Die Oldenburgische Landesbank AG ist eine profitabel wachsende Universalbank für Privat- und Unternehmenskunden in Deutschland und ausgewählten europäischen Nachbarländern. Unter den Marken OLB Bank und Bankhaus Neelmeyer berät die OLB ihre mehr als 660.000 Kunden persönlich und über digitale Kanäle in den Segmenten Private & Business Customers und Corporate & Diversified Lending. Die Bilanzsumme der OLB beträgt mehr als 26 Milliarden Euro.
Auf einen Blick
Die Oldenburgische Landesbank (OLB) durchläuft derzeit ein umfangreiches IT-Transformationsprogramm zur Umsetzung einer Plattformbankstrategie. Im Rahmen dieser Transformation hat die Bank Rancher Prime, SUSE Linux Enterprise Server (SLES) und NeuVector Prime eingeführt. Diese Tools vereinfachten nicht nur die Migration der OLB auf containerisierte Anwendungen und senkten die Betriebskosten, sondern beschleunigten auch die Einrichtung von Kubernetes-Umgebungen um 99,5 Prozent. Neue Anwendungen lassen sich so deutlich schneller bereitstellen. Mit dem Wechsel erfüllt die OLB die strengen regulatorischen Anforderungen und stellt gleichzeitig eine hohe Skalierbarkeit und Anpassungsfähigkeit an neue Technologien sicher.
Der Weg zur Container-Technologie
Mit dem Aufkommen des Plattform-Bankings – einem modernen Bankkonzept, das Kunden eine einheitliche Plattform für Bank- und ausgelagerte Dienstleistungen zur Verfügung stellt – erkannte die OLB die Notwendigkeit, ihre IT-Systeme zu modernisieren. Nur so konnte die Bank in der Branche relevant bleiben und ihre Wettbewerbsposition langfristig sichern. Die OLB startete daher ein ehrgeiziges IT-Modernisierungsprogramm mit Lösungen von SUSE. Ziel war es vor allem, Cloud-fähig zu werden und sich von einer Bank mit Legacy-Systemen zu einer Plattform-Bank der Zukunft zu entwickeln.
Die bestehende IT-Infrastruktur der OLB setzte dabei bereits strategisch auf Open Source-Technologie und wurde seit über zehn Jahren als virtualisierte On-Prem-Umgebung mit Linux- und Windows-Servern betrieben. Das monolithische System, auf dem bis zu 800 virtuelle Maschinen für die Produktion liefen, war mittlerweile jedoch sehr aufwändig und teuer zu administrieren. Zudem gab es keine effiziente Möglichkeit, ausgelagerte Dienste zu integrieren. Dies hinderte die OLB daran, ein einheitliches Plattform-Bankensystem aufzubauen.
Die OLB wollte diese Systeme in die Cloud migrieren, um von den vielfältigen Vorteilen des Cloud Computing zu profitieren:
- Zugang zu Cloud-exklusiven Lösungen, die die technologischen Möglichkeiten der OLB erweitern.
- Erleichterung der Fernarbeit durch einfaches Ressourcenmanagement.
- Umgehung traditioneller Supply-Chain-Einschränkungen.
- Sofortige Skalierung von Integrationsumgebungen, wodurch Hardware- und Installationskosten entfallen.
Mit diesen Vorteilen im Hinterkopf analysierte die OLB ihre Anwendungen, um festzustellen, inwieweit sie Cloud-fähig sind. Abgesehen von einigen neueren Technologien stellte die OLB jedoch fest, dass sich die meisten ihrer Systeme nicht für den Betrieb in der Cloud eigneten.
Auf der Suche nach innovativen Lösungen wandte sich die OLB an ihre Mitarbeiter und fragte ihre jungen Hochschulabsolventen: „Wie würdet ihr ein Softwareentwicklungsprogramm für ein etabliertes Unternehmen starten?“ Die anschließenden Diskussionen führten zur Gründung einer neuen Abteilung für Softwareentwicklung und -architektur. Diese sollte die IT-Modernisierung des Unternehmens vorantreiben, den manuellen IT-Aufwand reduzieren und dabei neueste Technologien einsetzen, die optimal auf die Bedürfnisse der OLB zugeschnitten sind.
Das neu gebildete Team entschied sich für die Containerisierung von Anwendungen, um so die Voraussetzungen für Cloud-basierten Betrieb und PlattformBanking zu schaffen. Als Basis für diese moderne Infrastruktur wählte das Team Rancher Prime, SLES und NeuVector Prime.
„Im Gegensatz zu anderen Tools, die außerhalb des Clusters laufen, sorgt NeuVector Prime sowohl für Sicherheit innerhalb des Clusters als auch auf den SLES-Knoten und schützt jeden Container aus der Perspektive des Betriebssystems und des Container-Netzwerks. Dieser Ansatz ist intelligenter als alle anderen Lösungen und ein wichtiges Alleinstellungsmerkmal.“
Warum SUSE?
Rancher Prime und SUSE Linux Enterprise Server
Anfang 2020 startete die OLB ihr Containerisierungsprojekt mit einem POC für Rancher Prime. Die Erfahrung von SUSE bei der Bereitstellung innovativer, sicherer und stabiler Lösungen für geschäftskritische Umgebungen spielte dabei eine wichtige Rolle. Schließlich entschied sich die OLB aus mehreren Gründen dafür, Rancher Prime anstelle von Red Hat OpenShift für das Management ihrer Container-Umgebung einzusetzen.
Von Anfang an war die OLB von den Fähigkeiten des Presales Engineers von SUSE beeindruckt. Dieser unterstützte beim Design einer bedarfsgerechten Infrastruktur, die innerhalb des POC-Zeitrahmens funktionierte. Während des gesamten Prozesses half der Ingenieur dem Team kompetent bei der Bewältigung von Herausforderungen und hinterließ einen sehr positiven Eindruck.
Vor allem aber überzeugte die Einfachheit von Rancher Prime das Team. Die Bank benötigte eine Lösung, die nicht nur ihre neue Container-Umgebung effizient verwalten konnte, sondern auch einen reibungslosen Übergang von traditionellen virtuellen Systemen zu Kubernetes ermöglichte. So konnten die IT-Mitarbeiter schneller produktiv mit der Lösung arbeiten. Rancher Prime zeichnete sich durch seine hohe Benutzerfreundlichkeit aus und ermöglichte es dem OLB-Team, Container ohne die Komplexität zu verwalten, die normalerweise mit einer so großen technologischen Umstellung verbunden ist. Das einfache Management war ein wesentliches Unterscheidungsmerkmal gegenüber der Lösung Red Hat OpenShift, die oft spezielles Wissen und Training erforderte.
„Mit Rancher Prime können wir neue Cluster mit identischen Konfigurationen und Zugriffskontrollen erstellen, unabhängig davon, ob sie sich bei einem Cloud-Anbieter oder in unserer VM-Infrastruktur befinden. Das war mit Red Hat OpenShift nicht so einfach zu bewerkstelligen“, sagt Tim Westphal, IT Director der Software- und Architekturabteilung der OLB.
Darüber hinaus bewertete die OLB die Flexibilität von Rancher Prime höher als die der Konkurrenz. „Wir haben CI/ CD-Pipelines entwickelt, die wir für Deployments verwenden, und diese sind in Rancher Prime vollständig automatisiert. Red Hat OpenShift hat versucht, uns einen anderen Ansatz aufzuzwingen, der für uns nicht optimal gewesen wäre“, sagt Westphal. „Außerdem können wir mit Rancher Prime einem Node so viel Hardware und Workloads zuweisen, wie wir wollen – und das zu den gleichen Kosten. Mit Red Hat OpenShift wäre das nicht möglich.“
Kurz nach der Implementierung von Rancher Prime hielt es der Betriebsverantwortliche für sinnvoll, sowohl das Betriebssystem als auch die Container-Orchestrierung vom selben Anbieter zu beziehen. Die OLB entschied sich daher, SUSE Linux Enterprise Server (SLES) als Basis für ihre Container-Umgebung einzusetzen. Insgesamt implementierte das Team schließlich fast 100 SLES-basierte virtuelle Maschinen auf hochleistungsfähigen Systemen. Darauf laufen heute nicht nur die Clusterknoten, sondern auch andere wichtige Infrastrukturkomponenten.
NeuVector Prime
Ursprünglich hatte sich die OLB für eine andere Container Security Suite entschieden. Nachdem diese Lösung jedoch über mehrere Jahre immer wieder zu Ausfällen der Workloads in den Clustern geführt hatte, suchte das Team nach Alternativen. Nach einem erfolgreichen POC entschied sich das Team, die ursprünglich gewählte Container-Sicherheitslösung durch NeuVector Prime zu ersetzen. „Die Stabilität unserer Workloads zu gewährleisten, hat für uns höchste Priorität, und die Instabilität, die durch unsere erste Container-Sicherheitslösung verursacht wurde, war nicht länger akzeptabel“, sagt Westphal.
Außerdem stieß das Team mit seiner ersten Container Security Suite auf verschiedene Integrationsprobleme, insbesondere in Bereichen wie OpenID Connect (OIDC) und rollenbasierte Zugriffskontrolle. Diese Funktionen waren nicht so anpassungsfähig, wie das Team aufgrund früherer Demonstrationen zunächst erwartet hatte.
„Nach einer sorgfältigen Evaluierung haben wir uns für NeuVector Prime entschieden, weil die Lösung den Grad an Konfigurierbarkeit bot, den wir benötigten“, sagt Westphal. „Das war vor allem wichtig für die Integration mit unseren Configuration Management Databases [CMDBs], auf die wir aus verschiedenen Compliance-Gründen ganz besonders angewiesen sind.“
Die Mehrwerte von SUSE
Das Team pflegt auch heute noch aktiv den Software-Stack, den es im Rahmen seines IT-Modernisierungsprogramms eingeführt hat. Parallel dazu löst das Team ältere Debian- und Windows-Systeme ab und migriert schrittweise zu containerisierten Anwendungen, die mit Rancher Prime bereitgestellt werden. Die alten virtuellen Maschinen werden anschließend außer Betrieb genommen. Die Mehrwerte der neuen Infrastruktur zeigen sich in einer Reihe von Vorteilen.
Verkürzte Time-to-Market
Die Implementierung von Rancher Prime brachte der OLB einen deutlichen Effizienzsprung bei der Anwendungsbereitstellung. Früher erforderte das Deployment einer neuen Anwendung zeitaufwändige, manuelle Konfigurationen virtueller Maschinen, die oft Tage in Anspruch nahmen. Mit Rancher Prime hat sich dieser Prozess für die OLB grundlegend geändert: Entwickler können die benötigten Ressourcen nun deklarativ definieren – und die Anwendungen sind in wenigen Minuten einsatzbereit. Durch diese Umstellung wurde der Bereitstellungsprozess erheblich gestrafft, so dass das IT-Team Umgebungen um 99,5 Prozent schneller einrichten kann. Dieser Effizienzgewinn ermöglicht es dem Team, sich mehr auf Innovationen als auf operative Aufgaben zu konzentrieren.
Einfachere Einführungs- und Migrationsprozesse
Die intuitive Benutzeroberfläche von Rancher Prime hatte einen großen Einfluss auf die Transformation der OLB. Zuvor waren die meisten der 140 IT-Mitarbeiter mit der Container-Technologie nicht vertraut. „Die einfache Benutzeroberfläche von Rancher Prime half unserem Team, das größtenteils keine Erfahrung mit Containern hatte, sich ohne großen Schulungsaufwand anzupassen“, sagt Westphal.
Darüber hinaus trug die Einfachheit von Rancher Prime enorm dazu bei, einen unterbrechungsfreien Betrieb während der Migration eines Rechenzentrums zu gewährleisten. Die OLB verarbeitet täglich ein enormes Volumen an Transaktionen – und jede Unterbrechung ihrer Dienste könnte Auswirkungen auf die deutsche Wirtschaft haben. Deshalb werden die Systeme der OLB auch als kritische Infrastruktur (KRITIS) eingestuft. Aufgrund neuer Vorschriften musste der Abstand zwischen den beiden Rechenzentren der OLB auf 50 Kilometer vergrößert werden. Bisher lagen die beiden Rechenzentren nur drei Kilometer auseinander.
„Wir haben eines unserer Rechenzentren akribisch Knoten für Knoten migriert, um Serviceunterbrechungen zu vermeiden“, sagt Westphal. „Es ist bemerkenswert, wie Rancher Prime diesen Migrationsprozess vereinfachte und so einen nahtlosen Übergang ohne Unterbrechung unserer kritischen Dienste gewährleistete.“
Durchgängige Interoperabilität
Das Engagement von SUSE für Open Source und Interoperabilität spielt bei der IT-Modernisierung der OLB eine Schlüsselrolle. Während die OLB die Migration der meisten Anwendungen auf Rancher Prime und SLES fortsetzt, setzt sie strategisch weiterhin Windows- und Debian-Server für bestimmte Aufgaben ein. So werden beispielsweise die Oracle-Datenbanken und das Kernbankensystem der OLB, das auf der traditionellen Programmiersprache COBOL basiert, weiterhin auf separaten Systemen betrieben. Dieser selektive Ansatz gilt auch für Cloud-Umgebungen wie Genesys in AWS oder Office 365 in Azure, die von der OLB individuell bewertet werden.
„Das harmonische Zusammenspiel von SUSE-Lösungen mit unseren unterschiedlichen Systemen ist ein wesentlicher Vorteil“, betont Westphal.
Die Interoperabilität von Rancher Prime über verschiedene Cloud-Plattformen hinweg sowie die konsistente Benutzererfahrung unabhängig vom Anbieter sind für die Cloud-Strategie und Compliance der OLB ebenfalls von zentraler Bedeutung.
„Unsere Multi-Vendor-Cloud-Strategie ist eine Notwendigkeit, da die europäischen Regulierungsstandards eine robuste Ausstiegsstrategie erfordern. Rancher Prime gibt uns die Flexibilität, bei Bedarf schnell den Anbieter zu wechseln, und damit diese wichtige Anforderung zu erfüllen“, erklärt Westphal.
Vereinfachtes rollenbasiertes Management
In der Finanzbranche ist es vorgeschrieben, dass Entwickler nur auf die Informationen zugreifen dürfen, für die sie direkt verantwortlich sind. Auch aus diesem Grund hat die OLB fast 800 virtuelle Maschinen eingerichtet und jedem Benutzer bestimmte Berechtigungsstufen zugewiesen. Mit Rancher Prime ist die Verwaltung der individuellen Zugriffsrechte nun wesentlich einfacher geworden.
Als gängige Praxis verwendet die OLB ihre CMDB, um ihre Systeme, Anwender und deren jeweilige Verantwortlichkeiten nachzuverfolgen. Durch die Integration der CMDB mit Rancher Prime über eine API kann das Team nun die Berechtigungen für die Workloads in der gesamten Infrastruktur zentral und einfach verwalten.
„Derzeit befinden sich alle unsere Cluster vor Ort“, sagt Westphal. „Dank der Flexibilität unseres Systems sind wir jedoch künftig in der Lage, zu expandieren und zusätzliche Cluster in der Cloud einzurichten. Mit Rancher Prime können wir auch diese Cloud-basierten Cluster verwalten und behalten dabei die gleichen Berechtigungsstufen wie in unserer On-Premises-Umgebung. Die Fähigkeit von Rancher Prime, unseren Betrieb in die Cloud auszudehnen und dabei ein konsistentes Berechtigungsniveau beizubehalten, ist für uns ein entscheidender Vorteil.“
Schutz der Infrastruktur vor bekannten und neuen Bedrohungen
Die OLB bereitet sich darauf vor, NeuVector Prime in ihrer Produktionsumgebung einzuführen, nachdem sie während der POC-Phase des Tools mehrere bedeutende Vorteile erkannt hat.
Das IT-Team schätzt insbesondere die Art und Weise, wie sich der technologische Ansatz von NeuVector Prime in die Systeme der OLB integrieren lässt. „Im Gegensatz zu anderen Tools, die außerhalb des Clusters laufen, sorgt NeuVector Prime sowohl für Sicherheit innerhalb des Clusters als auch auf den SLES-Knoten und schützt jeden Container aus der Perspektive des Betriebssystems und des Container-Netzwerks. Dieser Ansatz ist intelligenter als alle anderen Lösungen und ein wichtiges Alleinstellungsmerkmal“, sagt Westphal.
Dieser einzigartige Ansatz ermöglicht es NeuVector Prime, alle aktiven Workloads effizient auf neue Schwachstellen zu scannen und bei Bedarf entsprechende Tickets über das Jira-System der OLB zu generieren. Der kontinuierliche Scan-Prozess hält die OLB-Entwickler stets auf dem Laufenden und hilft ihnen, aufkommende Sicherheitsprobleme schnell zu beheben, selbst bei Workloads, die für längere Zeit inaktiv waren.
NeuVector Prime stärkt die Sicherheitsarchitektur der OLB vor allem durch zwei Schlüsselfunktionen. Erstens sorgt die Integration mit einem Open-SourceAnalysetool für den Schutz der OLB-Anwendungen in der Build-Pipeline, indem Builds abgewiesen werden, wenn Probleme entdeckt werden. Westphal erklärt: „Bevor wir etwas auf unseren Clustern bereitstellen, verwenden wir NeuVector Prime in Verbindung mit unserem OpenSource-Analysetool, um statische, auf Artefakten basierende Schwachstellen zu überprüfen. Dieser Pre-Deployment-Check gewährleistet Compliance und Sicherheit bereits in der Build-Phase.“
Zweitens sind die Echtzeit-Schutzfunktionen von NeuVector Prime der Dreh- und Angelpunkt bei der Abwehr neuer Bedrohungen für die OLB. „Die Lösung identifiziert und blockiert Angriffsvektoren wie Log4j im Live-Datenverkehr und stellt so sicher, dass solche Bedrohungen unsere Workloads nicht erreichen“, sagt Westphal. „NeuVector bietet als umfassende Lösung sowohl Runtime- als auch Build-Schutz und ist daher ein zentraler Bestandteil unserer Sicherheitsstrategie.“
Die Mehrwerte des SUSE Supports
Die Zusammenarbeit zwischen der OLB und dem SUSE Support spielte eine entscheidende Rolle bei der Verbesserung der IT-Infrastruktur der Bank und trug wesentlich zum Modernisierungsprogramm der OLB bei.
„Der SUSE Support ist außergewöhnlich“, sagt Oliver Bohlen, Linux Operations Manager bei der OLB. „Aus unserer Sicht ist das eine der wesentlichen Leistungen von SUSE.“
Während der Umstellung auf Rancher Prime und SLES unterstützte der SUSE Support die OLB bei der Identifizierung und Lösung von Stabilitätsproblemen und beriet die Bank zu den optimalen Sizing-Anforderungen für ihre Bedürfnisse. Diese Beratung war gerade für die Feinjustierung der OLB-Infrastruktur auf maximale Leistung und Zuverlässigkeit sehr wertvoll.
Die Interaktion der OLB mit ihrem Customer Success Manager bei SUSE ist ein weiterer Beleg für den kundenorientierten Ansatz von SUSE. „Wann immer wir etwas benötigen, leiten wir die Anfrage an unseren Customer Success Manager weiter, der sich bemüht, uns zu helfen. Wenn aufgrund der aktuellen Konfigurationen keine Hilfe möglich ist, werden einige unserer Anforderungen in die Produkt-Roadmaps aufgenommen“, sagt Westphal. „Das ist sehr vielversprechend. Es stärkt unser Vertrauen in SUSE als einen Partner, der sich für unseren Erfolg einsetzt.“
Wie geht es bei der OLB weiter?
Mit den Lösungen von SUSE optimiert die OLB nicht nur ihren aktuellen Betrieb, sondern ist auch auf dem besten Weg, sich zu einer Cloud-fähigen Plattformbank zu entwickeln.
Die OLB bereitet sich auf die bevorstehende Fusion mit einer anderen deutschen Bank vor und steht dabei vor großen Herausforderungen und Chancen. „Die Fusion bindet erhebliche Ressourcen und verlagert unseren unmittelbaren Fokus. Sie bietet aber auch die einmalige Gelegenheit, die neu hinzukommenden Anwendungen zu modernisieren und zu containerisieren, um sie nahtlos in unsere Infrastruktur zu integrieren“, erklärt Westphal.
Mit Blick in die Zukunft hat das Thema Compliance eine besonders hohe Priorität für die OLB, insbesondere angesichts des bevorstehenden Digital Operational Resilience Acts (DORA) der Europäischen Union. Die strengen Cybersicherheitsmaßnahmen von DORA, die im Jahr 2025 in Kraft treten sollen, machen NeuVector Prime wertvoller denn je. „Die Einhaltung der aufkommenden DORA-Standards ist entscheidend. Die fortschrittlichen Cybersicherheitsfunktionen von NeuVector Prime werden wesentlich dazu beitragen, unsere Prozesse an diese neuen Vorschriften anzupassen und uns proaktiv auf diese kommende Phase vorzubereiten“, betont Westphal.
Auf ihrem Weg mit SUSE setzt die OLB auf kontinuierliche Innovation, Effizienz und strategische Modernisierung. Mit diesem Engagement bewegt sich die Bank sicher und agil durch die sich ständig verändernde Bankenlandschaft.