Zum Inhalt springen
Compliance Gesundheitswesen (KRITIS) 07/2024 – 12/2024

Mandantentrennung & Revisionssicherheit

Herstellung einer vollständigen Mandantentrennung der IT-Architektur mit BSI/ISO 27001-konformem Sicherheitsrahmenwerk und E2E-Monitoring für einen GKV-IT-Dienstleister.

Ergebnisse auf einen Blick

30+ Personen gesteuert
6 Monate bis CxO-Freigabe
4 Ebenen Mandantentrennung
E2E-Monitoring-Konzept implementiert
BSI/ISO 27001-konforme Revisionssicherheit hergestellt

Ausgangslage

Ein GKV-IT-Dienstleister betrieb die IT-Infrastruktur mehrerer Gesellschafter-Mandanten auf einer gemeinsamen Plattform. Die bestehende Mandantentrennung war unzureichend und entsprach nicht den regulatorischen Anforderungen. Audits hatten Handlungsbedarf identifiziert – BSI-Grundschutz, ISO 27001 und KRITIS-Vorgaben erforderten eine vollständige, revisionssichere Trennung über alle Infrastruktur-Ebenen.

Herausforderung

  • Komplexe Shared-Infrastructure mit tief verwobenen Mandanten auf Netzwerk-, Storage- und Applikationsebene, die eine saubere Trennung erschwerte
  • KRITIS-Regulierung mit strengen Anforderungen an Nachweisbarkeit, Dokumentation und Auditierbarkeit der Trennungsmaßnahmen
  • 30+ Stakeholder aus verschiedenen Mandanten-Organisationen mit teils widersprüchlichen Prioritäten und Zeitplänen
  • Laufender Betrieb von Sozialdaten – Ausfälle oder Datenvermischung waren unter keinen Umständen akzeptabel

Mein Beitrag

Projektmanager und Security-Architekt – Gesamtsteuerung des Trennungsprojekts mit über 30 Personen und Verantwortung für das Sicherheitsrahmenwerk.
1

Sicherheitsanforderungskatalog erstellt

Einen vollständigen Anforderungskatalog auf Basis von BSI IT-Grundschutz und ISO 27001 erarbeitet und Maßnahmen nach Risiko und Aufwand priorisiert

2

Trennungskonzept über alle Ebenen entwickelt

Die Mandantentrennung von Netzwerk über Compute und Storage bis zur Applikationsschicht konzipiert und mit den technischen Teams abgestimmt

3

Revisionen durchgeführt

Systematische Prüfungen der Trennungsmaßnahmen dokumentiert und Nachweise für die Revisionssicherheit auf jeder Infrastruktur-Ebene erbracht

4

E2E-Monitoring aufgebaut

Ein durchgängiges Monitoring-Konzept entwickelt, das Mandantentrennung kontinuierlich überwacht und Anomalien erkennt

5

CxO-Entscheidungsvorlage erarbeitet

Ergebnisse, Risiken und Umsetzungsplan so aufbereitet, dass die Geschäftsführung eine fundierte Freigabeentscheidung treffen konnte

Technologien

Public Cloud Private Cloud VMware Security Frameworks BSI IT-Grundschutz

Ergebnis

Die vollständige Mandantentrennung wurde konzipiert und von der Geschäftsführung zur Umsetzung freigegeben. Die Revisionssicherheit konnte auf allen Infrastruktur-Ebenen nachgewiesen werden, sodass die regulatorischen Anforderungen aus BSI-Grundschutz und ISO 27001 erfüllt sind. Das E2E-Monitoring-Konzept stellt die kontinuierliche Überwachung der Trennung im laufenden Betrieb sicher.

Alle Referenzen

Ähnliches Projekt geplant?

Lassen Sie uns über Ihre spezifische Herausforderung sprechen – unverbindlich und vertraulich.

Kostenlos beraten lassen

30 Min · Video-Call · unverbindlich