Automation der bankaufsichtlichen Anforderungen an die IT (BAIT)

Vollautomatisierte Inventarisierung auf allen Ebenen der IT: Infrastruktur, Systemkomponenten, Anwendungen und Endbenutzergeräte (Full-Stack Approach).

Im Rahmen der Erfassung werden die zum Zeitpunkt der Erfassung eingesetzten Versionen für Betriebssysteme, Programmiersprachen, Frameworks und Anwendungen vollautomatisiert ermittelt

Daten von Drittsystemen, wie bspw. IT- und Netzwerkmonitoring, IT Service Management, Cloud Anbietern und Geschäftsanwendungen, können einfach integriert und mittels der Versio.io Topologie in Beziehung gebracht werden

Kundenspezifische Informationen, wie bspw. Eigentümer oder Anwendung, können mittels Umgebungsvariablen definiert und somit in Versio.io erfasst werden. Die topologischen Beziehungen zwischen den Assets und Configuration Items der erfassten IT-Landschaft ermöglicht dann auch komplexe inhaltliche Zuordnungen abzufragen. Somit lassen sich bspw. alle zu einer Anwendung zugehörigen Komponenten (top-down) oder alle auf einem Rechner ausgeführten Anwendungen (bottom-up) ermitteln.

Geolokationen bzw. Standortdaten können von Drittsystemen übernommen, durch Umgebungsvariablen definiert oder durch Ableitung von der IP ermittelt werden.

Verträge in digitaler Form (bspw. Microsoft 365) oder Schlüsselparameter von Papierverträgen können von Versio.io importiert bzw. erfasst werden. Versio.io bietet hier eine revisionssichere Datenablage an, welche jeden Zustand eines und Änderung an einem Vertrag über deren gesamten Lebenszyklus nachvollziehbar macht.

Die importierten Vertragsdaten können auf Basis deren Inhalten (Datenattribute, Filter) und Beziehungen (Topologie) analysiert werden.

Jegliche Vertragsdaten können hinsichtlich ihrer Plausibilität, Integrität und Compliance verifiziert werden. Entsprechende Verstöße werden revisionssicher festgehalten und es können entsprechende Benachrichtigung versendet werden.

Versio.io stellt mit seiner 'Produkt Release & End-of-Life Datenbank' alle Release relevanten Informationen über Hardware- und Softwareprodukte zur Verfügung. Auf Basis dieser Informationen können Regelsätze generiert werden, welche eine vollautomatisierte Verifikation der Kundenspezifischen Produkt Release Strategie bereitstellt. So können bspw. Release Strategien wie 'letztes Release', 'letzter Patch', 'in Wartung', 'Support gegeben' oder 'Langzeitsupport' überprüft werden.

Die Bestimmung des Schutzbedarfs erfolgt im ersten Schritt auf konzeptioneller Ebene. Versio.io bietet die Möglichkeit den Schutzbedarf im IT-Betrieb über die gesamte IT-Landschaft zu operationalisieren.

Schutzbedarfe können in Form von Umgebungsvariablen oder Tags an IT-Systemen und deren Komponenten gespeichert werden. Damit kann der Schutzbedarf in allen darauffolgenden Umsetzungsszenarien genutzt werden (bspw. Reporting, Compliance Prüfung, Kostenverrechnung etc.).

Definierte Wartungsfenster aus verschiedensten Drittsystemen (ITSM, Monitoring) können importiert und historisiert gespeichert werden.

Die Wartungsfenster inklusive deren topologischen Beziehungen zu IT-Komponenten können analysiert, ausgewertet und verifiziert werden. Somit können bspw. Wartungsfenster in einer kritischen Geschäftszeit oder ohne einen Endzeitpunkt identifiziert werden.

Die Erfassung der IT-Systeme erfolgt vollautomatisiert und kontinuierlich. Kleinster Aktualisierungszyklus ist derzeit 1 Minute. Damit stehen in Versio.io die Daten der IT-Landschaft in nahezu Echtzeit zur Verfügung. Versionen von Betriebssystemen, Systemkomponenten, Programmiersprachen, Technologien und Anwendungen bei erfassen. Jede Änderung der Version wird gegen die Versio.io interne 'Produkt Release und End-of-Life Datenbank' nach kundenspezifischen Strategien, wie bspw. letztes Release, letzter Patch, Unterstützung Langzeitsupport, Produkt unter Wartung und Support, verifiziert.

Funktionale Erweiterungen eines IT-Systems bestehen neben dem Softwarecode aus Änderungen in Konfigurationen. Dazu gehören Datenbank-Schemas, Dateikonfigurationen (App-,Web-,Messaging- oder Datenbank-Server), DevOps Artefakten (Docker oder Kubernetes Konfigurationen), Netzwerkkonfigurationen (Freischaltung von Netzwerksegementen und Ports). Diese Konfigurationen können vollautomatisiert erfasst und dokumentiert werden. Jede dieser Änderungen kann wiederum vollautomatisiert hinsichtlich einer SOLL-Konfiguration, Sicherheitsvorgaben und internen Vorgaben verifiziert werden.

Für die Analyse der Ursache von auftretenden Fehlern werden meist IT-Monitoring- und Log Management Systeme eingesetzt. Versio.io bietet hier über die Änderungserkennung eine weitere existentielle Datenquelle für die Ursachenidentifikation von Fehlern im IT-Betrieb an.

Mit dem Versio.io Batch-Job Monitoring können Unternehmen die zyklische Ausführung von täglichen Backup-Prozessen zur Datenmigration revisionssicher aufzeichnen, qualitätssichern und optimieren. Die erfassten Prozessdaten können inhaltlich verifiziert werden, um die Governance & Compliance abzusichern. Damit kann man sich bspw. Benachrichtigen lassen, wenn ein Backup fehlgeschlagen ist oder deren Ausführungszeit sich zu den vorhergehenden Prozessdurchläufen stark verändert hat.

Für die Qualitätssicherung der Datenmigration kann mit den generischen Datenimportern von Versio.io die Vollständigkeit der Migration anhand der Anzahl an Datensätze und die inhaltliche Korrektheit anhand von Prüfziffern (Hash-Werten) pro Datensatz bzw. -objekt ermittelt und sichergestellt werden. Mittels des Delta Topology Analysers kann ein Unterschied zwischen den migrierten Datenquellen automatisiert ermittelt werden und ggf. Alarmierungen erfolgen.

Die Kernkompetenz von Versio.io ist die Erkennung von Änderungen und deren Nachverarbeitung (Verifikation, Kostenverrechnung, Prozessmonitoring etc.).

Versio.io speichert revisionssicher jede sich veränderte Konfigurationsänderung. Dadurch stehen dem Benutzer alle Konfigurationen über den gesamten Lebenszyklus zur Verfügung. Dies ist vergleichbar mit einem Backup oder einer Versionierung von Konfigurationen.

Jegliche Konfigurationsänderung kann vollautomatisiert und regelbasiert hinsichtlich bestehender Governance & Compliance Anforderungen verifiziert werden (Sicherheit, Produktaktualität, interne Vorgaben, Konfigurationsprobleme etc.)

Die Konfiguration von ausgetauschten Hardwarekomponenten in Form von physikalischen Servern, Speichersystemen, Routern, mobilen Geräten etc. können vollautomatisiert erhoben und dokumentiert werden.

Auf Basis der Delta Topology Analyse können die Konfigurationen zwischen der letzten Konfiguration und der neuen ausgetauschten Hardwarekomponente verglichen werden, um bspw. Konfigurationsunterschiede zu identifizieren.

Die erfassten Konfigurationen der ausgetauschten Hardwarekomponenten können im Rahmen der initialen Erfassung und jeder folgenden Konfigurationsänderungen vollautomatisiert hinsichtlich der Governance und Compliance verifiziert werden. Damit wird die Einhaltung von Compliance und Sicherheitsaspekten (bekannte Sicherheitsschwachstellen, Produkt ohne Wartung/Support, aktuellere Produktversionen, interne Vorgaben, gültige SSL-Zertifikate, offene Port etc.) sichergestellt.

Die Konfiguration von neue Hardwarekomponenten in Form von physikalischen Servern, Speichersystemen, Routern, mobilen Geräten etc. können vollautomatisiert erhoben und dokumentiert werden.

Die neu erfassten Konfigurationen der Hardwarekomponenten können im Rahmen der initialen Erfassung und jeder folgenden Konfigurationsänderungen vollautomatisiert hinsichtlich der Governance und Compliance verifiziert werden. Damit wird die Einhaltung von Compliance und Sicherheitsaspekten (bekannte Sicherheitsschwachstellen, Produkt ohne Wartung/Support, aktuellere Produktversionen, interne Vorgaben, gültige SSL-Zertifikate, offene Port etc.) sichergestellt.

Für den Standortumzug von IT-Systemen ist die Dokumentation des IST-Zustands und der Abgleich mit dem migrierten IT-System die Basis für eine stabile und fehlerfreie Migration.

Versio.io bietet mit seinem Asset & Configuration Inventory alle aktuellen Konfigurationen jeder einzelnen Komponente des gesamten IT-Systems (VM, Host, Prozesse, Service, Konfigurationen, Datenbankschema, Anwendung etc.) als Informationsbasis an. Zusätzlich werden die Beziehung aller Komponenten des IT-Systems in Form einer Topologie bereitgestellt.

Auf Basis der Topologie ist ein Vergleich des bestehenden IT-Systems (IST) und des migrierten IT-Systems bis auf Attributebene einer Teilkomponente möglich. Somit kann der Nachweis erbracht werden, dass das IT-System 1:1 am neuen Standort wieder hergestellt wurde. Kundenspezifische Filteranpassungen für die Topologie Delta Analyse sind konfigurierbar.

Die durch Versio.io erkannten Änderungen, bspw. an Betriebssystemen, Prozesstechnologien, App-,Web- oder Datenbank-Server, Router-Konfigurationen etc., können hinsichtlich bekannter IT-Sicherheitsschwachstellen, nicht aktueller Release oder Patch Versionen, nicht verfügbarer Wartungs- und Supportunterstützung der eingesetzten Produkte sowie internen Vorgaben zur Sicherstellung des operativen Betriebes verifiziert werden.

Die Kernkompetenz von Versio.io ist die Erkennung von Änderungen und deren Nachverarbeitung. Somit lassen sich im Rahmen von Tests vor Produktivgang nicht nur geplante, sondern auch ungeplante Änderungen, erkennen. Des Weiteren kann mittels Delta-Abgleich zwischen Test- und Produktivumgebung der Umfang der Änderungen objektiv operativ gesteuert werden.

Die durch Versio.io erkannten Änderungen an Betriebssystemen und Prozesstechnologien können hinsichtlich bekannter IT-Sicherheitsschwachstellen, nicht aktueller Release oder Patch Versionen sowie nicht verfügbarer Wartung und Support der Produkte verifiziert werden.

Die Kernkompetenz von Versio.io ist die Erkennung von Änderungen und deren Nachverarbeitung. Somit lassen sich im Rahmen von Test vor Produktivgang nicht nur geplante, sondern auch ungeplante Änderungen, erkennen. Des Weiteren kann mittels Delta-Abgleich zwischen Test- und Produktivumgebung der Umfang der Änderungen objektiv operativ gesteuert werden.

Mit dem Versio.io Batch-Job Monitoring können Unternehmen die zyklische Ausführung von täglichen Datensicherungsläufen revisionssicher aufzeichnen, qualitätssichern und optimieren. Die erfassten Prozessdaten können inhaltlich verifiziert werden, um die Governance & Compliance abzusichern. Damit kann man sich bspw. Benachrichtigen lassen, wenn ein Backup fehlgeschlagen ist oder deren Ausführungszeit sich zu den vorhergehenden Prozessdurchläufen stark verändert hat.

Versio.io dokumentiert vollautomatisiert jegliche Veränderung von IT-Systemen. Im Falle einer Rückabwicklung bietet Versio.io detaillierte Informationen zum Zustand des IT-Systems vor der durchgeführten Veränderung an (bspw. Anwendungskonfiguration, Datenbank Schema etc.).

Auf Basis des Delta Topology Analysers kann nach der Rückabwicklung eine automatisierte Verifikation erfolgen, ob die Konfiguration wieder dem letzten stabilen Zustand des IT-Systems entspricht.

Ist eine Wiederherstellung auf Basis von Standardverfahren, wie bspw. Backup oder Snapshot, nicht möglich, so bietet Versio.io eine vollständige Dokumentation eines IT-Systems als Dokumentationsvoraussetzung für eine teilweise oder vollständige Neuinstallation eines IT-Systems an.

Auf Basis des Delta Topology Analysers kann nach der Neuinstallation eine automatisierte Verifikation erfolgen, ob die Konfiguration wieder dem letzten stabilen Zustand des IT-Systems entspricht.

Jegliche Änderungen in der IT-Landschaft, ob in der Bewertung wichtig oder nicht, werden automatisiert dokumentiert und historisiert. Damit schafft Versio.io ein Gesamtbild und ermöglicht auch Problemursachen auf Basis von vermeintlich unwichtigen Konfigurationen.

Das klassische Meldungsmanagement (Incident & Problem) wird von spezialisierten ITSM Systemen erbracht. Versio.io kann die Meldungen übernehmen, historisieren und vorhanden Beziehungen zu den betroffenen Systemkomponenten (Anwendung, Service, Prozess, Host etc.) abbilden.

Versio.io unterstützt die Meldungsbearbeitung in Form der Bereitstellung von Informationen über sämtliche Konfigurationen in der IT-Landschaft sowie deren Änderung. Die Änderungsinformationen sind eine Basis für die Ursachenanalyse, da Änderungen häufig der Ausgangspunkt einer Störung sind.

Neben der zentralen Informationsbereitstellung und Ursachenanalyse können Reports zu problemverursachenden Konfigurationen oder auch den Meldungen selbst bereitgestellt werden.

Alle im Rahmen der Problembehebung durchgeführten Maßnahmen an Systemkomponenten werden von Versio.io automatisch dokumentiert (bspw. Speichererweiterung, Versionsupdate, Konfigurationsänderung etc.). Jede dieser Änderungen kann hinsichtlich deren Governance & Compliance Einhaltung verifiziert werden.

Mit dem Versio.io Batch-Job Monitoring können Unternehmen die zyklische Ausführung von täglichen Backup-Prozessen und jährlichen Wiederherstellungstest revisionssicher aufzeichnen, qualitätssichern und optimieren. Die erfassten Prozessdaten können inhaltlich verifiziert werden, um die Governance & Compliance abzusichern. Damit kann man sich bspw. Benachrichtigen lassen, wenn Backup oder Wiederherstellungstest fehlgeschlagen sind oder deren Ausführungszeit sich zu den vorhergehenden Prozessdurchläufen stark verändert hat.

Das zentrale Asset & Configuration Inventory in Versio.io stellt Konfigurationsdaten aus verschiedensten Datenquellen, bspw. Rechenzentren und Clouds, über das Reporting und die Open-API zur Verfügung. Damit können die konfigurierten Ressourcenzuordnungen (Anzahl CPUs, Umfang des Arbeits- oder Plattenspeichers etc.) ermittelt werden. Versio.io erfasst keine Daten über die Höhe der tatsächlich genutzten Ressourcen!