Technisches Whitepaper
Sicherheitsarchitektur und Zertifizierungsprozess für B2B-Engineering-Unternehmen in Deutschland
Dieses Whitepaper beschreibt die Anforderungen und die praktische Umsetzung einer ISO/IEC 27001-zertifizierten, BSI-konformen privaten Cloud-Plattform. Im Fokus stehen der Aufbau eines ISMS nach Anhang A, die Integration der IT-Grundschutz-Vorgaben des BSI sowie konkrete Architekturentscheidungen für mandantenfähige Infrastrukturen im deutschen Ingenieurwesen.
Konkrete Ergebnisse
Wir bauen ein Informationssicherheits-Managementsystem auf, das die Anforderungen der ISO/IEC 27001 vollständig abdeckt. Das bedeutet: klare Richtlinien, dokumentierte Prozesse und nachweisbare Kontrollen – ohne Lücken.
Prüfung durch akkreditierte Stelle nach 6–9 Monaten möglich.Alle Daten in der privaten Cloud werden mit Algorithmen verschlüsselt, die den aktuellen BSI-Technischen Richtlinien (TR-02102) entsprechen. Schlüsselverwaltung erfolgt über Hardwaresicherheitsmodule (HSM) in deutschen Rechenzentren.
Keine Abhängigkeit von US-amerikanischen Kryptobibliotheken.Jeder Kunde erhält eine logisch isolierte Umgebung mit rollenbasierten Zugriffsrechten (RBAC). Die Berechtigungsstruktur folgt dem BSI-IT-Grundschutz-Baustein „Identitäts- und Berechtigungsmanagement“.
Audit-fähige Protokollierung aller Zugriffe in Echtzeit.Wir implementieren ein mehrstufiges Löschverfahren, das sowohl logische als auch physische Löschung umfasst. Die Prozesse sind nach BSI-Standard „Datensicherungskonzept“ dokumentiert und werden jährlich geprüft.
Nachweis der Löschung auf Anfrage innerhalb von 48 Stunden.Monatliche Scans auf Schwachstellen und jährliche Penetrationstests nach BSI-Methodik „Durchführung von Penetrationstests“. Ergebnisse fließen direkt in das ISMS-Review ein.
Berichte stehen dem Kunden jederzeit im Portal zur Verfügung.Wir erstellen einen auf Ihre Geschäftsprozesse zugeschnittenen Notfallplan, der die Wiederanlaufzeit (RTO) und Datenverlusttoleranz (RPO) definiert. Regelmäßige Übungen stellen die Praxistauglichkeit sicher.
RTO von 4 Stunden für kritische Systeme.Unsere Infrastruktur ist nach ISO/IEC 27001 zertifiziert und erfüllt die BSI-Standards für den deutschen Markt.
Unsere private Cloud-Infrastruktur wird jährlich durch eine akkreditierte Zertifizierungsstelle geprüft. Das ISMS umfasst alle Kontrollen aus Anhang A – von Zugriffssteuerung bis zur Kryptografie. Für Ingenieurbüros bedeutet das: Ihre Konstruktionsdaten sind nach dem höchsten internationalen Standard geschützt, ohne dass Sie eigene Auditressourcen aufbauen müssen.
Wir setzen die IT-Grundschutz-Kompendien des BSI sowie die C5-Prüfkriterien für Cloud-Computing um. Identitätsmanagement, Verschlüsselung und Protokollierung sind auf die Anforderungen des Bundesamts für Sicherheit in der Informationstechnik ausgelegt. Das erleichtert deutschen Unternehmen die Einhaltung von DSGVO und branchenspezifischen Compliance-Vorgaben.
Jeder Mandant erhält eine logisch isolierte Umgebung mit dedizierten HSM-Modulen für die Schlüsselverwaltung. Die Plattform unterstützt DSGVO-konforme Datenlöschkonzepte und automatische Sicherheitsaudits. Ein mittelständischer Maschinenbauer aus Baden-Württemberg migrierte 2023 seine gesamte CAD- und PLM-Infrastruktur in unsere Cloud – ohne Betriebsunterbrechung.
Wir dokumentieren jeden Sicherheitsvorfall und jede Konfigurationsänderung in einem revisionssicheren Log. Die Service-Level-Agreements definieren konkrete Wiederherstellungszeiten und Verfügbarkeitsgarantien. Kunden erhalten monatliche Berichte über Penetrationstests und Schwachstellenscans – keine Blackbox, sondern nachvollziehbare Sicherheit.
Fünf der zwanzig größten deutschen Ingenieurdienstleister vertrauen auf unsere Infrastruktur. Ein Anlagenbauer aus Nordrhein-Westfalen reduziert durch die Migration seine Auditkosten um 40 Prozent. Ein weiterer Kunde aus der Automobilzulieferung erfüllt mit unserer Plattform die VDA-ISA-Anforderungen ohne zusätzliche Sicherheitssoftware.
Technische Grundlagen
Jeder Mandant erhält eine isolierte Umgebung mit dedizierten HSM-Modulen für die Schlüsselverwaltung. Die Plattform ist nach ISO/IEC 27001:2022 zertifiziert und erfüllt die BSI-Anforderungen an die Trennung von Mandantendaten.
ZertifizierungsdetailsAlle Infrastrukturkomponenten werden nach den BSI-Standards BAUSTEIN APP.4.2 (Cloud-Nutzung) und INF.1 (Rechenzentrum) betrieben. Regelmäßige Audits durch akkreditierte Prüfstellen gewährleisten die Konformität.
BSI-Standards im DetailDaten werden auf Transport- und Speicherebene mit AES-256-GCM verschlüsselt. Die Schlüsselverwaltung erfolgt über ein zentrales HSM-Cluster, das die BSI-Richtlinien für kryptografische Verfahren umsetzt.
VerschlüsselungskonzeptEin integriertes SIEM-System protokolliert alle Zugriffe und Konfigurationsänderungen. Monatliche Reports nach BSI C5-Typ2 sowie jährliche Penetrationstests durch zertifizierte Dienstleister sind fester Bestandteil des Betriebs.
Audit-ProzessNach Mandatsende werden alle Daten gemäß BSI TR-03125 (Löschung von Datenträgern) mehrfach überschrieben und zertifiziert vernichtet. Ein revisionssicherer Löschbericht wird dem Kunden ausgehändigt.
LöschverfahrenEin dediziertes SOC (Security Operations Center) überwacht die Plattform rund um die Uhr. Bei Sicherheitsvorfällen greift ein nach BSI 100-4 definierter Incident-Response-Plan mit maximal 15 Minuten Reaktionszeit.
Support kontaktierenKlarheit zu den wichtigsten Punkten für Ihre private Cloud-Infrastruktur.
Die Zertifizierung bestätigt, dass Ihr Informationssicherheits-Managementsystem (ISMS) internationalen Standards entspricht. Für B2B-Partner ist dies oft eine Vertragsvoraussetzung. Sie reduziert Haftungsrisiken und schafft Vertrauen in den Umgang mit sensiblen Konstruktionsdaten.
Der Geltungsbereich der Zertifizierung kann auf die private Cloud-Infrastruktur beschränkt werden. Üblich ist die Zertifizierung der Plattform inklusive der darauf betriebenen Dienste für Kunden. Ihre lokalen Arbeitsplatzrechner sind dann nicht zwingend eingeschlossen, sofern sie nicht Teil des ISMS sind.
Die ISO/IEC 27001 definiert ein Rahmenwerk für das ISMS. Das BSI konkretisiert dies mit dem IT-Grundschutz-Kompendium und der Cloud-Computing-C5-Prüfung für den deutschen Markt. Die C5-Prüfung ist speziell auf Cloud-Dienste zugeschnitten und wird von vielen öffentlichen Auftraggebern gefordert.
Die Dauer hängt vom Reifegrad Ihres ISMS ab. Ein strukturierter Aufbau mit Vorbereitung, internem Audit und Zertifizierungsaudit dauert in der Regel sechs bis zwölf Monate. Wir unterstützen Sie mit einem klaren Fahrplan und begleiten Sie durch den gesamten Prozess.
Grundsätzlich alle Daten, die Sie auch auf eigenen Servern verarbeiten dürfen. Die BSI-Vorgaben legen fest, wie Verschlüsselung, Zugriffskontrollen und Protokollierung umgesetzt sein müssen. Für besonders schützenswerte Konstruktionsdaten empfehlen wir die Nutzung von Hardware-Sicherheitsmodulen (HSM) zur Schlüsselverwaltung.
Der Auditor prüft die Wirksamkeit Ihres ISMS. Sie benötigen eine dokumentierte Sicherheitsrichtlinie, ein Risikomanagement, Verfahren zur Zugriffskontrolle, ein Incident-Response-Konzept sowie Nachweise über regelmäßige Schulungen. Wir helfen Ihnen, diese Dokumentation strukturiert und prüfungssicher aufzubauen.