Eine Plattform mit zwölf Bausteinen ist nur so wertvoll wie ihre Integration. Slack-Notifications bei Mail-Quarantäne-Treffern, ERPNext-Tickets aus Wazuh-Alerts, automatische Onboarding-Mails wenn Keycloak einen neuen User anlegt – ohne diese Workflow-Klebstoff-Schicht bleibt jede Plattform ein Tool-Salat. SecTepe.Comm löst das mit zwei Bausteinen: n8n und einem eigenen Bus-Gateway.
n8n: Workflow-Automation, die mit Code mithalten kann
n8n ist eine self-hosted Workflow-Engine, vergleichbar mit Zapier oder Make – mit einem entscheidenden Unterschied: alle Daten bleiben on-premise. Eigenschaften, die im Enterprise-Kontext zählen:
- 200+ vorgepflegte Nodes: AWS, Azure, GCP, Slack, Teams, GitHub, GitLab, Jira, Mailcow, Keycloak, ERPNext, Nextcloud – alles dabei.
- Function-Node: JavaScript-Code für Logik, die Standard-Nodes nicht abdecken. Inkl. Vault-Anbindung für Secrets statt Hardcode.
- Self-Hosted Workflow-Storage: Workflows als JSON in Postgres, versionierbar via Git.
- Triggers: Webhook, Cron, Mail, Datenbank-Polling, MQTT, Kafka.
- Execution-History: jeder Run ist auditierbar, mit Input, Output, Errors – wichtig für Compliance-Nachweis.
Das Bus-Gateway: das fehlende Stück für echtes Event-Driven
n8n alleine ist Pull-orientiert: Workflow polled die Quelle, oder ein Webhook wird gefeuert. Für eine Plattform mit zwanzig Services entstehen daraus schnell Hunderte von individuellen Webhook-Konfigurationen – ein Wartungsalbtraum. SecTepe.Comm setzt einen Event-Bus dazwischen:
- Zentrale Event-Topology: jeder Service publisht Events ins Bus-Gateway (Mail-Verdict, User-Created, Wazuh-Alert, ERPNext-Invoice-Paid).
- Topic-basiertes Routing: Workflows abonnieren Topic-Patterns statt Webhooks – neue Workflows brauchen keine neuen Service-Konfigurationen.
- Schema-Validierung: jedes Event hat ein definiertes Schema, falsche Events werden abgewiesen statt Workflows zu zerschießen.
- Idempotenz-Keys: doppelte Events (z. B. bei Service-Restarts) werden deduplicated.
- Audit-Sink: jedes Event landet zusätzlich im Audit-Log – kompletter System-Nachvollzug.
Drei konkrete Workflows, die wir jeden Tag laufen sehen
1. Mail-Quarantäne → Slack-Notification → ERPNext-Ticket
Mail-Security-Gateway feuert Event mail.verdict.malicious. Bus routet zu n8n-Workflow „Quarantäne-Triage": Slack-Nachricht in #sec-ops, ERPNext-Ticket-Erstellung mit Mail-Metadata, automatische Zuweisung an den Schicht-verantwortlichen Operator.
2. Keycloak-User-Created → Mailcow-Mailbox + Nextcloud-Account + Element-Account
Personalabteilung legt User in Keycloak an. Event identity.user.created triggert n8n-Workflow „Onboarding": Mailbox in Mailcow provisionieren, Nextcloud-Quota zuweisen, Matrix-Account erstellen, Welcome-Mail schicken. Aus „2 Stunden Onboarding-Klick-Arbeit pro User" wird „60 Sekunden voll-automatisch".
3. Wazuh-Alert → CTI-Lookup → automatische Block-Liste-Erweiterung
Wazuh erkennt verdächtige IP. Event siem.alert.suspicious_ip triggert Workflow: CTI-Stack-Lookup, bei MISP-Match automatischer Eintrag in Mailcow-Blacklist + AdGuard-Blocklist + Coraza-Deny-Liste. Drei Sekunden bis Block, statt 30 Minuten manueller Reaktion.
Was am Bus-Gateway nicht trivial ist
Drei Punkte, die wir aus zwei Jahren Betrieb gelernt haben:
- Schema-Disziplin ist nicht optional. Wer Event-Schemas „später festlegt", hat in einem halben Jahr einen Workflow-Friedhof.
- Backpressure muss früh gedacht sein. Ein Wazuh-Alert-Storm kann ohne Rate-Limiting alle nachgelagerten Workflows kippen.
- Replay ist Pflicht. Wenn ein Workflow eine Stunde down war, muss der Bus die verpassten Events nachliefern können.
Fazit
Plattform-Bausteine sind nur so nützlich wie ihre Integration. n8n als reife Workflow-Engine + ein Bus-Gateway als Event-Routing-Schicht machen aus einem Tool-Set ein integriertes Operations-Framework. Statt Zapier (mit US-Cloud, Pro-Aktion-Pricing, kein Audit-Trail) bekommt das Unternehmen eine self-hosted, EU-souveräne, voll auditierbare Automation-Schicht – mit dem zusätzlichen Bonus, dass jeder Workflow im Notfall lesbar und veränderbar ist.