In der HR-Tech-Branche, wo der Umgang mit sensiblen Mitarbeiter- und Organisationsdaten den Kern des Produkts bildet, hat Simployer Sicherheit zu einer Säule seines Entwicklungsprozesses gemacht. Simployers Plattform, die in den nordischen Ländern ansässig ist und über 12.000 Unternehmen und eine Million Benutzer bedient, hilft Unternehmen, HR-Operationen zu optimieren, von der rechtlichen Compliance bis zum Mitarbeiterengagement.
Um das Innovationstempo beizubehalten und gleichzeitig sicher und compliant zu bleiben, wandte sich Simployer an Aikido.
Security als gemeinsame Verantwortung
Für Simployer beginnt Sicherheit im Kern der Arbeitsweise von Teams. Peder Nordvaller, CTO bei Simployer, beschreibt es einfach:
“Sicherheit spielt eine enorme Rolle bei dem, was wir tun. Wir verarbeiten personenbezogene Daten, die nicht nur privat sind – sie sind entscheidend für die Geschäftsabläufe unserer Kunden.”
In der gesamten Engineering-Organisation von Simployer ist Sicherheit nicht isoliert. Stattdessen ist sie in den täglichen Entwicklungszyklus jedes Teams integriert. Von der Infrastruktur bis zu den Frontend- und Backend-Teams teilen sich alle die Verantwortung für die Sicherheit der Systeme.
Said, Tech Lead bei Simployer, formuliert es so: „Jedes Team ist für seinen Bereich verantwortlich. Dazu gehört auch die Sicherheit der Dinge, die sie entwickeln.“
Doch obwohl diese Kultur stark ist, bedurfte es dennoch der richtigen Tools, um sie zu unterstützen. Besonders als das Unternehmen wuchs.
Die Herausforderung: schnell wachsen, ohne die Kontrolle zu verlieren
Als Simployer seine Entwicklung schnell skalierte, standen seine Teams vor einer Herausforderung: wie sie ihre Sicherheitslage robust halten können, ohne die Innovation zu verlangsamen.
„Wir investieren stark in die Produktentwicklung“, erklärt Peder. „Wir mussten sicherstellen, dass unser Sicherheitsansatz mit unserem Wachstum Schritt halten konnte.“
Simployer hatte verschiedene Tools für das Code- und Infrastruktur-Scanning ausprobiert, von Snyk bis hin zu den integrierten Lösungen von GitLab. Doch die meisten Plattformen schufen mehr Probleme, als sie lösten:
- Hohe Rauschpegel und unklare Prioritäten
- Manuelle Triage, die die Zeit der Entwickelnden beanspruchte
- Geringe Akzeptanz aufgrund einer umständlichen UX
Said führt aus: „Es gab viel Rauschen, und man verbrachte Zeit damit, sich in Probleme zu vertiefen, die nicht relevant waren. Es war einfach nicht klar, worauf man sich konzentrieren sollte.“
Für ein Unternehmen mit mehreren Entwicklungsteams, die parallel arbeiten, war diese Fragmentierung nicht tragbar.
Warum Simployer sich für Aikido entschied
Das Team suchte nach einer Lösung, die Klarheit, Geschwindigkeit und eine nahtlose Integration in bestehende Workflows bieten konnte. Da stießen sie auf Aikido.
„Das Erste, was uns auffiel, war, wie intuitiv die Benutzeroberfläche war“, erinnert sich Said.
„Man steigt ein, sieht die relevanten Schwachstellen und behebt sie schnell.“
Aikido half sofort dabei, die kognitive Belastung für Entwickelnde zu reduzieren, indem es Schwachstellen gruppierte und priorisierte und umsetzbare Korrekturen bereitstellte. Das Tool integrierte sich direkt in Simployers CI/CD-Pipeline und bestehende Workflows, was die Einführung reibungslos gestaltete.
Zwei Dinge fielen auf:
- Intelligente Priorisierung: „Sie wissen genau, worauf Sie achten müssen und was tatsächlich kritisch ist.“
- Auto-Fix: „Wenn es automatisch behoben werden kann, dann wird es das einfach. Das ist ein Game-Changer.“
Said fügt hinzu: „Die Geschwindigkeit der Problemlösung ist unglaublich. Wir haben Probleme in weniger als einer Minute behoben. Aikido erstellt den Pull Request, die Tests laufen durch, und es ist erledigt.“
„Die Geschwindigkeit der Problemlösung ist unglaublich. Wir haben Probleme in weniger als einer Minute behoben. Aikido erstellt den Pull-Request, die Tests laufen erfolgreich durch, und es ist erledigt.“
Sicherheit als Teil des Dev-Flows etablieren
Einer der größten Erfolge für Simployer war, wie nahtlos Aikido Teil der Entwickelnden-Erfahrung wurde.
„Es hat die Art und Weise verändert, wie wir mit Sicherheit umgehen“, teilt Peder mit. „Jetzt behandeln wir Sicherheit wie jede andere Aufgabe in unserer täglichen Arbeit.“
Indem Aikido Sicherheit in bestehende Tools integrierte und Teams umsetzbare Erkenntnisse lieferte, half es, das Hin und Her zwischen Entwickelnden und Sicherheitsteams zu eliminieren. Das bedeutete weniger Kontextwechsel – und schnelleren, sichereren Code.
Die Abdeckung von Aikido über Simployers gesamten Tech-Stack hinweg – vom Anwendungscode über IaC bis hin zu Open-Source-Abhängigkeiten – ermöglichte es dem Team zudem, ein vollständiges Bild ihrer Sicherheitslage von einem einzigen Dashboard aus zu erhalten.
Blick nach vorn: Skalierung mit Zuversicht
Mit Aikido hat Simployer den Grundstein für eine sicherheitsorientierte Entwicklungskultur gelegt, die ihr Momentum nicht bremsen wird.
- Entwickelnde beheben Schwachstellen jetzt in Minuten, nicht in Tagen
- Sicherheit ist in den Entwicklungslebenszyklus eingebettet, nicht nachträglich angefügt.
- Teams haben Transparenz über den gesamten Stack, von Code bis zur Cloud.
- Manuelle Triage wird reduziert, und Fixes erfolgen oft automatisch
„Es ist einfacher, das Richtige zu tun, wenn das Tooling dich unterstützt“, reflektiert Said. „Und wenn es so einfach ist, tun es Entwickelnde tatsächlich.“
„Es ist einfacher, das Richtige zu tun, wenn das Tooling dich unterstützt. Und wenn es so einfach ist, tun es Entwickelnde tatsächlich.“
