Die Ausgangslage
Als Tier-2 Zulieferer für mehrere deutsche OEMs verarbeitet das Unternehmen täglich sensible Konstruktionsdaten, CAD-Zeichnungen und Produktionsinformationen seiner Kunden. Die TISAX-Zertifizierung (Trusted Information Security Assessment Exchange) ist Pflicht - ohne sie gibt es keine Aufträge von den Automobilherstellern.
Gleichzeitig wollte das Management die Vorteile der Cloud nutzen: Skalierbarkeit, moderne Collaboration-Tools, reduzierte Hardware-Investitionen. Die Herausforderung: Wie bringt man strenge Datenschutzanforderungen der OEMs mit Cloud-Flexibilität unter einen Hut?
Die zentrale Frage: Welche Daten und Systeme können in die Cloud, und welche müssen aus regulatorischen oder vertraglichen Gründen On-Premise bleiben? Die Antwort war keine Entweder-Oder-Entscheidung, sondern eine differenzierte Hybrid-Architektur.
Die Anforderungen
Die Anforderungsanalyse ergab ein klares Bild. Einige Systeme mussten On-Premise bleiben, andere konnten oder sollten in die Cloud:
TISAX-Anforderungen
TISAX Level 2 (High Protection Need) verlangt strikte Kontrolle über sensible Informationen. Konstruktionsdaten der OEMs, die als "VS-NfD-gleichwertig" klassifiziert sind, dürfen das Firmengelaende nicht verlassen - zumindest nicht ohne explizite Genehmigung des Kunden.
Vertragliche Vorgaben
Die Lieferverträge mit den OEMs enthielten spezifische Klauseln zur Datenhaltung. Für bestimmte Projekte war Cloud-Speicherung explizit untersagt. Diese Anforderungen variierten je nach OEM und Projekt.
Operative Anforderungen
Gleichzeitig sollte die IT modernisiert werden: Microsoft 365 für Kommunikation, Azure für Entwicklungsumgebungen, skalierbare Ressourcen für CAE-Simulationen. Die Mitarbeiter erwarteten moderne Tools, insbesondere die juengeren Ingenieure.
Die Hybrid-Architektur
Nach eingehender Analyse entwickelten wir eine klare Aufteilung der Workloads basierend auf Datenklassifizierung und Schutzbedarf:
- PLM/PDM System (Produktdatenmanagement)
- CAD-Datenserver mit OEM-Konstruktionen
- Produktions-Leitsystem (MES)
- ERP-Kernsystem (SAP S/4HANA)
- Qualitätsmanagement-System
- Archiv für OEM-Dokumente
- Microsoft 365 (Mail, Teams, SharePoint)
- Entwicklungs- und Testumgebungen
- CAE-Simulationen (burst capacity)
- HR-System und Zeiterfassung
- Business Intelligence / Reporting
- Backup und Disaster Recovery
Die Verbindung: Azure ExpressRoute
Die Hybrid-Architektur steht und fällt mit der Netzwerkverbindung. Statt einer einfachen VPN-Verbindung wurde Azure ExpressRoute implementiert - eine dedizierte, private Verbindung mit garantierter Bandbreite und Latenz. Die 200 Mbit/s Leitung ermöglicht nahtloses Arbeiten, als wären Cloud und On-Premise ein einziges Rechenzentrum.
Die Umsetzung
Das Projekt wurde in drei Phasen über 8 Monate umgesetzt:
Phase 1: Grundlagen (Monat 1-3)
Azure Tenant einrichten, ExpressRoute aufbauen, Netzwerkarchitektur implementieren. Parallel: Datenklassifizierung aller Bestaende, um die Aufteilung Cloud/On-Premise zu validieren.
Phase 2: Cloud-Migration (Monat 3-6)
Schrittweise Migration der Cloud-fähigen Systeme. Microsoft 365 Rollout für alle Mitarbeiter, Entwicklungsumgebungen in Azure, HR-System in die Cloud.
Phase 3: On-Premise Modernisierung (Monat 5-8)
Parallele Modernisierung der On-Premise-Infrastruktur: Neue Server mit Proxmox VE, Storage-Upgrade, Netzwerk-Segmentierung für bessere Isolation der sensiblen Systeme.
Der Schlüssel zum Erfolg: Frühe Einbindung der OEMs. Wir haben die Hybrid-Architektur proaktiv mit den IT-Security-Abteilungen der Kunden abgestimmt. Das schaffte Vertrauen und vermied spätere Diskussionen bei TISAX-Audits.
TISAX-Konformität
Die Hybrid-Architektur wurde von Anfang an auf TISAX-Konformität ausgelegt. Einige Maßnahmen im Detail:
- Netzwerksegmentierung: Das On-Premise-Netz ist in Zonen unterteilt. Die sensiblen PLM-Systeme sind physisch und logisch von den Standard-Clients getrennt
- Zugriffssteuerung: Zugriff auf OEM-Daten nur mit personalisiertem Smartcard-Login. Vier-Augen-Prinzip für besonders kritische Operationen
- Logging und SIEM: Alle Zugriffe werden protokolliert. Ein zentrales SIEM (Wazuh) korreliert Events aus Cloud und On-Premise
- Data Loss Prevention: Microsoft Purview verhindert, dass klassifizierte Dokumente die Organisation unbemerkt verlassen
- Verschlüsselung: Alle Daten at-rest und in-transit verschlüsselt. Die ExpressRoute-Verbindung läuft über private Leitungen, nicht über das öffentliche Internet
Das Ergebnis
Nach 8 Monaten war die Hybrid-Cloud-Architektur vollständig implementiert. Das TISAX-Audit drei Monate später verlief ohne Beanstandungen - die Prüfer lobten explizit die klare Datenklassifizierung und die konsistente Umsetzung.
Die langfristigen Vorteile
Die Hybrid-Architektur bietet das Beste aus beiden Welten:
- Datensouveraenität: Sensible OEM-Daten bleiben im eigenen Rechenzentrum, unter voller Kontrolle
- Cloud-Flexibilität: 70% der Workloads profitieren von Cloud-Vorteilen: Skalierbarkeit, Verfügbarkeit, moderne Features
- Burst Capacity: Für aufwendige CAE-Simulationen werden temporär Azure-VMs hinzugeschaltet - früher musste man Wochen auf Ergebnisse warten
- Moderne Arbeitsplätze: Teams, SharePoint, mobile Zusammenarbeit - die Mitarbeiter können modern arbeiten, wo es erlaubt ist
- Zukunftssicherheit: Die Architektur kann sich anpassen. Wenn OEMs ihre Vorgaben lockern, können weitere Workloads in die Cloud wandern
Fazit
Hybrid Cloud ist kein Kompromiss, sondern eine strategische Entscheidung. Für Unternehmen in regulierten Branchen wie der Automobilindustrie ist sie oft der einzig gangbare Weg, um Compliance-Anforderungen und Modernisierungswünsche unter einen Hut zu bringen.
Der Schlüssel liegt in der sorgfältigen Datenklassifizierung und einer Architektur, die beide Welten nahtlos verbindet. Mit ExpressRoute, einheitlichem Identity Management und durchgängigem Monitoring fühlt sich die Hybrid-Umgebung an wie ein einziges, integriertes System.
Hybrid Cloud für Ihre Branche?
Wir analysieren Ihre Anforderungen und entwickeln eine Architektur, die zu Ihrem Schutzbedarf passt.
Beratungsgespräch vereinbaren