Blog arşivleri - Bexta

DORA und Drittanbieter – So sichern Sie Ihre Lieferkette ab

Erdinc Bulat — Mon, 01 Sep 2025 08:45:39 +0000

01/09/2025
Blog

DORA und Drittanbieter – So sichern Sie Ihre Lieferkette ab

DORA Drittanbieter-Management – Leitfaden für Banken und Finanzdienstleister

Warum Drittanbieter im Fokus stehen

In den letzten Jahren haben Banken, Versicherungen und Finanzdienstleister ihre IT-Landschaft stark ausgelagert. Cloud-Anbieter, SaaS-Lösungen und spezialisierte Dienstleister sind fester Bestandteil der Wertschöpfungskette geworden. Genau hier setzt DORA an: Jede kritische Abhängigkeit muss transparent und überprüfbar sein.

Die neuen Anforderungen von DORA

DORA verschärft die Regeln für das Management von Drittanbietern erheblich:

– Alle kritischen ICT-Dienstleister müssen in ein zentrales Auslagerungsregister aufgenommen werden.

– Verträge müssen Mindeststandards für Sicherheit, Reporting und Zugriff enthalten.

– Aufsichtsbehörden erhalten das Recht, direkt bei kritischen Dienstleistern Prüfungen vorzunehmen.

Kritische Abhängigkeiten identifizieren

Unternehmen müssen zunächst eine vollständige Übersicht über alle Dienstleister erstellen. Besonderes Augenmerk gilt dabei Cloud-Anbietern und IT-Security-Dienstleistern. Nur wer Transparenz über seine Abhängigkeiten hat, kann Risiken gezielt steuern.

Risikobewertung und Vertragsmanagement

Jeder kritische Dienstleister muss regelmäßig einer Risikobewertung unterzogen werden. Zusätzlich sind bestehende Verträge auf DORA-Konformität zu prüfen und ggf. anzupassen. Wichtige Punkte sind Exit-Strategien, Kontrollrechte und Notfallmaßnahmen.

Technische & organisatorische Maßnahmen

Neben der Vertragsseite fordert DORA auch konkrete technische Maßnahmen:

– Sicherheitszertifikate und Nachweise (z. B. ISO 27001).

– Regelmäßige Penetrationstests beim Dienstleister.

– Integration von Monitoring-Systemen über Schnittstellen.

Praktische Beispiele aus der Umsetzung

– Eine Versicherungsgesellschaft hat ihr Auslagerungsregister automatisiert und mit der internen CMDB verbunden.

– Eine Bankengruppe hat SLA-Management-Tools eingeführt, um Dienstleister-Performance in Echtzeit zu überwachen.

– Ein Zahlungsdienstleister hat alle Cloud-Verträge an die neuen DORA-Vorgaben angepasst und jährliche Prüfungen etabliert.

Fazit

Das Thema Drittanbieter ist einer der sensibelsten Punkte in der DORA-Umsetzung – und gleichzeitig einer der am meisten unterschätzten. Viele Finanzunternehmen haben ihre IT-Infrastruktur in den letzten Jahren stark ausgelagert, ohne dabei alle Risiken konsequent zu berücksichtigen. DORA zwingt jetzt zum Umdenken: Jede kritische Schnittstelle, jeder Vertrag, jeder externe Dienstleister muss transparent und überprüfbar sein.

Das ist eine Herausforderung – aber auch eine enorme Chance. Denn wer seine Lieferkette im Griff hat, reduziert nicht nur Risiken, sondern steigert auch die eigene Handlungsfähigkeit im Ernstfall. Statt Abhängigkeiten blind zu vertrauen, gewinnen Unternehmen die Kontrolle zurück und können proaktiv steuern.

Die Botschaft ist klar: Drittanbieter-Management wird zur strategischen Führungsaufgabe. Wer diese Aufgabe ernst nimmt, wird nicht nur die Compliance sichern, sondern auch das Vertrauen seiner Kunden und Aufsichtsbehörden nachhaltig stärken.

DORA und Drittanbieter – So sichern Sie Ihre Lieferkette ab yazısı ilk önce Bexta üzerinde ortaya çıktı.

DORA umsetzen – Ein praxisnaher Fahrplan für Finanzunternehmen

Erdinc Bulat — Mon, 01 Sep 2025 08:43:15 +0000

01/09/2025
Blog

DORA umsetzen – Ein praxisnaher Fahrplan für Finanzunternehmen

DORA Umsetzung – Praxisleitfaden für Banken und Versicherungen

Warum ein Fahrplan entscheidend ist

Viele Finanzunternehmen stehen vor der Herausforderung, hunderte Seiten DORA-Verordnung in konkrete Maßnahmen zu übersetzen. Ein klar strukturierter Fahrplan hilft dabei, Prioritäten zu setzen und Ressourcen effizient einzusetzen.

Schritt 1: Readiness-Check

Am Anfang jeder DORA-Umsetzung steht eine Bestandsaufnahme:

– Welche Prozesse existieren bereits?

– Wo liegen Lücken in IT-Sicherheit und Governance?

– Welche Drittanbieter sind kritisch und wie werden sie derzeit überwacht?

Ein Readiness-Check schafft Transparenz und bildet die Grundlage für alle weiteren Schritte.

Schritt 2: Maßnahmenplan & Priorisierung

Auf Basis des Readiness-Checks wird ein Maßnahmenplan erstellt. Dieser priorisiert Anforderungen nach Risiko, Kosten und Umsetzbarkeit. Typische Quick-Wins sind die Einführung von Incident-Reporting-Prozessen oder das Schließen einfacher Schwachstellen.

Schritt 3: Umsetzung in der Praxis

Die Umsetzung umfasst sowohl technische Maßnahmen als auch organisatorische Veränderungen:

– Einführung von SIEM-Systemen und Monitoring-Lösungen.

– Anpassung von Notfallhandbüchern und Prozessen.

– Vertragsanpassungen bei kritischen Drittanbietern.

Schritt 4: Monitoring & kontinuierliche Verbesserung

DORA verlangt ein dauerhaftes Monitoring. Dazu gehören regelmäßige Tests, Audits und Penetrationstests. Unternehmen sollten ein zentrales Dashboard oder Reporting-Tool etablieren, um Nachweise jederzeit erbringen zu können.

Best Practices für Finanzunternehmen

– Kleine Maßnahmen früh starten, statt große Projekte aufzuschieben.

– Frühzeitig externe Expertise einbinden.

– DORA als Teil der Unternehmensstrategie betrachten, nicht als Compliance-Aufgabe.

Fazit

Die Umsetzung von DORA mag auf den ersten Blick überwältigend wirken – unzählige Anforderungen, technische Details und strenge Fristen. Doch der Schlüssel liegt darin, strukturiert vorzugehen: Schritt für Schritt, mit einem klaren Fahrplan. Unternehmen, die jetzt einen realistischen Maßnahmenplan aufstellen und konsequent umsetzen, werden nicht nur die regulatorischen Vorgaben erfüllen, sondern ihre digitale Resilienz dauerhaft erhöhen.

Dabei sollte man eines im Blick behalten: DORA ist kein Projekt mit Enddatum, sondern ein kontinuierlicher Prozess. Regelmäßige Tests, Anpassungen und Schulungen sind notwendig, um auch in Zukunft stabil zu bleiben. Finanzunternehmen, die diese Haltung verinnerlichen, verwandeln eine regulatorische Pflicht in einen echten Wettbewerbsvorteil – und positionieren sich als verlässliche Partner in einem zunehmend unsicheren Marktumfeld.

DORA umsetzen – Ein praxisnaher Fahrplan für Finanzunternehmen yazısı ilk önce Bexta üzerinde ortaya çıktı.

DORA erklärt – Alles, was Finanzunternehmen jetzt wissen müssen

Erdinc Bulat — Mon, 01 Sep 2025 08:32:06 +0000

01/09/2025
Blog

DORA erklärt – Alles, was Finanzunternehmen jetzt wissen müssen

DORA erklärt – Leitfaden für Banken & Finanzdienstleister

Einführung in DORA

Am 17. Januar 2025 tritt die EU-Verordnung DORA (Digital Operational Resilience Act) verbindlich in Kraft. Ziel ist es, den europäischen Finanzsektor widerstandsfähiger gegen Cyberangriffe, IT-Ausfälle und Drittanbieter-Risiken zu machen.

DORA ist keine Richtlinie, sondern eine Verordnung – das bedeutet: Sie gilt unmittelbar in allen EU-Mitgliedsstaaten und erfordert keine nationale Umsetzung.

Warum wurde DORA eingeführt?

Die Digitalisierung des Finanzwesens bringt Chancen, aber auch Risiken:

– Cloud-Services, SaaS und Outsourcing führen zu komplexeren Abhängigkeiten.

– Cyberattacken gegen Banken und Versicherungen nehmen stark zu.

– Systemausfälle gefährden das Vertrauen in die Stabilität der Finanzmärkte.

DORA ist die Antwort der EU, um einheitliche Standards für ICT-Risiken zu schaffen.

Wer muss DORA umsetzen?

Betroffen sind über 20 Sektoren des Finanzmarktes, darunter Banken, Versicherungen, Kapitalverwaltungsgesellschaften, Investmentfirmen, Börsen, Handelsplattformen, Zahlungsdienstleister, Kryptoanbieter und ICT-Dienstleister.

Damit umfasst DORA nicht nur Finanzunternehmen selbst, sondern auch deren gesamte Liefer- und Dienstleistungskette.

Die fünf Kernbereiche von DORA

IKT-Risikomanagement – Aufbau robuster Prozesse zur Erkennung, Prävention und Reaktion auf Cyberbedrohungen.
IKT-Vorfallmanagement & Reporting – Pflicht zur Meldung schwerwiegender Vorfälle an Aufsichtsbehörden innerhalb definierter Fristen.
Resilienztests – Verpflichtung zu regelmäßigen Tests, inkl. Threat-Led Penetration Testing (TLPT).
Drittanbieter-Risikomanagement – Strenge Anforderungen an Auswahl, Überwachung und Verträge mit ICT-Dienstleistern.
Informationsaustausch – Förderung des sektorweiten Austauschs zu Bedrohungen und Angriffsmustern.

Risiken bei Nicht-Umsetzung

– Bußgelder & Sanktionen durch Aufsichtsbehörden.

– Reputationsschäden durch Ausfälle oder Angriffe.

– Lizenzrisiken für Finanzunternehmen, die Compliance-Vorgaben missachten.

Chancen für Unternehmen

– Wettbewerbsvorteil durch frühzeitige Compliance.

– Höheres Vertrauen bei Kunden und Investoren.

– Effizienzsteigerung durch automatisierte IT- und Reportingprozesse.

Fazit

DORA ist kein reines Bürokratieprojekt, sondern ein Wendepunkt für die digitale Widerstandsfähigkeit des europäischen Finanzsektors. Unternehmen, die die Verordnung nur als Pflichtübung betrachten, werden in den kommenden Jahren schnell an Grenzen stoßen – sowohl technisch als auch organisatorisch. Wer DORA jedoch als Chance begreift, schafft eine Infrastruktur, die nicht nur regulatorisch abgesichert ist, sondern auch echte Stabilität und Vertrauen bei Kunden, Partnern und Investoren erzeugt.

Es lohnt sich also, schon heute die entscheidenden Schritte zu gehen: frühzeitig starten, klare Prioritäten setzen, externe Expertise einbinden und Prozesse dauerhaft im Blick behalten. DORA wird den Finanzmarkt langfristig prägen – und diejenigen, die vorbereitet sind, werden nicht nur compliant sein, sondern gestärkt aus dieser Transformation hervorgehen.

DORA erklärt – Alles, was Finanzunternehmen jetzt wissen müssen yazısı ilk önce Bexta üzerinde ortaya çıktı.

DevOps richtig einführen

Erdinc Bulat — Sun, 18 May 2025 20:03:22 +0000

18/05/2025
Blog

DevOps richtig einführen

DevOps richtig einführen: Warum Tooling allein keine DevOps-Strategie ist

Ein ehrlicher Blick auf die Herausforderungen bei der Umsetzung – und wie Unternehmen DevOps erfolgreich leben können

Einleitung: DevOps – der schönste Irrtum der IT?

DevOps ist in aller Munde.
Fast jedes Unternehmen behauptet inzwischen, DevOps „zu machen“.
Doch wer genauer hinschaut, sieht oft nur:

Jenkins irgendwo im Keller
ein paar Pipelines, die keiner versteht
und Teams, die weiter in Silos arbeiten

DevOps ist kein Tool – sondern eine strategische und kulturelle Transformation.
Und genau daran scheitern viele.

In diesem Beitrag zeigen wir aus der Praxis:

Warum DevOps mehr ist als Automatisierung
Wie echte DevOps-Einführung gelingt (ohne Reibung, ohne Dogmen)
Was Unternehmen konkret tun müssen, um schneller, sicherer und skalierbarer zu liefern

Was DevOps wirklich bedeutet (und was nicht)

DevOps = Development + Operations – ja.
Aber auch:

gemeinsames Verantwortungsgefühl für Qualität
Infrastruktur als Code (IaC)
Automatisierung über Teams hinweg
Monitoring als Kultur
Security als integralen Teil der Pipeline (→ DevSecOps)

❌ DevOps ist nicht:

einfach nur ein CI-Tool installieren
die Entwickler für alles verantwortlich machen
ein neues Etikett für alte Prozesse

Der Einstieg: Womit erfolgreiche DevOps-Transformationen bei Bexta beginnen

Unsere Erfahrung:
Die meisten DevOps-Vorhaben scheitern an genau 3 Dingen:

Unklare Zielsetzung
Kein Alignment zwischen Dev, Ops & Management
Falscher Fokus auf Tools statt Prozesse

Was wir anders machen:

Technische Standortbestimmung

Welche Systeme, Tools und Prozesse sind bereits vorhanden?

Prozessaufnahme & Siloanalyse

Wo fließt Information? Wo stoppt Verantwortung?

Definition einer realistischen Roadmap

Technisch UND organisatorisch.

Begleitende Schulung & Change-Begleitung

DevOps ist nicht nur Technik. Es ist Mindset. Und Kommunikation.

Infrastruktur als Code (IaC): Der Grundstein für alles

Ein zentrales Prinzip moderner DevOps-Architektur ist Infrastructure as Code.

Wir setzen u. a. auf:

Terraform für Cloud-Infrastruktur (AWS, Azure, OpenStack)
Ansible für Konfigurationsmanagement
GitOps-Ansätze für die deklarative Verwaltung von Clustern

Vorteile:

Änderungen sind versionierbar, überprüfbar, reproduzierbar
Kein „Snowflake“-Server mehr
Weniger „Works on my machine“, mehr Zuverlässigkeit

Continuous Integration & Delivery (CI/CD): Mehr als nur Automatisierung

Viele Unternehmen haben eine Pipeline – aber keine durchgängige CI/CD-Strategie.

Unsere Best Practices:

Builds bei jedem Commit, mit statischer Codeanalyse (→ SonarQube, Trivy)
Automatische Tests (Unit, Integration, Security)
Staged Deployments mit Approval-Gates
Rollback-Fähigkeit & Observability direkt integriert (→ Prometheus, Loki, Grafana)

👉 Ergebnis: Schnellere Auslieferung. Mehr Vertrauen. Weniger Stress.

DevSecOps: Sicherheit gehört in den Code, nicht ins Ticket

Security wird oft als nachgelagerter Schritt betrachtet.
Wir denken anders:

Secrets Management mit Vault / SOPS
Policy as Code mit OPA / Kyverno
Container Security Scans automatisiert im CI
Zugriffskontrolle & Auditability in allen Stufen der Pipeline

DevOps ohne Security ist verantwortungslos.

Tools sind nur Mittel zum Zweck – aber sie zählen

Technologiestack, mit dem wir bei Kunden arbeiten:

Kategorie	Tools & Standards
IaC	Terraform, Pulumi, Ansible
CI/CD	GitLab CI, Jenkins, ArgoCD, Tekton
Container	Docker, Podman, Kubernetes, OpenShift
Monitoring	Prometheus, Grafana, Loki, ELK, Sentry
Security	Trivy, Vault, Falco, OPA, Kyverno
Kollaboration	Jira, Confluence, Mattermost / Slack

Erfolgsfaktor Organisation: Ohne Menschen kein DevOps

Was viele vergessen:
DevOps ist Organisationsthema.

Wir bringen das Thema auf drei Ebenen ins Unternehmen:

Technisch – Toolchain & Automatisierung
Prozessual – Feedbackzyklen, Incident-Management, DORA-Metriken
Kulturell – Ownership, Kommunikationswege, Vertrauen

DevOps bedeutet: Verantwortung für Qualität und Betrieb endet nicht beim Commit.

Fazit: DevOps ist ein Weg – und kein Zustand

Wenn du DevOps richtig machst, bekommst du:

schnellere Release-Zyklen
stabilere Systeme
zufriedenere Entwickler
weniger Eskalationen
mehr Resilienz gegenüber Ausfällen

Aber dafür brauchst du:

Klare Roadmap
Klares Zielbild
Technologie UND Haltung

Du willst DevOps nicht nur starten – sondern leben?

Dann sprich mit uns.
Wir zeigen dir, wie du DevOps so implementierst, dass es wirklich trägt – in deiner Realität, nicht in einer PowerPoint.

👉 Jetzt unverbindliches Erstgespräch anfragen.

DevOps richtig einführen yazısı ilk önce Bexta üzerinde ortaya çıktı.

Digitalisierung in der Automobilindustrie

Erdinc Bulat — Sun, 18 May 2025 20:01:51 +0000

18/05/2025
Blog

Digitalisierung in der Automobilindustrie

Digitalisierung in der Automobilindustrie: Die letzte Chance zur technologischen Aufholjagd

Wie IT, KI und datengetriebene Prozesse die Branche retten können – wenn man jetzt handelt

Einleitung: Von der Ingenieursmacht zur digitalen Abhängigkeit?

Die deutsche Automobilindustrie war Jahrzehnte lang das Rückgrat der Wirtschaft. Doch seit der Wende zur Elektromobilität verliert sie rasant an Boden – technologisch, strategisch und infrastrukturell.

In der Batterietechnologie: Vorsprung China
In der Software-Architektur: Vorsprung USA (Tesla, Apple)
In der Fertigungseffizienz: Vorsprung Asien

Die Realität: Die Zukunft der Mobilität ist digital – und sie wird nicht mehr in Deutschland gebaut, wenn sich nicht schnell und entschlossen etwas ändert.

Doch es gibt Hoffnung – wenn Digitalisierung, KI und moderne IT endlich systematisch und strategisch eingesetzt werden.

Das eigentliche Problem: Die IT wird immer noch als Cost Center betrachtet

Viele Automobilhersteller und Zulieferer haben zwar IT-Abteilungen – aber keine echte IT-Strategie.
KI, Cloud, DevOps, Security – das sind keine Pilotprojekte, sondern Überlebenswerkzeuge in einem globalen Wettbewerb, der keine Geduld kennt.

Die Kernfrage ist heute nicht mehr:

Wie können wir günstiger produzieren?

Sondern:

Wie können wir datenbasiert schneller entscheiden, flexibler reagieren, vernetzter arbeiten – und das alles sicher?

Die Chancen: Wie IT und KI helfen können, das Steuer rumzureißen
a) Produktionsoptimierung durch KI & Datenanalyse

Echtzeit-Auswertung von Fertigungsdaten (Predictive Quality)
KI-basierte Anomalie-Erkennung im Produktionsablauf
Energie- & Ressourceneffizienz durch datengetriebene Steuerung

➜ Ziel: Weniger Ausschuss, stabilere Lieferzeiten, schlankere Prozesse

b) Modulare Softwarearchitekturen statt Embedded-Monolithen

Microservices statt starre Firmware
Over-the-Air Updates
APIs, SDKs, DevOps-Prozesse, eigene Plattformlogik

➜ Ziel: Schnellere Time-to-Market, kürzere Modellzyklen, mehr Kundennähe

c) Digitale Lieferketten & resiliente Logistik

Vernetzung von Lieferanten über sichere APIs
Transparenz in Echtzeit: Wo ist mein Bauteil?
KI-basierte Prognosen bei Engpässen & Verzögerungen

➜ Ziel: Lieferfähigkeit sichern – auch bei geopolitischen Krisen

d) Datengestützte Entwicklung & Kundenerfahrung

Simulationsdaten + reales Fahrverhalten = optimierte Modellentwicklung
KI-gesteuerte Assistenzsysteme
Datengetriebene Personalisierung von Fahrerlebnissen

➜ Ziel: Innovation, die aus Daten entsteht – nicht aus Bauchgefühl

Die Realität: China zeigt, wie es geht

BYD entwickelt Batterien, Software, Fahrzeug und Betriebssystem selbst
Xiaomi baut in 18 Monaten ein eigenes E-Auto inkl. Mobilitätsplattform
GWM, Nio, Geely investieren massiv in KI und Inhouse-Softwareentwicklung
In Deutschland: Fachkräftemangel, zu lange Entscheidungsprozesse, Insellösungen

Wenn wir weiterhin auf 3-Jahres-Rollouts, proprietäre Legacy-Systeme und Intransparenz setzen, ist die Automobilnation Deutschland in wenigen Jahren Geschichte.

Warum jetzt handeln? Weil es der letzte Zyklus sein könnte

Der Technologiewechsel zur Elektromobilität hat Deutschland verschlafen.
Aber:

Die digitale Vernetzung, die Plattformisierung und die softwaregetriebene Wertschöpfung – diesen Zyklus können wir noch gewinnen.

Dazu braucht es:

IT-Architekturen, die sich anpassen können
Cloud-basierte Systeme mit klarem Security-Fokus
DevOps-Ansätze, die Qualität UND Geschwindigkeit ermöglichen
KI nicht als Marketing, sondern als Werkzeug in Produktion, Entwicklung und Steuerung

Unsere Empfehlung bei Bexta: Digitalisierung in die Verantwortung holen

Wir helfen Automobilunternehmen – ob OEM oder Zulieferer – dabei, aus Pilotprojekten skalierbare IT-Strategien zu machen.

Was das konkret heißt:

✅ Zero Trust & IAM für verteilte Produktionsnetzwerke
✅ Containerisierung & DevSecOps in der Fahrzeugsoftware
✅ Predictive Maintenance mit Machine Learning
✅ API-First-Denken für Plattformintegration
✅ SAP + IIoT + KI = vernetzte Fertigung, keine Datensilos

Fazit: Wer jetzt nicht umbaut, wird bald nicht mehr gebraucht

Die Automobilindustrie wird keine zweite Chance für eine digitale Aufholjagd bekommen.

Wer jetzt investiert, kann Plattformführer werden
Wer jetzt modernisiert, sichert Wertschöpfung und Know-how
Wer jetzt nicht entscheidet, wird ersetzt – nicht nur ergänzt

Du willst nicht der letzte sein, der Digitalisierung ernst nimmt?

Dann sprich mit uns. Wir helfen dir, nicht nur Software zu modernisieren –
sondern Strukturen zu verändern, die digitale Resilienz ermöglichen.

👉 Jetzt Beratungsgespräch anfragen

Digitalisierung in der Automobilindustrie yazısı ilk önce Bexta üzerinde ortaya çıktı.

Digitalisierung in der Finanz- und Versicherungsbranche

Erdinc Bulat — Sun, 18 May 2025 20:00:27 +0000

18/05/2025
Blog

Digitalisierung in der Finanz- und Versicherungsbranche

Wie die IT vom Bremsklotz zum Wachstumshebel wird – wenn man die richtigen Fragen stellt

Einleitung: Zwischen Regulierungsdruck, Kundenerwartung und veralteten IT-Strukturen

Die Finanz- und Versicherungsbranche steht unter massivem Druck:

DORA, NIS-2, DSGVO, ESG-Berichtspflichten – die regulatorische Liste wird nicht kürzer
Kunden erwarten digitale Services, die mit FinTechs und InsurTechs mithalten können
Interne Prozesse sind oft geprägt von Excel, manuellem Abgleich und monolithischen Kernsystemen

Die Realität: Viele Institute haben in den letzten zehn Jahren viel digitalisiert, aber wenig verändert.

Warum?
Weil Digitalisierung ohne IT-Strategie zu Stückwerk führt.
Und Künstliche Intelligenz ohne Datenstruktur zu teurem Frust.

Das reale Problem: Zersplitterte IT-Strukturen und Intransparenz

Die meisten Banken und Versicherer haben:

eine Vielzahl von Kernsystemen (Mainframes, Altsysteme, neue SaaS-Produkte)
unterschiedliche Prozesse für ähnliche Aufgaben (z. B. Schadensregulierung vs. Vertragsabschluss)
mehrere Datenquellen – aber keine klare Datenstrategie
komplexe Freigabeprozesse, die Innovation blockieren

Das Ergebnis:

hohe IT-Kosten
geringe Flexibilität
steigender Frust bei Kunden und Mitarbeitenden

Warum KI nicht „das nächste Tool“ ist – sondern der Katalysator für Struktur

Künstliche Intelligenz kann nicht erfolgreich eingesetzt werden,
wenn Prozesse nicht klar sind, Daten nicht integriert und Verantwortlichkeiten unklar.

Was wir bei Bexta immer zuerst tun:

Prozesse sichtbar machen
Datenflüsse verstehen
Systemgrenzen aufzeigen

Dann schauen wir, wo KI konkret helfen kann:

Automatisierung von Formular- und Dokumentenerkennung
Risikoprofil-Erkennung bei Kredit-/Versicherungsanträgen
Vorhersage von Kündigungsverhalten oder Schadenwahrscheinlichkeit
Anomalieerkennung bei Geldflüssen (Compliance)
Automatisierte Beantwortung von Routineanfragen (NLP-gestützte Chatbots)

Ein typisches Szenario (aus einem realen Projekt):

Problem:

Ein mittelgroßer Versicherer verarbeitet jährlich über 300.000 Schadensmeldungen – manuell.

Dokumente kommen per E-Mail, Scan, Upload
Mitarbeitende prüfen diese gegen Policen, verknüpfen mit Kunden-ID, kategorisieren Schäden
Hohe Fehlerquote, lange Bearbeitungszeiten, schlechte Kundenerfahrung

Unsere Lösung:

Einführung eines KI-basierten Dokumentenklassifizierers, der Schadenstypen erkennt
Automatisierte Extraktion relevanter Felder (z. B. Schadenssumme, Versicherungsnummer)
Vorbefüllung der Fallakte im Kernsystem + Risiko-Vorschlag basierend auf historischem Profil
Menschliche Freigabe + dynamisches Routing bei Sonderfällen

Ergebnis:

60 % Automatisierungsgrad bei Routinefällen
30 % Zeitersparnis pro Sachbearbeiter
25 % Reduktion fehlerhafter Ablehnungen (revisionssicher dokumentiert)
Deutlich bessere Kundenzufriedenheit (weniger Rückfragen, schnellere Auszahlung)

Warum das nur funktioniert, wenn IT und Fachbereich zusammenarbeiten

Ein weiteres Problem vieler Häuser:
IT ist für Tools zuständig. Fachbereich für Prozesse. Und keiner für beides.

Wir bringen beide zusammen. Und zwar nicht auf PowerPoint, sondern im System:

DevOps-Kultur für schnellere Iteration
saubere Schnittstellen (APIs), kein Copy/Paste mehr
gemeinsame Produktverantwortung für KI-basierte Services
Dokumentation und Governance – nicht nur fürs Audit, sondern für den Betrieb

Fazit: Digitalisierung ist kein Projekt – sondern der Umbau des Geschäftsmodells

Wer als Bank oder Versicherer denkt, mit ein paar KI-Piloten oder einer neuen App sei es getan, verpasst die Chance auf echten Vorsprung.

Digitalisierung im Jahr 2025 bedeutet:
Strukturen, Daten, Prozesse und Menschen auf ein neues Niveau bringen – mit IT als Fundament, nicht als Nachzügler.

Was wir bei Bexta konkret tun

Analyse und Re-Design digitaler Prozesse im Bank-/Versicherungsumfeld
Konzeption & Integration von KI-Lösungen mit echtem ROI
Entwicklung sicherer, skalierbarer APIs und Schnittstellen
Einführung von DevSecOps-Prozessen in regulierten Umgebungen
Begleitung bei DORA-/NIS-2-Umsetzung, inkl. Notfallmanagement & Dokumentation
Schulung & Befähigung der internen Teams

Du bist in der Branche tätig und weißt, dass „weiter so“ keine Option mehr ist?

Dann lass uns reden.

Wir helfen dir nicht nur bei der Auswahl der richtigen Technologie –
wir bauen die Strukturen, mit denen du sie nachhaltig nutzen kannst.

👉 Jetzt Erstgespräch vereinbaren – bexta.de/kontakt

Digitalisierung in der Finanz- und Versicherungsbranche yazısı ilk önce Bexta üzerinde ortaya çıktı.

Künstliche Intelligenz in der IT-Sicherheit

Erdinc Bulat — Sun, 18 May 2025 19:58:47 +0000

18/05/2025
Blog

Künstliche Intelligenz in der IT-Sicherheit

Künstliche Intelligenz in der IT-Sicherheit: Wie wir bei Bexta reale Sicherheitsprobleme mit praxisnaher KI lösen

Ein technischer Blick auf echte Anwendungsfälle – abseits des KI-Hypes

Warum dieser Beitrag wichtig ist

Viele sprechen über KI. Wenige setzen sie sinnvoll ein.
Und noch weniger schaffen es, mit Künstlicher Intelligenz reale Probleme in der IT-Sicherheit zu lösen, ohne sich dabei in Theorien zu verlieren oder regulatorische Rahmen zu verletzen.

Bei Bexta haben wir uns gefragt:

Wie kann KI in hochregulierten Umgebungen (Banken, Versicherungen, Industrie) konkret helfen, ohne Risiko, ohne Spielerei?

In diesem Beitrag teilen wir, was bei Kunden funktioniert hat, welche Hürden wir überwinden mussten – und was wir ganz bewusst nicht tun, wenn es um den Einsatz von KI in sicherheitskritischen Infrastrukturen geht.

Was ist heute überhaupt „KI“ in der IT-Sicherheit?

Lass uns mit einem Mythos aufräumen:
Viele „KI-Systeme“ sind nichts weiter als regelbasierte Engines mit ein paar IF-Abfragen. Sie erkennen bekannte Muster, stoßen Alarm aus – und das war’s.

Bei Bexta setzen wir auf Modelle, die…

aus eigenen Daten lernen, statt nur vortrainiert zu reagieren
Anomalien im Verhalten erkennen, statt nur auf Blacklists zu reagieren
Feedback vom Menschen aufnehmen, um besser zu werden

Das ist kein Science-Fiction – sondern Grundlage für echte, kontinuierliche Sicherheitsverbesserung in Unternehmen, ohne ein SIEM zu überfrachten oder Security-Teams zu überfordern.

Drei konkrete Probleme, die wir mit KI heute bereits bei Kunden lösen
a) Logdaten auswerten – ohne sie zu ertrinken

„Unser System hat zwar alle Logs. Aber niemand schaut rein.“

Ein Klassiker.
Wir haben bei einem Versicherungsunternehmen ein NLP-basiertes Modell implementiert, das aus Millionen von Logs in Echtzeit folgendes herauszieht:

Ungewöhnliche Nutzerpfade (z. B. Adminzugriff um 02:12 Uhr über TOR)
Wiederkehrende Fehlmuster bei bestimmten Applikationen
Anomalien in der Authentifizierungskette

Das Ergebnis:

85 % weniger False Positives, 40 % schnellere Reaktionszeit im Incident-Response-Team.

b) Verhaltensbasierte Benutzeranalyse – ohne in die DSGVO-Falle zu tappen

„Wir wollen wissen, ob Accounts gekapert wurden – ohne unsere Mitarbeiter zu überwachen.“

Bei einem Industriekunden mit KRITIS-Pflichten haben wir ein anonymisiertes Musteranalyse-Modell eingeführt, das erkennt:

wenn ein Benutzer von seinem normalen Verhalten abweicht (z. B. Zugriffe auf Systeme, die er sonst nie verwendet)
ohne personenbezogene Daten dauerhaft zu speichern

Was wir nicht tun:
Wir speichern keine IPs, keine Namen, keine Session-Historien.
Was wir tun:
Wir bauen ein anonymisiertes „Verhaltensprofil“, das ausschließlich für die Session-Laufzeit aktiv ist. Bei Verdacht: Alert, Logging, Reaktion.

c) Support-Fraud früh erkennen – mit KI statt mit Gefühl

„Wie erkennen wir, ob jemand über Social Engineering gerade versucht, sich Zugang zu erschleichen?“

Durch die Auswertung von Tickets, Spracheingaben (Text) und Meta-Informationen haben wir ein kleines, aber effektives Modell gebaut, das:

häufige Fraud-Muster erkennt (z. B. Passwort-Reset mit sehr generischen Angaben)
Alarm schlägt, wenn mehrere „scheinbar neue Benutzer“ vom selben Endpoint anfragen
automatisiert auf eine manuelle Freigabe umstellt, wenn Unsicherheit besteht

Kein automatischer Block, kein falscher Alarm. Nur ein: „Schau hier lieber nochmal genauer hin.“

Was wir bewusst nicht tun

✅ Wir setzen keine Blackbox-Modelle ein.
✅ Wir speichern keine Nutzerdaten langfristig.
✅ Wir verkaufen keine KI-Lösungen, die niemand intern bedienen kann.
✅ Wir vermeiden Modelle, die 5 Security-Engineers brauchen, um sie zu betreiben.

Unser Ziel:

KI, die Sicherheit erhöht – nicht die Komplexität.

Für wen ist KI-Sicherheit bei Bexta sinnvoll?

Für Unternehmen mit Cloud-Infrastruktur, die Logs aus mehreren Quellen vereinen müssen
Für Banken, Versicherer, Versorger, die DORA / ISO 27001 / NIS-2 einhalten müssen
Für DevOps-/Security-Teams, die Entlastung brauchen, nicht neue Baustellen
Für Organisationen, die wissen: Standardlösungen reichen nicht mehr aus

Fazit: KI in der IT-Sicherheit ist kein Plugin – sondern ein Prozess

Wenn wir über KI sprechen, sprechen wir über:

bessere Erkennung
schnellere Reaktion
intelligente Automatisierung
aber nie über Selbstzweck

Und genau das ist unsere Philosophie bei Bexta.

Du willst mehr erfahren?

Wir zeigen dir gern, wie du in deinem Unternehmen KI sicher und messbar sinnvoll einsetzen kannst – egal ob zur Logauswertung, Fraud-Erkennung oder im DevSecOps-Kontext.

👉 [Kontakt aufnehmen] und unverbindlich sprechen.
Oder: Buche eine 30-Minuten-Session mit einem unserer KI-/Security-Architekten.

Fokus-Keywords für SEO (wenige, dafür stark):

KI in der IT-Sicherheit
Anomalieerkennung in Logdaten
DevSecOps mit Künstlicher Intelligenz
DSGVO-konforme Security-Automatisierung

Künstliche Intelligenz in der IT-Sicherheit yazısı ilk önce Bexta üzerinde ortaya çıktı.

OWASP Top 10 für KI

Erdinc Bulat — Sun, 18 May 2025 19:57:38 +0000

18/05/2025
Blog

OWASP Top 10 für KI

Was Unternehmen jetzt über die größten Risiken von LLMs wissen müssen – und wie man sie kontrolliert

Prompt Injection, Datenlecks, manipulierte Trainingsdaten – KI ist nicht nur smart, sondern angreifbar.
Die neue OWASP Top 10 für LLMs zeigt, wo es gefährlich wird.

Einleitung: KI verändert alles – auch die Angriffsfläche

Large Language Models (LLMs) wie ChatGPT, Claude oder Gemini verändern, wie wir Software schreiben, Texte verarbeiten, Kundensupport skalieren.
Doch mit dem Einsatz dieser KI-Systeme in Produktivumgebungen wächst auch die Zahl an exotischen, aber realen Sicherheitslücken.

Das OWASP-Projekt, weltweit bekannt für seine Web-Top-10, hat erstmals die Top 10 Schwachstellen in KI-Anwendungen veröffentlicht – speziell für Systeme, die auf großen Sprachmodellen basieren.

Wir bei Bexta haben diese Liste analysiert – und zeigen hier, was sie in der Praxis bedeutet, wo Unternehmen besonders gefährdet sind und wie du Risiken konkret eindämmen kannst.

Die 10 größten Schwachstellen in KI-Anwendungen (LLM Top 10 – OWASP)

Hier ist nicht nur die Liste – sondern die Bedeutung im Geschäftskontext.

🧠 Prompt Injection (LLM01)

Nutzer manipulieren den Input so, dass das Modell ungewollt vertrauliche oder schädliche Ausgaben erzeugt.

Beispiel:
Ein Chatbot mit Zugriff auf Kundendaten wird dazu gebracht, Informationen auszugeben, indem ein Nutzer sich als interner Admin „ausgibt“.

Lösung bei Bexta:

Input-Sanitizing + Token-Analyse
Kontextgrenzen & Rollen-Scopes in LLM-Orchestrierung
Rule-based Filtering auf semantischer Ebene

🗯️ Unsicherer Output (LLM02)

Das Modell erzeugt scheinbar legitime, aber faktisch falsche oder schädliche Inhalte („Halluzinationen“).

Risiko:
Im Versicherungsumfeld könnten z. B. falsche Klauseln generiert und übernommen werden.

Maßnahmen:

Ergebnisvalidierung über externe Regelwerke
Human-in-the-Loop-Absicherung
Confidence-Scoring & Output-Fencing

🧬 Data Poisoning (LLM03)

Angreifer manipulieren öffentlich zugängliche Trainingsdaten, um das Verhalten des Modells langfristig zu verändern.

Gefahr:
Kritische Begriffe oder Personen könnten „umtrainiert“ werden – z. B. in der Kreditvergabe oder bei automatischer Bewerberauswahl.

Strategie:

Auditbare Trainings-Pipelines
Verwendung geprüfter Datenquellen
Monitoring auf „driftende“ Antwortmuster

💥 Denial of Service durch Eingaben (LLM04)

Ressourcenintensive Prompts legen den LLM-Backenddienst lahm.

Fall:
Angreifer senden 1000 Prompt-Ketten mit extrem hohem Rechenaufwand – und verursachen Cloud-Kosten in fünfstelliger Höhe.

Gegenmaßnahmen:

Prompt-Quota, Rate Limiting
Token-Grenzen und syntaktische Analyse
Watchdog-Prozesse im LLM-Hosting

🛠️ Unsichere Plugins und Add-ons (LLM07)

Drittanbieter-Plugins erweitern die LLM-Funktionalität – aber oft ohne Zugriffskontrolle.

Praxisrisiko:
Ein Plugin kann ohne Prüfung auf ein internes CRM oder Filesystem zugreifen – mit Folgen für Datenschutz und Compliance.

Architektur-Empfehlung:

Sandboxing von Plugins
Rechtevergabe auf Ressourcenebene (Zero Trust)
Code-Audits und Versionskontrolle

🔓 Offenlegen sensibler Informationen (LLM06)

Geschäftsgeheimnisse, Quellcode, personenbezogene Daten gelangen durch „unbeabsichtigte Erinnerungen“ oder Logs wieder an Nutzer.

Besonders kritisch:
Modelle, die in internen Debug-Chats trainiert wurden oder private Prompts loggen.

Bexta Best Practices:

Kein Logging von Prompts in produktiven Umgebungen
Prompt-Tiering nach Sensibilität
Policy-Engine für Zugriffsentscheidungen im Inferenzprozess

Was Unternehmen jetzt konkret tun sollten

LLM Risk Assessments einführen

Jede neue KI-Anwendung (intern oder extern) muss einer Sicherheitsbewertung unterzogen werden – so wie heute auch jede Cloud-Anwendung.

KI-Governance definieren

Regeln, Richtlinien und Verantwortlichkeiten für Promptgestaltung, Modellzugriff, Datenfreigabe – besonders wichtig in regulierten Branchen (DORA, ISO 27001, DSGVO).

KI-Applikationen wie APIs behandeln

Sie verarbeiten Input → erzeugen Output → beeinflussen Entscheidungen. Also:

Authentifizierung
Rate Limiting
Audit Logging
Monitoring

Fazit: LLMs sind nicht unsicher – aber unkontrolliert gefährlich

Die OWASP Top 10 für KI zeigen vor allem eines:

Wir brauchen neue Sicherheitsmodelle für eine neue Technologieklasse.

Die gute Nachricht:
Bexta hat in Projekten mit Versicherungen, Banken und Tech-Unternehmen gezeigt, dass Sicherheit, Performance und KI sich nicht ausschließen – wenn man von Anfang an strukturiert denkt.

Du nutzt KI oder willst es tun – aber mit klaren Sicherheitsrichtlinien?

Wir helfen dir:

beim Design sicherer LLM-Architekturen
bei der Auswahl & Absicherung von Modellen
bei Prompt-Governance & Policy-Erstellung
bei Audits & Vorbereitung auf regulatorische Vorgaben

👉 Jetzt unverbindliches Erstgespräch anfragen: www.bexta.de/kontakt

OWASP Top 10 für KI yazısı ilk önce Bexta üzerinde ortaya çıktı.

Zero Trust ist keine Option mehr – sondern Grundlage moderner IT-Sicherheit

Erdinc Bulat — Sun, 18 May 2025 19:37:24 +0000

18/05/2025
Blog

Zero Trust ist keine Option mehr – sondern Grundlage moderner IT-Sicherheit

Zero Trust ist keine Option mehr – sondern Grundlage moderner IT-Sicherheit

Warum klassische Sicherheitsmodelle versagen – und wie Unternehmen mit Zero Trust wirklich sicher werden

Was du in diesem Beitrag erfährst

Was Zero Trust Architektur in der Praxis bedeutet
Warum Netzwerkperimeter kein Schutz mehr ist
Wie du mit Identity & Access Management (IAM) und MFA eine belastbare Grundlage schaffst
Wie du Zero Trust schrittweise und realistisch umsetzt – auch in Legacy-Infrastrukturen
Welche Fehler du dabei unbedingt vermeiden solltest

Der Irrtum der Mauern: Warum das alte Sicherheitsmodell überholt ist

Die meisten Unternehmen arbeiten nach einem Konzept, das längst veraltet ist:
„Vertraue allem, was im Netzwerk ist – und blockiere alles von außen.“

Das Problem:

Cloud-Services, Remote-Zugriffe, mobile Geräte – sie existieren außerhalb dieses Perimeters
Angreifer arbeiten längst innen: z. B. durch Phishing, RDP-Bruteforce, gehackte VPN-Zugänge
Legacy-Zugriffsmodelle sind oft nicht dokumentiert, veraltet oder nie bereinigt

Die Folge:

Ein kompromittierter Account reicht – und der Angreifer bewegt sich lateral durchs Netzwerk.

Was Zero Trust wirklich bedeutet (ohne Marketing-Sprech)

Zero Trust heißt NICHT, dass du niemandem vertraust.
Es heißt:

Vertrauen ist nie implizit. Es muss kontinuierlich verifiziert werden.

Die 3 zentralen Prinzipien:

Verify Explicitly
→ Authentifiziere jeden Zugriff – unabhängig vom Standort oder Gerät
Use Least Privilege Access
→ Gib nur Zugriff auf das, was wirklich benötigt wird – zeitlich und funktional
Assume Breach
→ Arbeite so, als wäre dein System bereits kompromittiert – Segmentierung, Monitoring, Reaktion

Zero Trust beginnt bei Identität – nicht beim Netzwerk

Der erste und wichtigste Schritt: ein starkes Identity & Access Management (IAM).
Ohne das ist jede Zero-Trust-Strategie ein Kartenhaus.

Praxis: Was du brauchst

Zentrale Identity-Plattform (z. B. Keycloak, Azure AD, Okta)
MFA auf ALLEN Systemen – inkl. internem VPN, Admin-Zugängen, Entwickler-Tools
Role-Based Access Control (RBAC) oder noch besser: Attribute-Based Access Control (ABAC)
Single Sign-On (SSO) für Benutzerfreundlichkeit und Kontrollierbarkeit

Legacy-IT? Kein Problem – wenn du es richtig angehst

Viele Unternehmen denken:

„Zero Trust geht nur, wenn ich alles in der Cloud habe.“

Das ist falsch.

Auch mit Legacy-Infrastrukturen (AD, On-Prem-Software, SAP-Systeme) lässt sich Zero Trust umsetzen – wenn man mit dem richtigen Teil beginnt.

Vorgehen bei Bexta in Kundenprojekten:

Ist-Analyse von Zugriffspfaden & Benutzerkonten
Priorisierung kritischer Systeme (z. B. VPN, Admin-Zugänge)
Einführung von MFA mit minimalem Disruptionsrisiko
Entflechtung alter Gruppenberechtigungen
Integration externer Services (z. B. Salesforce, Microsoft 365) in SSO

Die häufigsten Fehler (und wie du sie vermeidest)

❌ Zero Trust als Projekt starten
→ Es ist eine Strategie, kein Tool-Stack.
❌ Benutzerfreundlichkeit ignorieren
→ Wenn dein MFA-System nervt, finden Nutzer Wege, es zu umgehen.
❌ „Wir haben eh keine Cloud, brauchen wir nicht.“
→ Auch interne Applikationen brauchen Zugriffskontrolle.
❌ Silo-Denken zwischen IT & Security
→ IAM gehört in beide Hände – technisch UND organisatorisch.

Fazit: Zero Trust ist kein Trend – sondern deine Versicherung gegen moderne Angriffe

Zero Trust ist nicht einfach – aber unverzichtbar.

Wenn du jetzt schrittweise, priorisiert und intelligent einsteigst, schützt du deine Systeme besser als jede Firewall – und bereitest dich auf Compliance-Vorgaben wie NIS-2, DORA, ISO 27001 aktiv vor.

Du willst wissen, wie Zero Trust für dein Unternehmen aussehen kann?

Wir bei Bexta helfen dir:

bei der Auswahl & Einführung von IAM-Systemen
bei der Integration von MFA & SSO
beim Design deiner Zero Trust Architektur – egal ob On-Prem, Hybrid oder Cloud

👉 Vereinbare ein unverbindliches Erstgespräch – mit einem unserer Security-Architekten.

Zero Trust ist keine Option mehr – sondern Grundlage moderner IT-Sicherheit yazısı ilk önce Bexta üzerinde ortaya çıktı.