contact@techway.ch
+41 44 585 23 09
TECHWAY Schweiz Logo
DE
FRENIT

Case Study: Simon Hegele Gesellschaft für Logistik und Service mbH

Revisionssichere Session-Aufzeichnung und nachvollziehbare Kontrolle privilegierter Zugriffe im Kontext des Luftsicherheitsgesetzes (LuftSiG) – mit Mapping auf NIS2 und ISO 27001.

Unsere Case Studies geben Einblicke in reale Kundenprojekte und zeigen, wie unsere Lösungen im Alltag funktionieren – nachvollziehbar, skalierbar und belastbar. Wir beschreiben Ausgangslage, Anforderungen und Umsetzung und machen den erzielten Mehrwert anhand konkreter Ergebnisse sichtbar. So erhalten Sie einen authentischen Eindruck davon, wie moderne IT- und Sicherheitslösungen in unterschiedlichen Organisationen eingesetzt werden. Wir danken unseren Kunden für das Vertrauen und die Bereitschaft, ihre Erfahrungen öffentlich zu teilen.

Mit der Simon Hegele Gesellschaft für Logistik und Service mbH zeigen wir, wie ein international tätiger Logistikdienstleister Anforderungen aus dem Luftsicherheitsgesetz (LuftSiG) technisch umsetzt – mit Fokus auf Session Recording, revisionssichere Nachweisführung und das Vieraugenprinzip. Ergänzend wird aufgezeigt, wie sich die Massnahmen auf NIS2 sowie ISO/IEC 27001 abbilden lassen. Im Mittelpunkt stehen prüfbare Nachweise für Revisionen, Audits und behördliche Kontrollen – dort, wo reine Logdaten für eine belastbare Rekonstruktion nicht ausreichen.

Über Simon Hegele
TECHWAY - Case Study - Simon Hegele - Session Recording LuftSiG

Die Simon Hegele Gesellschaft für Logistik und Service mbH ist ein international tätiger Logistik- und Serviceanbieter mit Schwerpunkten in den Bereichen Industrie-, Gesundheits- und Kontraktlogistik. Als Teil kritischer Lieferketten verarbeitet das Unternehmen sensible Kunden- und Auftragsdaten und betreibt standortübergreifende IT-Systeme für Lagersteuerung, Transportmanagement und kundenspezifische Mehrwertservices. An luftfahrtnahen Standorten gewinnen Anforderungen aus dem Luftsicherheitsgesetz (LuftSiG) besondere Bedeutung: Zugriffe auf sicherheitsrelevante Systeme müssen nachvollziehbar, prüffähig und revisionssicher dokumentiert werden. Gleichzeitig lassen sich die umgesetzten Massnahmen konsistent auf NIS2 und ISO/IEC 27001 mappen.

Ausgangslage & Motivation

In luftfahrtnahen Prozessen – insbesondere im Umfeld von Luftfracht, sicheren Lieferketten und zugangsbeschränkten IT-Systemen – unterliegt Simon Hegele den Vorgaben des Luftsicherheitsgesetzes (LuftSiG). Diese verlangen eine lückenlose Nachvollziehbarkeit sicherheitsrelevanter Zugriffe, klare Verantwortlichkeiten sowie die Möglichkeit zur nachträglichen Prüfung durch interne Stellen oder Behörden. Klassische Systemlogs reichten dafür nicht aus: Weder liessen sich konkrete Benutzeraktivitäten belastbar rekonstruieren, noch war eine saubere Umsetzung des Vieraugenprinzips technisch abgesichert. Ziel war deshalb eine revisionssichere Nachweisführung, die auch bei Audits und externen Prüfungen Bestand hat. Parallel sollten die Massnahmen so gestaltet werden, dass sie Anforderungen aus NIS2 sowie ISO/IEC 27001 gezielt unterstützen.

TECHWAY - Case Study - Simon Hegele Logistik - Sebastian Frank

Sebastian Frank

Leiter IT-Operations

„Mit Syteca konnten wir privilegierte Zugriffe erstmals durchgängig nachvollziehbar machen – insbesondere dort, wo wir im Sinne des LuftSiG belastbare Nachweise benötigen. Das Session Recording und der Audit-Trail geben uns die Grundlage für das Vieraugenprinzip und für Prüfungen durch Revision und externe Stellen. Gleichzeitig können wir die Massnahmen sauber auf NIS2- und ISO-27001-Anforderungen abbilden.»

Herausforderung

Drei zentrale Anforderungen standen im Fokus:

  • Revisionssichere Session-Aufzeichnung – vollständige, unveränderbare Aufzeichnung privilegierter Sitzungen zur späteren Nachvollziehbarkeit, insbesondere für luftfahrtrelevante IT-Systeme.
  • Vieraugenprinzip & organisatorische Kontrolle – Trennung von operativer Tätigkeit und Kontrolle, inklusive nachvollziehbarer Freigabe- und Prüfprozesse.
  • Regulatorische Nachweisführung (LuftSiG mit Mapping auf NIS2 & ISO 27001) – technische Belege für Zugriffe, Identitätsprüfungen und Systemnutzung, geeignet für Revision, Wirtschaftsprüfer und behördliche Kontrollen.

Die bis dahin eingesetzten Log- und Monitoring-Mechanismen lieferten lediglich fragmentierte Informationen. Eine belastbare Beweisführung im Sinne des LuftSiG war damit nicht möglich.

Zielsetzung

Die folgende Übersicht zeigt die zentralen Zielsetzungen des Projekts und deren Zuordnung zu den relevanten Normen und Rahmenwerken.

ZielsetzungSchwerpunktNorm / Rahmenwerk
Lückenlose Aufzeichnung privilegierter Sitzungen auf luftfahrtrelevanten Systemen.Session Recording
LuftSiG insb. §7a, §9a
ISO 27001 Logging/Monitoring
NIS2 Nachweis wirksamer Schutzmassnahmen
Revisionssichere Nachvollziehbarkeit von Benutzeraktionen inklusive Zeitbezug, Verantwortlichkeit und Systemkontext.Audit-Trail, Reporting, forensische Auswertbarkeit
LuftSiG Nachvollziehbarkeit & Prüfbarkeit
ISO 27001 Protokollierung & Monitoring
NIS2 Nachweis- und Berichtspflichten
Umsetzung des Vieraugenprinzips bei sicherheitsrelevanten Zugriffen durch klare Rollen, Kontrollschritte und nachvollziehbare Reviews.Organisatorische Kontrolle & Review
LuftSiG Kontrollprinzipien
ISO 27001 Segregation of Duties
NIS2 Governance & risikobasierte Kontrollen

Die folgende Übersicht zeigt die zentralen Zielsetzungen des Projekts und deren Zuordnung zu den relevanten Normen und Rahmenwerken.

Session Recording
Zielsetzung
Lückenlose Aufzeichnung privilegierter Sitzungen auf luftfahrtrelevanten Systemen.
Norm / Rahmenwerk
LuftSiG insb. §7a, §9a
ISO 27001 Logging/Monitoring
NIS2 Nachweis wirksamer Schutzmassnahmen
Audit-Trail, Reporting, forensische Auswertbarkeit
Zielsetzung
Revisionssichere Nachvollziehbarkeit von Benutzeraktionen inklusive Zeitbezug, Verantwortlichkeit und Systemkontext.
Norm / Rahmenwerk
LuftSiG Nachvollziehbarkeit & Prüfbarkeit
ISO 27001 Protokollierung & Monitoring
NIS2 Nachweis- und Berichtspflichten
Organisatorische Kontrolle & Review
Zielsetzung
Umsetzung des Vieraugenprinzips bei sicherheitsrelevanten Zugriffen durch klare Rollen, Kontrollschritte und nachvollziehbare Reviews.
Norm / Rahmenwerk
LuftSiG Kontrollprinzipien
ISO 27001 Segregation of Duties
NIS2 Governance & risikobasierte Kontrollen
Lösung

Warum Syteca?

Ausschlaggebend war die Fähigkeit von Syteca, privilegierte Sitzungen vollständig und manipulationssicher aufzuzeichnen und für Prüfungen gezielt auswertbar zu machen. Im Gegensatz zu klassischen Logs oder SIEM-Systemen ermöglicht Session Recording eine inhaltliche Rekonstruktion von Aktivitäten – inklusive Kontext, Zeitbezug und Benutzeridentität. Damit schafft Syteca die Grundlage für das Vieraugenprinzip, revisionssichere Kontrollen und belastbare Nachweise im Sinne des Luftsicherheitsgesetzes.

Session Recording ohne Betriebsunterbruch integrieren

Ein zentrales Kriterium war die geringe Reibung im laufenden Betrieb: Syteca konnte schrittweise in bestehende Netzwerk-, Server- und Applikationslandschaften integriert werden, ohne produktive Prozesse zu stören. Interne Administratoren und externe Dienstleister arbeiten in privilegierten Sessions; diese werden aufgezeichnet, mit Kontextdaten angereichert und in einem zentralen Audit-Log abgelegt. So entstehen prüffähige Nachweise für LuftSiG-relevante Kontrollen – und zugleich eine solide Basis für die Zuordnung zu NIS2 und ISO/IEC 27001.

Technische Kontrollen und Nachweise für LuftSiG und NIS2

Die nachfolgende Übersicht zeigt zentrale Funktionsbereiche der Syteca-Plattform und deren Beitrag zur Erfüllung von LuftSiG – mit ergänzendem Mapping auf NIS2 und ISO/IEC 27001.

FunktionBeschreibungBezug zu LuftSiG / NIS2 / ISO 27001
Session RecordingVollständige, manipulationssichere Aufzeichnung privilegierter Sitzungen mit Such- und Wiedergabefunktion für Audits und forensische Analysen.
LuftSiG Nachweis sicherheitsrelevanter Aktivitäten
ISO 27001 Logging/Monitoring
NIS2 Nachweis wirksamer Schutzmassnahmen & Incident-Handling
Audit-Trail & ReportingRevisionssichere Protokollierung von Zugriffen, Änderungen und Sessions inkl. Zeitstempel, Systemkontext und Verantwortlichkeit.
LuftSiG Nachvollziehbarkeit & Prüfbarkeit
ISO 27001 Nachweis geeigneter Kontrollen
NIS2 Berichtspflichten & Belegbarkeit von Massnahmen
Vieraugenprinzip (Kontroll- & Review-Workflows)Nachvollziehbare Prüf- und Freigabeschritte, die operative Tätigkeiten und Kontrolle trennen und Reviews dokumentierbar machen.
LuftSiG Kontrollprinzipien & Nachweise
ISO 27001 Segregation of Duties
NIS2 Governance & risikobasierte Kontrollen
Rollenbasierte Zugriffskontrolle (RBAC)Feingranulare Rollen- und Rechtekonzepte zur Abbildung organisatorischer Verantwortlichkeiten und des Need-to-know-Prinzips.
LuftSiG Zugriff nur für berechtigte und zuverlässig geprüfte Personen
ISO 27001 Least Privilege & SoD-Unterstützung
NIS2 Risikobasierte Zugriffskontrolle
Aufbewahrung & LöschungKonfigurierbare Aufbewahrungsfristen und automatisierte Löschung von Protokoll- und Personendaten gemäss Vorgaben.
LuftSiG Aufbewahrungs-/Löschanforderungen in luftfahrtnahen Prozessen
ISO 27001 Informationslebenszyklus
NIS2 Governance-Anforderungen an Datenhandling

Gemeinsam sorgen diese Funktionen dafür, dass sicherheitsrelevante Vorgänge revisionssicher dokumentiert, auffällige Aktionen nachvollziehbar geprüft und das Vieraugenprinzip praktisch umsetzbar wird. Für Simon Hegele bildet Syteca damit ein technisches Fundament für LuftSiG-konforme Nachweisführung – mit konsistenter Zuordnung zu NIS2 und ISO/IEC 27001.

Session Recording
Beschreibung
Vollständige, manipulationssichere Aufzeichnung privilegierter Sitzungen mit Such- und Wiedergabefunktion für Audits und forensische Analysen.
Bezug zu LuftSiG / NIS2 / ISO 27001
LuftSiG Nachweis sicherheitsrelevanter Aktivitäten
ISO 27001 Logging/Monitoring
NIS2 Nachweis wirksamer Schutzmassnahmen & Incident-Handling
Audit-Trail & Reporting
Beschreibung
Revisionssichere Protokollierung von Zugriffen, Änderungen und Sessions inkl. Zeitstempel, Systemkontext und Verantwortlichkeit.
Bezug zu LuftSiG / NIS2 / ISO 27001
LuftSiG Nachvollziehbarkeit & Prüfbarkeit
ISO 27001 Nachweis geeigneter Kontrollen
NIS2 Berichtspflichten & Belegbarkeit von Massnahmen
Vieraugenprinzip (Kontroll- & Review-Workflows)
Beschreibung
Nachvollziehbare Prüf- und Freigabeschritte, die operative Tätigkeiten und Kontrolle trennen und Reviews dokumentierbar machen.
Bezug zu LuftSiG / NIS2 / ISO 27001
LuftSiG Kontrollprinzipien & Nachweise
ISO 27001 Segregation of Duties
NIS2 Governance & risikobasierte Kontrollen
Rollenbasierte Zugriffskontrolle (RBAC)
Beschreibung
Feingranulare Rollen- und Rechtekonzepte zur Abbildung organisatorischer Verantwortlichkeiten und des Need-to-know-Prinzips.
Bezug zu LuftSiG / NIS2 / ISO 27001
LuftSiG Zugriff nur für berechtigte und zuverlässig geprüfte Personen
ISO 27001 Least Privilege & SoD-Unterstützung
NIS2 Risikobasierte Zugriffskontrolle
Aufbewahrung & Löschung
Beschreibung
Konfigurierbare Aufbewahrungsfristen und automatisierte Löschung von Protokoll- und Personendaten gemäss Vorgaben.
Bezug zu LuftSiG / NIS2 / ISO 27001
LuftSiG Aufbewahrungs-/Löschanforderungen in luftfahrtnahen Prozessen
ISO 27001 Informationslebenszyklus
NIS2 Governance-Anforderungen an Datenhandling

Gemeinsam sorgen diese Funktionen dafür, dass sicherheitsrelevante Vorgänge revisionssicher dokumentiert, auffällige Aktionen nachvollziehbar geprüft und das Vieraugenprinzip praktisch umsetzbar wird. Für Simon Hegele bildet Syteca damit ein technisches Fundament für LuftSiG-konforme Nachweisführung – mit konsistenter Zuordnung zu NIS2 und ISO/IEC 27001.

Rolle der Techway GmbH
TECHWAY - Cyber Security

Die Techway GmbH begleitete Simon Hegele von der initialen Anforderungsaufnahme über die Systemarchitektur bis zur produktiven Einführung von Syteca. Als Integrationspartner verantwortete Techway die Anbindung relevanter Zielsysteme, die Ausgestaltung von Rollen- und Kontrollkonzepten (inkl. Vieraugenprinzip) sowie die Definition von Aufbewahrungs- und Löschregeln im Einklang mit LuftSiG. Workshops und Schulungen für IT-Betrieb, Informationssicherheit und Revision stellten sicher, dass Session Recording und Audit-Nachweise nicht nur technisch, sondern auch organisatorisch sauber im Kontrollsystem verankert wurden – mit Mapping auf NIS2 und ISO/IEC 27001.

Fazit
TECHWAY - Case Study - Simon Hegele - Session Recording LuftSiG

Mit Syteca schafft Simon Hegele die technische Grundlage für revisionssicheres Session Recording, Auditierbarkeit und das Vieraugenprinzip im Sinne des Luftsicherheitsgesetzes. Gleichzeitig lassen sich die umgesetzten Massnahmen konsistent auf Anforderungen aus NIS2 und ISO/IEC 27001 abbilden. Die Lösung bietet damit einen pragmatischen Einstieg in regulatorisch belastbare Nachweisführung mit der Option, Privileged Access Management künftig schrittweise zu erweitern.

FAQ

Warum ist Session Recording im LuftSiG-Kontext besonders wichtig?

Das Luftsicherheitsgesetz verlangt belastbare Nachweise über sicherheitsrelevante Tätigkeiten und Zugriffe. Session Recording ermöglicht eine nachvollziehbare, prüffähige Rekonstruktion von Aktionen – über reine Logevents hinaus.

Wie unterstützt Syteca Auditierbarkeit und Beweisführung?

Syteca kombiniert Session-Aufzeichnungen mit einem revisionssicheren Audit-Trail und auswertbaren Reports. Damit lassen sich Zugriffe, Aktionen, Zeitbezug, Systemkontext und Verantwortlichkeiten für Revision und externe Prüfungen konsistent belegen.

Wie wird das Vieraugenprinzip technisch und organisatorisch unterstützt?

Durch dokumentierbare Kontroll- und Review-Prozesse: privilegierte Sessions werden nachvollziehbar aufgezeichnet und können durch autorisierte Stellen geprüft werden. So entsteht eine klare Trennung zwischen Durchführung und Kontrolle.

Welche Beziehung hat das zu NIS2 und ISO/IEC 27001?

Die im LuftSiG-Kontext umgesetzten Nachweise lassen sich auf Anforderungen aus NIS2 (Nachweis wirksamer Schutzmassnahmen) sowie ISO/IEC 27001 (Logging/Monitoring, Segregation of Duties, Governance) abbilden – ohne dass klassisches PAM bereits aktiv genutzt werden muss.