Stärkung der Sicherheit durch klare Rollen und Zuständigkeiten: Lernen aus militärischen Misserfolgen

von | März 24, 2025 | Cyber Security

„Training is the critical link between strategy and action, ensuring that everyone involved—whether management, end users, IT teams, or audit—does their part to ensure security and compliance in application systems.“

 Priska Altorfer, Managing Director of wikima4 AG

In letzter Zeit wurden die Schlagzeilen in der Schweiz von einem seltenen, aber bedeutenden Skandal innerhalb der Schweizer Armee beherrscht, der tief verwurzelte Probleme in Bezug auf Compliance, Transparenz und Kommunikation aufdeckte. Auch wenn militärische Strukturen weit von der Geschäftswelt entfernt zu sein scheinen, zeigt dieser Fall doch, wie Sicherheit und Compliance ins Wanken geraten können, wenn Rollen und Verantwortlichkeiten schlecht definiert sind. Der Zusammenbruch des Vertrauens und der Kontrolle, der auf der ganzen Welt zu spüren ist, dient als abschreckendes Beispiel für Unternehmen, die sich um die Sicherheit ihrer Geschäftsanwendungen und Daten bemühen. 

In einer Zeit, in der Data Access Governance Security immer wichtiger wird – insbesondere mit dem Aufkommen von KI -, müssen Unternehmen sicherstellen, dass jeder Beteiligte seine Rolle bei der Aufrechterhaltung von Sicherheit und Compliance versteht. Das Data Access Governance Security (DAGS)-Framework bietet einen strukturierten Ansatz, um Verantwortlichkeiten zu klären, Sicherheitslücken zu schliessen und eine widerstandsfähigere Anwendungslandschaft zu schaffen. 

Untersuchen wir gemeinsam, welche Lehren zu ziehen sind, wie die Implementierung von DAGS dazu beitragen kann, Sicherheitslücken zu schliessen, und warum wir die Art und Weise, wie wir Anwendungssicherheit und Compliance im modernen Zeitalter sehen, neu überdenken müssen.

Der Zusammenbruch der schweizerischen Armee-Compliance: Eine Fallstudie

Dieser Skandal hat die Schweiz erschüttert: Der Rüstungskonzern RUAG MRO sieht sich laut der Eidgenössischen Finanzkontrolle (EFK) mit Betrugsvorwürfen, mangelnder Transparenz und schwachen internen Kontrollen konfrontiert. Ein Hauptproblem scheint ein Führungskarussell zu sein: Fünf verschiedene CEOs in nur vier Jahren, von denen jeder eine Spur von inkonsistenten Entscheidungen und unbeantworteten Fragen hinterliess. Aus dem Chaos sind Korruptionsverdächtigungen bei Leopard-Panzergeschäften und Millionenverluste durch fragwürdige Verkäufe und Mehrwertsteuerbussen entstanden. Es scheint, dass RUAG mit Inventarmisswirtschaft zu tun hatte, bei der militärische Ausrüstung ohne ordnungsgemässe Genehmigung verkauft wurde. Die Ermittlungen sind intensiv und dauern an, was unterstreicht, wie wichtig transparente Governance-Strukturen und strenge Compliance-Praktiken sind, um sowohl das öffentliche Vertrauen als auch die Integrität des Unternehmens zu schützen.

Die Vorfälle in der Schweizer Armee werfen ein Schlaglicht auf systemische Fehler, die zu Compliance-Verstössen und Vertrauensverlusten führten. Die Hauptprobleme, die bei der Untersuchung festgestellt wurden, waren ein Mangel an Kommunikation über verschiedene Hierarchieebenen hinweg, unzureichendes Compliance-Know-how, mangelndes Bewusstsein für gesetzliche Pflichten und unzureichende Transparenz. Diese Probleme führten zu Sicherheitslücken und machten deutlich, wie das Fehlen eines klaren Rahmens selbst stark strukturierte Organisationen schwächen kann.

Von Anwendungssicherheit und Compliance zu Unternehmenssicherheit und Compliance

Bevor wir darüber sprechen, warum klare Rollen so wichtig sind, wollen wir die Art und Weise, wie wir über Sicherheit und Compliance denken, neu kalibrieren. Traditionell hat sich das Konzept der Anwendungssicherheit und Compliance auf den Schutz von ERP Systemen wie SAP, Oracle oder Microsoft Dynamics konzentriert. Da Unternehmen jedoch ein breiteres Spektrum an Anwendungen einsetzen – einschließlich Cloud-basierter Dienste, Customer Relationship Management (CRM)-Systeme und branchenspezifischer Lösungen – wird der Begriff Anwendungssicherheit und -konformität dem Umfang der modernen Sicherheitsherausforderungen nicht mehr gerecht.

Ein umfassenderer Ansatz wird durch den Begriff Business Application Security and Compliance ausgedrückt. Diese breitere Perspektive umfasst alle kritischen Anwendungen, die Geschäftsprozesse unterstützen, und stellt sicher, dass die Verantwortung für Sicherheit und Compliance die gesamte Anwendungslandschaft umfasst. Dieser Wandel spiegelt die zunehmende Komplexität von Geschäftsumgebungen und die Notwendigkeit wider, technische, organisatorische und gesetzliche Maßnahmen in eine einheitliche Sicherheitsstrategie zu integrieren.

Sicherheit von Geschäftsanwendungen: Warum klare Rollen wichtig sind

Die Sicherheit von Unternehmensanwendungen geht weit über technische Massnahmen wie Firewalls und Verschlüsselung hinaus. Sie ist im Grunde eine organisatorische Herausforderung, die die Zusammenarbeit zwischen verschiedenen Abteilungen und Beteiligten erfordert. Ohne klar definierte Rollen riskieren Unternehmen die Preisgabe sensibler Daten, die Verhängung gesetzlicher Strafen und betriebliche Ineffizienzen.

Ein auf dem DAGS-Rahmenwerk basierendes Autorisierungskonzept bietet eine strukturierte Möglichkeit zur Zuweisung von Sicherheitsverantwortlichkeiten. Dieses Rahmenwerk hilft Unternehmen, die Beziehungen zwischen verschiedenen Anwendungskomponenten zu verstehen und stellt sicher, dass jeder Beteiligte seine Pflichten beim Schutz des Datenzugriffs und der Einhaltung von Vorschriften kennt.

Hauptakteure eines Zulassungskonzepts

An einem umfassenden Sicherheitskonzept sind mehrere Beteiligte beteiligt, von denen jeder eine wichtige Rolle in der gesamten Sicherheits- und Compliance-Strategie spielt. Diese Rollen können in vier Hauptkategorien eingeteilt werden:

Strategic supervision

  • Senior managers: They set strategic directions, approve budgets, and prioritize risks. Their support is essential for building a culture of compliance.
  • Project managers: They ensure that safety requirements are integrated into project planning and coordinate the work of the various teams.

Operative Umsetzung

  • IT-Sicherheitsteam: Setzt Sicherheitsrichtlinien um, überwacht Bedrohungen und reagiert auf Vorfälle.
  • SAP-Basis-Team: Verwaltet die technische Einrichtung von Rollen und Berechtigungen.
  • SAP GRC-Team: Automatisiert Compliance-Prüfungen und verwaltet Arbeitsabläufe zur Risikominderung.

Einhaltung und Überwachung

  • Compliance- und Audit-Teams: Sie führen Audits durch, bewerten die Einhaltung von Vorschriften und setzen Richtlinien durch.
  • Beauftragte für Recht und Datenschutz: Gewährleisten Sie die Einhaltung von Datenschutzbestimmungen wie GDPR und anderen rechtlichen Anforderungen.

Unterstützung und Umsetzung

  • Geschäftsprozessverantwortliche: Definition der geschäftlichen Zugriffsanforderungen und Validierung der Rollendesigns.
  • Rollenverantwortliche: Sie fungieren als Hüter der Rollen und führen regelmässige Überprüfungen und Anpassungen durch.
  • Schulung von Teams: Informieren Sie Ihre Mitarbeiter über Sicherheitsrichtlinien und Compliance-Anforderungen.
  • Endbenutzer: Befolgen die zugewiesenen Rollen, melden Anomalien und fungieren als erste Verteidigungslinie.
  • Externe Berater: Sie stellen Fachwissen zur Verfügung und helfen bei der Umsetzung bewährter Verfahren.
Überbrückung der Lücken: Die Rolle von Training und Verhaltensengagement

In einem Zeitalter, in dem digitale Bedrohungen mit alarmierender Geschwindigkeit zunehmen, schafft das alleinige Vertrauen auf Firewalls und Verschlüsselung ein falsches Gefühl von Sicherheit. Dies ist der letzte Teil einer vierteiligen Serie, in der wir die jüngste  Panne bei der Einhaltung von Vorschriften durch die Schweizer Armee untersucht haben, um herauszufinden, welche Lehren Sie daraus für die Sicherheit Ihrer Business Applikationen und die Strategie zur Einhaltung von Vorschriften ziehen können.

Die Realität ist, dass Technologie allein nicht vor Sicherheits- und Compliance-Verstössen schützen kann – der Faktor Mensch spielt eine entscheidende Rolle. Selbst die fortschrittlichsten Systeme können untergraben werden, wenn die Mitarbeiter sich ihrer Verantwortung nicht bewusst sind oder die Sicherheitsprotokolle nicht befolgen.

Bei effektiver Sicherheit geht es nicht nur um die Implementierung von Tools, sondern auch um die Förderung einer Kultur der Wachsamkeit. Massgeschneiderte Trainingsprogramme, die auf die spezifischen Bedürfnisse der einzelnen Interessengruppen eingehen, helfen dabei, Richtlinien in praktische, alltägliche Massnahmen umzusetzen. Wenn die Mitarbeiter verstehen, warum Compliance-Massnahmen wichtig sind, werden sie zu aktiven Teilnehmern an der Sicherung von Geschäftsanwendungen.

Regelmässige Schulungen und Trainings stärken dieses Engagement. Indem sie das Wissen über die Einhaltung von Vorschriften in die täglichen Arbeitsabläufe einbetten und Abteilungssilos aufbrechen, können Unternehmen ein Umfeld schaffen, in dem Sicherheit und Einhaltung von Vorschriften zu einer gemeinsamen Verantwortung und nicht zu einer isolierten Aufgabe werden.

Implementierung von DAGS für mehr Sicherheit und Compliance

Das DAGS-Framework bietet eine strukturierte Möglichkeit, die Verwaltung des Datenzugriffs abzubilden, Verantwortlichkeiten zuzuweisen und Risiken zu minimieren. Durch die Aufschlüsselung des komplexen Netzes von Anwendungen, Rollen und Berechtigungen ermöglicht DAGS den Unternehmen:

  • Ermittlung und Beseitigung von Lücken in der Einhaltung der Vorschriften.
  • Verbesserung der Zusammenarbeit zwischen technischen und geschäftlichen Teams.
  • Beschleunigen Sie Transformationsprojekte wie SAP S/4HANA-Migrationen.
Wie das DAGS den Zusammenbruch der Schweizer Armee hätte verhindern können

Die im RUAG MRO-Fall aufgedeckten Compliance-Lücken – von uneinheitlichen Entscheidungen bis hin zu nicht genehmigten Geräteverkäufen – zeigen die Folgen unklarer Rollen und Verantwortlichkeiten. Der DAGS-Rahmen setzt direkt an diesen Schwachstellen an, indem er die strategische Aufsicht der Geschäftsleitung zuweist, die operative Umsetzung durch spezielle Sicherheitsteams und Compliance-Teams sicherstellt und die Überwachung der Compliance in die täglichen Arbeitsabläufe einbettet. Bei Anwendung dieses strukturierten Ansatzes hätten die Kommunikationslücken geschlossen und eine transparente Rechenschaftspflicht über alle Organisationsebenen hinweg geschaffen werden können.

Die Lektionen in die Tat umsetzen

Die Vorfälle in der Schweizer Armee erinnern uns daran, dass Sicherheit und Compliance nicht nur von Prozessen und Technologien abhängen, sondern auch von den Menschen und ihrem Engagement für eine gemeinsame Verantwortung. Durch die Festlegung von Rollen, die Förderung der Zusammenarbeit und die Investition in Schulungen können Unternehmen eine stärkere Sicherheitsgrundlage schaffen. Es ist auch eine Erinnerung daran, dass Versäumnisse wie diese nicht nur Auswirkungen auf die Sicherheit haben, sondern auch auf den weltweiten Ruf und das Vertrauen – Dinge, die viel leichter zu verlieren als zurückzugewinnen sind.