Pragmatismus in der IT-Security: Wie CYAN Security Group GmbH unter Alexander Zlatnik ein produktnahes Engineering, klare Prozesse und sinnvolle Technologieentscheidungen lebt

Kontext: Ein Tech-Team im Sicherheitsumfeld mit Produkt- und Kundenfokus

In unserer Session mit „Alexander Zlatnik, Head of Product & Technology von cyan Digital Security“ bei der CYAN Security Group GmbH haben wir einen selten klaren Blick auf eine produktgetriebene Tech-Organisation im Sicherheitsumfeld bekommen. Rund 50 Kolleginnen und Kollegen arbeiten in der Technologieabteilung – nicht als isolierte Silos, sondern entlang eines End-to-End-Verantwortungsmodells, das Entwicklung, Qualitätssicherung und Betrieb unter einem Dach vereint.

Die Struktur folgt der Produktrealität: Für die beiden Produkte gibt es jeweils einen Product Owner, flankiert von einem Scrum Master, der die Organisation und den Product Owner unterstützt. Solution-Architekt:innen arbeiten direkt mit Kunden an der Abstimmung und dem Bau von Lösungen. Quality Assurance testet mit einem wachsenden Fokus auf Automatisierung, und Operations ist bewusst im Technologieteam integriert, weil CYAN die eigenen Plattformen selbst betreibt. Dieser Aufbau ist mehr als Organigramm – er ist Ausdruck einer Kultur, die Stabilität, Security und Kundennähe ernst nimmt.

Produktorganisation und Delivery-Rhythmus: Zwei Wochen, klare Schnittstellen

Zentral für das Tagesgeschäft sind klare Abläufe in zweiwöchigen Iterationen. Je nach Kontext arbeitet CYAN mit Scrum oder Kanban:

• Interne Produktentwicklung: Scrum in zweiwöchigen Sprints.
• Kundennahe Arbeit/Projekte: Kanban bzw. Anpassung an den Projektablauf des Kunden.

Die Übergaben in Richtung QA finden innerhalb des Sprints statt. „Im besten Fall“ – so Zlatnik – approvt die QA am Ende des Sprints alle Tickets, andernfalls gehen Tasks transparent in den nächsten Sprint. Diese Pragmatik ist kein Selbstzweck, sondern passt zu einem Security-Produktunternehmen, das Verlässlichkeit liefern muss und für das Qualitäts- und Sicherheitskriterien nicht verhandelbar sind.

Teamzuschnitt: Cross-funktional, produktnah, betreibend

Alexander Zlatnik beschreibt die Technologieabteilung als Zusammenspiel mehrerer Disziplinen:

• Projektmanagement: Koordination, Steuerung und Abstimmung.
• Softwareentwicklung: Java-Backend, C++ für Filter-Engines, Mobile und Web.
• Solution-Architektur: Brücke zum Kunden, Übersetzen von Anforderungen in Systemdesigns.
• Quality Assurance: Heute noch viel manuell, aber mit klarer Automatisierungs-Roadmap.
• Operations: Im Tech-Team integriert, weil CYAN die Plattformen selbst betreibt.

Diese Struktur vermeidet Reibungsverluste und erhöht das gemeinsame Verantwortungsgefühl. Wenn Operations im selben Team sitzt, werden Deployments, Monitoring und Skalierung zu Themen aller, nicht zu später Eskalationstreibern. Für ein ISO-zertifiziertes Security-Unternehmen ist diese Nähe zwischen Entwicklung und Betrieb ein starker Hebel.

Tech-Stack: Bewährtes, wo Sicherheit zählt – Modernes, wo es Mehrwert bringt

Zlatnik formuliert offen das Spannungsfeld, in dem sich ein Security-Produktunternehmen bewegt: Kandidat:innen wünschen sich oft die „neuesten Technologien“. In der Sicherheit gilt jedoch: Bewährte Technologien sind häufig die beste Wahl – nicht aus Bequemlichkeit, sondern aus Verantwortung und Stabilitätsgründen.

Der Stack ist breit, aber fokussiert:

• Backend: Java
• Sicherheitskritische Filter-Engines (beim Kunden): C++ mit klarem Performance-Fokus
• Mobile: Kotlin (Android) und Swift (iOS) im Core; Flutter für die Frontends
• Frontend (Web): Angular
• Datenbanken: Postgres für große Plattformthemen; MongoDB für kleinere, schnelle Aufgaben
• QA-Automatisierung: Cucumber und Selenium (laufendes internes Projekt)
• Infrastruktur: Ansible; internes Projekt zu Kubernetes

Besonders erwähnenswert ist die mobile Architektur: CYAN trennt bewusst Core und Frontend. Der Core verbleibt nativ, um Performance, Sicherheit und Plattformfeatures sauber zu kapseln. Für die UI-Schicht nutzt das Team Flutter, um schneller und konsistenter in beiden Welten liefern zu können.

Diese Architekturentscheidung entlastet das Staffing-Problem „2 Android + 2 iOS“ und hält gleichzeitig die Stärken nativer Entwicklung im Kern.

Qualität und Sicherheit: ISO-Prozesse, sinnvolle Automatisierung, realistische Grenzen

CYAN ist ISO-zertifiziert und hält die damit verbundenen Prozesse ein. Das zeigt sich unter anderem in Pflege- und Update-Routinen für Libraries – gerade dort, wo Open Source eingesetzt wird. Im Testing ist heute noch viel Handarbeit erforderlich, doch die Richtung ist klar: mit Cucumber und Selenium werden Mobile- und Web-Tests schrittweise automatisiert.

Gleichzeitig vermeidet das Team Innovations-Theater. Kubernetes evaluiert CYAN intern – mit einem wachen Blick dafür, dass die eingesetzten Technologien bei Kunden auch wirklich supported werden. Neueste Tools sind großartig, aber nur dann wertvoll, wenn sie im Kundenkontext tragfähig sind.

Diese klare Haltung schützt Teams vor Technologie-Hopping und orientiert Entscheidungen an Produkterfolg und Kundennutzen.

Recruiting: Lean, menschlich, fachlich belastbar – mit schneller Entscheidung

Das Recruiting folgt einem nachvollziehbaren, kompakten Prozess mit wenigen, gut vorbereiteten Schritten:

1. Bewerbung: Direkt über die Website oder verschiedene Kanäle.
2. Initiales Screening: Durch HR oder den zuständigen Teamlead.
3. Erstes Interview: Mit Teamlead, per Video oder bevorzugt vor Ort. Ziel: Erwartungshaltungen beidseitig transparent machen und Skills grob abklopfen. Lebenslauf-Bögen (z. B. kürzere Stationen) werden bewusst nachgefragt, um ein gutes Gesamtbild zu erhalten.
4. Zweite Runde (rollenabhängig): Fallbeispiel – sowohl in der Softwareentwicklung als auch im Produktmanagement. Wichtig ist die Herangehensweise: unklare Anforderungen adressieren, Annahmen formulieren, strukturiert arbeiten. Es geht ausdrücklich nicht um einzelne Codezeilenpräzision.
5. Review & Team-Einbindung: Case-Review durch Teamlead oder Product Owner; Gespräch mit dem Team (typisch 3–4 Personen).

Nach der zweiten Runde fällt die Entscheidung „innerhalb von ein, zwei Tagen“. Angebot folgt per E-Mail, bei Zusage startet die Paperwork. Für Kandidat:innen ist das spürbar schlank: keine Endlosschleifen, dafür echtes Team-Feedback und klare Kommunikation.

Onboarding: Systematisch, abteilungsübergreifend, mit realistischen Erwartungen

CYAN betreibt ein strukturiertes Onboarding:

• Department-Roundtrip: Der oder die Neue durchläuft alle Abteilungen und erhält je eine rund zweistündige Einführung durch die jeweiligen Teamleads.
• Produkt- und Sales-Einbindung: Produktmanagement erklärt Produkte, Kunden und Rollouts; Sales gibt Einblick in Materialien, Präsentationen und Go-to-Market.
• Produktivstart: Früher Einstieg in kleinere Themen bzw. erste Code-Beiträge. Ziel ist Berührung mit Schnittstellen und Codebasis – ohne sofort in den sensiblen Core zu springen.

Wichtig ist die Erwartungshaltung: Niemand muss „am ersten Tag 100 Zeilen Code“ liefern. Selbständige Mitarbeit an Projekten wird in einem realistischen Zeitfenster von drei bis sechs Monaten erwartet – eine ehrliche Ansage, die Stress reduziert und Lernen ermöglicht.

Zusammenarbeit mit Kunden: Solution Architecture als Brücke, Delivery mit Qualitätsgurtung

Die Rolle der Solution-Architekt:innen ist bei CYAN nicht dekorativ, sondern zentral. Sie übersetzen Kundenanforderungen in Lösungen und stimmen den Bau gemeinsam ab. In der Delivery bedeutet das: klare Backlog-Strukturen, abgestimmte Sprints und Übergaben an QA innerhalb der Iteration. Was am Sprintende nicht fertig ist, wird ohne Drama in den nächsten Sprint verschoben – Prozessdisziplin als Qualitätsgurtung statt Hektik.

Dieser realistische Umgang mit Komplexität zahlt auf die Produktstabilität ein, die Security-Kunden erwarten. Kombiniert mit der integrierten Operations-Verantwortung bleibt das Team nah am Betrieb und den realen Anforderungen im Feld.

Engineering-Kultur: Verantwortung, Augenmaß und Respekt für Randbedingungen

Die Kultur, die in der Session sichtbar wird, lässt sich in drei Leitgedanken zusammenfassen:

• Verantwortung statt Mode: Entscheidungen werden am Kundennutzen, an Security-Anforderungen und an Wartbarkeit ausgerichtet – nicht an Schlagworten.
• Augenmaß bei Technologie: „Neu“ ist kein Selbstzweck. Modernisierung findet gezielt statt, etwa über Flutter im Mobile-Frontend oder Automatisierung in der QA.
• Respekt für reale Bedingungen: Kunden müssen Technologien wie Kubernetes auch supporten können. CYAN investiert intern in Know-how, bevor die Einführung extern argumentiert und verantwortet wird.

Diese Haltung ist attraktiv für Entwickler:innen, die in einem professionellen, produktnahen Umfeld arbeiten möchten – mit viel Einfluss auf echte Systeme und mit Prozessen, die Qualität priorisieren.

Für wen passt CYAN? Konkrete Gründe, die uns überzeugt haben

Aus Employer-Branding-Sicht haben wir mehrere klare Pluspunkte für Tech-Talente identifiziert:

• Schnelle, faire Entscheidungen im Recruiting: „innerhalb von ein, zwei Tagen“. Keine endlosen Runden, dafür echtes Team-Feedback und ein strukturiertes Case-Format.
• Klarer Onboarding-Pfad: Abteilungsübergreifende Einblicke, frühe – aber verantwortete – Hands-on-Aufgaben, realistische Ramp-up-Zeit von drei bis sechs Monaten.
• End-to-End-Verantwortung: Entwicklung und Betrieb in einem Team – sinnvoll, wenn man Security-Produkte selbst betreibt und Stabilität beweisen muss.
• Pragmatismus im Tech-Stack: Nativ im Core, Flutter für UI-Agilität; Java und C++ dort, wo Performance und Sicherheit zählen; Angular, Postgres und MongoDB pragmatisch kombiniert.
• Echtes Qualitätsversprechen: ISO-Zertifizierung, gepflegte Library-Prozesse, schrittweise Testautomatisierung mit Cucumber und Selenium.
• Realitätsnahe agile Praxis: Zweiwöchige Sprints, QA-Checks innerhalb der Iteration, Kanban dort, wo der Kundenkontext es verlangt.
• Kundennähe durch Solution Architecture: Anforderungen werden nicht weitergereicht, sondern gemeinsam bearbeitet.

Wer Technik mit Wirkung bauen will – und dafür ein Umfeld sucht, das Stabilität, Security und Produkt-Outcome ernst nimmt –, findet hier eine stimmige Heimat.

Was die Fallbeispiele im Hiring über die Arbeit sagen

Zlatnik beschreibt die Case-Runden nicht als Härtetest auf Codezeilenebene, sondern als Fenster in die Arbeitsweise der Kandidat:innen:

• Wie gehe ich mit unvollständigen Anforderungen um?
• Welche Annahmen treffe ich und wie dokumentiere ich sie?
• Wie strukturiere ich Lösungswege, wenn Details fehlen?

Diese Fragen sind exakt die, die sich in einer produktnahen Security-Organisation täglich stellen. Wer das mag, wird die Arbeit als erfüllend erleben – wer nur „glänzende neue Tools“ sucht, weniger.

Mobile-Strategie: Ein best of both worlds, das skaliert

Die Entscheidung, Core (Kotlin/Swift) und Frontend (Flutter) zu trennen, entstand aus praktischen Team-Erfahrungen. Natives Core-Engineering sichert Performance und Zugriff auf Plattform-Schnittstellen; Flutter sorgt für schnelle, konsistente UI-Iterationen über Plattformen hinweg. Gleichzeitig reduziert diese Aufteilung die Notwendigkeit, parallel große Android- und iOS-Teams zu betreiben.

Das Ergebnis: ein Setup, das in den letzten Jahren „drastisch“ verbessert wurde – nicht aufgrund eines Hypes, sondern aufgrund klarer Produkt- und Teamziele.

Datenhaltung und Performance: Das richtige Werkzeug für die richtige Aufgabe

Mit Postgres für große Plattform-Themen und MongoDB für kleinere, schnelle Anforderungen wählt CYAN eine doppelte Datenstrategie, die vielen modernen Produktteams bekannt vorkommt. Sie ist nicht dogmatisch, sondern zweckorientiert. In den sicherheitskritischen Filter-Engines zeigt sich diese Denke in Reinform: C++ mit Performance- und Durchsatzfokus, ausgeliefert beim Kunden vor Ort.

Dieses Set aus bewährten und zielgerichteten Technologien minimiert Risiko und maximiert Verlässlichkeit – eine wichtige Kombination im Security-Markt.

QA-Transition: Vom manuellen Testen zur sinnvollen Automatisierung

Heute testet CYAN noch überwiegend manuell. Gleichzeitig ist die Automatisierung mit Cucumber und Selenium ein aktives internes Projekt. Der Ansatz ist pragmatisch: Automatisierung dort, wo Stabilität und Wiederholbarkeit den größten Hebel haben – insbesondere rund um Mobile- und UI-Flows, die häufig iterieren. Dieser Weg ist realistisch und erfahrungsgesättigt; er vermeidet die Falle, „alles sofort automatisieren zu wollen“, ohne Nutzenbezug.

Infrastruktur: Ansible bewährt, Kubernetes mit Bedacht

Mit Ansible setzt CYAN auf ein etabliertes Werkzeug für Provisionierung und Konfigurationsmanagement. Kubernetes wird intern erprobt – mit der klaren Einschränkung, dass nicht jeder Kunde die Technologie unterstützen kann. Für ein Unternehmen, das Plattformen selbst betreibt und im sensiblen Sicherheitskontext agiert, ist das eine vernünftige Priorisierung.

Zitatstrecke: Was hängen bleibt

• „Zwei Wochen Sprints … Kanban oder Scrum – abhängig vom Projekt.“
• „Im besten Fall approvt die QA am Ende des Sprints alle Tickets – sonst in den nächsten Sprint.“
• „Case-Beispiele, um die Herangehensweise zu sehen – nicht Codezeilen zählen.“
• „Vier-, sechs-, acht-Augen-Prinzip statt Bauchgefühl – Entscheidung in ein, zwei Tagen.“
• „Onboarding mit Abteilungs-Tour und frühen, kleinen Aufgaben – drei bis sechs Monate bis zur Eigenständigkeit.“
• „Core nativ (Kotlin/Swift), UI mit Flutter – flexibel und dynamisch.“
• „C++ für Filter-Engines beim Kunden – Performance zuerst.“
• „ISO-Prozesse, Open-Source-Pflege, Automation mit Cucumber/Selenium.“
• „Kubernetes intern – Einsatz beim Kunden nur, wenn supportbar.“

Fazit: Ein sicherheitsorientiertes Produktteam, das Verantwortung ernst nimmt

Wer die Session mit „Alexander Zlatnik, Head of Product & Technology von cyan Digital Security“ aufmerksam verfolgt, erkennt eine Organisation, die Reife und Pragmatismus ausstrahlt. Die CYAN Security Group GmbH entwickelt und betreibt sicherheitskritische Produkte – und richtet ihre Prozesse, Tooling-Entscheidungen und Teamstrukturen konsequent auf diesen Anspruch aus.

• Technisch: Bewusstes Set aus Java, C++, Kotlin/Swift und Flutter; Angular im Web; Postgres und MongoDB; Ansible, mit Blick auf Kubernetes.
• Prozessual: Zweiwöchige Sprints, QA im Sprint, Kanban nach Kundenbedarf; ISO-konforme Pflegeprozesse.
• Kulturell: Verantwortung für Betrieb, klare Qualitätsgurtung, realistische Erwartungen an neue Kolleg:innen.
• Arbeitgeberseitig: Schlankes, faires Recruiting mit schneller Entscheidung; Onboarding, das Orientierung gibt und Zeit für echte Eigenständigkeit lässt.

Für Entwickler:innen, QA- und DevOps-Profile, die Wirkung vor Buzzword-Index stellen, ist CYAN ein Umfeld mit Substanz: moderne Werkzeuge dort, wo sie echten Mehrwert stiften – und bewährte Technologien dort, wo Sicherheit und Performance Priorität haben. Eine Kombination, die Vertrauen schafft – intern wie extern.

• 

  

  Milen, Teamlead Project Managemtn at CYAN Security Group

  Jetzt ansehen
• 

  

  Alexander Zlatnik, Head of Product and Development at CYAN Security Group

  Jetzt ansehen
• 

  

  Markus Cserna, CTO von cyan Digital Security

  Markus Cserna von cyan Digital Security umreißt im Interview die Organisation des Cybersecurity Unternehmens, mit welchen Technologien dort gearbeitet wird und gibt Einblicke in das Recruiting und Onboarding neuer Mitarbeiter.

  Jetzt ansehen

• 

  

  Mislav Findrik, Research Engineering Lead bei cyan Digital Security

  Mislav Findrik von cyan Digital Security spricht im Interview über seinen Werdegang – angefangen von der Schule bis hin zu seiner aktuellen Arbeit – und gibt Tipps für Beginner.

  Jetzt ansehen
• 

  

  Jorge Costa, Product Manager bei cyan Digital Security

  Jorge Costa von cyan Digital Security fasst im Interview seinen beruflichen Weg bis hin zur aktuellen Arbeit als Product Manager zusammen, redet über die Besonderheiten des Unternehmens und gibt Tipps für Neueinsteiger.

  Jetzt ansehen
• 

  

  René Bürke, Technical Product Manager bei cyan Digital Security

  René Bürke von cyan Digital Security erzählt im Interview über seinen Karriereweg bis hin zur aktuellen Arbeit im Technical Product Management und gibt Tipps für Neueinsteiger.

  Jetzt ansehen