Hallo Aufar! Kannst du uns ein wenig über Petrosea und deine Rolle erzählen?

Ich bin Backend-Entwickler bei Petrosea, aber meine Rolle umfasst auch Cloud-Architektur, Sicherheit, DevOps und Systemtechnik. Unser Engineering-Team besteht aus etwa 20 Mitarbeitern, die sich um alles kümmern, von Backend- und Frontend-Entwicklung bis hin zu Sicherheit und ERP. 

Petrosea selbst ist ein Dienstleistungsunternehmen für den Bergbau. Wir managen alles von der Grube bis zum Hafen und nutzen fortschrittliches IoT, um den gesamten Bergbauprozess zu verfolgen. So können wir beispielsweise direkt mit den Betreibern der Anlagen vor Ort kommunizieren, um die Produktion für unsere Kunden zu optimieren. Das ist ein wichtiger Teil unserer Positionierung als führender Anbieter von Bergbautechnologien in Indonesien.

Petrosea ist als Technologieführer anerkannt. Wie spielt die digitale Transformation dabei eine Rolle?

Wir sind stolz darauf, Teil des Global Lighthouse Network des Weltwirtschaftsforums zu sein und eines von nur zwei Unternehmen in Indonesien zu sein, die diese Anerkennung für die Einführung von Industrie 4.0 erhalten haben. Technologie ist das Herzstück unserer Effizienz und Führung. Der Einsatz von fortschrittlichen IoT-, Automatisierungs- und Cloud-Lösungen hilft uns, besser, schneller und sicherer zu arbeiten als traditionelle Bergbauunternehmen.

Warum ist Sicherheit in Ihrer Branche so wichtig?

Da wir die Technologie überall einbinden, könnte jede Sicherheitsverletzung den Betrieb stören, die Vertraulichkeit der Kunden gefährden oder sogar die Produktion zum Stillstand bringen. Bergbau- und Energieunternehmen in Indonesien sind zu häufigen Zielen von Cyberangriffen geworden, und wir beobachten diesen Trend sowohl im öffentlichen als auch im privaten Sektor. Für uns hatte die Sicherheit schon immer höchste Priorität, und die wachsende Zahl der Angriffe macht sie noch dringlicher.

"Jeder Verstoß könnte den Betrieb oder das Kundengeheimnis gefährden. Sicherheit ist nicht optional. Sie ist unerlässlich."

Was war der Auslöser dafür, dass sich Petrosea auf eine neue Sicherheitslösung konzentrierte?

Nach unserer Übernahme stieg unser Aktienwert erheblich. Diese erhöhte Sichtbarkeit erregte auch mehr Aufmerksamkeit bei externen Bedrohungsakteuren. Wir hatten bereits Sicherheitsmaßnahmen getroffen, aber unsere Prozesse waren fragmentiert. Codebase-Scans wurden manuell durchgeführt, compliance erforderten zusätzlichen Aufwand, und uns fehlte eine einheitliche Plattform, um alles zusammenzuführen.

Vor welchen Herausforderungen standen Sie vor dem Aikido?

Wir verwendeten mehrere Tools, wie Schwachstellen-Scanner, container und Code-Qualitäts-Scanner, die alle voneinander getrennt waren. Das bedeutete manuelle Arbeit beim Kombinieren von Berichten, manuelles Überprüfen von compliance wie ISO und langsame Entscheidungsfindung, da es keinen einheitlichen Überblick über unsere Sicherheitslage gab. Da wir an mehreren Standorten tätig sind, brauchten wir eine vollständige Abdeckung, nicht nur am Hauptsitz.

Was ist Ihnen bei der Bewertung von Aikido aufgefallen?

Drei Dinge haben uns beeindruckt. Erstens die Einfachheit der Implementierung. Die Konnektoren waren sofort einsatzbereit, sodass die Integration in unsere Cloud und Codebasis nur minimalen Aufwand erforderte.

Zweitens: AutoFix kombiniert mit False-Positive-Filterung. Bei anderen Plattformen werden Sie nur mit Schwachstellen konfrontiert, aber Aikido filtert False Positives heraus und erstellt mit einem Mausklick automatisch Korrekturen. 

Und schließlich die compliance . Wir haben nicht mehr Stunden mit der Erstellung von Berichten verbracht, sondern konnten in Sekundenschnelle einsatzbereite compliance exportieren.

"Die schnellste Zeit, in der wir eine Schwachstelle behoben haben, war nur 5 Sekunden nach ihrer Entdeckung. Das ist Effizienz."

Wie verlief die Einführungsphase?

Sehr reibungslos. Wir haben Aikido mit unseren Code-Repositories und Cloud-Umgebungen verbunden, auf den ersten Scan gewartet und sofort unsere Sicherheitslage mit klaren, umsetzbaren Erkenntnissen gesehen. Keine steile Lernkurve. Alles war unkompliziert, und der Nutzen stellte sich sofort ein.

Wie hat sich Aikido auf Ihre tägliche Arbeit ausgewirkt?

Allein der Falsch-Positiv-Filter ist schon ein großer Fortschritt. Er entfernt so viel unnötiges Rauschen. Die AutoFix-Funktion ist ebenso beeindruckend. Sobald eine Schwachstelle entdeckt wird, können wir sie in nur fünf Sekunden beheben. Das hat früher Stunden oder sogar Tage gedauert. Neben der Zeitersparnis hilft die Wissensdatenbank unserem gesamten Team, Schwachstellen besser zu verstehen. Es ist nicht mehr nur die Aufgabe des Sicherheitsteams, sondern die Entwickler selbst werden sensibilisiert und können schneller reagieren.

"Effizienz. Das ist das richtige Wort. Aikido macht Sicherheit schneller, einfacher und intelligenter, so dass wir uns auf das Wesentliche konzentrieren können."

Wie lässt sich dies mit compliance und ESG verbinden?

Die Cybersicherheit ist Teil unserer ESG-Strategie im Rahmen der Governance-Säule. Mit Aikido ist die compliance automatisiert, und wir können sichere Softwareentwicklungspraktiken sowohl gegenüber Aufsichtsbehörden als auch gegenüber dem Management problemlos nachweisen.

Welche messbaren Ergebnisse haben Sie erzielt, seit Sie Aikido anwenden?

Das greifbarste Ergebnis ist die Zeitersparnis. Die Behebung von Schwachstellen, die früher Stunden dauerte, dauert mit AutoFix nur noch Sekunden. Außerdem haben wir den Zeitaufwand für die compliance um mindestens 80 % reduziert, da die Berichte jetzt automatisch erstellt werden und nicht mehr manuell. Darüber hinaus befassen sich unsere Entwickler dank der Wissensdatenbank der Plattform jetzt direkt mit Sicherheitsfragen. Das Sicherheitsbewusstsein im gesamten Team hat sich deutlich erhöht, so dass es zu einer gemeinsamen Verantwortung geworden ist und nicht mehr nur vom Sicherheitsteam wahrgenommen wird.

"Mit Aikido konnten wir Stunden bei der Berichterstellung einsparen, die Behebung von Schwachstellen auf Sekunden verkürzen und den Entwicklern das Wissen vermitteln, das sie für die Sicherheit benötigen."

Irgendwelche abschließenden Gedanken?

Ich mag das Produkt, die Benutzeroberfläche, die Benutzerschnittstelle und die gesamte Benutzererfahrung sehr. Es hat uns Zeit gespart, unsere Sicherheitslage verbessert und den Prozess für alle Beteiligten so viel einfacher gemacht. Ich möchte dem Aikido-Team dafür danken, dass es eine so leistungsstarke Plattform entwickelt hat und immer für uns da war, wenn wir Fragen hatten.

"Machen Sie weiter mit der guten Arbeit. Aikido ist ein hervorragendes Produkt mit einem tollen Team dahinter."

‍