Von Monaten zu wenigen Minuten
DevSecOps-Automatisierung bei einer Hamburg Bank mit AWS Bedrock

Compliance Anforderungen

• NIST 2022.179
• [AVM-R223] Secret Scanning Security Gate
• [SOFA-CAPA-R06] Ability to detect and manage secrets
• [SOFA-OWASP-R15] Secure Secrets Used in Pipelines
• [SOFA-OWASP-R16] Detect and Clean Secrets in Logs and Pipeline Output
• [SOFA-OWASP-R17] Limit the visibility of repositories containing secrets
• [SOFA-PRJ-R15] Track secret detection and remediation processes

Von Monaten zu wenigen Minuten
DevSecOps-Automatisierung bei einer Hamburg Bank mit AWS Bedrock

In der hochregulierten Finanzwelt ist ein Backlog von Sicherheitstickets nicht nur ein Effizienzproblem, sondern ein Compliance-Albtraum. 

Das Sicherheitsteam einer Hamburger Bank stand genau vor dieser Herausforderung: ein Berg von 170 Leaked Credential-Funden zu sichten, analysen durchzuführen und für jedes ein Ticket erstellen.

Weiter noch – um die Compliance Anforderungen im Banking Umfeld zu erfüllen, war ein kontinuierlicher Prozess erforderlich.

Allein die manuelle Abarbeitung des Backlog shat drei volle Arbeitstage in Anspruch genommen – wertvolle Zeit, die zu über 70 % mit der Identifizierung von Falsch-Positiven (Fehlalarmen) verschwendet wurde. 

Compliance-Herausorforderungen

• NIST 2022.179
• [AVM-R223] Secret Scanning Security Gate – Mandatory
• [SOFA-CAPA-R06] Ability to detect and manage secrets – Mandatory
• [SOFA-OWASP-R15] Secure Secrets Used in Pipelines – Mandatory
• [SOFA-OWASP-R16] Detect and Clean Secrets in Logs and Pipeline Output – Mandatory
• [SOFA-OWASP-R17] Limit the visibility of repositories containing secrets – Mandatory
• [SOFA-PRJ-R15] Track secret detection and remediation processes – Mandatory

Das Kernproblem war nicht nur der ständige Aufwand, sondern das Fehlen eines kontinuierlichen und automatisierten Prozesses, der in Echtzeit auf Bedrohungen reagieren kann. Ein untragbares Risiko für eine BaFin-regulierte Bank.

Die Bank benötigte eine Lösung, die zwei scheinbar widersprüchliche Anforderungen erfüllte: Sie musste effizient und intelligent sein, durfte aber unter keinen Umständen proprietären Quellcode außerhalb der sicheren AWS-Umgebung der Bank exponieren.

Projekt-Herausforderungen

• Transformation eines manuellen Prozesses
• Private-KI gestützte Triage und Analysen
• Integration in vorhandene Systeme
• Nachverfolgbarkeit
• Compliance-Sicher

Vom manuellen Backlog zum „Privaten KI-Validator“

Hier kam die ZeroDotFive Hamburg GmbH ins Spiel. 

Die Aufgabe war klar: 

Ein sporadischer, manueller Prozess musste durch einen kontinuierlichen, automatisierten Triage-Workflow ersetzt werden, der direkt in das zentrale Steuerungstool – Jira – integriert ist und die mit den vorhandenen AWS Security Services zusammenspielt.

Wir konzipierten und implementierten einen „Privaten KI-Validator“, der vollständig auf AWS-Diensten aufbaut.

Die Lösung setzt zu 100% AWS Services ein, um stündlich das Source Code System abzufragen.

Jeder einzelne Fund wird direkt zur Analyse an AWS Bedrock – gesendet. 

Unser Know-How

Dabei setzen wir auf fortschrittliche Methoden, die über einfaches Prompt Engineering hinausgehen. Während Basis-Implementierungen oft nur auf Prompt-Anpassungen beruhen, nutzen wir als Experten im KI-Bereich gezielt die bedrock_runtime.converse API. 

In Kombination mit Tool-Konfigurationen und Pydantic-Modellen ermöglicht uns dies eine strukturierte, zuverlässige und präzise Steuerung der KI-Analyse – ein entscheidender Faktor für die Verlässlichkeit in einem regulierten Umfeld.

Die KI analysiert den Codekontext, validiert das Secret, bestimmt die Kritikalität und identifiziert Falsch-Positive zuverlässig.

Das entscheidende Puzzlestück der Lösung ist die direkte Jira-Integration: 

Der Serverless – Prozess nutzt die strukturierte KI-Analyse, um automatisch ein Jira-Ticket zu erstellen, es mit den korrekten Labels (false-positive, critical-finding), Schweregrad und einer Behebungsempfehlung zu versehen und es direkt dem richtigen SecOps-Board zuzuweisen.

Dieser gesamte Analyseprozess findet innerhalb der BDK Cloud in der EU-Region Frankfurt statt. Kein einziges Byte sensibler Daten verlässt die sichere Umgebung.

Die Transformation: Von Monaten zu Stunden

Die Ergebnisse haben den Arbeitsalltag des SecOps-Teams transformiert. 

Der 3-tägige Backlog ist verschwunden. Stattdessen wurde ein kontinuierlicher Prozess etabliert, der die Arbeit nun stündlich und vollautomatisch erledigt – und zwar direkt in Jira, dem „Single Source of Truth“ für das Team.

• 90 % weniger manueller Aufwand: Der Triage-Aufwand wurde um über 90 % reduziert. Das Team muss keine Tickets mehr manuell erstellen oder kategorisieren. Sie können die Arbeitslast nicht nur stemmen, sondern Hunderte von Arbeitsstunden pro Jahr für strategische Aufgaben freisetzen.
• 99 % schnellere Behebung (MTTR): Die mittlere Behebungszeit (MTTR) für kritische Secrets sank von Monaten auf unter zwei Stunden. Das Sicherheitsrisiko wurde praktisch in Echtzeit eliminiert.
• 100 % Auditsicherheit: Der gesamte Prozess – von der Entdeckung über die KI-Validierung bis hin zum automatisch erstellten, priorisierten und im richtigen Jira-Board zugewiesenen Ticket – ist lückenlos dokumentiert.

Ein „Game-Changer“ für die BaFin-Compliance

Für die Auditoren der BaFin ist dieser kontinuierliche, automatisierte und 100 % in Jira nachvollziehbare Prozess ein Musterbeispiel für effektive digitale Kontrollen.

ZeroDotFive Hamburg GmbH

hat nicht nur ein Effizienzproblem gelöst, sondern ein akutes Compliance-Risiko für die BDK Bank geschlossen. Wir haben bewiesen, dass private KI in einer Hochsicherheitsumgebung nicht nur möglich, sondern ein absoluter „Game-Changer“ ist. Es ist die sichere, skalierbare Lösung, nach der der gesamte Finanzsektor sucht.