undefined – ITDevOps.de

TechBlog

19. Dezember 2025 · 5 Minuten Lesezeit · ITDevOps.de Team

Ausgangssituation: RegTech-Programm mit 14 Teams

Ausgangspunkt war ein regulierter Finanzdienstleister mit eigenem DevOps-Programm. 14 cross-funktionale Teams lieferten Microservices, aber:

Deployments alle 4–6 Wochen
Toolchains pro Team gewachsen, keine gemeinsamen Standards
Audits verlangten Nachweise zu Signaturen, SBOM und Freigaben

Unser Ziel: die Release-Frequenz verdoppeln, ohne zusätzliche Audit-Kosten.

Phase 1 – Value Streams und Risiken kartieren

Wir starteten mit drei Wochen Discovery:

Shadowing der End-to-End-Pipeline vom Commit bis zum Deployment
Mapping aller manuellen Freigaben samt benötigter Evidenzen
Risk Heatmap: Wo fehlen Signaturen, wer prüft SBOMs, wo entstehen Handovers?

Output: ein priorisierter Maßnahmenplan inklusive KPIs (Lead Time, CFR, Audit Findings).

Phase 2 – Plattformmodule industrialisieren

Gemeinsam mit den Teams haben wir modulare Bausteine in Git gepflegt:

Terraform/Helmfile-Stacks mit Cosign, Rekor, SBOM-Hooks und Observability-Anbindung
Shared Pipelines (GitHub Actions + Argo Workflows) inklusive automatischem Evidence-Export
Backstage-Katalog mit Golden Paths für Microservices, APIs und Batch Jobs

Rolling Adoption: Pro Sprint migrierte ein weiteres Team auf die Standard-Module; Onboarding dauerte <5 Tage.

Phase 3 – Governance-by-Design & Evidence

Auditorische Anforderungen wurden als Code umgesetzt:

Kyverno/OPA Policies erzwingen SBOM, Signaturen und Deployment-Approvals
Evidence-Agent schreibt Reports in docs/evidence/<branch> mit Hashes, Testergebnissen und Reviewer-Logs
Compliance Dashboard visualisiert, welche Releases audit-ready sind

Ergebnisse nach 6 Monaten

Deployment-Frequenz: alle 10 Tage statt alle 40 Tage
Change Failure Rate: -48 %
Audit-Aufwand: -35 % manuelle Nachdokumentation, da Reports automatisiert vorlagen

Fazit