Ogaga Abuchi arbeitet seit 2021 als Fractional CISO und unterstützt Unternehmen in den Bereichen Gesundheitswesen, Fintech und SaaS. Im Jahr 2023 begann sie, in Teilzeit mit Nerdio sowie mehreren anderen Organisationen zusammenzuarbeiten.
Heute leitet Ogaga die Produkt- und Anwendungssicherheit bei Nerdio, während sie weiterhin andere Organisationen als Fractional CISO berät. Diese duale Perspektive prägt ihre Bewertung von Tools: Sie müssen nicht nur für ein Unternehmen funktionieren, sondern über verschiedene Umgebungen, Reifegrade und Einschränkungen hinweg.
Auf einen Blick
- Gesprächspartnerin: Ogaga Abuchi, Fractional CISO & Informationssicherheitsmanagerin bei Nerdio
- Unternehmen: Nerdio (Management-Plattform für Azure Virtual Desktop & Windows 365)
- Herausforderung: Skalierung der Anwendungssicherheit über Teams hinweg mit begrenzter Zeit, Budget und geringer Toleranz für Rauschen
- Vor Aikido: Teure AppSec-Tools mit vielen Fehlalarmen und schlechtem Signal
- Aikido wird eingesetzt für: SAST, DAST, Dependency- & SBOM-Scanning, Entwickelnde-Workflows, Reporting für Führungskräfte
- Wichtigstes Ergebnis: Weniger Rauschen, schnellere Behebung und mehr Zeit für Entwickelnde
Herausforderung: Sicherheit skalieren, ohne das Chaos zu skalieren
Aus Ogagas Sicht sind die meisten Sicherheitsprobleme nicht technischer, sondern struktureller Natur.
Als Fractional CISO, die mit kleinen und mittelständischen Unternehmen arbeitet, stößt sie immer wieder auf dieselben Einschränkungen:
- Kleine Sicherheitsteams mit begrenzten personellen Ressourcen
- Knappe Budgets, die keine umfangreichen Enterprise-Tools unterstützen können
- Tool-Wildwuchs, bei dem mehrere überlappende Tools Geld und Aufmerksamkeit binden
- Kultureller Widerstand, insbesondere von Entwickelnden, die befürchten, dass Sicherheit sie ausbremst
- Ein ständiger Drang zu reaktivem Firefighting anstatt proaktiver Sicherheit
Bei Nerdio war die Ausgangsbasis bereits relativ ausgereift: erfahrene Entwickelnde, regelmäßige Sicherheitsschulungen, interne und externe Penetrationstests sowie eine Führungsebene, die Ergebnisse ernst nahm.
Doch selbst mit diesem Reifegrad erkannte Ogaga ein bekanntes Risiko.
Ohne die richtigen Tools ertrinken Teams entweder in Alarmen oder hören auf, ihnen gänzlich zu vertrauen.
Lösung: eine AppSec-Plattform, auf die Entwickelnde tatsächlich hören
Vor Aikido nutzte Nerdio ein anderes AppSec-Tool. Es war teuer, verursachte viel Rauschen und war oft veraltet. Die meisten Ergebnisse stellten sich als keine echten Probleme heraus, was es schwierig machte, produktive Gespräche mit Entwickelnden zu führen.
Das war der Wendepunkt.
Nach der Recherche von Alternativen und unter Rückgriff auf frühere Erfahrungen führte Ogaga Aikido ein.
Was sofort auffiel, war nicht nur die Abdeckung, sondern die Signalqualität.
Aikido deckte echte Probleme in Drittanbieter-Bibliotheken und SBOMs auf, reduzierte Fehlalarme und erklärte die Ergebnisse auf eine Weise, die Entwickelnde verstehen konnten.
„Wir verbrachten zu viel Zeit mit Dingen, die keine echten Probleme waren. Mit Aikido arbeiten wir wieder an echten Schwachstellen.“
Bei Nerdio ist Aikido nun in Repositories und Workflows integriert. Das Team nutzt aktiv SAST und DAST, und die Akzeptanz weitet sich allmählich auf die IDE-Nutzung aus, damit Probleme noch früher erkannt werden können. Cloud-Scanning und KI-Penetrationstests stehen als Nächstes auf der Roadmap.
Ogaga schätzt besonders die KI-gestützte Anleitung von Aikido.
„Mir gefällt, dass es anzeigt, wo das Problem liegt und wie man es beheben kann. Ich werde keine Pull Requests automatisch öffnen (Entwickelnde würden mich umbringen), aber die Vorschläge sind unglaublich hilfreich.“
Ergebnis: weniger Rauschen, mehr Vertrauen, echte Zeitersparnis
Der spürbarste Effekt von Aikido bei Nerdio ist, wie leise die Sicherheitsarbeit geworden ist.
Manchmal muss Ogaga sich selbst daran erinnern, nachzusehen.
„Manchmal ist es so ruhig, dass ich mich daran erinnern muss, Schwachstellen zu melden.“
Diese Ruhe ist kein Mangel an Abdeckung. Sie ist das Ergebnis von reduziertem Rauschen und besserer Priorisierung.
Im Vergleich zu früheren Tools, die Hunderte von Ergebnissen pro Scan generierten, von denen die meisten als Fehlalarme abgetan wurden, hilft Aikido Teams, sich auf das Wesentliche zu konzentrieren. Entwickelnde verbringen weniger Zeit damit, über Ergebnisse zu diskutieren, und mehr Zeit damit, sie zu beheben.
Es hat auch Ogagas Arbeit als Sicherheitsverantwortliche erleichtert. Wenn Entwickelnde ein Ergebnis hinterfragen, kann sie klaren Kontext, Code-Snippets und Erklärungen bereitstellen, die ihre Sprache sprechen.
Das Ergebnis:
- Schnellere Behebung
- Weniger Fehlalarme
- Mehr Vertrauen der Entwickelnden in Sicherheitstools
- Weniger Zeit für das manuelle Triagieren von Ergebnissen
- Ein insgesamt stärkeres Anwendungssicherheitsprogramm
Aus der Perspektive eines Fractional CISO ist das sogar noch wichtiger.
Wenn man gleichzeitig für mehrere Organisationen verantwortlich ist, summiert sich jede gesparte Stunde.
Wie Nerdio den Einsatz von Aikido erweitert
Bereits im Einsatz
- SAST
- DAST
- Scan von Softwareabhängigkeiten (SCA)
- SBOM-Scanning
- Entwickelnden-Workflows
- Executive Reporting
Planung der Einführung
Zusammenfassung: Ein Tool für Sicherheitsverantwortliche mit begrenzter Zeit
Für Ogaga ist Aikido nicht nur ein Nerdio-Tool. Es ist Teil ihres Fractional-CISO-Toolkits.
Sie hat im Laufe der Jahre viele AppSec-Plattformen genutzt und evaluiert. In diesem Kontext sticht Aikido durch seine Einfachheit, Klarheit und das entwickelndenfreundliche Design hervor.
„Alles ist einfach. Die Leute melden sich an und verstehen sofort, was zu tun ist.“
Es funktioniert für jedes Unternehmen, das seine Sicherheitsstandards erhöhen muss, ohne eine massive Sicherheitsorganisation aufzubauen.
Und wenn Ogaga den Wert von Aikido aus der Perspektive eines Fractional CISO in einem Satz zusammenfassen müsste?
„Es reduziert den Zeitaufwand.“
