DevSecOps-Team zur BaFin-Auditfähigkeit geführt, Incident-Prozesse und Automatisierung etabliert

Ausgangslage

Eine Automobilbank mit rund 150 Mitarbeitern im IT-Bereich stand vor der Herausforderung, ihr DevSecOps-Team für anstehende BaFin-Prüfungen auditfähig zu machen. Die bestehenden Betriebsprozesse waren unzureichend dokumentiert, das Incident Management folgte keinem einheitlichen Verfahren und wiederkehrende manuelle Tätigkeiten banden Kapazitäten, die für sicherheitsrelevante Aufgaben fehlten. Die regulatorischen Anforderungen aus BAIT (Bankaufsichtliche Anforderungen an die IT) sowie ISO 27001 und ISO 22301 erforderten nachweisbare, strukturierte Prozesse.

Massnahmen

Wenske Cyber Solutions wurde beauftragt, das DevSecOps-Team fachlich aufzubauen und zur Auditfähigkeit zu führen. Wir erarbeiteten eine vollständige, auditrelevante Betriebsdokumentation und begleiteten die Vorbereitung sowie Durchführung von BaFin-Prüfungen. Für das Incident Management führten wir ein strukturiertes Verfahren auf Basis von ITIL und Security Best Practices ein, das Vorfälle nach Schwere klassifiziert und Eskalationswege klar definiert. Um manuelle Angriffsvektoren zu reduzieren, entwickelten wir Automatisierungslösungen in Python, Bash und Ansible, die wiederkehrende Aufgaben wie Konfigurationsprüfungen und Deployments standardisieren. Darüber hinaus konzipierten wir ein Middleware-Tool zur Synchronisation zwischen ITSM-System und Kanban-Board, um Transparenz über den Bearbeitungsstand sicherheitsrelevanter Tickets herzustellen. Die Befähigung des Teams erfolgte durch systematische Code Reviews und Pair Programming.

Ergebnis

Das DevSecOps-Team bestand die anschliessende BaFin-Prüfung ohne wesentliche Beanstandungen. Die Betriebsdokumentation deckt alle auditrelevanten Prozesse ab und wird vom Team eigenständig fortgeführt. Die eingeführten Automatisierungen haben den manuellen Aufwand für Routinetätigkeiten messbar reduziert und gleichzeitig die Konsistenz der Ergebnisse erhöht. Das Team arbeitet heute nach einem einheitlichen Incident-Management-Verfahren und ist in der Lage, Sicherheitsvorfälle strukturiert zu bearbeiten und zu dokumentieren.