Alliance Healthcare Deutschland: CISO-as-a-Service – Informationssicherheit im Takt des Tagesgeschäfts

Ziele:
Etablierung eines nachhaltigen ISMS, Begleitung regulatorischer Prüfungen

Ziel des Projekts ist es, die Informations-sicherheit bei AHD systematisch und nachhaltig zu verankern. Das Projektteam von HiSolutions agiert in einer Doppelrolle: Es gestaltet sukzessive die Strukturen eines ISMS und verantwortet gleichzeitig die laufenden CISO-Aufgaben in enger Abstimmung mit internen und externen Partnern. Zu den zentralen Zielsetzungen zählen:

1. Etablierung tragfähiger Strukturen für ein ISMS gemäß branchenspezifischer Anforderungen,
2. Enge Einbindung und Beratung der Fachbereiche zur Informationssicherheit,
3. Harmonisierung der lokalen Sicherheitsstrukturen mit Konzernvorgaben,
4. Begleitung und Nachbereitung regulatorischer Prüfungen (z. B. KRITIS).

Umsetzung in der Praxis:
Strategische, operative sowie regulatorische Unterstützung

Das CISO-Team von HiSolutions ist nahtlos in die operative Struktur bei AHD eingebunden. Die Beratenden arbeiten eng mit unterschiedlichen internen sowie externen Stakeholdern zusammen. Gemeinsam werden Sicherheitsstandards erarbeitet und weiterentwickelt, Prozesse etabliert und kontinuierlich verbessert. Des Weiteren umfassen die CISO-Aufgaben

• die Zusammenarbeit mit dem internationalen Security Operations Center (SOC),
• die Abstimmung zu Schulungs- und Awareness-Kampagnen sowie
• die Entwicklung eines synchronisierten Third Party Risk Managements mit dem Konzern.

Im Rahmen der KRITIS-Regulierung begleitete das CISO-Team das letzte Audit und bleibt weiterhin in enger Abstimmung mit dem BSI, um künftig weitere Maßnahmen zur Stärkung der Resilienz bei AHD umzusetzen.

Herausforderungen:
Komplex reguliertes Umfeld und hybride Rolle als CISO-Team

Die besondere Herausforderung: Ein hochkomplexes Umfeld zwischen Konzernintegration, KRITIS-Vorgaben und operativer Realität vor Ort. Die Rolle des CISO-Teams ist bewusst hybrid angelegt: Strategisches Denken in Kombination mit pragmatischer Umsetzungskompetenz.

Die besondere Nähe zum operativen Tagesgeschäft ermöglicht es, Informationssicherheit nicht als Zusatzaufgabe zu begreifen, sondern als integralen Bestandteil der Unternehmensprozesse zu etablieren.

Ergebnisse und Mehrwert:
Erfolgreiche KRITIS-Prüfung, hohe Akzeptanz und Wirksamkeit der Sicherheitsmaßnahmen

Nach 18 Monaten gemeinsamer Arbeit zeigte sich: Informationssicherheit ist bei AHD nicht nur dokumentiert, sondern gelebte Praxis.

• Durch klare Rollenverteilungen und schlanke Abstimmungsprozesse entstand ein tragfähiges Fundament.
• Die enge Einbindung der Fachbereiche sorgte für hohe Akzeptanz und Wirksamkeit der Sicherheitsmaßnahmen.
• Die Konzernschnittstellen wurden definiert, sodass AHD von zentralen Sicherheitsinitiativen von „The Boots Group“ profitiert.
• Die KRITIS-Prüfung wurde erfolgreich begleitet – weitere Maßnahmen zur kontinuierlichen Verbesserung sind bereits in Planung.

Fazit:

Das Projekt zeigt, wie Informationssicherheit in einem hochregulierten, dezentral aufgestellten Unternehmen nicht nur eingeführt, sondern in der Organisation verankert werden kann.

HiSolutions liefert mit dem CISO-Team nicht nur Expertise, sondern auch Kontinuität, Praxiserfahrung und Struktur. Gemeinsam mit AHD entstand so ein Sicherheitsniveau, das sowohl regulatorischen Anforderungen als auch dem betrieblichen Alltag gerecht wird.

Das sagt unser Kunde:

CISO as a service ist für uns ein Erfolgsmodell. Das Team hat sich sehr gut in die Organisation eingefügt und unseren Sicherheitsstatus deutlich vorangebracht.

Andreas Ortelt,
Head of IT Planning & Governance

Über Alliance Healthcare Deutschland:

Alliance Healthcare Deutschland ist ein führender Pharmagroßhändler mit Fokus auf die flächendeckende Versorgung von Apotheken und medizinischen Einrichtungen und damit eine kritische Infrastruktur für Deutschland. Als Teil von „The Boots Group“ ist AHD europaweit vernetzt und operiert mit 4.600 Mitarbeitenden in Deutschland.