IT-Basics: FinTech Labest – Echtzeit-Einsicht in Lagerbestände der Kreditnehmer
Labest (Ende 2016 gegründet) entwickelt ein Software-as-a-Service SaaS)-Tool, das es Banken und anderen Kreditgebern ermöglicht, eine Echtzeit-Einsicht in die Lagerbestände ihrer Kreditnehmer zu bekommen. Nun kooperiert das FinTech mit Auxiga (einem international tätigen Servicepartner für Banken), die Lagerbestände als Kreditsicherheit zu nutzen. Im IT-Basics-Interview: Ex-Bankvorstand Dirk Piethe, Co-Geschäftsführer der Labestonline (Website).
Herr Piethe, wie werden bei Ihnen die Produkte entwickelt? Wie sieht der Prozess aus?
Der Entwicklungsmethodik der Labest-Software orientiert sich am Manifest zur Agilen Softwareentwicklung und am Manifest für Software-Handwerkskunst. Darauf aufbauend haben wir für uns angepasste Lösungen zum Release-Management, Branching, und Deployment entwickelt. Dies ermöglicht uns nachvollziehbare Prozesse, Dokumentation und qualitative Software kontinuierlich umzusetzen.
Jedes Release wird von uns mit einem digitalen Kanban-Board in unserem Ticketsystem begleitet. Die Tickets fürs kommende Release werden jeweils zum Ende eines Releases festgelegt.”
Wir beenden das Release nicht auf Basis einer zeitlichen Begrenzung, sondern immer nach dem „It’s done when it’s done“-Prinzip. Das heißt, ein Release wird erst mit Abschluss aller zugehörigen Tickets beendet und veröffentlicht.
Ausnahme hier sind korrektive Patch-Releases. Bugs werden immer unabhängig vom restlichen Entwicklungszyklus behoben. Für hochpriore Features erstellen wir ebenfalls extra Patch-Releases. Die grundlegende Strategie ist, dass eine neue Anforderung nie die laufende Entwicklung blockieren soll, und gleichzeitig der definierte Entwicklungsprozess keine erforderliche Anforderungsumsetzung verhindern darf. So bleiben wir immer reaktiv.
Wie entscheidet sich, was als nächstes entwickelt wird?
Unser Backlog unterteilt sich in die fortlaufenden kommenden Release-Versionen, die sich am Bedarf unserer Kunden orientiert. Ein Release hat dabei üblicherweise einen kategorischen Schwerpunkt.”
Das bedeutet, das ein Release sich jeweils hauptsächlich um z.B. Reporting, oder Benachrichtigungen, oder wie jüngst um Internationalisierung dreht.
Als serviceorientiertes FinTech haben für uns konkrete Kundenanforderungen höchste Priorität. Diese Anforderungen liegen meist im Bereich der Produktbewertung, des Reportings, oder im Anschluss von Import/Export-Schnittstellen. Solche Anforderungen werden dann binnen weniger Tage in Form eines Patches für das aktuelle Release bereitgestellt.
Zusätzlich habe wir noch einen „Ideenspeicher“ (ein separates Backlog), in dem wir eigene Ideen für die zukünftige Entwicklung von Labest festhalten.
Sie haben eine Internationalisierung Ihrer Software angesprochen. Was meinen Sie damit?
Wir haben vor kurzem Auxiga International, den Marktführer für Warenlagerbesicherung in Frankreich, als Partner gewonnen.”
Im Vorfeld der Kooperation haben wir unsere Labest-Software auf Mehrsprachigkeit erweitert – aktuell ist die Software in Deutsch, Englisch und Französisch verfügbar. So können wir gemeinsam mit Auxiga unsere digitale Echtzeit-Einsicht in die Lagerbestände inklusive tagesaktuellen Marktwerten auch Kunden aus Frankreich, Benelux, Großbritannien und Irland anbieten. Auch weitere Sprachen lassen sich ab sofort kurzfristig hinzufügen.
Welche Programmiersprachen und Tools verwenden Sie?
Im Backend kommen hauptsächlich Java, Kotlin und Groovy (für Testentwicklung) zum Einsatz. Im Frontend bauen wir auf Symfony und eine Reihe von JavaScript-Bibliotheken.”
Alle Entwicklertools und unser Ticketsystem bauen auf Produkte von JetBrains. Für die Versionsverwaltung mit Git nutzen wir Produkte von Atlassian. Unsere CI baut auf die Features von JetBrains TeamCity und Atlassian Bitbucket. Wir hosten alle Services und Systeme selbst.
Wie stark setzen Sie dabei auf Automatisierung?
Die Weiterentwicklung unserer Automatisierung gehört für unsere IT zum Tagesgeschäft. Wir eliminieren existierende manuelle Prozesse und wiederholende Aufgaben kontinuierlich. Unser CI-Server beherrscht Git-Branching, Server-Monitoring, QA-Deployments, produktive Deployments, Testing, uvm. Der Großteil unserer Software-Prozesse ist mittlerweile automatisiert und per Knopfdruck durchführbar. Auch unser Ticketsystem verfügt über vordefinierte Berichte zur Release-Auswertung.
Welche Basistechnologien sind im Einsatz? Wie steht es etwa um die Verwendung von KI?
Nebst unserem beschriebenen Software-Stack und der CI-Tools ist für uns Containerisierung mittlerweile Grundstein für alle Anwendungen und Prozesse. Der containerd-Standard und seine zugehörigen Tools haben uns in die Lage versetzt sowohl alle unsere produktiven Komponenten als auch alle internen Applikationen und Dienste vollständig isoliert selbst zu betreiben, zu aktualisieren, oder nach Bedarf auszutauschen.
Unsere derzeitige umfassende automatisierte Daten- und Risikoanalyse ist anforderungsbedingt faktenbasiert. Derzeit sind wir dabei, KI-basierte Zukunftsszenarien auf Basis der vielseitigen historischen Daten möglich zu machen.”
Setzen Sie auf Cloud-Lösungen (AWS, Azure & Co.) – und warum?
Wir setzen für unsere produktiven Systeme auf den Cloud Service Provider Uptime IT in Hamburg. Wir hosten dort alle Systeme virtualisiert und voneinander isoliert unter höchsten Sicherheitsanforderungen. Die Uptime IT ist einer der wenigen CSPs, die ausschließlich in Deutschland hosten und alle unsere Anforderungen an IT-Systemsicherheit samt Zertifizierungen erfüllen.
Alle unsere Server und Daten sind ausnahmslos in Deutschland gehostet.”
Wir erfüllen zudem die Anforderungen des Banken- und Versicherungsstandards. Dies ist ein für uns wichtiger Faktor für die Akzeptanz im Finanzierungssektor.
Wie garantieren und testen Sie die Sicherheit Ihrer Systeme?
Um die Sicherheitsaspekte zu beschreiben, muss man sich alle Ebenen der Bereitstellung einer Software ansehen. Da haben wir zunächst die Infrastrukturebene. Hier kümmert sich unser Cloud Service Provider um Wartung und physische Sicherheit der Systeme.
Der administrative Zugriff auf das Infrastrukturmanagement ist nur per Whitelist für ausgewählte Personen und Endgeräte möglich.”
Die Betriebssysteme der Server werden täglich mit Security-Updates versorgt. Zudem monitoren wir Verfügbarkeit und Latenz aller produktiven Server kontinuierlich. Die Server selbst lassen nur notwendige Ports für Web-Requests überhaupt kommunizieren. Es gibt keine Kommunikation zu oder zwischen Systemen, die nicht über SSL oder SSH abgesichert ist. Alle Passwörter und Zugriffsschlüssel werden entweder über Passwortmanager verwaltet oder liegen in einem abgesicherten Repository.
Auf CI-Ebene wird jedes Commit auf Lauffähigkeit geprüft. Ein nicht lauffähiger Build oder ein Fehler in einer Build-Pipeline führt automatisch zum Abbruch eines Deployment-Prozesses. Deploys neuer Versionen kommunizieren wir immer mit Kunden und führen die Umsetzung fast ausschließlich außerhalb der Arbeitszeiten der Kunden durch, um die Erreichbarkeit eines Systems nicht zu gefährden.
Auf Softwareebene führen wir regelmäßig automatisierte Software-Audits durch.”
Das bedeutet wir haben Analysetools, die genutzte Software-Pakete, Bibliotheken, und auch Container-Images auf Sicherheitsrisiken hin prüfen. Des Weiteren unterstützen automatisierte Tests die Wartbarkeit und helfen Regression zu vermeiden.
Gibt es spezifische Hardwareaspekte, die berücksichtigt werden müssen?
Wir bieten Kunden auch eine On-Premise Lösung unserer Software an, und haben dafür auch Hardwarespezifikationen definiert. Dies ermöglicht Labest-Kunden eine Installation auf der firmeneigenen Hardware. Diese Lösung wurde jedoch noch nie angefordert.
Welche Schnittstellen hat das System und wie wird es an Kernbanksysteme angebunden?
Für Bestandsimporte nutzen oder verbinden wir entweder bestehende Schnittstellen von Shopping-Systemen, oder wir lassen uns Datei-basierte Exporte erstellen, die wir dann automatisiert importieren.
Bankensysteme werden nie direkt an Labest angebunden. Eine Übertragung von Kontoinformationen erfolgt nur per strukturiertem Export und unabhängig von sicherheitskritischen Systemen.”
Herr Piethe, vielen herzlichen Dank für die spannenden Einblicke!aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/122526
Schreiben Sie einen Kommentar