Hallo Aki! Kannst du dich und deine Rolle bei Midaxo vorstellen?
Ich bin Aki Hänninen, CISO und DevSecOps Lead bei Midaxo. Ich habe diese Rollen bewusst aufgeteilt: Die CISO-Seite befasst sich mehr mit Unternehmenssicherheit, Governance und Zertifizierungen wie ISO 27001, während die DevSecOps-Seite den Fokus auf Produkt- und Plattform-Sicherheit legt. Unser Engineering-Team besteht aus etwa 15 Personen (verteilt auf 5 Teams) in Finnland und den USA.
Ich habe tatsächlich bei Midaxo als Softwarearchitekt angefangen, als wir unsere Cloud-Plattform von Grund auf neu aufgebaut haben. Mit zunehmender Reife wechselte ich in den Bereich Operations und Security, und jetzt betrachte ich mich als einen „genesenden Softwarearchitekten“ (lacht). Ich bin immer noch nah am Code, konzentriere mich aber darauf, die Sicherheit im gesamten Unternehmen zu ermöglichen.
Und was macht Midaxo?
Midaxo ist eine zentralisierte Softwareplattform, die speziell für M&A- und Corporate Development-Teams entwickelt wurde. Sie wurde konzipiert, um komplexe Prozesse wie Akquisitionen, Desinvestitionen, IP-Management und mehr zu verwalten.
Während viele Teams sich noch auf Excel und PowerPoint verlassen, um diese Initiativen zu steuern, bietet Midaxo ein zentralisiertes System, das diese manuellen Tools durch einen strukturierteren, kollaborativeren und wiederholbaren Workflow ersetzt. Es führt alles an einem Ort zusammen, sodass Teams schneller agieren, Risiken reduzieren und mit Echtzeit-Transparenz und Verantwortlichkeit über den gesamten Deal-Lebenszyklus hinweg bessere Entscheidungen treffen können.
Wie wichtig ist Sicherheit für Ihr Unternehmen?
Es ist absolut unerlässlich. Die meisten unserer Geschäfte beinhalten Risikobewertungen durch Dritte, und die Erwartungen an Datenschutz und Vertraulichkeit sind hoch (insbesondere angesichts der Art der Arbeit unserer Kunden). Sicherheit ist für uns ein wichtiges Unterscheidungsmerkmal. Es gibt unseren Kunden Vertrauen, Midaxo als Partner bei der Verwaltung sensibler, risikoreicher Prozesse zu wählen.
Es geht nicht nur um Compliance oder Checkboxen für eine Sicherheitsbewertung. Wir behandeln Sicherheit als integralen Bestandteil des Produkts. Das umfasst, wie wir entwickeln, wie wir deployen und wie wir Vorfälle oder Schwachstellen intern verwalten. Deshalb haben wir so stark in die Sicherheit auf allen Ebenen investiert: vom Produkt bis zur Infrastruktur.
Was waren Ihre größten Sicherheitsbedenken, bevor Sie Aikido einsetzten?
Wir sind sehr Cloud-nativ und setzen stark auf AWS-Managed Services und serverlose Infrastruktur, was bedeutet, dass wir einen Teil der Infrastruktursicherheit auslagern können. Das verlagert aber auch unseren internen Fokus auf die Anwendungssicherheit.
Das Management von Schwachstellen war mühsam. SCA-Ergebnisse, SAST, DAST… alles war auf verschiedene Tools verteilt (AWS Inspector, SonarCloud und Detectify, um nur einige zu nennen). Es wurde zum klassischen Whack-a-Mole-Spiel mit der Frage: „Hey, hat sich schon jemand diese Schwachstelle angesehen?“
„Vor Aikido war das Sicherheitsmanagement das klassische Whack-a-Mole-Spiel mit der Frage: ‚Hey, hat sich schon jemand diese Schwachstelle angesehen?‘“
Jedes Tool arbeitete isoliert. Es gab keine einheitliche Ansicht. Schwachstellen mussten manuell triagiert und zugewiesen werden. Das verlangsamte alles. Unser Sicherheitsteam übernahm den Großteil der Arbeit, und die Akzeptanz von Sicherheitstools und -praktiken im gesamten Engineering-Team war gering.
Was hat Aikido bei Ihrer Evaluierung besonders ausgezeichnet?
Aikido vermittelte den Eindruck, für Unternehmen wie unseres entwickelt worden zu sein – mit starken internen Engineering-Teams, aber begrenzten Ressourcen im Sicherheitspersonal, und nicht ausschließlich für riesige Konzerne (wie einige andere Anbieter in diesem Bereich).
„Entwickelnde begannen, Probleme selbst zu beheben, weil Aikido es einfach machte zu wissen, was zu tun ist und wer es tun sollte.“
Die Einrichtung war einfach, die Governance wurde klarer und die Verantwortlichkeiten offensichtlich. Die Plattform half uns, relevante Probleme den richtigen Teams ohne unnötigen Ballast zugänglich zu machen. Was mir am besten gefiel, war, dass es unseren Workflow optimierte. Was für eine Erleichterung, nicht mehr zwischen Dashboards und Tools wechseln zu müssen.
Wie verlief der Rollout? War es schwierig, ihn in Ihr bestehendes Setup zu integrieren?
„Ehrlich gesagt? Der Rollout war fast unsichtbar. Alles passte wie angegossen.“
Wir legen großen Wert auf autonome Teams, und Aikidos Teamfilterfunktion war für mich als CISO entscheidend. Jedes unserer fünf Teams sieht nun genau, welche Sicherheitsergebnisse für ihren Code relevant sind, und das passt perfekt zu unserer Arbeitsweise. Allein das hat die Einführung reibungslos gemacht.
Wie war Ihre Erfahrung in der Zusammenarbeit mit dem Aikido-Team?
Das Team war hervorragend. Als ich endlich Zeit hatte, das Tool auszuprobieren, war das Team sofort zur Stelle, um zu helfen. Jeder, mit dem wir interagiert haben, zeigte eine echte kundenorientierte Mentalität. Sie hören auf Feedback, handeln danach und geben uns das Gefühl, Partner zu sein.
Ehrlich gesagt, ist diese Art von Reaktionsfähigkeit selten und hat bei uns einen bleibenden Eindruck hinterlassen.
Was hat sich in der Verwaltung Ihrer Sicherheit geändert?
Es hat unseren Schwachstellenmanagement-Prozess in etwas viel Proaktiveres und Entwicklerfreundlicheres verwandelt. Wir leiten kritische Ergebnisse jetzt direkt an teamspezifische Slack-Kanäle weiter. Das Bewusstsein ist höher, der Lärm geringer, und der Prozess ist endlich nachhaltig. Das Sicherheitsteam kann sich zurücklehnen und sich auf Governance konzentrieren, statt auf tägliche Nachverfolgungen.
„Vor Aikido fühlte sich AppSec wie Reibung an. Jetzt ist es einfach Teil des Workflows. Sicherheit wird nicht mehr als extern oder störend empfunden. Es ist einfach Teil dessen, wie Teams Software ausliefern.“
Früher war es schwierig, Teams zum Handeln zu bewegen. Jetzt sehen wir einen stetigen Rückgang kritischer und hochgradiger Probleme. Wir planen, später in diesem Jahr eine Baseline festzulegen, um zu verfolgen, wie gut wir diese verbesserte Haltung über die Zeit beibehalten.
Der größere Gewinn ist zudem kultureller Natur: Sicherheit wird nicht mehr als extern oder lästig angesehen. Sie ist einfach Teil der Art und Weise, wie Teams Software ausliefern.
Wie haben die Entwickelnden reagiert?
Das ist das Lustige daran. In der finnischen Kultur hört man davon, wenn etwas kaputt ist. Wenn es funktioniert, hört man nichts.
„Die Tatsache, dass sich niemand über Aikido beschwert? Das ist so ziemlich das beste Feedback, das man hier in Finnland bekommen kann.“
Und wenn ich eine kulturelle Anmerkung hinzufügen darf: In der finnischen Kultur sind wir nicht sehr großzügig mit Komplimenten. Aber wenn unsere Entwickelnde sagen „es ist kein Müll und es funktioniert“, ist das so ziemlich das höchste Lob, das man bekommen kann (lacht). Und das ist, wie unser Team über Aikido denkt: Es ist nützlich, unaufdringlich und erledigt die Arbeit.
Was ist Ihr Lieblings-Feature?
Wie bereits erwähnt, ist die Teamfilterung für mich an erster Stelle. Sie unterstützt unsere dezentrale Arbeitsweise und erleichtert meine Aufgabe, die Sicherheit teamübergreifend zu überwachen, erheblich.
Aber ich möchte auch die Auto-Ignore-Funktion besonders hervorheben. Sie entfernt unauffällig eine Menge irrelevanter Ergebnisse, was uns Zeit und mentale Kapazität spart. Manchmal überprüfe ich die Zahl, nur um ein gutes Gefühl zu haben.
„Ich überprüfe manchmal die Anzahl der automatisch ignorierten Elemente, nur um mich gut zu fühlen. Das ist alles Arbeit, die wir nicht erledigen mussten.“
Zu guter Letzt: Wenn Sie Aikido in einem Satz zusammenfassen müssten, wie würde dieser lauten?
„Es funktioniert einfach.“ Und für ein finnisches Entwicklungsteam? Das ist großes Lob.
