Blog

Success Story: How a Hamburg Bank Automated DevSecOps

Ausgangssituation

In der hochregulierten Finanzwelt ist ein Backlog von Sicherheitstickets nicht nur ein Effizienzproblem, sondern ein Compliance-Albtraum. Das Sicherheitsteam einer Hamburger Bank stand genau vor dieser Herausforderung: ein Berg von 170 Leaked-Credential-Funden aus dem bankinternen Bitbucket Code Repository zu sichten, Analysen durchzuführen und für jedes Finding ein Ticket zu erstellen.

Weiter noch – um die Compliance-Anforderungen im Banking-Umfeld zu erfüllen, war ein kontinuierlicher Prozess erforderlich. Allein die manuelle Abarbeitung des Backlogs hat drei volle Arbeitstage in Anspruch genommen – wertvolle Zeit, die zu über 70 % mit der Identifizierung von Falsch-Positiven (Fehlalarmen) verschwendet wurde.

Die Herausforderungen

Das Sicherheitsteam sah sich regelmäßig mit einem Berg von Findings konfrontiert:

  • Über 170 Leaked-Credential-Funde aus dem Source-Code-System
  • Für jeden Fund: manuelle Kontextanalyse, Validierung, Priorisierung
  • Anschließend: händische Erstellung und Pflege von Jira-Tickets

Gleichzeitig musste die Bank eine Reihe strenger interner und externer Vorgaben erfüllen, u. a.:

  • DORA (Verordnung (EU) 2022/2554) und NIS2 (NIS2UmsuCG)
  • [AVM-R223] Secret Scanning Security Gate – Mandatory
  • [SOFA-CAPA-R06] Ability to detect and manage secrets – Mandatory
  • [SOFA-OWASP-R15] Secure Secrets Used in Pipelines - Mandatory

Das Kernproblem war nicht nur der hohe einmalige Aufwand, sondern das Fehlen eines kontinuierlichen, automatisierten Prozesses, der nahezu in Echtzeit auf neue Funde reagieren kann – ein untragbares Risiko für eine BaFin-regulierte Bank.

Projektziele

Die Bank formulierte gemeinsam mit ZeroDotFive klare Ziele:

  1. Transformation eines manuellen Prozesses: Vom punktuellen Abarbeiten von Backlogs hin zu einem kontinuierlichen, automatisierten Triage-Workflow.
  2. Private-KI-gestützte Triage und Analyse: Nutzung von Generativer KI, ohne proprietären Quellcode oder Secrets außerhalb der eigenen AWS-Umgebung zu exponieren.
  3. Nahtlose Integration: Die Lösung sollte dort leben, wo das Security-Team arbeitet: in Jira und den bestehenden AWS Security Services.
  4. Lückenlose Nachverfolgbarkeit: Jeder Schritt – Erkennung, Analyse, Priorisierung, Ticket – sollte vollständig nachvollziehbar und prüfbar sein.
  5. Compliance-by-Design: Der Prozess sollte aktiv dabei helfen, die Controls nicht nur zu erfüllen, sondern überzeugend nachzuweisen.

Vom manuellen Backlog zum "Privaten KI-Validator"

Die Bank entschied sich gemeinsam mit der ZeroDotFive Hamburg GmbH, diesen Engpass zu eliminieren und einen durchgängig automatisierten, auditierbaren DevSecOps-Prozess aufzubauen – auf Basis von Private-KI mit Amazon Bedrock in der AWS-BDK Cloud.

Wie die KI arbeitet

Die KI analysiert u. a.:

  • Den Code-Kontext um das vermeintliche Secret herum
  • Muster bekannter Secret-Typen (API Keys, Tokens, Credentials etc.)
  • Hinweise auf Testdaten, Dummy-Werte oder bereits invalidierte Tokens
  • Relevanz für produktive Systeme versus Entwicklungs- oder Testumgebungen

Unser Know-How

Bei der KI-Implementierung setzen wir auf fortschrittliche Methoden, die über einfaches Prompt Engineering hinausgehen. Während Basis-Implementierungen oft nur auf Prompt-Anpassungen beruhen, nutzen wir als Experten im KI-Bereich gezielt die bedrock_runtime.converse API. In Kombination mit Tool-Konfigurationen und Pydantic-Modellen ermöglicht uns dies eine strukturierte, zuverlässige und präzise Steuerung der KI-Analyse – ein entscheidender Faktor für die Verlässlichkeit in einem regulierten Umfeld.

Das entscheidende Puzzlestück der Lösung ist die direkte Jira-Integration: Der Serverless-Prozess nutzt die strukturierte KI-Analyse, um automatisch ein Jira-Ticket zu erstellen, es mit den korrekten Labels (false-positive, critical-finding), Schweregrad und einer Behebungsempfehlung zu versehen und es direkt dem richtigen SecOps-Board zuzuweisen.

Security Shield

Die Transformation: Von Monaten zu Stunden

Die Ergebnisse haben den Arbeitsalltag des SecOps-Teams transformiert.

  • 90 % weniger manueller Aufwand: Der Triage-Aufwand wurde drastisch reduziert. Das Team muss keine Tickets mehr manuell erstellen.
  • 99 % schnellere Behebung (MTTR): Von Monaten auf unter zwei Stunden für kritische Secrets.
  • 100 % Auditsicherheit: Jeder Schritt ist in Jira nachvollziehbar.

Sicherheit & Compliance by Design

Für die Auditoren der BaFin ist dieser Prozess ein Musterbeispiel für effektive digitale Kontrollen. Ein zentrales Architekturprinzip: Kein einziges Byte sensibler Daten verlässt die kontrollierte Umgebung in der AWS-Region Frankfurt.

Durch die Nutzung von Amazon Bedrock bleiben:

  • Daten unter der Kontrolle der Bank
  • Modellzugriffe nachvollziehbar und auditierbar
  • Trainingsdaten der Foundation-Modelle von Kundendaten strikt getrennt

Fazit: Ein „Game-Changer“ für BaFin-Compliance

ZeroDotFive Hamburg GmbH hat nicht nur ein Effizienzproblem gelöst, sondern ein kritisches Compliance-Risiko in einen automatisierten, audit-sicheren Kontrollmechanismus verwandelt. Diese Case Study zeigt: Private KI mit Amazon Bedrock ist im Banking-Umfeld nicht nur möglich, sondern ein echter Game-Changer.

Über ZeroDotFive Hamburg GmbH Die ZeroDotFive Hamburg GmbH ist ein auf Cloud Engineering, Softwareentwicklung und Security spezialisiertes Beratungsunternehmen mit Fokus auf AWS-basierte Lösungen.

Über den Autor Ayoub Umoru AWS Community Builder aus Hamburg, CTO bei der ZeroDotFive Hamburg GmbH.