Sicherheit: Irgendwer muss haften

21.03.2006
Von Katharina Friedmann

Doch nicht alle Unternehmen lassen sich auf Risiken ein. Wenn beispielsweise bei der Henkel-Gruppe ein Projekt firmeninterne Sicherheitsrichtlinien verletzt, wird es in der Regel nicht umgesetzt. "Da gibt es keine Risikoabwägung - unsere Policy ist bindend", so Prange. Im Zweifelsfall müsse der Fachbereich von seinen Anforderungen etwas abrücken, um diese den Sicherheitsrichtlinien anzupassen - nicht etwa umgekehrt. Aufgrund der frühzeitigen Einbindung der Security-Verantwortlichen in das Projektgeschehen kommt es allerdings selten zu einer kategorischen Ablehnung eines IT-Vorhabens: Prange schätzt die Quote in seinem Unternehmen auf unter ein Prozent. Im Eskalationsfall hat bei Henkel das "Oberste Informatik-Komitee", das sich aus Business-Managern sowie IT-Verantwortlichen im Vorstand zusammensetzt, das letzte Wort.

Hart in Sachen Security gibt sich auch die Fressnapf Tiernahrungs GmbH: Verstößt ein von den Fachabteilungen beantragtes Projekt gegen die von dem Franchise-Unternehmen definierten Security-Standards, sei dies schlicht ein "No-go-Kriterium", statuiert Bernd Hilgenberg, der als Gesamtverantwortlicher IT auch für das Thema IT-Security verantwortlich zeichnet. Für eine Trennung der beiden Zuständigkeiten seien die organisatorischen Strukturen des Mittelständlers nicht ausgelegt, begründet er die Personalunion.

Erst kürzlich sei bei Fressnapf eine Software abgelehnt worden, die - entgegen der Security-Policy - eine Rekonfiguration der firmeneigenen Firewall erfordert hätte, nennt Hilgenberg ein Beispiel für die diesbezügliche Konsequenz seines Unternehmens. Er sieht es als seine grundsätzliche Aufgabe, für ein größtmögliches Maß an Sicherheit zu sorgen - allerdings unter Berücksichtigung ökonomischer Gegebenheiten: "Wir sind ja nicht die Nasa und wollen auch noch Geld verdienen", räumt der IT- und Security-Chef ein. In der Regel würden Sicherheitsbedenken gemeinsam mit den Fachabteilungen besprochen, "die ihre Anforderungen dann meist von sich aus entsprechend modifizieren oder das Projekt aufgeben", beschreibt Hilgenberg die friedliche Koexistenz aller Beteiligten.