Wie die V-Bank AG erfolgreich ihre Services digitalisierte

Seit ihrer Gründung im Jahr 2008 hat die V-Bank einen klaren Fokus: Die Verwahrung von Vermögenswerten für unabhängige Vermögensverwalter, Family Offices, Stiftungen und Investmentbanken. Mit einem verwalteten Vermögen von mehr als 35 Milliarden Euro hat die V-Bank in Deutschland mehrere Auszeichnungen erhalten, wie z. B. «Beste Depotbank 2021» und «Top Innovator 2021». Sie wird ebenfalls für ihre «Exzellente Servicequalität» geschätzt.

Im Jahr 2020 beschloss die V-Bank, ihre Digitalisierung zu beschleunigen, indem ihr Service-Angebot mit einer mobile E-Banking-App erweitert werden sollte. Bis dahin waren die Endkunden auf eine browserbasierte Lösung beschränkt, um einen Überblick über ihr Vermögen und ihre Transaktionen zu erhalten. Während die Bank sich vollständig auf den Mehrwert der neuen Applikation für die Kunden und die Benutzerfreundlichkeit fokussierte, wurde die Knowledge Lab AG mit der Umsetzung der Sicherheitsaspekte betraut. Die Knowledge Lab AG, Gold Partner des Schweizer IT-Sicherheitsanbieters Airlock, war aufgrund ihrer langjährigen Erfahrung bei der IT-Security für Finanzdienstleister der perfekte Partner für die V-Bank, um diese erfolgreich bei ihrem Digitalisierungsprojekt zu unterstützen.

Die Aufgabe der Knowledge Lab AG: gewährleisten, dass sämtliche sicherheitsrelevanten Aspekte bei der neuen Lösung berücksichtigt werden. Dabei sollte die Sicherheit nicht am Schluss ins Spiel kommen, sondern als agiles Projekt kontinuierlich umgesetzt werden.

Sicherheit dank kohärenter Checklisten

Was bei der Flugsicherheit eine zentrale Rolle spielt, hat sich auch in der IT-Security vollauf bewährt: Checklisten. Denn ganz gleich, ob eine Reise über den Wolken oder eine Umsiedlung in die Cloud ansteht – mit Checklisten lassen sich komplexe Anforderungen kohärent strukturieren und ein Maximum an Sicherheit erreichen.

Ein Blick auf die Checkliste der Knowledge Lab AG zeigt, welche Hauptaspekte zur Sicherstellung agiler IT-Security zu berücksichtigen sind. Das übergeordnete Ziel ist dabei, dass autorisierte Benutzer möglichst einfach auf ihre Daten zugreifen können. Unerwünschte Besucher wie Hacker oder Bots sollen hingegen frühzeitig abgefangen werden, damit sie keinen Schaden anrichten können. Wie dieses Arbeiten mit Checklisten und einem agilen «DevSecOps» Prozess konkret aussieht, möchten wir nun am Beispiel der V-Bank zeigen.

Schritt#1: Autorisierung und Identitätsmanagement

Im eingangs beschriebenen Digitalisierungs-Projekt der V-Bank bestand die größte Herausforderung darin, dass es sich bei der bestehenden browserbasierten Endnutzer-Anwendung um eine SaaS-Lösung handelte, die von einem Drittanbieter verwaltet wurde. Mithilfe des Airlock Gateway und des Airlock IAM mit dem branchenüblichen Autorisierungsprotokoll OAuth2 konnte das Knowledge Lab-Team schnell eine moderne Zwei-Faktor-Authentifizierung inkl. Biometrie für die integrierte mobile App bereitstellen.

Schritt#2: Verfügbarkeit und Skalierung

Doch die wahre Innovation der Gesamtlösung ist unter der Oberfläche zu finden und betrifft vor allem die Skalierung der cloudbasierten Lösung. So wünschte sich V-Bank natürlich, dass ihre Kunden gerade beim Release den neuen Service ausgiebig und zahlreich nutzen. Dafür muss allerdings eine entsprechende Infrastruktur bereitstehen, die bei einem plötzlichem Besucheransturm automatisch skaliert. Zudem müssen bekannte Angriffe und Zero-Day-Attacken früh erkannt und nach Möglichkeit verhindert werden.

Für die Bedürfnisse der V-Bank gestaltete und konfigurierte die Knowledge Lab AG die erste cloudbasierte Bereitstellung von Airlock Gateway und Airlock IAM in Form eines hochverfügbaren, fehlertoleranten und dynamisch skalierten Clusters.

Schritt#3: Automatisation und Hotfixes

Weitere sicherheitsrelevante Aspekte lagen zum einen im Umgang mit neu entdeckten Sicherheitslücken und zum anderen in der Bereitstellung auf diversen Umgebungen. Um den Betrieb zu vereinfachen, wurde die automatisierte Einrichtung und Bootstrapping jeder Gateway-Instanz über die Konfigurationsschnittstelle (REST API) und das Open-Source-Automatisierungswerkzeug Ansible erreicht.

Für vier Staging-Umgebungen wurde eine kontinuierliche Integration und Bereitstellung (CI/CD) sichergestellt, so dass für die Produktion erforderliche Hot fixes innerhalb von Minuten aufgespielt werden können.

Für das Monitoring wurde eine nahtlose Integration mit dem clusterweiten Logging-Stack, Grafana-Dash-boards und Warnmeldungen implementiert, die an Microsoft Teams übermittelt werden. Dadurch werden die Fehlermeldungen der Systeme zentralisiert zusammengeführt und mit Grafana übersichtlich für die Analyse aufgearbeitet.

Schritt#4: Ready for Take-off

Dank der erfolgreichen Zusammenarbeit zwischen der V-Bank und der Knowledge Lab AG können die Endkunden jetzt von ihren Mobilgeräten auf alle Informationen über ihr Vermögen und die durchgeführten Transaktionen zugreifen. Die mobile App bietet nun ein reichhaltiges Kundenerlebnis, ohne dabei Kompromisse bei den Sicherheitsaspekten einzugehen.