Alliance Healthcare Deutschland: CISO-as-a-Service – Informationssicherheit im Takt des Tagesgeschäfts

Ziel des Projekts ist es, die Informationssicherheit bei AHD systematisch und nachhaltig zu verankern. Das Projektteam von HiSolutions agiert in einer Doppelrolle: Es gestaltet sukzessive die Strukturen eines ISMS und verantwortet gleichzeitig die laufenden CISO-Aufgaben in enger Abstimmung mit internen und externen Partnern. Zu den zentralen Zielsetzungen zählen:

1. Etablierung tragfähiger Strukturen für ein ISMS gemäß branchenspezifischer Anforderungen,
2. Enge Einbindung und Beratung der Fachbereiche zur Informationssicherheit,
3. Harmonisierung der lokalen Sicherheitsstrukturen mit Konzernvorgaben,
4. Begleitung und Nachbereitung regulatorischer Prüfungen (z. B. KRITIS).

Das CISO-Team von HiSolutions ist nahtlos in die operative Struktur bei AHD eingebunden. Die Beratenden arbeiten eng mit unterschiedlichen internen sowie externen Stakeholdern zusammen. Gemeinsam werden Sicherheitsstandards erarbeitet und weiterentwickelt, Prozesse etabliert und kontinuierlich verbessert. Des Weiteren umfassen die CISO-Aufgaben

• die Zusammenarbeit mit dem internationalen Security Operations Center (SOC),
• die Abstimmung zu Schulungs- und Awareness-Kampagnen sowie
• die Entwicklung eines synchronisierten Third Party Risk Managements mit dem Konzern.

Im Rahmen der KRITIS-Regulierung begleitete das CISO-Team das letzte Audit und bleibt weiterhin in enger Abstimmung mit dem BSI, um künftig weitere Maßnahmen zur Stärkung der Resilienz bei AHD umzusetzen.

Die besondere Herausforderung: Ein hochkomplexes Umfeld zwischen Konzernintegration, KRITIS-Vorgaben und operativer Realität vor Ort. Die Rolle des CISO-Teams ist bewusst hybrid angelegt: Strategisches Denken in Kombination mit pragmatischer Umsetzungskompetenz.

Die besondere Nähe zum operativen Tagesgeschäft ermöglicht es, Informationssicherheit nicht als Zusatzaufgabe zu begreifen, sondern als integralen Bestandteil der Unternehmensprozesse zu etablieren.

Nach 18 Monaten gemeinsamer Arbeit zeigte sich: Informationssicherheit ist bei AHD nicht nur dokumentiert, sondern gelebte Praxis.

• Durch klare Rollenverteilungen und schlanke Abstimmungsprozesse entstand ein tragfähiges Fundament.
• Die enge Einbindung der Fachbereiche sorgte für hohe Akzeptanz und Wirksamkeit der Sicherheitsmaßnahmen.
• Die Konzernschnittstellen wurden definiert, sodass AHD von zentralen Sicherheitsinitiativen von „The Boots Group“ profitiert.
• Die KRITIS-Prüfung wurde erfolgreich begleitet – weitere Maßnahmen zur kontinuierlichen Verbesserung sind bereits in Planung.

Das Projekt zeigt, wie Informationssicherheit in einem hochregulierten, dezentral aufgestellten Unternehmen nicht nur eingeführt, sondern in der Organisation verankert werden kann.

HiSolutions liefert mit dem CISO-Team nicht nur Expertise, sondern auch Kontinuität, Praxiserfahrung und Struktur. Gemeinsam mit AHD entstand so ein Sicherheitsniveau, das sowohl regulatorischen Anforderungen als auch dem betrieblichen Alltag gerecht wird.