Theradocx entwickelt eine hochsensible SaaS-Plattform für Psychotherapeut:innen, die eine sichere Audioaufzeichnung von Therapiesitzungen sowie die KI-gestützte Erstellung von Berichten ermöglicht.
Die Plattform steht vor strengen regulatorischen Anforderungen (DSGVO, ISO 27001, AI Act) und ambitionierten Wachstumszielen von über 1.000 Nutzer:innen.
Herausforderung
Das Team stand vor zentralen Fragen:
- Wie lässt sich die Architektur für Healthcare-Grade-Anforderungen weiter verbessern?
- Kann die Plattform kosteneffizient auf Tausende von Therapeut:innen skaliert werden?
- Können Optimierungspotenziale in Cloud-Infrastruktur, Kryptografie und Betrieb identifiziert werden?
- Wie gut ist der Service auf Incidents, Ausfälle und Audits vorbereitet?
Ansatz
Posedio führte ein strukturiertes Software-Architektur-Review durch, basierend auf einem Deep-Dive-Workshop mit dem Engineering-Team von Theradocx.
- Azure-Cloud- und Infrastruktur-Architektur
- Multi-Tenant-Sicherheitsmodell
- Kryptografisches Design und Schlüsselmanagement
- Skalierbarkeit von Datenbanken und KI-Workloads
- CI/CD, Observability und Operational Excellence
Theradocx beauftragte eine unabhängige Überprüfung im Rahmen ihrer kontinuierlichen Sicherheits- und Compliance-Strategie, um das Setup zu validieren und konkrete, umsetzbare Empfehlungen zu erhalten.
Die Lösung
Posedio stellte fest, dass Theradocx bereits über eine starke architektonische Basis verfügt und zahlreiche Best Practices der Branche umsetzt. Darauf aufbauend lieferte das Review klare Verbesserungsvorschläge in vier kritischen Bereichen:
Compliance
Der Einsatz von per-Tenant Verschlüsselung auf Basis von Azure Key Vault wurde validiert. Zudem wurde eine klare Roadmap für die Umsetzung einer Zero-Trust-Architektur, die Verbesserung der Netzwerksicherheit sowie den Einsatz einer Web Application Firewall (WAF) definiert. Darüber hinaus wurden Empfehlungen zu Schlüsselrotation, sitzungsbasierten Verschlüsselung und verbessertem Identity-Management gegeben. Die Analyse skizzierte außerdem konkrete Schritte zur ISO-27001-Readiness sowie zur Implementierung DSGVO-konformer Kontrollen.
& Kosten
Im Hinblick auf Skalierbarkeit und Kosteneffizienz empfahl Posedio die Konsolidierung von derzeit getrennten Datenbanken in ein einheitliches, skalierbares Datenbankmodell. Parallel dazu wurden Strategien entwickelt, um Cloud-Kosten zu senken und gleichzeitig eine strikte Tenant-Trennung zu gewährleisten. Zusätzlich lieferte das Review Leitlinien zur Optimierung von KI-Workloads sowie zur besseren Transparenz von Infrastrukturkosten.
& Betrieb
Zur Stärkung der Zuverlässigkeit und dem Betrieb wurde der systematische Einsatz von SLOs, SLIs und strukturiertem SLA-Tracking vorgestellt. Das Review enthielt Empfehlungen zum Aufbau eines Incident-Management-Prozesses sowie zu Disaster-Recovery- und Backup-Strategien. Zudem wurden Verbesserungen im Bereich Observability vorgeschlagen, die durch eine optimierte Nutzung von Metriken, Logs und Traces operative Einblicke ermöglichen, ohne sensible Informationen offenzulegen.
Enablement
Im Bereich Engineering Enablement stand die Optimierung von CI/CD-Pipelines durch immutable Artefacts und automatisierte Rollback-Mechanismen im Fokus. Zudem wurden Best Practices für Infrastructure-as-Code mit Terraform-Pipelines überprüft und eine klare Strategie für automatisiertes Onboarding und Environment-Provisionierung definiert, um zukünftiges organisatorisches Wachstum zu gewährleisten.
Ergebnisse
Skalierbarkeit
Die Architektur gewährleistet ein Wachstum auf über 1.000 Therapeut:innen.
Risikominimierung
Reduzierte Risiken bei Betrieb und Kosten.
Datensicherheit
Eine klare Sicherheits-Roadmap für sensible Gesundheitsdaten.
Audit-Readiness
Bessere Vorbereitung für Audits, Incidents und Zertifizierungen.
Engineering Support
Unterstützung des Engineering-Teams durch konkrete, priorisierte Maßnahmen.
Posedio bestätigte, dass Theradocx eine solide Grundlage für Skalierung besitzt. Die gezielten Verbesserungsvorschläge des Reviews reduzieren die Risiken signifikant und ermöglichen gleichzeitig eine hohe Entwicklungsgeschwindigkeit.
Warum das wichtig ist
Für Gesundheitswesen- und KI-getriebene SaaS-Plattformen sind Vertrauen, Sicherheit und Skalierbarkeit nicht verhandelbar.
Diese Zusammenarbeit half Theradocx dabei, eine solide technische Basis in eine zukunftssichere Plattform zu verwandeln – bereit für Wachstum, Regulierung und einen sicheren Betrieb.
