Zum Inhalt springen
Compliance Gesundheitswesen / GKV 03/2025 – 05/2025

Cloud Security Framework für KRITIS

Aufbau eines BSI-konformen Cloud Security Frameworks mit vollständiger Mandantentrennung und Audit-Readiness für einen IT-Dienstleister im Gesundheitswesen.

Ergebnisse auf einen Blick

8 Wochen bis Audit-Readiness
3 Ebenen Mandantentrennung
5 Personen Kernteam
Rahmenwerk auf Management-Ebene freigegeben und als Standard übernommen

Ausgangslage

Ein IT-Dienstleister im Gesundheitswesen (KRITIS-Betreiber) plante die verstärkte Nutzung von Cloud-Infrastrukturen, hatte jedoch kein systematisches Sicherheitsrahmenwerk. Die fehlenden Leitplanken blockierten die Cloud-Adoption und gefährdeten die BSI-Compliance.

Herausforderung

  • KRITIS-Betreiber mit laufender BSI-Prüfungspflicht – keine Toleranz für Lücken
  • Gemeinsam genutzte Cloud-Infrastruktur für mehrere Mandanten ohne technische Trennung
  • Fehlende Security-Governance – keine Policies, keine Prozesse, kein Monitoring
  • Zeitdruck – BSI-Prüfung angekündigt, Rahmenwerk musste in 8 Wochen stehen

Mein Beitrag

Architect und Security Consultant – fachliche Verantwortung für das gesamte Security Framework.
1

Security Baseline definiert

BSI-konforme Mindestanforderungen für Cloud-Workloads formuliert – von Netzwerk über Identität bis Verschlüsselung

2

Mandantentrennung umgesetzt

Technisches Konzept und Implementierungsbegleitung für die vollständige Trennung auf Netzwerk-, Identitäts- und Datenebene

3

Compliance-Mapping erstellt

Systematische Zuordnung aller Security Controls zu BSI-Anforderungen – für die Auditor-Perspektive aufbereitet

4

Management-Freigabe eingeholt

Rahmenwerk so aufbereitet, dass GF und IT-Leitung es verstanden und als verbindlichen Standard verabschiedet haben

Technologien

Public Cloud Private Cloud BSI IT-Grundschutz Security Frameworks KRITIS

Ergebnis

  • Cloud Security Framework termingerecht fertiggestellt und auf Management-Ebene freigegeben
  • Mandantentrennung vollständig umgesetzt – erstmals saubere Isolation zwischen den Gesellschafter-Mandanten
  • BSI-Audit-Readiness erreicht – alle Controls dokumentiert und nachweisbar
  • Framework wird als Standard für alle zukünftigen Cloud-Workloads verwendet
Alle Referenzen

Ähnliches Projekt geplant?

Lassen Sie uns über Ihre spezifische Herausforderung sprechen – unverbindlich und vertraulich.

Kostenlos beraten lassen

30 Min · Video-Call · unverbindlich