Lokale Chatbots und LLMs

Testing für Banken und Versicherer: BAIT, VAIT, DORA

Wer als Bank oder Versicherer in Deutschland Software entwickelt, testet nicht nur Funktionen. Sie testen gleichzeitig Audit-Konformität, BAIT/VAIT-Pflichten und 24/7-Verfügbarkeit. Das ist ein anderes Spiel als ein klassisches B2C-Produkt. Diese Seite zeigt, wie Qytera Banken, Sparkassen und Versicherer beim Software-Testing begleitet: von der Testprozess-Optimierung über App-Test mit Audit-Trail bis zur Performance-Validierung regulatorisch geprüfter Plattformen.

Für den Cluster-Kontext verweisen wir auf unsere Hub-Seiten zu KI-gestütztem Softwaretesting und Agentic AI Testing, sowie auf zwei publizierte Praxis-Referenzen, die direkt in den Finanzsektor zeigen: SV-Informatik (Sparkassen-Versicherung) und Allianz Global Assistance.

Inhaltsverzeichnis

Warum Banking und Versicherung besondere Testing-Anforderungen haben

Software in einer Bank oder Versicherung ist kein Produkt, das nur funktionieren muss. Sie muss prüfbar funktionieren. Das verändert die Anforderungen an Testautomatisierung, Testprozess und Test-Dokumentation grundlegend.

Regulatorische Aufsicht durch BaFin und EU. Die BAIT (Bankaufsichtliche Anforderungen an die IT) und VAIT (für Versicherer) schreiben vor, wie Test-Aktivitäten zu dokumentieren sind. MaRisk (Mindestanforderungen an das Risikomanagement) verlangt nachvollziehbare Test-Pfade. Seit 2025 kommt DORA (Digital Operational Resilience Act) als EU-Verordnung dazu, die operative Resilienz und Test-Vorgaben für Finanzunternehmen vereinheitlicht. Das bedeutet konkret: Jeder durchgeführte Test muss revisionssicher gespeichert, ein Audit-Trail für Tester-Aktionen vorhanden und der Test-Berichts-Workflow nachvollziehbar sein.

24/7-Verfügbarkeit ist Vertragspflicht. Online-Banking, Schadensmeldungen, Versicherungspolicen-Abfragen und Kunden-Apps laufen rund um die Uhr. Ein Test, der die Anwendung eine Stunde lang in Wartung bringt, ist organisatorisch kostspielig. Das verlangt Test-Pipelines, die parallel zur Produktion laufen können und keine Down-Time erzeugen.

Personenbezogene Daten sind regulatorisch sensibel. Test-Daten in einer Versicherung können Gesundheitsdaten enthalten, Test-Daten in einer Bank sind Kontoauszüge. Die DSGVO und sektor-spezifische Vorgaben (BAIT/VAIT) verlangen, dass Test-Daten entweder vollständig anonymisiert oder in einer abgeschotteten Test-Umgebung verarbeitet werden. Das schließt manche Cloud-basierten Test-Tools von vornherein aus.

Mainframe-Migration und Microservices treffen aufeinander. Banking-Kernsysteme laufen oft auf z/OS oder anderen Großrechnern. Daneben entstehen moderne Microservices-Schichten und Cloud-Backends. Test-Strategien müssen beide Welten abdecken: COBOL-Module mit Batch-Tests und gleichzeitig REST-Microservices mit Contract-Tests.

Unsere Leistungen für die Finanz- und Versicherungsbranche

Wir bieten ein modulares Beratungs- und Implementierungs-Portfolio. Sie buchen die Bausteine, die zu Ihrem Reifegrad und Ihrer regulatorischen Verantwortung passen.

Testprozess-Optimierung nach TMMi

Wir analysieren Ihre bestehenden Testprozesse, ordnen sie nach dem TMMi-Stufenmodell ein und entwickeln einen Maßnahmenkatalog für die nächsten 12 bis 24 Monate. Die Methodik kombiniert IDEAL als Vorgehens-Modell, TPI-NEXT für die Ist-Analyse und TMMi für die Ziel-Definition. Output ist ein schriftlicher Bericht plus Workshop-Ergebnisse, der gegenüber internen Audits und gegenüber BaFin/Aufsicht belastbar ist. Vertiefung in unserer Beratung zu Testmanagement und Testprozessverbesserung.

Testautomatisierung für Online-Banking und Kunden-Apps

Wir automatisieren Regressionstests, Schnittstellen-Tests und End-to-End-Tests für Web-Apps, iOS, Android und Backend-Services. Die Tooling-Auswahl ist tool-unabhängig: Selenium, Playwright, Appium, Cypress oder ein Mix. Wir empfehlen die Architektur, die zu Ihrem Reifegrad passt, nicht zu unseren Partnerschaften. Details in unserer Testautomatisierung-Beratung.

Last- und Performancetest für regulierte Plattformen

Wir validieren Performance unter realistischen Last-Szenarien: Online-Banking-Tagesabschluss, SEPA-Lastschrift-Spitzen, Schaden-Anmeldung-Wellen nach Großschäden, Quartals-Buchungsläufe. Tooling: JMeter, k6, Grafana, InfluxDB, Octoperf. Cloud-Lastgeneratoren skalieren bis zu 80 parallele Instanzen, je nach Auftrag. Mehr in unserer Lasttest- und Performancetest-Beratung.

Compliance-Dokumentation und Audit-Vorbereitung

Wir erstellen Test-Konzepte, Test-Berichte und Audit-Trails so, dass interne Revisionen und externe Prüfer (BaFin, Wirtschaftsprüfer, ISACA-CISA) sie ohne Rückfragen abnehmen können. Das ist kein Kosmetik-Job am Schluss eines Projekts, sondern Bestandteil jedes Test-Sprints von Beginn an.

Praxis-Beispiel Allianz: App-Test und Schnittstellen-Automatisierung

Die Allianz Global Assistance (AGA) ist Teil des Allianz-Konzerns und zählt zu den weltweit führenden Anbietern von Reiseschutz- und Assistance-Leistungen. Mit einem weltweiten Netzwerk steht sie ihren Kunden an 365 Tagen rund um die Uhr zur Verfügung.

In Zusammenarbeit mit der Deutschen Telekom wurde eine mobile App entwickelt, die den Allianz Assistance Service in die Smart Home App der Deutschen Telekom integriert. Der Versicherungsfall tritt ein, wenn bestimmte Events wie Feuer, Wasserschaden oder Einbruch von Qivicon-Sensoren erfasst werden. Das Backend verwaltet Kunden- und Versicherungsdaten und priorisiert eintreffende Events nach einem definierten Regelwerk.

Unsere Aufgabe

Für den Launch der mobilen Apps (Web, Android, iOS) setzte die Testmanagement-Abteilung umfassende Qualitätssicherungsmaßnahmen auf. Qytera wurde beauftragt, die Tests zu spezifizieren, zu konzeptionieren und zu automatisieren. Eine besondere Herausforderung lag im sicheren Multi-Device-Test: Die Apps mussten auf unterschiedlichen mobilen Endgeräten, Plattformen und Betriebssystemen fehlerfrei laufen, auch wenn viele Benutzer gleichzeitig zugriffen. Die Tests wurden im Qytera Testcenter Darmstadt durchgeführt, mit gesicherter Anbindung mit festen IP-Adressen an das Backend der Deutschen Telekom.

Die Lösung

Die Regressionstests wurden mit Appium für iOS und Android automatisiert. Ein zentraler Vorteil von Appium: keine Code-Änderungen am App-Code notwendig, im Gegensatz zu proprietären Lösungen. Die Schnittstellentests (REST) wurden auf Basis von SoapUI implementiert. Verwaltung und Reporting der Testfälle erfolgten über HP Quality Center (heute HP ALM).

Ergebnis

Durch die Testautomatisierung erhält das Testmanagement eine exakte Dokumentation und damit Revisionssicherheit, sodass die rechtlichen Anforderungen an Ordnungsmäßigkeit, Vollständigkeit, Sicherheit und Nachvollziehbarkeit erfüllt sind. Dank erfolgreich durchgeführter Regressionstests kann sich das Testteam darauf verlassen, dass auch Neuerungen in der App keine fehlerhaften Auswirkungen auf bestehende Funktionen haben.

Praxis-Beispiel SV-Informatik: Testprozessverbesserung mit TMMi

Die SV-Informatik ist ein IT-Unternehmen und 100-prozentige Tochter der SV SparkassenVersicherung mit Hauptsitz in Mannheim. Sie beschäftigt rund 520 Mitarbeitende an fünf Standorten und zählt zu den Marktführern für IT-Lösungen in der deutschen Versicherungsbranche. Der Schwerpunkt liegt in Entwicklung, Pflege und Betrieb der kompletten IT-Landschaft der SV SparkassenVersicherung und der Sparkassen-Versicherung Sachsen.

Aufgabe

Im Rahmen der Optimierung bestehender Testprozesse sollten nach einer Situationsbestimmung Handlungsbedarfe in den übergreifenden Testprozessen festgestellt und ein Maßnahmenkatalog zur Umsetzung des Optimierungspotenzials erarbeitet werden. Die Identifikation des Optimierungspotenzials und die Ableitung eines Maßnahmenbündels sollten im Hinblick auf Steigerung der Qualität und Effizienz, Einhaltung regulatorischer Vorgaben und Kostenoptimierung erfolgen.

Vorgehen

Auf Vorschlag von Qytera wurde das Vorgehen an etablierten Modellen ausgerichtet. Die Phasen des Projekts wurden nach dem IDEAL-Modell definiert, die Bestimmung der Ist-Situation erfolgte auf Basis von TPI-NEXT. Für die Ableitung von Verbesserungsmaßnahmen wurde TMMi mit seinem Stufen-Modell herangezogen. Nach Vorgesprächen führte Qytera Interviews mit Mitarbeitenden verschiedener Organisationseinheiten, die im Testprozess tragende Rollen spielen. Gemeinsam mit der SV-Informatik erfolgte eine erste Bewertung, anschließend wurden in Workshops Handlungsbedarfe festgestellt und ein Maßnahmenkatalog entwickelt.

Ergebnis

In der Zusammenarbeit ist es der SV-Informatik gelungen, die am Testprozess beteiligten Mitarbeitenden vom geplanten Vorgehen zu überzeugen und zur aktiven Mitarbeit zu bewegen. Die kurz- und langfristige Ausrichtung der Testprozesse an TMMi und der angestrebte Leitfaden sind wichtige Ergebnisse.

Weitere publizierte Praxis-Cases aus unterschiedlichen Branchen finden Sie in unserer Übersicht aller Kunden-Referenzen.

Jürgen Fuchs (SV-Informatik) bestätigt: „Qytera hat uns geholfen, einen Blick von außen auf unsere Testprozesse zu werfen, die Stärken und Schwächen zu identifizieren und einen passenden, Mehrwert stiftenden Weg für die Zukunft einzuschlagen."

Regulatorische Anforderungen: BAIT, VAIT, MaRisk und DORA

Die regulatorische Landschaft für Software in Banken und Versicherungen hat sich in den letzten Jahren deutlich verdichtet. Wir begleiten unsere Kunden durch dieses Geflecht und stellen sicher, dass Test-Aktivitäten den jeweiligen Vorgaben entsprechen.

BAIT für Banken

Die Bankaufsichtlichen Anforderungen an die IT (BAIT) der BaFin regeln, wie Banken IT-Risiken managen, IT-Projekte testen und IT-Auslagerungen kontrollieren. Wichtig für Testing: Tests sind risikoorientiert zu planen, Testergebnisse müssen dokumentiert und an die Verantwortlichen kommuniziert werden, Produktionsdaten dürfen ohne Anonymisierung nicht in Test-Umgebungen verwendet werden.

VAIT für Versicherer

Die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) gelten parallel für Versicherungsunternehmen. Inhalt und Tiefe sind weitgehend BAIT-äquivalent, mit branchen-spezifischen Ergänzungen zu Bestandsführungs-Systemen und Aktuarsoftware.

MaRisk

Die Mindestanforderungen an das Risikomanagement (MaRisk) verlangen ein wirksames Internes Kontrollsystem (IKS), das auch IT-Kontrollen umfasst. Tests sind ein Bestandteil dieses IKS und müssen entsprechend in der Risiko-Inventur abgebildet werden.

DORA

Der Digital Operational Resilience Act ist eine EU-Verordnung, die seit Januar 2025 anwendbar ist. DORA harmonisiert die IT-Sicherheitsvorgaben und stellt insbesondere Anforderungen an Threat-Led Penetration Testing (TLPT) sowie an die Test-Kette für die operative Widerstandsfähigkeit. Bei Tests muss nachgewiesen werden, dass die Plattform unter realistischen Stress-Szenarien stabil bleibt.

Datenschutz und Test-Daten

Personenbezogene Daten unterliegen der DSGVO. In Test-Umgebungen verbieten BAIT und VAIT die Verwendung von Echt-Daten ohne Anonymisierung. Wir empfehlen synthetische Test-Daten-Generierung als Standard, mit Mappings auf reale Datenstrukturen aus der Produktion. Bei besonders sensiblen Datenklassen (Gesundheit, Bonitätsdaten) konfigurieren wir die Test-Umgebung mit zusätzlichen Pseudonymisierungs-Schichten.

Performance-Testing für Banking-Plattformen

Banking- und Versicherungs-Plattformen kennen drei Last-Profile, die jeder Performance-Test abdecken muss.

Tages-Plateau: Über den Tag verteilte Standard-Last aus Online-Banking, App-Logins und Service-Anfragen. Hier zählt die durchschnittliche Antwortzeit unter 1 Sekunde.

Tagesabschluss-Spitze: Zwischen 20 und 23 Uhr fahren viele Kunden ihre Tagesabschlüsse, prüfen Konten und bestätigen SEPA-Überweisungen. Die Last verdoppelt sich oder verdreifacht sich gegenüber dem Plateau.

Event-getriebene Wellen: Großschäden (Sturmtief, Hochwasser) erzeugen bei Versicherern Schadens-Anmeldung-Wellen, die die Service-Plattform für Stunden überfordern können. Quartals-Wechsel triggern bei Banken Buchungsläufe. Diese Spitzen sind kalendarisch nicht planbar und müssen durch elastische Architektur abgefangen werden.

Wir testen alle drei Profile separat und in Kombination. Tooling: JMeter für Standard-Last, k6 für Code-zentrierte Tester, Octoperf für Hochlast-Szenarien mit bis zu 80 parallelen Lastgeneratoren, Grafana und InfluxDB für Live-Monitoring. Unsere QLoadTesting-Cloud skaliert je nach Auftrag.

KI-Testing und Self-Healing in regulierten Umgebungen

KI-gestütztes Testing ist auch in regulierten Finanz-Umgebungen einsetzbar, aber mit Auflagen. Drei Punkte sind zu klären, bevor ein KI-Test-Tool produktiv geht.

Daten-Pfad zum LLM. Schickt das Tool DOM-Strukturen, Test-Daten oder nur Meta-Daten an einen externen LLM? Bei externem Daten-Transfer ist die Auftragsverarbeitung nach DSGVO zu klären, plus eine BAIT/VAIT-konforme Drittanbieter-Vertragsbasis. Wir bevorzugen lokal-laufende LLMs (Llama 3, Mistral) oder EU-gehostete API-Anbieter mit verifizierter Datenresidenz.

Audit-Trail für KI-Entscheidungen. Wenn ein KI-Agent während eines Tests selbst-heilt (Self-Healing), muss diese Entscheidung im Test-Bericht dokumentiert sein. Sonst entsteht eine Lücke im Audit-Trail. Wir konfigurieren die Self-Healing-Logs so, dass jede Selektor-Anpassung mit Vorher/Nachher-Vergleich in der Test-Dokumentation landet.

EU AI Act. Seit August 2025 in Kraft, ab August 2026 für High-Risk-Systeme wirksam. Testing-Tools selbst sind in der Regel nicht High-Risk im Sinne der Verordnung, aber Testdaten und KI-Modelle in Banken-Anwendungen können es sein. Mehr in unserem Hub zu KI-gestütztem Softwaretesting Europa. Wer den spitzen Bereich der autonomen Test-Agenten vertieft, findet die Methodik auf unserer Pioneer-Seite zu Agentic AI Testing.

Häufige Fragen zum Software-Testing in Finanz und Versicherung

Welche regulatorischen Anforderungen gelten für Software-Testing in Banking und Versicherung?

BAIT (für Banken), VAIT (für Versicherer), MaRisk (Risikomanagement, Querschnitt) und seit 2025 DORA (EU-Verordnung zur operativen Resilienz). Plus DSGVO für Test-Daten mit Personenbezug. Alle vier verlangen dokumentierte, risikoorientierte Tests mit nachweisbarem Audit-Trail.

Wie dokumentieren wir Tests BAIT/VAIT-konform?

Test-Konzept, Test-Plan, Test-Berichte und Audit-Trail werden so strukturiert, dass interne Revision und externe Prüfer (BaFin, Wirtschaftsprüfer) sie ohne Rückfragen abnehmen können. Wir liefern Templates, die direkt in Ihr Testmanagement-Tool (Jira/Xray, HP ALM, Azure DevOps) eingebunden werden.

Wie gehen wir mit personenbezogenen Test-Daten in regulierten Umgebungen um?

Wir empfehlen synthetische Test-Daten-Generierung als Standard. Bei Bedarf kombinieren wir mit Pseudonymisierungs-Schichten, die reale Daten-Strukturen abbilden, ohne Echt-Daten zu verwenden. Tools zur synthetischen Daten-Generierung evaluieren wir tool-unabhängig (z.B. Tonic.ai, Synthetic-Data-Vault, eigene Skript-Lösungen).

Welche Test-Tools dürfen in einer BAIT/VAIT-Umgebung eingesetzt werden?

Es gibt keine zugelassene Tool-Liste der BaFin. Entscheidend ist, dass das Tool BAIT/VAIT-konform betrieben wird: Datenresidenz EU oder on-premise, Auftragsverarbeitungs-Vertrag, dokumentierter Datenfluss. Wir evaluieren pro Kontext und schlagen die Konfiguration vor.

Wie lange dauert eine Testprozessoptimierung nach TMMi?

Ein vollständiger Zyklus (Ist-Analyse, Soll-Definition, Maßnahmenkatalog) dauert typischerweise 3 bis 6 Monate. Die Umsetzung der Maßnahmen läuft je nach Umfang über 12 bis 24 Monate. Wir begleiten beide Phasen.

Welche Branchen-Erfahrung hat Qytera in der Versicherung?

Wir arbeiten seit Jahren mit Versicherern an Testautomatisierung, Testprozess-Optimierung und Performance-Validierung. Publizierte Referenzen sind die Allianz Global Assistance Smart Home App und die SV-Informatik Testprozessoptimierung.

Wie passt KI-Testing in regulierte Finanz-Umgebungen?

Mit drei Auflagen: Daten-Pfad zum LLM klären (Datenresidenz EU oder lokal), Audit-Trail für KI-Entscheidungen sichern (Self-Healing-Logs), EU AI Act und BAIT/VAIT prüfen. Wir konfigurieren KI-Test-Tools so, dass diese Auflagen erfüllt sind. Vertiefung im Hub KI-gestütztes Softwaretesting Europa.

Erstgespräch: Branchen-Audit für Banking und Versicherung

In einem 30-minütigen Erstgespräch klären wir, wo Sie regulatorisch und operativ stehen, welche Stellschrauben am meisten Hebel haben und wie ein erster Auftrag aussehen kann. Wir bringen Erfahrung aus Versicherungs-Konzernen, IT-Töchtern von Sparkassen und privaten Banken mit.

Termin vereinbaren

Weiterführende Inhalte aus unserem Branchen- und Service-Cluster:

Testautomatisierung Beratung

Sie möchten Ihre Testautomatisierung optimieren? Unsere Experten helfen Ihnen bei der Auswahl der richtigen Tools, Best Practices und CI/CD-Integration.

Jetzt anfragen

Finden Sie weitere interessante Artikel zum Thema: