DEVK

  • Branche: Versicherung
  • Hauptsitz: Köln
  • Fokus: Kraftfahrt-, Haftpflicht-, Unfall-, Sach- und Lebensversicherungen
  • IT-Umgebung: Hybrides Setup – große Kernsysteme On Premises, einzelne Microservices in der Cloud

This case study is also available in English

TL;DR

Warum relevant:

Der Case zeigt, wie eine Organisation mit vielen Teams Security- und Compliance-Anforderungen einheitlich umsetzen kann: zentral in Plattformen verankert, statt auf jedes Team einzeln verteilt.

Ergebnis:

  • Die DEVK hat heute einen zentralen Überblick darüber, welche Sicherheitslücken in welchen Anwendungen bestehen und wie die Verantwortlichkeiten verteilt sind.
  • Über 1.300 Anwendungen durchlaufen automatisch denselben Sicherheitsprozess. Relevante Updates werden regelmäßig und systematisch eingespielt.

Mehrwert:

  • Security- und Compliance-Themen müssen nicht mehr durch jedes Entwicklungsteam einzeln verstanden, bewertet und gelöst werden.
  • Die Umsetzung des On-Premises-Betriebs mittels einer standardisierten Container-Plattform zahlt auf die laufende Cloud-Migration ein: Die Betriebsumgebung ist so aufgebaut, dass Teams schrittweise in die Cloud wechseln können, ohne die technische Grundlage neu aufbauen zu müssen.

Ergebnisse auf einen Blick

  • Einheitlicher Prozess: 1.300 Anwendungen werden heute automatisch auf Sicherheitslücken geprüft
  • Automatische Updates: 900 Anwendungen erhalten automatisiert relevante Sicherheits-Updates
  • Containerisierung: 400 Anwendungen in eine einheitliche Betriebsumgebung migriert
  • Zentrales Dashboard: Handlungsbedarf bei Sicherheitslücken ist jederzeit auf einen Blick sichtbar, ohne aufwändige manuelle Auswertung
  • Klare Zuständigkeiten: Jedes Team weiß heute, welche Sicherheitslücken in seinem Verantwortungsbereich liegen
  • Eigenständigkeit: Alle Teams arbeiten heute direkt mit den internen Plattform-Teams, ohne dauerhaft externe Unterstützung

Herausforderung: Sicherheit in einer gewachsenen Softwarelandschaft gewährleisten

Die DEVK betreibt in ihrer Anwendungslandschaft einen Mix aus gekaufter und angepasster Software einerseits und zahlreichen Eigenentwicklungen andererseits. Diverse Bestandsführungssysteme, Schadensverarbeitung und viele weitere Anwendungen werden von unterschiedlichen Teams betreut. Bei einer Softwarelandschaft dieser Größe stellt sich zwangsläufig die Frage, wie der Überblick darüber gewährleistet werden kann, welche Sicherheitslücken in welchen Anwendungen bestehen und wie relevante Updates zeitnah eingespielt werden können.

Dazu kam eine ungeklärte Zuständigkeitsfrage: Wer ist verantwortlich für das Patchen welcher Komponenten? Diese Unklarheit verlangsamte die Reaktion auf bekannte Sicherheitsprobleme. DORA, der Digital Operational Resilience Act der EU, verschärfte den Druck zusätzlich. Das Gesetz verpflichtet Finanzunternehmen zu nachweisbarem IT-Risikomanagement, das unter anderem den systematischen Umgang mit Sicherheitslücken in der eigenen Software einschließt.

Hinzu kam eine strategische Perspektive: Die DEVK verfolgt eine Cloud-Strategie, aber der Großteil der Kernsysteme läuft noch On Premises. Eine Modernisierung der Betriebsumgebung war deshalb nicht nur eine Security-Maßnahme, sondern auch eine Vorbereitung auf die schrittweise Cloud-Migration.

Das Ziel war deshalb klar: einen einheitlichen Prozess etablieren, der automatisch erkennt, welche Sicherheitslücken in welchen Anwendungen bestehen, und relevante Updates regelmäßig einspielt, damit die DEVK als Organisation den Überblick behält und DORA-Anforderungen nachweislich erfüllen kann.

Ansatz: “Paved Path” statt paralleler Einzellösungen

Das Grundproblem war organisatorisch: Wenn sich jedes Entwicklungsteam einzeln um Security und Compliance kümmern muss, fehlen diese Kapazitäten für die eigentliche fachliche Arbeit. Die Lösung war, Sicherheitsprüfungen in einen gemeinsamen Build- und Deployment-Prozess zu verankern, den alle Teams verwenden. Diese Standardisierung des Prozesses ermöglicht es, alle Anwendungen einheitlich zu adressieren. Sicherheits- und Lizenz-Scans laufen damit automatisch mit, ohne dass ein Team sie selbst einrichten oder warten muss.

INNOQ startete mit einer Analysephase: Gespräche mit rund 15 Teams, um zu verstehen, wie Anwendungen tatsächlich gebaut und betrieben werden. Das Ergebnis war ein klares Bild der Ausgangslage und die Basis für eine Zwei-Phasen-Strategie.

  • Schritt 1 war der Build-Prozess: Alle Anwendungen durchlaufen denselben automatisierten Prozess mit einheitlichen Sicherheitsprüfungen, unabhängig davon, wo und in welcher Form sie betrieben werden. Damit hatte die DEVK erstmals einen zentralen Überblick darüber, welche Schwachstellen in welchen Anwendungen bestehen.
Diagramm zu Team- und Plattformstruktur: „Development I/II“, CI/CD, AWS Cloud, Docker/Linux On Prem; Legende Teams.
Phase 1: Einheitlicher Build-Prozess für alle Anwendungen, mit einem dedizierten Team als zentralem Verantwortungsträger.
  • Schritt 2 baute darauf auf: Mangelnde Sichtbarkeit und unklare Verantwortlichkeiten hatten Reaktionen auf Sicherheitslücken bisher verlangsamt. Die Containerisierung der Anwendungen schuf hier einen klaren Schnitt: Entwicklungsteams verantworten ihre Anwendung, Plattform-Teams die darunterliegende Infrastruktur. Nicht alle Teams konnten direkt in die Cloud wechseln: technische Abhängigkeiten, noch nicht cloud-fähige Anwendungsarchitekturen und offene Compliance-Fragen standen dem entgegen. Die hybride Lösung war deshalb keine Einschränkung, sondern eine bewusste Entscheidung: erst den Build-Prozess konsolidieren, dann den Betrieb, in dem Tempo, das für jedes Team realistisch ist.
Diagramm: Teams in „Development I/II“, Plattform „CI/CD“, „AWS Cloud“, „Docker On Prem“ und Support bei Container-Migration.
Phase 2: Containerisierung aller Anwendungen und Migration auf gemeinsame Betriebsplattformen.

Durch Security und Compliance getriebene Anforderungen betreffen meist alle Teams und werden immer komplexer – zahlen auf die Geschäftsziele jedoch nur indirekt ein. Diese Themen sind daher ideal, um sie zentral zu verankern und durch Plattform-Teams umzusetzen, statt sie auf jedes einzelne Team zu verteilen. So können sich die Entwicklungsteams auf ihre fachliche Arbeit konzentrieren.

Jakob OswaldPrincipal Consultant bei INNOQ

Umsetzung: Einheitlich bauen, eigenständig weiterführen

Ein Standard, zentral verantwortet

Ein neu geschaffenes internes Team bei der DEVK übernahm die Verantwortung für den einheitlichen Build- und Deployment-Prozess und dessen Verankerung. INNOQ unterstützte das Team dabei, den Migrationspfad zu konzipieren, bestehende Pipelines zu konsolidieren, Verantwortlichkeiten klar zu benennen und die Zusammenarbeit zwischen Plattform- und Entwicklungsteams strukturiert aufzusetzen. Das Plattform-Team stellt sicher, dass Security- und Compliance-Standards zentral eingehalten werden. Entwicklungsteams können sich darauf verlassen, ohne diese Anforderungen selbst umsetzen zu müssen.

Proaktiv statt reaktiv: Kein manuelles Update-Management mehr

Viele Sicherheitslücken entstehen nicht durch Fehler im eigenen Code, sondern weil genutzte Softwarebausteine nicht aktuell gehalten werden. Ein automatisierter Mechanismus prüft heute regelmäßig, ob neuere Versionen vorliegen, und schlägt Updates direkt vor. Rund 900 Anwendungen nutzen das heute aktiv. Updates werden nicht mehr gesammelt und auf einmal eingespielt, sondern kontinuierlich in kleinen Schritten. Das reduziert das Risiko, dass eine Aktualisierung unbemerkt Fehler in bestehende Anwendungen einführt.

Eigenständigkeit als Projektziel

Eine neue Lösung funktioniert nur, wenn die Teams, die sie täglich nutzen, eigenständig damit arbeiten können. INNOQ übernahm dabei nicht nur die technische Umsetzung, sondern begleitete jedes Team aktiv bei der Migration: mit Workshops, initialer gemeinsamer Umsetzung und direkter Unterstützung im Alltag. Die Begleitung wurde flexibel an die Situation jedes Teams angepasst: mit gezielter Wissensvermittlung und punktueller Unterstützung oder mit direkter Umsetzungsleistung, um den Teams den Rücken für ihre fachliche Arbeit freizuhalten. Zentrales Ziel war, dass die Teams nach dem Projekt eigenständig handlungsfähig sind.

Da die Migration parallel zum Tagesgeschäft lief, war Transparenz über den Fortschritt entscheidend. INNOQ setzte ein automatisiertes Reporting auf, das den Migrationsstatus aller Anwendungen täglich erfasst. So ist jederzeit sichtbar, welche Teams noch Unterstützung brauchen und wo die nächsten Schritte liegen.

Technologie & Enabling: Grundlage für den nächsten Schritt

CI/CD-Architektur: GitLab Build- und Renovate-Pipeline, Nexus Repository, Scans; Deployments on-prem und AWS-Cloud (Kubernetes) mit Secrets Management.
Einheitliche Build-Pipeline für On-Premises- und Cloud-Betrieb: Security- und Qualitäts-Scans laufen automatisch für alle Anwendungen, Sicherheitslücken sind zentral sichtbar.

Bei der Auswahl der Technologien stand ein Prinzip im Vordergrund: eine einheitliche, zukunftsfähige Umsetzung, die für alle Anwendungstypen und Betriebsumgebungen funktioniert. Die eingesetzten Werkzeuge sind etabliert, weit verbreitet und so gewählt, dass die DEVK sie langfristig selbst betreiben und weiterentwickeln kann.

Von Anfang an wurde darauf geachtet, dass die Lösung die laufende Cloud-Migration unterstützt. Beide Betriebsumgebungen, On Premises und Cloud, wurden auf derselben technischen Basis aufgebaut. Der Wechsel in die Cloud ist für jedes Team damit eine operative Entscheidung, keine Voraussetzung mit hohen Hürden.

Informationen über betriebene Anwendungen, Infrastruktur und Sicherheitsstatus lagen bisher verteilt und fragmentiert vor. INNOQ entwickelte gemeinsam mit dem DEVK Plattform-Team eine Automatisierung, die diese Informationen zusammenführt und verknüpft. Ein Dashboard mit rollenspezifischen Ansichten macht sie nun allen Beteiligten zugänglich und zeigt auf einen Blick, welche Sicherheitslücken in welchen Anwendungen bestehen und wo akuter Handlungsbedarf liegt. Entwicklungs- und Betriebsteams arbeiten heute mit denselben Informationen.

INNOQ ist auf verschiedenen Ebenen leistungsstark: bei der Schulung, der Implementierung und der Unterstützung unserer Mitarbeitenden bei der Umsetzung. Das Know-how, das sie einsetzen, ist top.

Michael HöfinghoffAbteilungsleiter IT, DEVK

Fazit

Sichtbarkeit schafft Handlungsfähigkeit

Die DEVK hat heute einen aktuellen Überblick darüber, welche Sicherheitslücken in welchen Anwendungen bestehen, und kann diese systematisch adressieren. Entwicklungsteams konzentrieren sich auf Versicherungsfachlichkeit, während klar geregelt ist, wer für welche Komponenten verantwortlich ist. Die hybride Konsolidierung auf einheitliche Technologien und Betriebsprinzipien ermöglichte eine schnelle Umsetzung der Security- und Compliance-Anforderungen über alle Anwendungen, ohne eine vollständige Cloud-Migration vorauszusetzen. Die DEVK kommt damit gleichzeitig ihrem strategischen Ziel, den Cloud-Betrieb auszubauen, einen Schritt näher.

Möglich wurde das durch eine konzeptionelle Entscheidung: Security- und Compliance-Anforderungen zentral in Plattformen zu verankern und durch dedizierte Plattform-Teams zu verantworten, statt sie auf jedes Team einzeln zu verteilen. INNOQ unterstützte die DEVK dabei, die dafür notwendigen Plattformen, Teams und Prozesse aufzubauen, mit dem klaren Ziel, dass die DEVK diese eigenständig betreiben kann. Interne Plattform-Teams verantworten sie heute vollständig und entwickeln sie weiter. Der Ansatz zeigt, dass sich so auch in gewachsenen Softwarelandschaften mit vielen Teams einheitliche Standards schrittweise und parallel zu laufender Entwicklung und Betrieb durchsetzen lassen.

Avatar of Jakob Oswald
Principal Consultant

Wir begleiten auch Ihr Digitalisierungsvorhaben in Ihrer Branche über alle Phasen hinweg und freuen uns auf den Austausch mit Ihnen.

Schreiben Sie mir!

Kontaktformular

Datenschutzhinweis:
Ihre personenbezogenen Daten werden ausschließlich zum Zweck der Bearbeitung Ihrer Anfrage und eventueller Anschlussfragen verarbeitet. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. f DSGVO. Weitere Informationen finden Sie in unserer Datenschutzerklärung .

TAGS