Hallo Marcus! Könntest du uns etwas über dich und die Tätigkeit von TechDivision erzählen?
Klar! Ich bin Senior Security Engineer bei TechDivision, wo ich auch unsere Cybersecurity Community of Practice leite. Ich bin verantwortlich für die Absicherung des Entwicklungslebenszyklus über alle Engineering-Teams hinweg.
Was TechDivision betrifft: Wir begannen als klassische E-Commerce-Agentur, haben uns aber zu dem entwickelt, was wir einen digitalen Enabler nennen. Das bedeutet, wir launchen nicht nur Shops, wir integrieren Datenquellen, entwickeln Marketingstrategien und begleiten unsere Kunden durch ihre gesamte digitale Transformation. Heute sind wir etwa 140 Mitarbeiter stark, wobei etwa die Hälfte des Teams im Engineering tätig ist.
Wie fügt sich Sicherheit also in dieses Bild ein?
Kurz gesagt: grundlegend. Für uns geht es bei Sicherheit um zwei Dinge: Stabilität und Vertrauen. Wenn wir digitale Strategien oder integrierte Plattformen entwickeln, möchten wir sicher sein, dass die Grundlagen solide sind. Und wir möchten, dass unsere Kunden darauf vertrauen, dass wir alles tun, um ihre Daten zu schützen.
Es gibt uns auch die nötigen Einblicke, um fundierte Entscheidungen zu treffen. Wenn wir zum Beispiel eine zentralisierte Authentifizierungsplattform einführen wollen, müssen wir zuerst die Risiken verstehen. Das ist es, was gute Sicherheit bietet: Kontext und Klarheit.
Gab es einen spezifischen Moment, in dem Sie erkannten: „Wir müssen die Sicherheit ernster nehmen“?
Ja, ein entscheidender Wendepunkt kam Anfang 2022 während der TrojanOrders-Angriffe, die auf Adobe Commerce (und Magento) Installationen abzielten. Obwohl die Kunden von TechDivision nicht betroffen waren (dank der Bereitstellung von Patches in derselben Woche), erhöhte der Vorfall das Bewusstsein für die Dringlichkeit zeitnaher Sicherheitsupdates erheblich. Er führte auch zu einer Veränderung in der Art und Weise, wie sowohl interne Stakeholder als auch Kunden mit Sicherheitspatches umgingen. Zuvor hatten einige Kunden wichtige Sicherheitsupdates monatelang aufgeschoben.
Später trug die CosmicSting-Schwachstelle von 2024 dazu bei, die Wirksamkeit unserer verbesserten Prozesse zu untermauern, und bestätigte, dass ihr proaktiver Ansatz wie beabsichtigt funktionierte.
Wie sah Security vor Aikido aus?
Ehrlich gesagt? Ein bisschen chaotisch. Ich hatte acht Security Champions in verschiedenen Engineering-Teams. Immer wenn etwas wie eine neue CVE auftauchte, musste ich jeden von ihnen kontaktieren, um zu prüfen, ob ihre Repos betroffen waren. Das war zeitaufwendig und schwer zu managen.
Wir haben sogar angefangen, ein eigenes internes Tool zur Verfolgung von Schwachstellen zu entwickeln, entschieden uns aber schließlich dafür, dass es sinnvoller ist, eine dedizierte Lösung zu verwenden. Wir haben einige andere ausprobiert, bevor wir uns für Aikido entschieden haben.
Was hat Sie dazu bewogen, nach etwas Neuem zu suchen?
Unser vorheriges Tool, das mit dem Hundelogo, bellte viel, lieferte aber nicht.
Eine Mischung aus verschiedenen Dingen. Die Preisgestaltung war ein Auslöser: Unser früheres Tool, das mit dem Hundelogo, bellte viel, lieferte aber nicht. Sie erhöhten die Preise erheblich, und das fühlte sich angesichts des Werts, den wir erhielten, nicht gerechtfertigt an. Hinzu kamen technische Einschränkungen. Unsere Infrastruktur ist ziemlich nicht standardisiert, sodass wir nicht das benötigte Integrationsniveau erreichen konnten.
Es gab auch Produktprobleme. Ihr IDE-Plugin stürzte bei größeren Repositories immer wieder ab, und wir ertranken in Fehlalarmen. Es kam so weit, dass unsere Entwickelnde das Tool nicht mehr nutzten.
Und dann haben Sie Aikido gefunden?
Ja! Was uns besonders auffiel, war, dass es sich anfühlte, als wäre es von Entwickelnden für Entwickelnde gebaut worden. Das Onboarding war reibungslos, der Support reaktionsschnell und die Workflows waren einfach logisch.
Was Aikido auszeichnete, war das Gefühl, dass es von Entwickelnden für Entwickelnde gebaut wurde.
Eine Sache, die ich wirklich schätze, ist die Rauschreduzierung. Aikidos Ansatz, insbesondere mit seiner Erreichbarkeitsanalyse, hilft uns, irrelevante Ergebnisse herauszufiltern, wie Secrets in Testdateien oder inaktive Abhängigkeiten, sodass wir uns auf echte, ausnutzbare Probleme konzentrieren können. Dieses Maß an Präzision hat einen spürbaren Unterschied darin gemacht, wie effizient wir Schwachstellen triagieren können.
Aikidos Erreichbarkeitsanalyse hilft uns, irrelevante Ergebnisse herauszufiltern, damit wir uns auf echte, ausnutzbare Probleme konzentrieren können.
Hat Aikido die Art und Weise verändert, wie Sie mit Kunden zusammenarbeiten?
Es hat unser Dienstleistungsangebot an sich nicht verändert, aber es hat definitiv den Wert, den wir liefern, gesteigert. Wir können jetzt mehr Sicherheitsarbeit in kürzerer Zeit erledigen, was unseren Kunden direkt zugutekommt.
Wir haben auch ein grundlegendes Sicherheitspaket, das wir in Projekte integrieren, und Aikido stärkt dieses Paket erheblich.
Wir können jetzt mehr Sicherheitsarbeit in kürzerer Zeit erledigen, was unseren Kunden direkt zugutekommt.
Was ist Ihr Lieblings-Feature?
Das ist einfach: die Möglichkeit, Abhängigkeiten über mehrere Workspaces hinweg zu suchen. Das war ein Game-Changer beim Triagieren von Problemen über Engineering-Teams hinweg. Ich bin auch gespannt darauf, einige der neueren Funktionen wie KI-Autofix und VM-Scan zu testen. Sie könnten leicht zu neuen Favoriten werden.
Wie war Ihre Erfahrung in der Zusammenarbeit mit dem Aikido-Team?
Ehrlich gesagt, fantastisch. Als wir auf ein Problem mit dem Authentifizierungs-Flow stießen, wurde es innerhalb einer Woche behoben. Eine solche Reaktionsfähigkeit ist selten.
Es gibt eine echte Offenheit in der Kommunikation, besonders im gemeinsamen Slack-Kanal. Man merkt, dass sich das Team wirklich kümmert und jeden Tag ein besseres Produkt entwickelt. Das ist erfrischend.
Man merkt, dass sich das Aikido-Team wirklich kümmert und jeden Tag ein besseres Produkt entwickelt. Das ist erfrischend.
Abschließende Gedanken?
Wenn Sie ein Unternehmen sind, das Security ernst nehmen möchte, ohne Ihren Entwickelnden Teams zusätzliche Reibung zu verursachen, ist Aikido eine klare Sache. Es ist effizient, durchdacht und entwicklerfreundlich. Es hilft uns, Vertrauen aufzubauen. Nicht nur bei unseren Kunden, sondern auch bei uns selbst.
