Deutsche Versorgungsunternehmen arbeiten unter einem der anspruchsvollsten regulatorischen Rahmen in Europa. Ihre IT-Infrastruktur ist nicht nur geschäftskritisch: Sie ist als nationale kritische Infrastruktur unter KRITIS klassifiziert, überwacht vom BSI und im Strom- und Gassektor zusätzlich von der BNetzA. Jede signifikante Änderung an diesen Systemen hat Auswirkungen, die weit über Kosten oder Leistung hinausgehen.
Dennoch verursacht der Betrieb von Abrechnungsplattformen, Kundenportalen oder Marktmanagementsystemen auf On-Premise-Infrastruktur Kosten, die Versorger nicht mehr ignorieren können. Fünfzehn Jahre alte Systeme, theoretische DR-Pläne und IT-Teams, die mit Hardwarewartung beschäftigt sind, statt Geschäftswert zu generieren.
Das Cloud-Regulierungsdilemma bei Versorgern
KRITIS verlangt von Betreibern kritischer Infrastrukturen den Nachweis, dass ihre Systeme Verfügbarkeit, Integrität und Vertraulichkeit unter allen Umständen, einschließlich externer Anbieter, aufrechterhalten. BSI C5 (Cloud Computing Compliance Criteria Catalogue) definiert die Kontrollen, die ein Cloud-Anbieter erfüllen muss, um in KRITIS-Sektoren zugelassen zu werden. EnWG und MsbG ergänzen spezifische Anforderungen zu Datensouveränität und Rückverfolgbarkeit für Strom- und Gasmarktprozesse.
Die Konsequenz: Eine Cloud-Migration bei Versorgern ist nicht nur ein technisches Projekt. Es ist ein regulatorisches Projekt, das von Tag eins mit BSI, BNetzA und dem internen Audit-Team abgestimmt sein muss.
Cloud-Migrationsstrategie für Versorger
Principal33 wendet einen vierstufigen Ansatz an, der speziell für KRITIS-Umgebungen entwickelt wurde. Die erste Stufe ist das regulatorische Assessment: Klassifizierung jedes Systems nach KRITIS-Impact, Mapping anwendbarer BSI-C5-Kontrollen und Datensouveränitätsanalyse (verpflichtende europäische Regionen, Verschlüsselung mit kundenkontrollierten Schlüsseln).
Die zweite Stufe ist das Design der Cloud-Architektur mit integrierter Compliance: Verschlüsselung bei Ruhe und Transit mit HSM, Segregation sensibler Daten, vollständiger Audit Trail, validiertes Backup und DR sowie 24/7-Monitoring im Einklang mit BSI-Reporting-Anforderungen.
Die dritte Stufe ist die phasenweise Migration, beginnend mit Systemen geringerer regulatorischer Kritikalität. Jede Phase umfasst Integritätsvalidierung, Verfügbarkeitstests unter Last und Überprüfung durch das Sicherheitsteam vor dem Übergang in die Produktion.
Die vierte Stufe ist die Audit-Readiness: Änderungsdokumentation, BSI-C5-Compliance-Nachweise, aktualisierte Betriebsverfahren und Incident-Management-Plan im Einklang mit den KRITIS-Meldefristen.
Praxisfall: deutscher regionaler Versorger
Ein Versorger mit 1,5 Millionen Kunden in Norddeutschland betrieb seine Abrechnungsplattform und sein Kundenportal auf zwölf Jahre alter On-Premise-Infrastruktur. Die jährlichen Kosten überstiegen 720.000 Euro, DR war seit vier Jahren nicht getestet worden und das letzte BSI-Audit hatte zwei Beobachtungen zur Portalverfügbarkeit während Nachfragespitzen ergeben.
Principal33 führte die Migration zu Azure (Frankfurt) in dreizehn Monaten mit einem elfköpfigen Squad durch: ein Senior Cloud Architect mit KRITIS-Erfahrung, ein BSI-C5-Spezialist, zwei Cloud Engineers, zwei Developer für SAP-IS-U- und EDIFACT-Integrationen, ein Security Engineer, zwei Mid-Level-Profile und ein PM.
Ergebnisse nach vierzehn Monaten im Produktivbetrieb: Infrastrukturkosten um 40 % reduziert (von 720.000 auf 430.000 Euro jährlich), Portalverfügbarkeit von 99,95 % gegenüber zuvor 98,7 %, validiertes DR mit drei Stunden RTO und fünfzehn Minuten RPO, null Beobachtungen im anschließenden BSI-Audit und 50 % Reduzierung der Antwortzeit des Kundenportals.
Warum Principal33
Die Migration von Versorgern in die Cloud erfordert die Kombination zertifizierter Cloud-Architektur mit tiefgehendem Wissen über den deutschen Regulierungsrahmen. Principal33 bietet AWS- und Azure-Architekten mit KRITIS-Erfahrung, Spezialisten für BSI C5, EnWG und MsbG, hybride Nearshore-Squads mit Büropräsenz in Düsseldorf, ISO 9001- und ISO 27001-Zertifizierungen sowie eine bewährte Erfolgsbilanz mit deutschen Versorgern.
Ist Ihre kritische Plattform bereit für die Cloud?
Unser Team in Düsseldorf bietet ein kostenloses Cloud Readiness Assessment für Versorger: Systembewertung, KRITIS- und BSI-C5-Analyse sowie Migrations-Roadmap. Unverbindlich.
Principal33 – Nearshore-IT-Partner für deutsche Unternehmen. Büros in Düsseldorf, Cluj-Napoca, Brașov, Târgu Mureș und Valencia.
