Whitepaper · Multi-Tenant

Multi-Tenant Readiness — Mandantenfähigkeit für Finanzinstitute

Wie regulierte Institute eine skalierbare, prüfsichere Multi-Tenant-Architektur aufbauen und betreiben. Ein Leitfaden für CISO, Compliance und Revision.

Was ist Multi-Tenancy?

Multi-Tenancy beschreibt eine Software-Architektur, bei der eine einzelne Instanz einer Anwendung mehrere organisatorisch getrennte Nutzergruppen («Mandanten» oder «Tenants») bedient. Jeder Mandant arbeitet in einem eigenen logischen Bereich – seine Daten sind isoliert, seine Konfigurationen getrennt und seine Benutzer auf den eigenen Mandanten beschränkt.

Für Finanzinstitute ist Multi-Tenancy von strategischer Bedeutung: Sie können eine gemeinsame Plattform nutzen, ohne dass aufsichtsrechtliche Anforderungen an Datentrennung und Zugriffskontrolle verletzt werden. Die Herausforderung liegt in der nachweisbaren, prüfbaren Isolation der Mandanten – besonders unter DORA, MaRisk und ISO 27001.

Warum Multi-Tenancy für regulierte Institute relevant ist

Prüfbare Datentrennung

Aufsichtsrechtliche Prüfungen verlangen den Nachweis, dass Mandant A nicht auf Mandant B zugreifen kann. Multi-Tenancy muss diesen Nachweis auf technischer Ebene erbringen – nicht nur organisatorisch.

Skalierbarkeit ohne Prüflücken

Jeder neue Mandant bedeutet neue Compliance-Anforderungen. Eine standardisierte Multi-Tenant-Architektur reduziert den Prüfaufwand pro Neukunden von Wochen auf Tage.

Kosteneffizienz durch Shared-Service

Gemeinsam genutzte Infrastruktur bei gleichzeitiger Garantie der Isolation senkt Betriebskosten und erfüllt gleichzeitig höchste Sicherheitsstandards.

Revision-Sicherheit

Prüfer verlangen Evidenz für Mandantentrennung. Automatisierte Isolation-Tests liefern diese Evidenz revisionssicher – bei jedem Deployment.

Security & Isolation – Dreistufiges Sicherheitsmodell

Daten-Isolation

Jede mandantenbezogene Tabelle enthält eine tenant_id-Spalte. Global Scopes auf Model-Ebene filtern automatisch auf den aktuellen Mandanten. Ein versehentliches Entfernen des Scopes wird durch die automatisierte Isolation-Test-Suite erkannt und blockiert.

Verschlüsselung

TLS 1.3 für die gesamte Kommunikation. AES-256-Verschlüsselung für Backups und ruhende Daten. Jeder Mandant erhält bei Bedarf einen eigenen Verschlüsselungsschlüssel (Bring-Your-Own-Key-fähig).

Zugriffskontrolle

Mehrschichtiges Zugriffsmodell: EnsureTenantSelected-Middleware prüft den Mandantenkontext, Policies autorisieren jede Aktion, und Session-Management mit tenant_id verhindert Cross-Tenant-Zugriffe auf Anwendungsebene.

Architekturübersicht (Konzeptionell)

Die Multi-Tenant-Architektur folgt einem Shared-Database / Row-Level-Tenancy-Modell. Dieses Modell bietet die beste Balance zwischen Isolation, Skalierbarkeit und Betriebskomplexität für regulierte SaaS-Umgebungen.

Authenticated

User → IdP → Session

Tenant Context

Middleware injects tenant_id

Isolated Query

Scope filters → Policy

Tenant-Onboarding-Workflow

Der standardisierte Onboarding-Prozess stellt sicher, dass jeder neue Mandant konsistent, prüfbar und ohne Sicherheitslücken eingerichtet wird.

Mandantenregistrierung

Erfassung der Mandanten-Stammdaten, Auswahl der Module, Festlegung des Administrator-Kontos. Automatische Generierung der tenant_id.

Basis-Konfiguration

Einrichtung der Datenbank-Scopes, Aktivierung der Middleware, Konfiguration der Rollen und Berechtigungen gemäss Mandantentyp.

Identity Federation

Anbindung des unternehmenseigenen Identity Providers (SAML 2.0 / OIDC). Konfiguration des Attribut-Mappings und der Rollen-Synchronisation.

Isolationstest-Suite

Automatisierte Durchführung der Isolation-Tests. Prüfung: Cross-Tenant-Zugriff blockiert, Datenbank-Scopes aktiv, Audit-Log konsistent.

Go-Live & Monitoring

Freigabe für den Produktivbetrieb. Kontinuierliches Monitoring der Mandantenisolation, regelmässige Re-Zertifizierung.

Compliance: Aufsichtsrechtliche Anforderungen an Multi-Tenant-Systeme

DORA — Digital Operational Resilience Act

DORA Art. 4 (IKT-Strategie) verlangt eine dokumentierte Architektur mit nachweisbarer Mandantentrennung. Art. 9 (IKT-Risikomanagement) fordert regelmässige Tests der Zugriffskontrollen. Die automatisierte Isolation-Test-Suite erfüllt diese Anforderungen revisionssicher.

MaRisk — Mindestanforderungen an das Risikomanagement

MaRisk AT 7.2 (Ressourcen) und AT 9 (Auslagerungen) fordern die strikte Trennung von Kunden- und Institutsdaten. Die Row-Level-Tenancy-Architektur mit Middleware-Schutz erfüllt diese Anforderung und wird durch regelmässige Penetrationstests validiert.

ISO 27001 — Informationssicherheit

ISO 27001:2022 Annex A kontrolliert die Zugriffskontrolle (A.8.2–A.8.3), Protokollierung (A.8.15) und Überwachung (A.8.16). Jeder Mandant erhält isolierte Zugriffsstrukturen, das Audit-Log ist mandantenfein granular.

BSI C5 — Cloud Computing Compliance

Der BSI C5-Kriterienkatalog verlangt den Nachweis der Mandantentrennung in Cloud-Umgebungen (CRY-01, IDM-01). Die dokumentierte Architektur und die automatisierte Test Suite dienen als Prüfnachweis.

Roadmap zur Mandantenfähigkeit

Aktuelle Phase

Current State — Row-Level Tenancy aktiv

✓ Row-Level-Tenancy auf Datenbankebene implementiert
✓ Global Scopes auf allen mandantenbezogenen Modellen
✓ EnsureTenantSelected-Middleware aktiv
✓ Policy-Engine für mandantenbezogene Autorisierung
✓ Automatisierte Isolation-Test-Suite im Deployment-Pipeline
✓ Mandantenfähige Audit-Logs mit tenant_id

2026 H2

2026 H2 — Erweiterte Isolation & Self-Service

→ Dedizierte Datenbank-Instanzen auf Anfrage (Database-per-Tenant)
→ Self-Service Tenant-Onboarding-Portal
→ BYOK (Bring-Your-Own-Key) pro Mandant
→ Mandantenübergreifende Reporting-Funktion (mit explizitem Consent)
→ Erweiterte RBAC-Rollenmodelle mit benutzerdefinierten Rollen

2027

2027 — Vollständige Mandanten-Autonomie

→ Hybrid-Modell: Kombination aus Shared-Database und Dedicated-Instances
→ Mandantenfähige Disaster-Recovery mit individuellen RPO/RTO
→ Automatisierte Compliance-Reports pro Mandant für Aufsichtsprüfungen
→ API-gesteuertes Tenant-Management für Enterprise-Kunden
→ Integration mit Governance-Frameworks (ServiceNow, Jira, SAP GRC)

Bereit für die Mandantenfähigkeit?

Vereinbaren Sie ein unverbindliches Pilotgespräch – wir zeigen Ihnen, wie die Multi-Tenant-Architektur Ihre Compliance-Anforderungen erfüllt und Ihre Skalierung beschleunigt.

Pilotgespräch anfragen

Reifegrad

1 Initial

Ad-hoc-Ansätze, keine formalen Prozesse
2 Defined

Formale Prozesse definiert, aber nicht durchgängig umgesetzt
3 Implemented

Prozesse vollständig umgesetzt und dokumentiert
4 Monitored

Prozesse werden überwacht und gemessen
5 Optimized

Kontinuierliche Verbesserung und Anpassung

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-06-18

DORA — Verordnung (EU) 2022/2554 Stand: Abruf 2026-06-18
MaRisk — BaFin AT 7.2 / AT 9 Stand: Abruf 2026-06-18
ISO 27001:2022 — Annex A Stand: 2022-10
BSI C5 — Cloud Computing Kriterien Stand: Abruf 2026-06-18

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.