Oliver Bühler

Tallence Cloud - SaaS-Plattform & Lead-Magnet

Tallence AG2026

Team: 1 PersonenProduct Owner, Architekt & Full-Stack-Entwickler

AWS LambdaECS FargateAmazon DynamoDBAmazon S3AWS Step FunctionsAmazon API GatewayAmazon CognitoAWS Amplify HostingAmazon CloudFrontAWS WAFv2AWS KMSAmazon SESAmazon EventBridgeCloudWatch RUMAWS X-RayAmazon GuardDuty
Tallence Cloud Plattform Startseite mit Headline 'Mit strategischem Weitblick sichern wir die Zukunft Ihrer Cloud-Infrastruktur.'

Überblick

Tallence Cloud ist die SaaS-Plattform der Tallence AG, die zwei Aufgaben in einer Codebasis zusammenführt: eine öffentliche Beratungs-Website für AWS-Dienstleistungen und ein kostenfreies AWS-Compliance-Tool. Nach Cross-Account-Onboarding scannt die Plattform AWS-Konten gegen GDPR, ISO 27001, CIS, PCI-DSS, HIPAA, NIST 800-53, SOC 2 und das AWS Well-Architected Framework und liefert priorisierte Findings, einen Risk Score und einen PDF-Report.

Ich habe die Plattform zwischen Januar und Mai 2026 als Ein-Personen-Team komplett aufgebaut: Architekturentwurf, Frontend, 22 Python-Lambdas, 17 Terraform-Module, die ECS-Fargate-Scan-Engine sowie die GitLab-CI/CD-Pipeline mit OIDC. Die Plattform läuft produktiv unter cloud.tallence.com.

Tallence Cloud Landing Page mit kostenfreiem AWS Compliance Check, 8 Frameworks, 572 Checks pro Scan und Live-Risk-Score-Widget

Lead-Magnet-Einstieg: kostenfreier AWS Compliance Check als Trichter in die Beratungsangebote

Herausforderung

Tallence brauchte einen Lead-Magnet, der echte Compliance-Probleme bei Mittelstandskunden sichtbar macht und sie in den Beratungs-Funnel zieht. Enterprise-CSPM-Plattformen wie Wiz oder Orca sind für diese Zielgruppe zu teuer und zu komplex, der Prowler-CLI ist für Nicht-Techniker unzugänglich. Zwischen DIY-Open-Source und Sechsstelliger-Lizenz fehlte ein praxisnaher Einstieg.

Meine persönliche Hürde lag im Rollenwechsel. Über zehn Jahre lang habe ich als Product Owner und Architekt Teams orchestriert und nur punktuell selbst Code geschrieben. In diesem Projekt schrieb, reviewte und shippte ich wieder selbst. Den Frontend-Stack hatte ich vor Projektstart nicht in der Tiefe beherrscht. Terraform und Python-Lambdas waren vertrautes Gelände, Next.js, Cognito-SRP-Flow und Amplify Hosting nicht.

Dazu kam die kommerzielle Vorgabe, die Plattform serverless und budgetarm zu betreiben. Die Grundkosten sollten weit unter den marktüblichen Preisen für vergleichbare SaaS-Plattformen bleiben, damit die Free-Tier-Strategie kommerziell tragfähig wird.

Rolle

Ich war Ein-Personen-Team und füllte folgende Rollen parallel aus:

  • Product Owner: Backlog, Roadmap, Funnel-Logik (Lead-Scoring, HubSpot-Sync, Lifecycle-Qualifier)
  • System-Architekt: Multi-Tenant-Modell mit External ID, Multi-Region-Setup, Cross-Account-Sicherheit
  • Full-Stack-Entwickler: Next.js-Frontend, 22 Python-Lambdas, 17 Terraform-Module
  • DevOps-Engineer: GitLab CI/CD mit OIDC, KICS-IaC-Scanning, Secret Detection, ShellCheck
  • QA-Engineer: pytest, Vitest, Playwright mit Axe-Accessibility

AWS Kiro diente als Code-Beschleuniger und Sparringspartner. Architekturentscheidungen, Sicherheitsannahmen und Refactorings habe ich selbst getroffen.

Vorgehen

Ich startete mit der Mandantentrennung als Architekturprinzip. Jeder Nutzer bekommt im Cognito-Post-Confirmation-Trigger eine zufällig generierte External ID, die in jedem STS-AssumeRole als Pflichtbedingung mitwandert. DynamoDB-Items sind über User- und Account-IDs partitioniert, S3-Objekte über User- und Scan-Prefixes. Die Sicherheitsbaseline stand, bevor die erste Lambda lief.

Die Compliance-Engine basiert auf Prowler 5.x als ECS-Fargate-Task in einem privaten Subnetz, mit AWS-Distro-for-OpenTelemetry-Sidecar für X-Ray-Tracing. Ein Parser-Lambda überführt Rohbefunde nach S3 in ein internes Schema, der Report-Generator rendert PDFs mit ReportLab.

Den Frontend-Stack lernte ich entlang konkreter Liefertickets statt im Vorgriff. Next.js mit Static Export, Cognito-SRP-Flow via Amplify SDK, Tailwind für die Komponenten. CloudFront wird über Amplify Hosting verwaltet, WAFv2 schützt die API-Endpoints, CloudWatch RUM misst die Real-User-Performance.

Die Infrastruktur lebt in zwei isolierten Konten mit getrennten Terraform-States im GitLab HTTP Backend. OIDC ersetzt statische AWS-Credentials. Alle Daten at rest liegen unter Customer-Managed KMS Keys. Primärregion ist eu-central-1, eu-north-1 dient als Reserve, us-east-1 hostet ausschließlich die Ressourcen, die dort liegen müssen (CloudFront-Zertifikate, Route 53 Query Logging).

Entscheidungen

Serverless als Default, nicht als Option. Lambda für jede asynchrone Last, Fargate nur dort, wo Prowler ein lang laufender Container sein muss. Kein einziger EC2-Server. Die Wahl drückte die Grundkosten auf rund 100 USD pro Monat im Idle-Betrieb.

Static Export statt SSR. Next.js rendert das gesamte Marketing-Frontend zur Build-Zeit. Der Auth-Bereich kommuniziert client-seitig via Amplify SDK gegen Cognito und API Gateway. Damit entfällt eine SSR-Lambda-Schicht, und die Site cached vollständig auf CloudFront.

Eigene Mandantentrennung statt Drittanbieter-IAM. Cognito plus selbstgenerierte External ID plus Cross-Account-Rolle mit Pflichtbedingung. Damit verlässt kein Request die Plattform ohne explizite Audit-Spur, und die Scan-Engine bekommt ausschließlich Read-Only-Zugriff auf das Kundenkonto.

KI als Code-Beschleuniger, nicht als Reviewer. AWS Kiro lieferte Boilerplate, Skelette und Test-Stubs. Architekturentscheidungen, Sicherheitsannahmen und Refactorings habe ich selbst getroffen. Ohne diese Trennung wäre der Rollenwechsel vom Product Owner zurück zum Entwickler in Black-Box-Programmierung umgekippt.

Ergebnisse

  • Full-Stack-MVP in einem Monat ausgeliefert, vom Repo-Init bis zur Preprod-Lauffähigkeit
  • 22 Python-Lambdas, 17 Terraform-Module und eine Next.js-App in einem Monorepo
  • Grundkosten von rund 100 USD pro Monat bei produktivem Multi-Region-Setup (eu-central-1, eu-north-1, us-east-1)
  • Sieben-stufige GitLab-Pipeline mit Path-basierter Change-Detection, Lambda-Build, KICS, Secret Detection, pytest, Vitest, Playwright und Axe-Accessibility
  • Sicherheits-Baseline by Design: KMS-CMKs überall, OIDC statt statischer Keys, WAFv2 vor APIs, VPC mit Flow Logs und RDP-Deny-Network-ACL
  • Funnel im Code abgebildet: Free Scan → Security & Risk Assessment → Cloud Governance Accelerator → Tallence Cloud Foundation oder Container Operations
  • Drei produktisierte Beratungsangebote im AWS Marketplace gelistet und aus der Plattform direkt verlinkt

Die wichtigste persönliche Erkenntnis: Ein Rollenwechsel zurück in die Implementierung kostet mehr Energie als gedacht, schärft aber das Architekturverständnis, das in der reinen Product-Owner-Rolle abflacht. Wer ein System selbst baut, schneidet das nächste sauberer.

Mehr über meinen Hintergrund, meine Zertifizierungen und meine Arbeitsweise erfährst Du auf der Über-mich-Seite.

Über mich