Blog
Success Story: How a Hamburg Bank Automated DevSecOps
Ausgangssituation
In der hochregulierten Finanzwelt ist ein Backlog von Sicherheitstickets nicht nur ein Effizienzproblem, sondern ein Compliance-Albtraum. Das Sicherheitsteam einer Hamburger Bank stand genau vor dieser Herausforderung: ein Berg von 170 Leaked-Credential-Funden aus dem bankinternen Bitbucket Code Repository zu sichten, Analysen durchzuführen und für jedes Finding ein Ticket zu erstellen.
Weiter noch – um die Compliance-Anforderungen im Banking-Umfeld zu erfüllen, war ein kontinuierlicher Prozess erforderlich. Allein die manuelle Abarbeitung des Backlogs hat drei volle Arbeitstage in Anspruch genommen – wertvolle Zeit, die zu über 70 % mit der Identifizierung von Falsch-Positiven (Fehlalarmen) verschwendet wurde.
Die Herausforderungen
Das Sicherheitsteam sah sich regelmäßig mit einem Berg von Findings konfrontiert:
- Über 170 Leaked-Credential-Funde aus dem Source-Code-System
- Für jeden Fund: manuelle Kontextanalyse, Validierung, Priorisierung
- Anschließend: händische Erstellung und Pflege von Jira-Tickets
Gleichzeitig musste die Bank eine Reihe strenger interner und externer Vorgaben erfüllen, u. a.:
- DORA (Verordnung (EU) 2022/2554) und NIS2 (NIS2UmsuCG)
- [AVM-R223] Secret Scanning Security Gate – Mandatory
- [SOFA-CAPA-R06] Ability to detect and manage secrets – Mandatory
- [SOFA-OWASP-R15] Secure Secrets Used in Pipelines - Mandatory
Das Kernproblem war nicht nur der hohe einmalige Aufwand, sondern das Fehlen eines kontinuierlichen, automatisierten Prozesses, der nahezu in Echtzeit auf neue Funde reagieren kann – ein untragbares Risiko für eine BaFin-regulierte Bank.
Projektziele
Die Bank formulierte gemeinsam mit ZeroDotFive klare Ziele:
- Transformation eines manuellen Prozesses: Vom punktuellen Abarbeiten von Backlogs hin zu einem kontinuierlichen, automatisierten Triage-Workflow.
- Private-KI-gestützte Triage und Analyse: Nutzung von Generativer KI, ohne proprietären Quellcode oder Secrets außerhalb der eigenen AWS-Umgebung zu exponieren.
- Nahtlose Integration: Die Lösung sollte dort leben, wo das Security-Team arbeitet: in Jira und den bestehenden AWS Security Services.
- Lückenlose Nachverfolgbarkeit: Jeder Schritt – Erkennung, Analyse, Priorisierung, Ticket – sollte vollständig nachvollziehbar und prüfbar sein.
- Compliance-by-Design: Der Prozess sollte aktiv dabei helfen, die Controls nicht nur zu erfüllen, sondern überzeugend nachzuweisen.
Vom manuellen Backlog zum "Privaten KI-Validator"
Die Bank entschied sich gemeinsam mit der ZeroDotFive Hamburg GmbH, diesen Engpass zu eliminieren und einen durchgängig automatisierten, auditierbaren DevSecOps-Prozess aufzubauen – auf Basis von Private-KI mit Amazon Bedrock in der AWS-BDK Cloud.
Wie die KI arbeitet
Die KI analysiert u. a.:
- Den Code-Kontext um das vermeintliche Secret herum
- Muster bekannter Secret-Typen (API Keys, Tokens, Credentials etc.)
- Hinweise auf Testdaten, Dummy-Werte oder bereits invalidierte Tokens
- Relevanz für produktive Systeme versus Entwicklungs- oder Testumgebungen
Unser Know-How
Bei der KI-Implementierung setzen wir auf fortschrittliche Methoden, die über einfaches Prompt Engineering hinausgehen.
Während Basis-Implementierungen oft nur auf Prompt-Anpassungen beruhen, nutzen wir als Experten im KI-Bereich gezielt die bedrock_runtime.converse API.
In Kombination mit Tool-Konfigurationen und Pydantic-Modellen ermöglicht uns dies eine strukturierte, zuverlässige und präzise Steuerung der KI-Analyse – ein entscheidender Faktor für die Verlässlichkeit in einem regulierten Umfeld.
Das entscheidende Puzzlestück der Lösung ist die direkte Jira-Integration: Der Serverless-Prozess nutzt die strukturierte KI-Analyse, um automatisch ein Jira-Ticket zu erstellen, es mit den korrekten Labels (false-positive, critical-finding), Schweregrad und einer Behebungsempfehlung zu versehen und es direkt dem richtigen SecOps-Board zuzuweisen.

Die Transformation: Von Monaten zu Stunden
Die Ergebnisse haben den Arbeitsalltag des SecOps-Teams transformiert.
- 90 % weniger manueller Aufwand: Der Triage-Aufwand wurde drastisch reduziert. Das Team muss keine Tickets mehr manuell erstellen.
- 99 % schnellere Behebung (MTTR): Von Monaten auf unter zwei Stunden für kritische Secrets.
- 100 % Auditsicherheit: Jeder Schritt ist in Jira nachvollziehbar.
Sicherheit & Compliance by Design
Für die Auditoren der BaFin ist dieser Prozess ein Musterbeispiel für effektive digitale Kontrollen. Ein zentrales Architekturprinzip: Kein einziges Byte sensibler Daten verlässt die kontrollierte Umgebung in der AWS-Region Frankfurt.
Durch die Nutzung von Amazon Bedrock bleiben:
- Daten unter der Kontrolle der Bank
- Modellzugriffe nachvollziehbar und auditierbar
- Trainingsdaten der Foundation-Modelle von Kundendaten strikt getrennt
Fazit: Ein „Game-Changer“ für BaFin-Compliance
ZeroDotFive Hamburg GmbH hat nicht nur ein Effizienzproblem gelöst, sondern ein kritisches Compliance-Risiko in einen automatisierten, audit-sicheren Kontrollmechanismus verwandelt. Diese Case Study zeigt: Private KI mit Amazon Bedrock ist im Banking-Umfeld nicht nur möglich, sondern ein echter Game-Changer.
Über ZeroDotFive Hamburg GmbH Die ZeroDotFive Hamburg GmbH ist ein auf Cloud Engineering, Softwareentwicklung und Security spezialisiertes Beratungsunternehmen mit Fokus auf AWS-basierte Lösungen.
Über den Autor Ayoub Umoru AWS Community Builder aus Hamburg, CTO bei der ZeroDotFive Hamburg GmbH.