Ist DevOps unter Gesichtspunkten strengerer Regulatorien in der Finanzbranche einsetzbar?

Ist DevOps unter Gesichtspunkten strenger Regularien in der Finanzbranche einsetzbar?

Die zunehmende Digitalisierung der Gesellschaft und die rasante Entwicklung von Innovationen setzen Banken immer weiter unter Druck. Mitbewerber kommen nicht mehr aus den eigenen Reihen, sondern vermehrt aus branchenfremden Bereichen. Kunden steigern immer weiter ihre Anforderungen an Services und Produkte.

Neue Geschäftsmodelle sind aufgrund der verbesserten Datenerhebung und -analyse möglich. Zu guter Letzt erfordern die zunehmenden regulatorischen Anforderungen, wie die Mindestanforderungen an das Risikomanagement (MaRisk) und die Datenschutz-Grundverordnung (DSGVO), schnelleren Handlungsbedarf, um Sanktionierungen aus dem Weg gehen zu können.

Für die schnellere Markt- und Kundenreaktion soll DevOps eingesetzt werden. Doch ist dieser neue „Verhaltenskodex“ mit Gesetzen und Bestimmungen vereinbar?

Die Studenten des Studienganges IT-Management und Consulting (ITMC) an der Universität Hamburg Patrick Haghpanah und Nickolas Webb beschäftigten sich im Rahmen ihrer Forschungsarbeit bei der direkt gruppe genau mit dieser Fragestellung.

Die erste große Herausforderung ergab sich schon zu Beginn der Forschungsarbeit. In Gesprächen mit verschiedenen Experten der direkt gruppe wurde deutlich, dass ein einheitliches Verständnis und Vokabular zu den Themen Informationssicherheit, IT-Sicherheit und insbesondere Compliance wichtig für die Arbeit war. Nach einer ersten ausführlichen Recherche wurden diese Begriffe aufgearbeitet,  voneinander abgegrenzt und in Abbildung 1 verständlich dargestellt:

Begriffserklärung Informationssicherheit und DevOps

Abbildung 1: Einheitliches Verständnis und Vokabular zu den Themen Informationssicherheit, IT-Sicherheit und insbesondere Compliance der direkt gruppe

Welche rechtlichen Bestimmungen der Finanzbranche muss DevOps erfüllen? 

Nach der Schaffung eines gemeinsamen Wissensstandes standen die rechtlichen Bestimmungen für die Finanzbranche in ihrem Fokus. Aufgearbeitet wurden das Kreditwesengesetz (KWG), die Mindestanforderungen Risikomanagement 2017 (MaRisk), die bankenaufsichtlichen Anforderungen an die IT 2017 (BAIT), die EU-Datenschutzverordnung (DSGVO), das Geldwäschegesetz (GWG), das Kapitalanlagengesetzbuch (KAGB) und das IT-Sicherheitsgesetz (BSI).

Die Ausarbeitung der einzelnen Anforderungen und ein Abgleich mit den DevOps-Elementen war ein wesentlicher Bestandteil der Arbeit. Herauszufinden galt es, inwieweit die einzelnen DevOps-Elemente im Einklang zu den recherchierten rechtlichen Anforderungen stehen.

Für eine transparente Darstellungsform wurden die Ergebnisse in einer Lösungsmatrix zusammengeführt. Darin wurden die einzelnen gesetzlichen Bestimmungen den DevOps-Elementen gegenübergestellt, um herauszufinden, inwieweit DevOps diese erfüllt. In Abbildung 2 sind die Erkenntnisse zusammenfassend aufbereitet:

Evaluation der IT-relevanten gesetzlichen Anforderungen bezüglich DevOps

Abbildung 2: Evaluation der IT-relevanten gesetzlichen Anforderungen bezüglich DevOps. Betrachtet wurden KWG, MaRisk, BAIT, DSGVO, GWG, KAGB und IT-Sicherheitsgesetz.

Auswertung: Ist DevOps in der Finanzbranche möglich?

Die Auswertung in Abbildung 2 zeigt, dass DevOps den rechtlichen Anforderungen durch die „Continuous X“-Elemente nicht im Weg steht. Die informationstechnischen Anforderungen sind entweder nicht relevant im DevOps-Kontext oder sie können weiterhin erfüllt werden.

In besonders streng regulierten Branchen, wie z.B. in der Finanzbranche, muss jedoch ein besonderer Fokus auf Sicherheitsmaßnahmen und die Erfüllung entsprechender Sicherheitsstandards gewährleistet werden. Dies ist jedoch kein Bestandteil von DevOps.

DevSecOps als Enabler von DevOps in der Finanzbranche

Durch DevSecOps wird Sicherheit in den gesamten Lebenszyklus von DevOps integriert. Somit wird aus Sicherheit ein Begleiter der Anwendungsentwicklung und des IT-Betriebs anstelle eines nachgelagerten Blockierers.

DevSecOps im Lebenszyklus von DevOps

Eine Erweiterung von DevOps mit Sicherheitsanwendungen entwickelt DevOps zu DevSecOps und erfüllt damit die übrigen 17% der rechtlichen Anforderungen. Durch DevSecOps wird Sicherheit in den gesamten Lebenszyklus von DevOps integriert. Somit wird aus Sicherheit ein Begleiter der Anwendungs-Entwicklung und des IT-Betriebs anstelle eines nachgelagerten Blockierers

DevSecOps unterstützt die Qualität von Entwicklungen hinsichtlich Sicherheit und fördert eine erhöhte Releasefrequenz. Das Ergebnis der Forschungsarbeit zeigt damit, dass DevOps unter strenger Regulation möglich ist.

In Kombination mit DevSecOps wird Banken ein sicherer Weg in die digitale Zukunft bereitet.


+++ DevOps by direkt gruppe +++

Erfahren Sie mehr über DevOps by direkt gruppe auf unserer DevOps-Website. Hier können Sie auch unsere DevOps-MetroMap herunterladen, die die Komplexität des Themas darstellt.


Literaturverzeichnis:

Inhalte aus den Präsentationsfolien der Forschungsarbeit © direkt gruppe

Msg-gillardon.de. (2017): DevOps-NEWS-2017-01  [Accessed 14 Jan. 2018].