf Produkt- und Plattformsicherheit konzentriert. Unser Entwicklungsteam besteht aus etwa 15 Personen (in 5 Teams), die sich auf Finnland und die USA verteilen.
Ich habe bei Midaxo als Softwarearchitekt angefangen, als wir unsere Cloud-Plattform von Grund auf neu aufgebaut haben. Als wir reifer wurden, wechselte ich in Richtung Betrieb und Sicherheit, und jetzt betrachte ich mich als "genesender Softwarearchitekt" (lacht). Ich bin immer noch nah am Code, konzentriere mich aber darauf, die Sicherheit im gesamten Unternehmen zu gewährleisten.
Und was macht Midaxo?
Midaxo bietet eine zentrale Plattform, die Teams in der Unternehmensentwicklung bei der Verwaltung komplexer Prozesse wie M&A, Veräußerungen, IP-Management oder sogar Immobilientransaktionen unterstützt.
Statt sich auf Excel und PowerPoint zu verlassen (was für viele immer noch die Norm ist), nutzen unsere Kunden Midaxo Cloud , um ihre Arbeitsabläufe systematischer, wiederholbar und verbesserungsfähig zu machen. Wir konzentrieren uns auf Transparenz, Zusammenarbeit und die Sicherstellung, dass die richtigen Informationen den richtigen Personen zur richtigen Zeit zur Verfügung stehen, um Risiken bei strategischen Initiativen zu reduzieren.
Wie wichtig ist Sicherheit für Ihr Unternehmen?
Das ist absolut obligatorisch. Die meisten unserer Geschäftsabschlüsse erfordern eine Bewertung des Risikomanagements durch Dritte, und die Erwartungen an die Vertraulichkeit der Daten sind hoch. Sicherheit ist für uns ein wichtiges Verkaufsargument: Ohne starke Sicherheitspraktiken würden wir in diesem Bereich einfach keine Geschäfte abschließen.
"Sicherheit ist für uns ein wichtiges Verkaufsargument: Ohne solide Sicherheitspraktiken würden wir in diesem Bereich einfach keine Aufträge erhalten.
Es geht nicht nur um die compliance oder das Ankreuzen von Kästchen bei einer Sicherheitsbewertung. Wir behandeln die Sicherheit als integralen Bestandteil des Produkts. Dazu gehört, wie wir ein Produkt entwickeln, wie wir es bereitstellen und wie wir intern mit Vorfällen oder Schwachstellen umgehen.
Deshalb haben wir in allen Bereichen so stark in die Sicherheit investiert: vom Produkt bis zur Infrastruktur.
Was waren Ihre größten Sicherheitsbedenken, bevor Sie Aikido anwendeten?
Wir sind sehr Cloud-nativ und stützen uns stark auf von AWS verwaltete Dienste und serverlose Infrastruktur, was bedeutet, dass wir einen Teil der Infrastruktursicherheit auslagern können. Dadurch verlagert sich aber auch unser interner Fokus auf die Anwendungssicherheit.
Die Verwaltung von Schwachstellen war mühsam. SCA-Ergebnisse, SAST, DAST... alles war über verschiedene Tools verteilt (AWS Inspector, SonarCloud und Detectify, um nur einige zu nennen). Es wurde zum klassischen Spiel "Hey, hat sich schon jemand diese Schwachstelle angesehen?"
"Die Verwaltung der Sicherheit wurde zum klassischen Spiel "Hey, hat sich schon jemand diese Sicherheitslücke angesehen?"
Jedes Instrument arbeitete isoliert. Es gab keine einheitliche Ansicht. Schwachstellen mussten manuell eingestuft und zugewiesen werden. Das verlangsamte alles. Unser Sicherheitsteam erledigte die meiste Arbeit, und die Akzeptanz von Sicherheitstools und -praktiken im gesamten technischen Team war gering.
Was hat Aikido bei Ihrer Bewertung besonders hervorgehoben?
Aikido wurde mit Blick auf Unternehmen wie das unsere entwickelt, die über starke interne Ingenieurteams verfügen, aber nur über begrenzte Ressourcen für Sicherheitspersonal, und nicht ausschließlich für Großunternehmen (wie einige der anderen Anbieter in diesem Bereich).
"Die Entwickler begannen, Probleme selbst zu beheben, weil es mit Aikido einfach war, zu wissen, was zu tun ist und wer es tun sollte."
Die Einrichtung war einfach, die Verwaltung wurde klarer, und die Verantwortlichkeiten wurden deutlich. Die Plattform hat uns geholfen, relevante Probleme an die richtigen Teams weiterzuleiten, ohne den ganzen Lärm. Am besten hat mir gefallen, dass sie unseren Arbeitsablauf rationalisiert hat. Es ist eine große Erleichterung, dass wir nicht mehr zwischen Dashboards und Tools hin und her springen müssen.
Wie verlief die Einführung? War es schwierig, sie in Ihre bestehende Einrichtung zu integrieren?
"Ganz ehrlich? Der Rollout war fast unsichtbar. Alles passt wie angegossen."
Wir legen großen Wert auf die Autonomie der Teams, und die Teamfilterfunktion von Aikido war für mich als CISO entscheidend . Jedes unserer fünf Teams sieht jetzt genau, welche Sicherheitsergebnisse für seinen Code relevant sind, und das passt perfekt zu unserer Arbeitsweise. Allein das hat die Einführung erleichtert.
Wie war Ihre Erfahrung bei der Arbeit mit dem Aikido-Team?
Das Team hat hervorragende Arbeit geleistet. Als ich endlich Zeit hatte, das Tool auszuprobieren, war das Team sofort zur Stelle, um zu helfen. Jeder, mit dem wir zu tun hatten, hat eine echte kundenorientierte Mentalität an den Tag gelegt. Sie hören sich das Feedback an, reagieren darauf und geben uns das Gefühl, Partner zu sein.
Ehrlich gesagt, diese Art von Reaktionsfähigkeit ist selten, und sie hat einen bleibenden Eindruck bei uns hinterlassen.
Was hat sich an Ihrem Sicherheitsmanagement geändert?
Es hat unseren Prozess zur Verwaltung von Schwachstellen in etwas viel Proaktiveres und Entwicklerfreundlicheres verwandelt. Wir leiten kritische Erkenntnisse jetzt direkt an teamspezifische Slack-Kanäle weiter. Das Bewusstsein ist höher, der Lärm ist geringer und der Prozess ist endlich nachhaltig. Das Sicherheitsteam kann sich zurückziehen und sich auf die Governance konzentrieren, nicht auf die täglichen Nachfassaktionen.
"Vor Aikido fühlte sich AppSec wie Reibung an. Jetzt ist es einfach ein Teil des Flusses. Sicherheit wird nicht mehr als extern oder lästig angesehen. Sie ist einfach Teil der Art und Weise, wie Teams Software bereitstellen.
Früher war es schwer, Teams zum Handeln zu bewegen. Jetzt sehen wir einen stetigen Rückgang der kritischen und hochgradig gefährlichen Probleme. Wir planen, noch in diesem Jahr einen Referenzwert festzulegen, um zu verfolgen, wie gut wir diese verbesserte Haltung im Laufe der Zeit beibehalten.
Außerdem ist der größere Gewinn kultureller Natur: Sicherheit wird nicht mehr als etwas Äußerliches oder Lästiges angesehen. Sie ist einfach Teil der Art und Weise, wie Teams Software bereitstellen.
Wie haben die Entwickler darauf reagiert?
Das ist das Lustige daran. Wenn in der finnischen Kultur etwas kaputt ist, erfährt man es. Wenn es funktioniert, erfährt man es nicht.
"Die Tatsache, dass sich niemand über Aikido beschwert? Das ist so ziemlich das beste Feedback, das man hier in Finnland bekommen kann."
Und wenn ich noch eine kulturelle Anmerkung machen darf: In der finnischen Kultur sind wir nicht besonders gut im Verteilen von Komplimenten. Aber wenn unsere Entwickler sagen: "Es ist kein Quatsch und es funktioniert", dann ist das so ziemlich das größte Lob, das man bekommen kann (lacht). Und genau so denkt unser Team über Aikido: Es ist nützlich, leise und erledigt seine Aufgabe.
Was ist Ihr Lieblingsmerkmal?
Wie bereits erwähnt, ist die Teamfilterung für mich die Nummer eins. Sie unterstützt unsere dezentrale Arbeitsweise und erleichtert mir die Aufgabe, die Sicherheit in den Teams zu überwachen.
Ein besonderes Lob geht aber auch an die Funktion zum automatischen Ignorieren. Sie entfernt still und leise einen Haufen irrelevanter Ergebnisse, was uns Zeit und geistige Bandbreite spart. Manchmal überprüfe ich die Zahl nur, um mich gut zu fühlen.
"Ich überprüfe manchmal die Anzahl der automatischen Ignorierungen, nur um mich gut zu fühlen. Das ist alles Arbeit, die wir nicht machen mussten."
Last but not least: Wenn Sie Aikido in einem Satz zusammenfassen müssten, wie würde dieser lauten?
"Es funktioniert einfach." Und das für ein finnisches Entwicklerteam? Das ist ein großes Lob.
.webp){kind=logo}
.png)