Hallo Marcus! Kannst du uns ein wenig über dich und die Arbeit von TechDivision erzählen?
Ich bin Senior Security Engineer bei TechDivision, wo ich auch unsere Cybersecurity Community of Practice leite. Ich bin für die Absicherung des Entwicklungslebenszyklus in allen Entwicklungsteams verantwortlich.
Was TechDivision betrifft: Wir haben als klassische E-Commerce-Agentur begonnen, haben uns aber zu dem entwickelt, was wir einen digitalen Enabler nennen. Das bedeutet, dass wir nicht nur Shops einrichten, sondern auch Datenquellen integrieren, Marketingstrategien entwickeln und unsere Kunden bei ihrer gesamten digitalen Transformation begleiten. Heute sind wir etwa 140 Mitarbeiter stark, wobei etwa die Hälfte des Teams in der Technik arbeitet.
Wie passt nun die Sicherheit in dieses Bild?
Mit einem Wort: grundlegend. Für uns geht es bei der Sicherheit um zwei Dinge: Stabilität und Vertrauen. Wenn wir digitale Strategien oder integrierte Plattformen entwickeln, wollen wir sicher sein, dass das Fundament solide ist. Und wir wollen, dass unsere Kunden darauf vertrauen, dass wir alles tun, um ihre Daten zu schützen.
Außerdem erhalten wir so die Erkenntnisse, die wir brauchen, um fundierte Entscheidungen zu treffen. Wenn wir zum Beispiel eine zentralisierte Authentifizierungsplattform einführen wollen, müssen wir zuerst die Risiken verstehen. Das ist es, was gute Sicherheit bietet. Kontext und Klarheit.
Gab es einen bestimmten Moment, in dem Sie erkannten: "Wir müssen die Sicherheit ernster nehmen"?
Ja, ein entscheidender Wendepunkt kam Anfang 2022 mit den TrojanOrders-Angriffen auf Adobe Commerce- (und Magento-) Installationen. Obwohl die Kunden von TechDivision nicht betroffen waren (dank der Bereitstellung von Patches in der gleichen Woche), schärfte der Vorfall das Bewusstsein für die Dringlichkeit rechtzeitiger Sicherheitsupdates. Der Vorfall führte auch zu einer Veränderung in der Art und Weise, wie sowohl interne Stakeholder als auch Kunden mit Sicherheits-Patches umgehen. Zuvor hatten einige Kunden wichtige Sicherheitsupdates um Monate verschoben.
Später trug die CosmicSting-Schwachstelle von 2024 dazu bei, die Wirksamkeit unserer verbesserten Prozesse zu bestätigen und zeigte, dass ihr proaktiver Ansatz wie beabsichtigt funktionierte.
Wie sah die Sicherheit vor Aikido aus?
Ehrlich gesagt? Ein bisschen chaotisch. Ich hatte acht Sicherheitsbeauftragte in verschiedenen Entwicklungsteams. Jedes Mal, wenn ein neues CVE auftauchte, musste ich mich an jeden von ihnen wenden, um zu prüfen, ob ihre Repos betroffen waren. Das war zeitaufwändig und schwer zu handhaben.
Wir begannen sogar, unser eigenes internes Tool zum Aufspüren von Schwachstellen zu entwickeln, entschieden aber schließlich, dass es sinnvoller war, eine spezielle Lösung zu verwenden. Wir haben ein paar andere ausprobiert, bevor wir bei Aikido gelandet sind.
Was hat Sie veranlasst, nach etwas Neuem zu suchen?
Unser vorheriges Tool, das mit dem Hundelogo, hat zwar viel gebellt, aber nichts gebracht.
Eine Mischung aus verschiedenen Faktoren. Ein Auslöser war die Preisgestaltung: Unser vorheriges Tool, das mit dem Hundelogo, hat zwar viel gebellt, aber nicht geliefert. Die Preise wurden erheblich angehoben, und das erschien uns angesichts des Wertes, den wir erhielten, nicht gerechtfertigt. Darüber hinaus hatten wir technische Einschränkungen. Unsere Infrastruktur ist ziemlich uneinheitlich, so dass wir nicht den Grad an Integration erreichen konnten, den wir brauchten.
Es gab auch Produktprobleme. Ihr IDE-Plugin stürzte bei größeren Repos immer wieder ab, und wir ertranken in Fehlalarmen. Das ging so weit, dass unsere Entwickler das Tool gar nicht mehr benutzten.
Und dann haben Sie Aikido gefunden?
Ja! Was uns auffiel, war, dass es sich anfühlte, als wäre es von Entwicklern für Entwickler entwickelt worden. Das Onboarding verlief reibungslos, der Support war reaktionsschnell und die Arbeitsabläufe machten einfach Sinn.
Aikido zeichnete sich dadurch aus, dass es sich anfühlte, als wäre es von Entwicklern für Entwickler entwickelt worden.
Eine Sache, die ich sehr schätze, ist die Rauschunterdrückung. Der Ansatz von Aikido, insbesondere die Erreichbarkeitsanalyse, hilft uns dabei, irrelevante Ergebnisse wie secrets in Testdateien oder inaktive Abhängigkeiten herauszufiltern, damit wir uns auf echte, ausnutzbare Probleme konzentrieren können. Dieses Maß an Präzision hat einen spürbaren Unterschied darin gemacht, wie effizient wir Schwachstellen eingrenzen können.
Die Erreichbarkeitsanalyse von Aikido hilft uns, irrelevante Ergebnisse herauszufiltern, damit wir uns auf echte, ausnutzbare Probleme konzentrieren können.
Hat Aikido die Art und Weise verändert, wie Sie mit Ihren Kunden arbeiten?
Es hat unser Dienstleistungsangebot an sich nicht verändert, aber es hat definitiv den Wert, den wir liefern, erhöht. Wir können jetzt mehr Sicherheitsaufgaben in kürzerer Zeit erledigen, was unseren Kunden direkt zugute kommt.
Wir haben auch ein grundlegendes Sicherheitspaket, das wir in unsere Projekte einbeziehen, und mit Aikido wird dieses Paket erheblich verstärkt.
Wir können jetzt mehr Sicherheitsaufgaben in kürzerer Zeit erledigen, was unseren Kunden direkt zugute kommt.
Was ist Ihr Lieblingsmerkmal?
Das ist ganz einfach: die Möglichkeit, über mehrere Arbeitsbereiche hinweg nach Abhängigkeiten zu suchen. Das ist ein entscheidender Vorteil, wenn es darum geht, Probleme in verschiedenen Entwicklungsteams zu lösen. Ich freue mich auch darauf, einige der neueren Funktionen auszuprobieren, wie AI AutoFix und VM-Scannen. Sie könnten leicht zu neuen Favoriten werden.
Welche Erfahrungen haben Sie bei der Zusammenarbeit mit dem Aikido-Team gemacht?
Ehrlich gesagt, fantastisch. Als wir ein Problem mit dem Authentifizierungsfluss hatten, wurde es innerhalb einer Woche behoben. Diese Art von Reaktionsfähigkeit ist selten.
Die Kommunikation ist sehr offen, vor allem im gemeinsamen Slack-Kanal. Man merkt, dass sich das Team wirklich kümmert und jeden Tag ein besseres Produkt entwickelt. Das ist erfrischend.
Man merkt, dass sich das Aikido-Team wirklich kümmert und jeden Tag ein besseres Produkt entwickelt. Das ist erfrischend.
Abschließende Gedanken?
Wenn Sie ein Unternehmen sind, das Sicherheit ernst nimmt, ohne Ihre Entwicklerteams zu belasten, dann ist Aikido ein Muss für Sie. Es ist effizient, durchdacht und entwicklerfreundlich. Es hilft uns, Vertrauen aufzubauen. Nicht nur bei unseren Kunden, sondern auch bei uns selbst.
Wenn Sie ein Unternehmen sind, das Sicherheit ernst nimmt, ohne Ihre Entwicklerteams zu belasten, dann ist Aikido ein Muss für Sie. Es ist effizient, durchdacht und entwicklerfreundlich. Es hilft uns, Vertrauen aufzubauen. Nicht nur bei unseren Kunden, sondern auch bei uns selbst.
.svg){kind=logo}
%201.svg)
