Suchen

Cloud Native Security von der Alice & Bob.Company Security von Anfang an

Autor: Sylvia Lösel

Bei Elektromobilität ist in Deutschland schon passiert, was ein Berliner Startup gerne für die Security-Branche verhindern möchte. Nämlich überholt zu werden. Überholt von schnellen, agilen Unternehmen, während man als Traditionsunternehmen noch verzweifelt versucht, in seiner Komfortzone zu bleiben. Was sich ändern muss? Sehr viel...

Firmen zum Thema

Ein neuer Blick auf Security - Cloud-Native-Anbieter Alice & Bob sorgt für sichere Projektbeschleunigung.
Ein neuer Blick auf Security - Cloud-Native-Anbieter Alice & Bob sorgt für sichere Projektbeschleunigung.
(Bild: © Ramona Heim – adobe.stock.com)

Sebastian Schäffer spricht gerne in Bildern. Von Tankern ist die Rede, vom Tyrannosaurus Rex, aber auch von Schnellbooten und den Cool Kids on the Block. Die Bilder lassen ahnen, worum es ihm geht: Darum, verkrustete Strukturen aufzubrechen und stattdessen coole Projekte umzusetzen. Der Security-Branche den Nimbus des grauen „Department of No“ zu nehmen und ihr stattdessen einen bunten Anstrich zu verpassen. Und Schäffer ist auf dem besten Weg dorthin, ist er doch Mitgründer des Startups Alice & Bob.Company, das sich Beratung für Security-Projekte in Unternehmen mit DevOps-Teams auf die Fahnen geschrieben hat und als Cloud-Native-Anbieter Partner von AWS ist. Die Alice & Bob.Company wurde im August 2019 von Mario Apitz gegründet, der zuvor lange Jahre bei Unbelievable Machine tätig war.

Vom starren Silo zum atmenden Objekt

„Als Startup das Thema Security zu besetzen, ist schwierig, weil das halt so ein erzkonservatives Thema ist. Aber mit harter Arbeit kriegen wir das hin“, ist er absolut überzeugt. „Lange Zeit wurde das Thema Security nicht neu gedacht. Eine traditionelle IT-Infrastruktur kann man sich als Würfel mit sechs Seiten vorstellen. Höhere Mauern führen zu mehr Sicherheit. Doch heute ähnelt Security viel mehr einem Rubik's Cube - sie muss agil sein, man arbeitet in verteilten Cloud-Infrastrukturen mit Microservices. Das ist ein atmendes Objekt und total fragmentiert, und deshalb muss man völlig anders an das Thema herangehen, als das bislang der Fall war.“

„Früher war alles zentral von der IT geregelt. Und weil man dort oft lange warten musste, wenn man Unterstützung für Projekte brauchte, sind die Fachbereiche irgendwann dazu übergegangen, mit der eigenen Kreditkarte Cloud-Services in Anspruch zu nehmen. Denn man wollte zum Beispiel Rohstoffpreise mittels Machine Learning vorhersagen können.“ Das war quasi die Geburtsstunde einer Entwicklung, die den Erfolg der Hyperscaler erklärt und dem Startup nun in die Hände spielt, denn die Alice & Bob.Company ist ausgewiesener AWS-Partner „Unser Stichwort lautet: Security as Code. In Unternehmen gibt es DevOps-Teams, sozusagen ein Zusammenschluss von Entwicklung und Betrieb. Diese arbeiten in acht Phasen in einer Unendlichkeitsschleife. Und wenn man jetzt noch Security dazunimmt wird daraus DevSecOps und im laufenden Prozess jeweils Security mit eingewoben.“

ITB: Wie muss man sich das in der Praxis vorstellen?

Schäffer: Unser Zauberwort heißt: Security Champions. Man muss in einem Entwicklungsteam eine Person zum Security Champion machen. Der hat den Hut auf, Security as a Code zu implementieren. Ein Beispiel: wenn das Team mit dem Coding fertig ist, gibt es ein Code Review, in dem darauf geschaut wird, ob personenbezogene Daten eine Rolle spielen, ob irgendwelche Passwörter nicht gehasht wurden, oder, oder, oder... Und erst wenn alles passt, gibt es ein Go für die nächste Phase. Oder wir machen Continuous Auditing. Das heißt, jedes Mal, wenn ein Stück Software live geht, wird dieses direkt überprüft. Alles, was jetzt hier noch ein hochgradig manueller Prozess ist, wird sukzessive automatisiert. Und dafür ist der Security Champion verantwortlich. Er arbeitet also nicht am Bau der Applikation selbst mit, sondern er hat die Aufgabe, Security as Code in dieser Pipeline zu implementieren.

ITB: Und welche Rolle spielt dabei Alice & Bob?

Schäffer: Wir sind am Anfang der Security Champion. Wir zeigen den Leuten, wie das geht, und machen einmal die Woche Workshops mit dem Team. Das sind dann ganz verschiedene Themen wie beispielsweise Threat Modeling oder Pentesting. Unser Ziel ist, dass die Kunden das irgendwann selbst machen können. Wir wollen uns nicht über Jahre in einer Firma festsetzen.

ITB: Ihr macht Euch also selbst überflüssig?

Schäffer (lacht): Also erstens gibt es ganz viele Kunden und im Moment noch wenig Wettbewerb. Klar, das wird sich ändern. Aber es gibt noch ganz viele neue Themen, die wir angehen wollen. Wir denken da an eigene Produkte, die Security, gestützt von KI, implementieren. Ich will niemanden von uns abhängig machen. Ich will, dass die Leute sagen: Mit denen will ich zusammenarbeiten!

Coole, innovative Produkte

Die Zeiten, in denen Budget für Security erst in die Hand genommen wird, wenn ein Angriff erfolgreich war, sollten, wenn es nach Schäffer geht, vorbei sein. Man müsse verstehen, dass man das alles von vornherein sicher gestalten muss. „Gerade wenn man kritische Workloads oder personenbezogene Daten in die Cloud bringt. Ich will nicht konservativ klingen – aber ja, man muss das sicher gestalten.“ Alles gehe zudem in Richtung Automatisierung, und das ist auch wichtig. „Denn du kannst diesem Biest nicht mehr Herr werden, wenn du nicht mehr automatisierst. Denn man findet zwar noch Entwickler, bei der Betriebsmannschaft wird es aber schon schwieriger. Die Kunden wollen coole, innovative Produkte entwickeln. Und das schnell, denn die sollen ja irgendwann auch Geld einbringen. Deshalb gilt es, die ganzen nervigen Tasks von den Leuten fernzuhalten und alles zu automatisieren, was man kann.“

Was hat es mit dem Tyrannosaurus Rex auf sich?

Und da ist das Berliner Startup gerade kräftig dabei. Innerhalb eines Jahres ist die Mannschaft auf nun elf Mitarbeiter angewachsen. Im Segment Cloud-nativer Security-Beratung auf AWS sieht das Unternehmen sich fast alleine auf dem Markt. Einzig die Direkt Gruppe zählt Schäffer zum Mitbewerb. Doch die berate eher beim Weg in die Cloud und nehme den Kunden Ängste. „Wenn wir kommen, sind die Strukturen bereits da, und es gibt konkrete Vorhaben, beispielsweise mit den Personaldaten in die Cloud zu gehen, um Machine Learning zu nutzen, um die passenden Bewerber anzusprechen.“ Ein weiteres wichtiges Thema ist Privacy Shield, das durch das aktuelle Urteil für Brisanz sorgt.

„Es gibt ein Bild von einem Mädchen, auf dessen T-Shirt Freedom steht und das einen Tyrannosaurus Rex an der Leine führt, auf dessen Brust Security steht. Was sagt das aus? Man muss immer sehen, dass beides in der Waage bleibt. Nur so können die gemeinsam spazieren gehen . Wenn du eine extrem hohe Security hast, frisst das die Freiheit auf. Ist es anders herum, bist du angreifbar. Es gibt keine absolute Security. Doch die gab es noch nie.“

Man merkt Schäffer die Begeisterung für das Thema an. Gefragt nach seiner Motivation legt er nach: „Mein persönliches Ziel ist auch, für den Industriestandort Deutschland die Digitalisierung zu beschleunigen und den Leuten zu zeigen: Security ist kein Bremsklotz, sondern ein Beschleuniger. Ich hab da so viel Spass dran, weil ich glaube, dass es jedem Unternehmen hilft, mit Automatisierung schnell coole Produkte auf den Markt zu bringen. Wir sind die Cool Kids on the Block. Wir können aus einem trägen Tanker, ein Schnellboot machen.“ Man glaubt es ihm.

(ID:46928512)

Über den Autor

 Sylvia Lösel

Sylvia Lösel

Chefredakteurin