Hallo Aki! Kannst du dich und deine Rolle bei Midaxo vorstellen?

Ich bin Aki Hänninen, CISO und DevSecOps-Leiter bei Midaxo. Ich habe diese Rollen bewusst aufgeteilt: Die CISO-Seite befasst sich mehr mit Unternehmenssicherheit, Governance und Zertifizierungen wie ISO 27001, während sich die DevSecOps-Seite auf Produkt- und Plattformsicherheit konzentriert. Unser Entwicklungsteam besteht aus etwa 15 Personen (in 5 Teams), die sich auf Finnland und die USA verteilen.

Ich habe bei Midaxo als Softwarearchitekt angefangen, als wir unsere Cloud-Plattform von Grund auf neu aufgebaut haben. Als wir reifer wurden, wechselte ich zum Betrieb und zur Sicherheit, und jetzt betrachte ich mich als "genesender Softwarearchitekt" (lacht). Ich bin immer noch nah am Code, aber ich konzentriere mich darauf, die Sicherheit im gesamten Unternehmen zu gewährleisten.

‍

Und was macht Midaxo?

Midaxo ist eine zentralisierte Softwareplattform, die speziell für M&A- und Unternehmensentwicklungsteams entwickelt wurde. Sie wurde entwickelt, um komplexe Prozesse wie Akquisitionen, Veräußerungen, IP-Management und mehr zu verwalten.

Während sich viele Teams bei diesen Initiativen immer noch auf Excel und PowerPoint verlassen, bietet Midaxo ein zentralisiertes System, das diese manuellen Tools durch einen strukturierten, kollaborativen und wiederholbaren Workflow ersetzt. Es bringt alles an einem Ort zusammen, so dass Teams schneller vorankommen, Risiken reduzieren und bessere Entscheidungen treffen können - mit Echtzeit-Transparenz und Verantwortlichkeit über den gesamten Geschäftszyklus hinweg.

‍

Wie wichtig ist Sicherheit für Ihr Unternehmen?

Das ist absolut obligatorisch. Die meisten unserer Geschäfte beinhalten Risikobewertungen durch Dritte, und die Erwartungen in Bezug auf Datenschutz und Vertraulichkeit sind hoch (insbesondere angesichts der Art der Arbeit unserer Kunden). Sicherheit ist für uns ein wichtiges Unterscheidungsmerkmal. Sie gibt unseren Kunden das Vertrauen, Midaxo als Partner für die Verwaltung sensibler, hochsensibler Prozesse zu wählen.

‍

Es geht nicht nur um die compliance oder das Ankreuzen von Kästchen bei einer Sicherheitsbewertung. Wir behandeln die Sicherheit als integralen Bestandteil des Produkts. Dazu gehört, wie wir unsere Produkte entwickeln, wie wir sie bereitstellen und wie wir intern mit Vorfällen oder Schwachstellen umgehen. Aus diesem Grund haben wir in allen Bereichen so stark in die Sicherheit investiert: vom Produkt bis zur Infrastruktur.

‍

Was waren Ihre größten Sicherheitsbedenken, bevor Sie Aikido anwendeten?

Wir sind sehr Cloud-nativ und stützen uns stark auf von AWS verwaltete Dienste und serverlose Infrastruktur, was bedeutet, dass wir einen Teil der Infrastruktursicherheit auslagern können. Dadurch verlagert sich aber auch unser interner Fokus auf die Anwendungssicherheit.

Die Verwaltung von Schwachstellen war mühsam. SCA-Ergebnisse, SAST, DAST... alles war über verschiedene Tools verteilt (AWS Inspector, SonarCloud und Detectify, um nur einige zu nennen). Es wurde zum klassischen Spiel "Hey, hat sich schon jemand diese Schwachstelle angesehen?". 

‍

"Vor Aikido war die Verwaltung der Sicherheit das klassische Spiel "Hey, hat sich schon jemand um diese Schwachstelle gekümmert?"

‍

Jedes Instrument arbeitete isoliert. Es gab keine einheitliche Ansicht. Schwachstellen mussten manuell eingestuft und zugewiesen werden. Das verlangsamte alles. Unser Sicherheitsteam erledigte die meiste Arbeit, und die Akzeptanz von Sicherheitstools und -praktiken im gesamten technischen Team war gering.

‍

Was hat Aikido bei Ihrer Bewertung besonders hervorgehoben?

Aikido wurde mit Blick auf Unternehmen wie unseres entwickelt, die über starke interne Ingenieurteams verfügen, aber nur über begrenzte Ressourcen für Sicherheitspersonal, und nicht ausschließlich für Großunternehmen (wie einige der anderen Anbieter in diesem Bereich).

‍

"Die Entwickler begannen, Probleme selbst zu beheben, weil es mit Aikido einfach war, zu wissen, was zu tun ist und wer es tun sollte."

‍

Die Einrichtung war einfach, die Verwaltung wurde klarer, und die Verantwortlichkeiten wurden deutlich. Die Plattform hat uns geholfen, relevante Probleme an die richtigen Teams weiterzuleiten, ohne den ganzen Lärm. Am besten hat mir gefallen, dass sie unseren Arbeitsablauf rationalisiert hat. Es ist eine große Erleichterung, dass wir nicht mehr zwischen Dashboards und Tools hin und her springen müssen.

‍

Wie verlief die Einführung? War es schwierig, es in Ihre bestehende Einrichtung zu integrieren?

‍

"Ganz ehrlich? Der Rollout war fast unsichtbar. Alles passt wie angegossen."

‍

Wir legen großen Wert auf die Autonomie der Teams, und Aikidos Team-Filterungsfunktion war für mich als CISO entscheidend . Jedes unserer fünf Teams sieht jetzt genau, welche Sicherheitsergebnisse für seinen Code relevant sind, und das passt perfekt zu unserer Arbeitsweise. Allein das hat die Einführung reibungslos gemacht.

‍

‍

Wie war Ihre Erfahrung bei der Arbeit mit dem Aikido-Team?

Das Team hat hervorragende Arbeit geleistet. Als ich endlich Zeit hatte, das Tool auszuprobieren, war das Team sofort zur Stelle, um zu helfen. Jeder, mit dem wir zu tun hatten, hat eine echte kundenorientierte Mentalität an den Tag gelegt. Sie hören sich das Feedback an, reagieren darauf und geben uns das Gefühl, Partner zu sein.

Ehrlich gesagt, diese Art von Reaktionsfähigkeit ist selten, und sie hat einen bleibenden Eindruck bei uns hinterlassen.

‍

Was hat sich an Ihrem Sicherheitsmanagement geändert?

Es hat unseren Prozess zur Verwaltung von Schwachstellen in etwas viel Proaktiveres und Entwicklerfreundlicheres verwandelt. Wir leiten kritische Erkenntnisse jetzt direkt an teamspezifische Slack-Kanäle weiter. Das Bewusstsein ist höher, der Lärm ist geringer und der Prozess ist endlich nachhaltig. Das Sicherheitsteam kann sich zurückziehen und sich auf die Governance konzentrieren, nicht auf die täglichen Nachfassaktionen.

‍

"Vor Aikido fühlte sich AppSec wie Reibung an. Jetzt ist es einfach ein Teil des Flusses. Sicherheit wird nicht mehr als extern oder lästig angesehen. Sie ist einfach Teil der Art und Weise, wie Teams Software bereitstellen.

‍

Früher war es schwer, Teams zum Handeln zu bewegen. Jetzt sehen wir einen stetigen Rückgang der kritischen und hochgradig gefährlichen Probleme. Wir planen, noch in diesem Jahr einen Referenzwert festzulegen, um zu verfolgen, wie gut wir diese verbesserte Haltung im Laufe der Zeit beibehalten.
Außerdem ist der größere Gewinn kultureller Natur: Sicherheit wird nicht mehr als etwas Äußerliches oder Lästiges angesehen. Sie ist einfach Teil der Art und Weise, wie Teams Software bereitstellen.

‍

Wie haben die Entwickler darauf reagiert?

Das ist das Lustige daran. Wenn in der finnischen Kultur etwas kaputt ist, erfährt man es. Wenn es funktioniert, erfährt man es nicht.

‍

"Die Tatsache, dass sich niemand über Aikido beschwert? Das ist so ziemlich das beste Feedback, das man hier in Finnland bekommen kann."

‍

Und wenn ich noch eine kulturelle Anmerkung machen darf: In der finnischen Kultur sind wir nicht besonders gut im Verteilen von Komplimenten. Aber wenn unsere Entwickler sagen: "Es ist kein Quatsch und es funktioniert", dann ist das so ziemlich das größte Lob, das man bekommen kann (lacht). Und genau so denkt unser Team über Aikido: Es ist nützlich, leise und erledigt seine Aufgabe.

‍

Was ist Ihr Lieblingsmerkmal?

Wie bereits erwähnt, ist die Team-Filterung ist für mich die Nummer eins. Sie unterstützt unsere dezentrale Arbeitsweise und erleichtert mir die Aufgabe, die Sicherheit in den Teams zu überwachen.

Besonders hervorheben möchte ich aber die Funktion zum automatischen Ignorieren loben. Sie entfernt still und leise einen Haufen irrelevanter Ergebnisse, was uns Zeit und geistige Bandbreite spart. Manchmal überprüfe ich die Zahl nur, um mich gut zu fühlen.

‍

"Ich überprüfe manchmal die Anzahl der automatischen Ignorierungen, nur um mich gut zu fühlen. Das ist alles Arbeit, die wir nicht machen mussten."

‍

‍

Last but not least: Wenn Sie Aikido in einem Satz zusammenfassen müssten, wie würde dieser lauten?

"Es funktioniert einfach." Und das für ein finnisches Entwicklerteam? Das ist ein großes Lob.