Eine Bundesoberbehörde mit 4.000 Mitarbeitenden betrieb über 120 Fachverfahren auf Microsoft Azure. Nach einer BSI-Empfehlung zur digitalen Souveränität musste die gesamte Infrastruktur auf einen herstellerunabhängigen Stack migriert werden — ohne Betriebsunterbrechung und mit BSI C5 Typ 2 Zertifizierung.
Wir haben in 3 Phasen gearbeitet: (1) Discovery & Assessment — Inventarisierung aller Workloads, Abhängigkeitsanalyse, Migration-Readiness-Score pro Fachverfahren. (2) Platform Build — Aufbau des souveränen Open Source Stacks auf souveräner Infrastruktur (IONOS Cloud) mit Kubernetes, PostgreSQL, Key…
„Die Migration war das komplexeste IT-Projekt unserer Behörde. DevOpsDataSec hat nicht nur technisch geliefert, sondern auch unsere Teams befähigt, die Plattform selbstständig zu betreiben."
— IT-Leiter, Bundesoberbehörde
Eine deutsche Großbank mit 200+ IT-Systemen stand vor der DORA-Deadline. Die bestehende Compliance-Berichterstattung war manuell, fragmentiert und benötigte pro Quartal 800+ Personenstunden. Die BaFin erwartete automatisierte, auditierbare Nachweise für ICT Risk Management, Incident Reporting und Digital Resilience Testing.
Wir haben eine Evidence Automation Pipeline aufgebaut: (1) Zentrales Asset Inventory aller ICT-Systeme mit automatischer Discovery. (2) SBOM-Pipeline für alle Software-Artefakte mit Vulnerability Scoring. (3) Incident Evidence Collector — automatischer Export von Incident-Timelines, Root-Cause-Analy…
„Vorher haben wir 6 Wochen für einen Audit-Report gebraucht. Jetzt drücken wir einen Knopf. Das hat unsere Relationship mit der BaFin fundamental verändert."
— CISO, Geschäftsbank
Ein Stadtwerk mit 380.000 Versorgungskunden musste NIS2-Anforderungen umsetzen. Die bestehende IT-Sicherheit war auf Perimeter-Security beschränkt, es gab kein zentrales SIEM, keine automatisierte Incident Response und keine BSI-Meldekette. OT-Systeme (SCADA, ICS) waren nicht ins Monitoring eingebunden.
(1) Wazuh SIEM Deployment mit Custom Rules für KRITIS-spezifische Angriffsmuster. (2) Falco Runtime Security für alle Container-Workloads. (3) OT/IT-Bridge — sichere Anbindung von SCADA-Systemen über dedizierte Collector-Agents. (4) Automatisierte BSI-Meldekette mit Eskalations-Playbooks und Vorlage…
„Wir wussten, dass NIS2 kommt, aber nicht, wie wir es umsetzen sollen. DevOpsDataSec hat einen klaren Plan geliefert und ihn in 6 Monaten umgesetzt — inklusive unserer SCADA-Systeme."
— IT-Sicherheitsbeauftragter, Stadtwerk
Ein MedTech-Startup hatte eine digitale Gesundheitsanwendung (DiGA) entwickelt und brauchte eine BfArM-konforme Hosting-Infrastruktur. Die Anforderungen: deutsche Datenresidenz, Ende-zu-Ende-Verschlüsselung, automatisierte Backups, Penetrationstest-Readiness und vollständige Dokumentation für den BfArM-Antrag.
(1) Souveräne Kubernetes-Plattform auf IONOS Cloud mit dediziertem Namespace und Network Policies. (2) PostgreSQL mit Encryption-at-Rest und automatisierten Daily Backups (Velero). (3) Keycloak für Patient Authentication mit ePA-Anbindungsvorbereitung. (4) Cert-Manager für automatische TLS-Zertifika…
„Als Startup hatten wir weder die Kapazität noch das Wissen für BfArM-konforme Infrastruktur. DevOpsDataSec hat in 8 Wochen alles aufgebaut — und wir konnten uns auf unsere App konzentrieren."
— CTO, DiGA-Startup
Ein mittelständischer IT-Dienstleister mit 150 Kunden betrieb seine Infrastruktur auf VMware vSphere, Microsoft Exchange und proprietären Monitoring-Tools. Nach der Broadcom-Übernahme von VMware stiegen die Lizenzkosten um 300%. Der Dienstleister brauchte eine vollständige Migration auf Open Source — ohne Kundenverluste.
(1) Hypervisor-Migration: VMware vSphere → Proxmox VE mit Live-Migration aller VMs. (2) Storage: VMware vSAN → Ceph (verteilter Storage). (3) Container-Plattform: Kubernetes für neue Workloads mit GitOps-Deployment. (4) Mail: Exchange → Stalwart Mail Server. (5) Identity: Active Directory → Keycloak…
„Die VMware-Preiserhöhung war unser Weckruf. Heute betreiben wir alles auf Open Source, haben die Hälfte der Kosten — und sind unabhängig von jedem Vendor."
— Geschäftsführer, IT-Dienstleister
Ein Online-Broker mit 500.000+ aktiven Kunden betrieb eine proprietäre Security-Infrastruktur (Palo Alto, CrowdStrike, Thales). Die jährlichen Lizenzkosten lagen bei €1.2M. Gleichzeitig mussten BaFin MaRisk/BAIT Anforderungen und die DORA-Vorbereitung finanziert werden.
(1) Network Security: Palo Alto → Istio Service Mesh mit mTLS und Network Policies. (2) EDR/XDR: CrowdStrike → Wazuh + Falco Runtime Security. (3) Secrets Management: Thales → HashiCorp Vault mit Auto-Unseal. (4) Policy Engine: OPA Gatekeeper für Kubernetes Admission Control. (5) SIEM: Elastic SIEM …
„Unsere Trader merken keinen Unterschied in der Performance. Aber unser CISO schläft besser — und unser CFO auch."
— VP Engineering, Online-Broker
Business-first Consulting: klare Deliverables, Open Source Stack, deutsche Datenresidenz.
