Ausgangssituation

Das Sicherheitsteam sah sich regelmäßig mit einem Berg von Findings konfrontiert:

• Über 170 Leaked-Credential-Funde aus dem Source-Code-System
• Für jeden Fund: manuelle Kontextanalyse, Validierung, Priorisierung
• Anschließend: händische Erstellung und Pflege von Jira-Tickets

Gleichzeitig musste die Bank eine Reihe strenger interner und externer Vorgaben erfüllen, u. a.:

• NIST 2022.179
• [AVM-R223] Secret Scanning Security Gate – Mandatory
• [SOFA-CAPA-R06] Ability to detect and manage secrets – Mandatory
• [SOFA-OWASP-R15] Secure Secrets Used in Pipelines – Mandatory
• [SOFA-OWASP-R16] Detect and Clean Secrets in Logs and Pipeline Output – Mandatory
• [SOFA-OWASP-R17] Limit the visibility of repositories containing secrets – Mandatory
• [SOFA-PRJ-R15] Track secret detection and remediation processes – Mandatory

Das Kernproblem war nicht nur der hohe einmalige Aufwand, sondern das Fehlen eines kontinuierlichen, automatisierten Prozesses, der nahezu in Echtzeit auf neue Funde reagieren kann – ein untragbares Risiko für eine BaFin-regulierte Bank.

Projektziele

Die Bank formulierte gemeinsam mit ZeroDotFive klare Ziele:

1. Transformation eines manuellen Prozesses
   Vom punktuellen Abarbeiten von Backlogs hin zu einem kontinuierlichen, automatisierten Triage-Workflow.

2. Private-KI-gestützte Triage und Analyse
   Nutzung von Generativer KI, ohne proprietären Quellcode oder Secrets außerhalb der eigenen AWS-Umgebung zu exponieren.

3. Nahtlose Integration in bestehende Systeme
   Die Lösung sollte dort leben, wo das Security-Team arbeitet: in Jira und den bestehenden AWS Security Services.

4. Lückenlose Nachverfolgbarkeit & Auditsicherheit
   Jeder Schritt – Erkennung, Analyse, Priorisierung, Ticket – sollte vollständig nachvollziehbar und prüfbar sein.

5. Compliance-by-Design
   Der Prozess sollte aktiv dabei helfen, die oben genannten Controls nicht nur zu erfüllen, sondern überzeugend nachzuweisen.

Vom manuellen Backlog zum „Privaten KI-Validator“

Die Bank entschied sich gemeinsam mit der ZeroDotFive Hamburg GmbH, diesen Engpass zu eliminieren und einen durchgängig automatisierten, auditierbaren DevSecOps-Prozess aufzubauen – auf Basis von Private-KI mit Amazon Bedrock in der AWS-BDK Cloud.

Die KI analysiert u. a.:

• Den Code-Kontext um das vermeintliche Secret herum
• Muster bekannter Secret-Typen (API Keys, Tokens, Credentials etc.)
• Hinweise auf Testdaten, Dummy-Werte oder bereits invalidierte Tokens
• Relevanz für produktive Systeme versus Entwicklungs- oder Testumgebungen

Integration

Das entscheidende Puzzlestück der Lösung ist die direkte Jira-Integration: 

Der Serverless – Prozess nutzt die strukturierte KI-Analyse, um automatisch ein Jira-Ticket zu erstellen, es mit den korrekten Labels (false-positive, critical-finding), Schweregrad und einer Behebungsempfehlung zu versehen und es direkt dem richtigen SecOps-Board zuzuweisen.

Die Transformation: Von Monaten zu Stunden

Die Ergebnisse haben den Arbeitsalltag des SecOps-Teams transformiert. 

Der 3-tägige Backlog ist verschwunden. Stattdessen wurde ein kontinuierlicher Prozess etabliert, der die Arbeit nun stündlich und vollautomatisch erledigt – und zwar direkt in Jira, dem „Single Source of Truth“ für das Team.

90 % weniger manueller Aufwand: Der Triage-Aufwand wurde um über 90 % reduziert. Das Team muss keine Tickets mehr manuell erstellen oder kategorisieren. Die Code Analysen sind auf einem hohen Niveau und unterstützen das Team bei der finalen Einschätzung.

99 % schnellere Behebung (MTTR): Die mittlere Behebungszeit (MTTR) für kritische Secrets sank von Monaten auf unter zwei Stunden. 

100 % Auditsicherheit: 

Jeder Schritt – von der Entdeckung über die KI-Validierung bis zur Ticketerstellung – ist in Jira nachvollziehbar.

Der Prozess ermöglicht:

• klare End-to-End-Prozessdokumentation,
• einfache Nachweise für interne und externe Audits,
• und eine konsistente Umsetzung der relevanten Controls (NIST, AVM, SOFA, OWASP etc.).

Sicherheit & Compliance by Design

Für die Auditoren der BaFin ist dieser kontinuierliche, automatisierte und 100 % in Jira nachvollziehbare Prozess ein Musterbeispiel für effektive digitale Kontrollen.

Ein zentrales Architekturprinzip der Lösung:

Kein einziges Byte sensibler Daten verlässt die kontrollierte Umgebung in der AWS-Region Frankfurt.

• Alle Datenverarbeitungsschritte finden in der BDK Cloud auf AWS statt.
• Es werden keine externen KI-APIs außerhalb von AWS eingebunden.
• Durch die Nutzung von Amazon Bedrock bleiben:
• Daten unter der Kontrolle der Bank
• Modellzugriffe nachvollziehbar und auditierbar
• Trainingsdaten der Foundation-Modelle von Kundendaten strikt getrennt

Damit wird der Einsatz von Generativer KI nicht als Risiko, sondern als starkes Kontrollinstrument im Rahmen der BaFin-Compliance positioniert.

Mehrwert für die Bank

Durch die Zusammenarbeit mit ZeroDotFive Hamburg GmbH konnte die Bank:

• Ein akutes Compliance-Risiko in einen skalierbaren, stabilen Kontrollprozess überführen
• Den Einsatz von Private-KI in einer Hochsicherheitsumgebung sicher etablieren
• Die Attraktivität des SecOps-Teams steigern, indem Routinearbeit automatisiert und Raum für anspruchsvollere Aufgaben geschaffen wurde
• Die eigene Cloud- und DevSecOps-Strategie messbar vorantreiben