Volkswagen Financial Services setzt auf lennlay für Compliance-Automatisierung
VWFS beauftragt lennlay mit der Automatisierung von Webserver-Hardening und CIS-Compliance für JBoss, Tomcat, Apache und IIS.
Volkswagen Financial Services (VWFS) hat lennlay mit der Automatisierung von Webserver-Hardening und CIS-Compliance für die interne Plattformlandschaft beauftragt. Das Engagement umfasst vier Plattformen: JBoss EAP, Apache Tomcat, Apache HTTP Server und Microsoft IIS.
Das ist kein Proof-of-Concept-Projekt. VWFS ist mit rund 17.000 Mitarbeitenden und Aktivitäten in 39 Märkten einer der größten Automobilfinanzdienstleister weltweit. Die Plattformlandschaft, auf der Kundenportale, interne Systeme und regulatorisch relevante Prozesse laufen, ist entsprechend komplex und sensibel.
Warum Hardening automatisiert werden muss
Webserver-Hardening ist kein einmaliger Schritt. Es ist ein Zustand, der aktiv gehalten werden muss.
CIS-Benchmarks für JBoss, Tomcat, Apache und IIS umfassen jeweils Dutzende bis über hundert einzelne Controls: Cipher Suites, TLS-Versionen, Verzeichnisberechtigungen, Logging-Konfigurationen, Request-Header, Timeout-Werte, Service-Isolation. Jedes Update, jede Konfigurationsänderung, jede neue Instanz kann einzelne Controls aus dem Soll-Zustand bringen.
In einer manuell betriebenen Umgebung bleibt das oft unbemerkt - bis zum nächsten internen oder externen Audit. Dann beginnt die Rekonstruktion: Welche Systeme sind betroffen? Welche Controls haben sich geändert? Seit wann? Und wer war verantwortlich?
Diese Fragen sind in regulierten Finanzdienstleistungsumgebungen nicht akademisch. Prüfer erwarten Antworten, und zwar mit Belegen. Wenn die Belege fehlen oder widersprüchlich sind, entstehen Nachbesserungsauflagen.
Was lennlay für VWFS umsetzt
lennlay implementiert auf Basis von Red Hat Ansible Automation Platform eine vollautomatisierte Compliance-Pipeline, die CIS-Benchmarks für alle vier Plattformen operationalisiert.
Das bedeutet konkret:
Automatisiertes Hardening: Ansible Playbooks setzen die CIS-Controls für JBoss EAP, Tomcat, Apache HTTP Server und IIS deterministisch und reproduzierbar. Jede Ausführung bringt die Zielsysteme in den definierten Soll-Zustand, unabhängig davon, was in der Zwischenzeit manuell verändert wurde.
Kontinuierliche Compliance-Prüfung: Hardening-Runs sind keine einmalige Aktion. Die Prüfung wird in regelmäßigen Zyklen ausgeführt und erzeugt maschinenlesbare Reports, die dokumentieren, welche Controls bestanden, welche abgewichen und welche von definierten Ausnahmen abgedeckt sind.
Auditfähige Nachweise: Jeder Playbook-Lauf ist versioniert, zeitgestempelt und mit den zugrunde liegenden Controls verknüpft. Das Audit-Team muss keine manuelle Evidenz zusammenstellen. Der Report ist der Nachweis.
Ausnahmemanagement: Nicht jede Abweichung vom Standard ist ein Fehler. In realen Produktionsumgebungen gibt es legitime Ausnahmen, zum Beispiel wenn eine Applikation aus Kompatibilitätsgründen eine ältere TLS-Version benötigt. lennlay implementiert ein strukturiertes Ausnahmemodell, in dem Abweichungen explizit begründet, freigegeben und zeitlich begrenzt erfasst werden.
Plattformbreite als Komplexitätsfaktor
Ein Engagement über vier verschiedene Plattformen ist technisch anspruchsvoller als ein Single-Stack-Projekt.
JBoss EAP, Tomcat, Apache HTTP Server und IIS unterscheiden sich in ihrer Architektur, ihrer Konfigurationssyntax und in der Art, wie CIS-Controls auf die jeweiligen Konfigurationsparameter abgebildet werden. Ein Control, der für alle Plattformen gilt - etwa das Deaktivieren von schwachen Cipher Suites - muss für jede Plattform separat implementiert werden, weil die zugrunde liegende Konfigurationslogik verschieden ist.
lennlay bringt für alle vier Plattformen produktive Erfahrung mit. Das ist der Unterschied zu einem generalistischen Automatisierungsanbieter, der CIS-Benchmarks als Dokumentenformat behandelt. Die Tiefe liegt in der Plattformkenntnis: Welche JBoss-Konfigurationen beeinflussen welche Controls? Welche Tomcat-Versionen unterscheiden sich in welchen Einstellungsebenen? Wo weicht Microsoft IIS von den Linux-basierten Plattformen in der Ausnahmelogik ab?
Warum Marcel König für dieses Projekt steht
Geschäftsführer Marcel König hat VW Financial Services als Kunde nicht zum ersten Mal. Er war selbst als Spezialist in der VWFS-Infrastruktur tätig - und hat die Plattformlandschaft, die Compliance-Anforderungen und die betrieblichen Realitäten eines großen Finanzdienstleisters aus erster Hand erlebt.
Das macht einen sachlichen Unterschied in der Projektvorbereitung. Es gibt keinen Zeitaufwand, der entsteht, wenn ein externer Anbieter erst verstehen muss, wie ein Konzernkontext mit internen Governance-Strukturen, verteilten IT-Verantwortlichkeiten und langen Abstimmungszyklen funktioniert. Diese Erfahrung ist bereits vorhanden.
Was das Engagement für andere Finanzdienstleister bedeutet
VWFS ist kein Einzelfall. Webserver-Hardening und CIS-Compliance sind für jede Bank, jede Versicherung und jeden Finanzdienstleister mit regulatorisch relevanter IT-Infrastruktur ein Thema.
Die regulatorischen Anforderungen, die DORA, NIS2 und die EBA-Leitlinien für IKT-Risiken stellen, verlangen keine theoretischen Konzepte. Sie verlangen nachweisbare, auditfähige Controls. Und die Plattformen, auf denen Finanzdienstleister diese Controls nachweisen müssen, sind dieselben: JBoss, Tomcat, Apache, IIS.
lennlay hat mit VWFS einen Referenzfall geschaffen, der zeigt, dass Compliance-Automatisierung in dieser Komplexitätsklasse funktioniert - und in welcher Zeit und mit welcher Tiefe.
Nächster Schritt für regulierte Umgebungen
Wenn Ihre Organisation Webserver-Hardening bisher manuell oder unvollständig adressiert und vor regelmäßigen Audits Nachweise zusammenstellen muss, ist das der Ausgangspunkt für ein konkretes Gespräch.
lennlay bietet mit SPAS einen strukturierten Einstieg in auditfähige Compliance-Automatisierung - für JBoss, Tomcat, Apache und IIS, einzeln oder kombiniert. Mehr dazu: Zum SPAS-Überblick