Automatisierung der bankaufsichtsrechtlichen Anforderungen an die IT (BAIT)

Vollautomatische Bestandsverwaltung auf allen IT-Ebenen: Infrastruktur, Systemkomponenten, Anwendungen und Endgeräte (Full-Stack-Ansatz).

Während des Aufzeichnungsprozesses werden die zum Zeitpunkt der Aufzeichnung verwendeten Versionen von Betriebssystemen, Programmiersprachen, Frameworks und Anwendungen vollautomatisch ermittelt.

Daten aus Drittsystemen, wie IT- und Netzwerküberwachung, IT-Servicemanagement, Cloud-Anbietern und Geschäftsanwendungen, können mithilfe der Versio.io-Topologie einfach integriert und korreliert werden.

Kundenspezifische Informationen, wie beispielsweise Eigentümer oder Anwendung, können über Umgebungsvariablen definiert und somit in Versio.io erfasst werden. Die topologischen Beziehungen zwischen den Assets und Konfigurationselementen der erfassten IT-Landschaft ermöglichen dann auch die Abfrage komplexer Inhaltszuordnungen. So lassen sich beispielsweise alle zu einer Anwendung gehörenden Komponenten (Top-down) oder alle auf einem Rechner laufenden Anwendungen (Bottom-up) ermitteln.

Geolokalisierungen oder Standortdaten können aus Systemen von Drittanbietern übertragen, durch Umgebungsvariablen definiert oder durch Ableitung aus der IP-Adresse ermittelt werden.

Verträge in digitaler Form (z. B. Microsoft 365) oder wichtige Parameter aus Papierverträgen können von Versio.io importiert oder erfasst werden. Versio.io bietet eine revisionssichere Datenspeicherung, die jeden Status und jede Änderung eines Vertrags über dessen gesamten Lebenszyklus hinweg nachvollziehbar macht.

Die importierten Vertragsdaten können anhand ihres Inhalts (Datenattribute, Filter) und ihrer Beziehungen (Topologie) analysiert werden.

Alle Vertragsdaten können auf Plausibilität, Vollständigkeit und Konformität überprüft werden. Verstöße werden revisionssicher protokolliert und entsprechende Benachrichtigungen versendet.

Versio.io stellt in seiner „Product Release & End-of-Life Database” alle release-relevanten Informationen zu Hardware- und Softwareprodukten bereit. Auf Basis dieser Informationen können Regelwerke generiert werden, die eine vollautomatische Überprüfung kundenspezifischer Produkt-Release-Strategien ermöglichen. So lassen sich beispielsweise Release-Strategien wie „Last Release”, „Last Patch”, „In Maintenance”, „Support Provided” oder „Long Term Support” überprüfen.

Der erste Schritt besteht darin, den erforderlichen Schutzgrad auf konzeptioneller Ebene zu bestimmen. Versio.io bietet die Möglichkeit, den Schutzbedarf für den IT-Betrieb über die gesamte IT-Landschaft hinweg zu operationalisieren.

Schutzbedürfnisse können in Form von Umgebungsvariablen oder Tags auf IT-Systemen und deren Komponenten hinterlegt werden. So können die Schutzbedürfnisse in allen nachfolgenden Umsetzungsszenarien (z. B. Berichterstattung, Compliance-Prüfungen, Kostenverrechnung etc.) verwendet werden.

Definierte Wartungsfenster aus einer Vielzahl von Fremdsystemen (ITSM, Monitoring) können importiert und in einer historischen Datenbank gespeichert werden.

Wartungsfenster, einschließlich ihrer topologischen Beziehungen zu IT-Komponenten, können analysiert, bewertet und überprüft werden. So lassen sich beispielsweise Wartungsfenster während kritischer Geschäftszeiten oder ohne Endzeitpunkt identifizieren.

IT-Systeme werden vollautomatisch und kontinuierlich erfasst. Der kürzeste Update-Zyklus beträgt derzeit 1 Minute. Damit stehen Daten zur IT-Landschaft nahezu in Echtzeit in Versio.io zur Verfügung. Versionen von Betriebssystemen, Systemkomponenten, Programmiersprachen, Technologien und Anwendungen werden erfasst. Jeder Versionswechsel wird anhand der internen „Produkt-Release- und End-of-Life-Datenbank” von Versio.io gemäß kundenspezifischen Strategien wie letzter Release, letzter Patch, Langzeit-Support, Produkt in Wartung und Support überprüft.

Funktionale Erweiterungen eines IT-Systems bestehen neben dem Software-Code aus Änderungen an Konfigurationen. Dazu gehören Datenbankschemata, Dateikonfigurationen (App-, Web-, Messaging- oder Datenbankserver), DevOps-Artefakte (Docker- oder Kubernetes-Konfigurationen) und Netzwerkkonfigurationen (Aktivierung von Netzwerksegmenten und Ports). Diese Konfigurationen können vollautomatisch erfasst und dokumentiert werden. Jede dieser Änderungen kann wiederum vollautomatisch hinsichtlich einer Zielkonfiguration, Sicherheitsanforderungen und internen Vorgaben überprüft werden.

Zur Analyse der Fehlerursachen werden in der Regel IT-Monitoring- und Log-Management-Systeme eingesetzt. Versio.io bietet die Change Detection als zusätzliche wichtige Datenquelle zur Identifizierung von Fehlerursachen im IT-Betrieb.

Mit Versio.io Batch Job Monitoring können Unternehmen die zyklische Ausführung täglicher Backup-Prozesse für die Datenmigration revisionssicher aufzeichnen, qualitätssichern und optimieren. Die aufgezeichneten Prozessdaten können inhaltlich überprüft werden, um Governance und Compliance sicherzustellen. So können Sie beispielsweise benachrichtigt werden, wenn eine Sicherung fehlgeschlagen ist oder sich ihre Ausführungszeit gegenüber früheren Prozessläufen erheblich geändert hat.

Zur Qualitätssicherung der Datenmigration können die generischen Datenimporteure von Versio.io eingesetzt werden, um anhand der Anzahl der Datensätze und der inhaltlichen Korrektheit mittels Prüfziffern (Hash-Werten) pro Datensatz oder Objekt die Vollständigkeit der Migration festzustellen und sicherzustellen. Mit dem Delta Topology Analyser können Unterschiede zwischen den migrierten Datenquellen automatisch erkannt und bei Bedarf Warnmeldungen ausgelöst werden.

Die Kernkompetenz von Versio.io liegt in der Erkennung von Änderungen und deren Nachbearbeitung (Verifizierung, Kostenverteilung, Prozessüberwachung etc.).

Versio.io speichert jede Konfigurationsänderung in einer auditierbaren Weise. Das bedeutet, dass alle Konfigurationen dem Benutzer während des gesamten Lebenszyklus zur Verfügung stehen. Dies ist vergleichbar mit einer Sicherung oder Versionierung von Konfigurationen.

Alle Konfigurationsänderungen können vollautomatisch und regelbasiert hinsichtlich bestehender Governance- und Compliance-Anforderungen (Sicherheit, Produktaktualisierungen, interne Spezifikationen, Konfigurationsprobleme usw.) überprüft werden.

Die Konfiguration der ausgetauschten Hardwarekomponenten in Form von physischen Servern, Speichersystemen, Routern, mobilen Geräten etc. kann vollautomatisch erfasst und dokumentiert werden.

Basierend auf der Delta-Topologieanalyse können die Konfigurationen zwischen der letzten Konfiguration und der neuen ersetzten Hardwarekomponente verglichen werden, um beispielsweise Konfigurationsunterschiede zu identifizieren.

The recorded configurations of the replaced hardware components can be verified fully automatically in terms of governance and compliance as part of the initial recording and any subsequent configuration changes. This ensures compliance with compliance and security aspects (known security vulnerabilities, products without maintenance/support, more recent product versions, internal specifications, valid SSL certificates, open ports, etc.).

Die Konfiguration neuer Hardwarekomponenten in Form von physischen Servern, Speichersystemen, Routern, mobilen Geräten etc. kann vollautomatisch erfasst und dokumentiert werden.

The newly recorded configurations of the hardware components can be verified fully automatically in terms of governance and compliance during the initial recording and any subsequent configuration changes. This ensures compliance with compliance and security aspects (known security vulnerabilities, product without maintenance/support, more recent product versions, internal specifications, valid SSL certificates, open ports, etc.).

Bei der Verlagerung von IT-Systemen ist die Dokumentation des Ist-Zustandes und der Abgleich mit dem migrierten IT-System für eine stabile und fehlerfreie Migration unerlässlich.

Die Asset & Configuration Inventory von Versio.io stellt alle aktuellen Konfigurationen jeder einzelnen Komponente des gesamten IT-Systems (VM, Host, Prozesse, Services, Konfigurationen, Datenbankschema, Anwendungen etc.) als Informationsbasis zur Verfügung. Zusätzlich werden die Beziehungen zwischen allen Komponenten des IT-Systems in Form einer Topologie bereitgestellt.

Anhand der Topologie ist es möglich, das bestehende IT-System (ACTUAL) und das migrierte IT-System bis auf die Attributebene einer Unterkomponente zu vergleichen. Damit wird nachgewiesen, dass das IT-System am neuen Standort 1:1 wiederhergestellt wurde. Kundenspezifische Filteranpassungen für die Topologie-Delta-Analyse können konfiguriert werden.

Die von Versio.io erkannten Änderungen, z. B. an Betriebssystemen, Prozesstechnologien, App-, Web- oder Datenbankservern, Routerkonfigurationen usw., können hinsichtlich bekannter IT-Sicherheitslücken, veralteter Release- oder Patch-Versionen, nicht verfügbarer Wartung und Support für die verwendeten Produkte sowie interner Anforderungen zur Gewährleistung der Betriebskontinuität überprüft werden.

Die Kernkompetenz von Versio.io liegt in der Erkennung von Änderungen und deren Nachbearbeitung. So können nicht nur geplante, sondern auch ungeplante Änderungen während Tests vor dem Go live erkannt werden. Darüber hinaus lässt sich der Umfang der Änderungen durch einen Delta-Vergleich zwischen Test- und Produktionsumgebung objektiv und operativ kontrollieren.

Die von Versio.io erkannten Änderungen an Betriebssystemen und Prozesstechnologien können hinsichtlich bekannter IT-Sicherheitslücken, veralteter Release- oder Patch-Versionen sowie nicht verfügbarer Wartung und Support für die Produkte überprüft werden.

Die Kernkompetenz von Versio.io liegt in der Erkennung von Änderungen und deren Nachbearbeitung. So können nicht nur geplante, sondern auch ungeplante Änderungen während des Testens vor dem Go live erkannt werden. Darüber hinaus lässt sich der Umfang der Änderungen durch einen Delta-Vergleich zwischen Test- und Produktionsumgebung objektiv und operativ kontrollieren.

Mit Versio.io Batch Job Monitoring können Unternehmen die zyklische Ausführung täglicher Datensicherungen revisionssicher aufzeichnen, qualitätssichern und optimieren. Die aufgezeichneten Prozessdaten können inhaltlich überprüft werden, um Governance und Compliance sicherzustellen. So werden Sie beispielsweise benachrichtigt, wenn eine Sicherung fehlgeschlagen ist oder sich die Ausführungszeit gegenüber früheren Prozessläufen erheblich geändert hat.

Versio.io automatisiert vollständig die Dokumentation aller Änderungen an IT-Systemen. Im Falle einer Rücknahme liefert Versio.io detaillierte Informationen über den Zustand des IT-Systems vor der Änderung (z. B. Anwendungskonfiguration, Datenbankschema usw.).

Basierend auf dem Delta Topology Analyser kann nach der Umstellung eine automatisierte Verifizierung durchgeführt werden, um sicherzustellen, dass die Konfiguration dem letzten stabilen Zustand des IT-Systems entspricht.

Ist eine Wiederherstellung auf Basis von Standardverfahren wie Backup oder Snapshot nicht möglich, bietet Versio.io eine vollständige Dokumentation eines IT-Systems als Voraussetzung für die teilweise oder vollständige Neuinstallation eines IT-Systems.

Basierend auf dem Delta Topology Analyser kann nach der Neuinstallation eine automatisierte Verifizierung durchgeführt werden, um sicherzustellen, dass die Konfiguration dem letzten stabilen Zustand des IT-Systems entspricht.

Jegliche Änderungen in der IT-Landschaft, unabhängig davon, ob sie für die Bewertung relevant sind oder nicht, werden automatisch dokumentiert und protokolliert. Versio.io erstellt so ein Gesamtbild und ermöglicht es, auch anhand scheinbar unwichtiger Konfigurationen Problemursachen zu identifizieren.

Das klassische Incident- und Problem-Management wird durch spezialisierte ITSM-Systeme abgedeckt. Versio.io kann die Meldungen übernehmen, protokollieren und bestehende Beziehungen zu den betroffenen Systemkomponenten (Anwendung, Service, Prozess, Host etc.) abbilden.

Versio.io unterstützt die Nachrichtenverarbeitung, indem es Informationen über alle Konfigurationen in der IT-Landschaft und alle daran vorgenommenen Änderungen bereitstellt. Die Änderungsinformationen bilden die Grundlage für die Ursachenanalyse, da Änderungen häufig der Ausgangspunkt für Vorfälle sind.

Neben der zentralen Bereitstellung von Informationen und der Ursachenanalyse können auch Berichte über problematische Konfigurationen oder sogar die Meldungen selbst bereitgestellt werden.

Alle Maßnahmen, die im Rahmen der Fehlerbehebung an Systemkomponenten vorgenommen werden, werden von Versio.io automatisch dokumentiert (z. B. Speichererweiterung, Versionsaktualisierung, Konfigurationsänderung usw.). Jede dieser Änderungen kann hinsichtlich Governance und Compliance überprüft werden.

Mit Versio.io Batch Job Monitoring können Unternehmen die zyklische Ausführung von täglichen Backup-Prozessen und jährlichen Wiederherstellungstests revisionssicher aufzeichnen, qualitativ sichern und optimieren. Die aufgezeichneten Prozessdaten können inhaltlich überprüft werden, um Governance und Compliance sicherzustellen. So können Sie beispielsweise benachrichtigt werden, wenn ein Backup- oder Wiederherstellungstest fehlgeschlagen ist oder sich dessen Ausführungszeit gegenüber früheren Prozessläufen wesentlich geändert hat.

Die zentrale Asset- und Konfigurationsdatenbank in Versio.io stellt Konfigurationsdaten aus einer Vielzahl von Datenquellen, wie z. B. Rechenzentren und Clouds, über Reporting und die offene API zur Verfügung. So können die konfigurierten Ressourcenzuweisungen (Anzahl der CPUs, Arbeitsspeicher oder Festplattenspeicher usw.) ermittelt werden. Versio.io sammelt keine Daten über die tatsächlich genutzten Ressourcen!