Security wird noch wichtiger als heute
Foto: Joachim Wendler
Je mehr sich die IT nach außen öffnet, desto mehr Bedeutung gewinnen Themen wie Datenintegrität und Schutz privater Daten. "Mit der Cloud ist eine neue Qualität der Datensicherheit gefordert", mahnte Audi-CIO Straub: "Die IT muss Antworten auf die Frage wissen, wie sie mit dieser neuen Situation umgehen will." Das sollten auf jeden Fall pragmatische Lösungen sein.
In den meisten Unternehmen zeichnet der CIO für diesen Themenkomplex verantwortlich. Damit gilt er unternehmensweit als Spaßbremse. "Sogar innerhalb der IT sind die Security-Verantwortlichen unbeliebt", bestätigt Manfred Klunk, Bereichsleiter IT bei der Kassenärztlichen Vereinigung Bayern (KVB): "Jeder versucht, daran voreizukommen." Hier sei ein Sinneswandel nötig.
"Security braucht ein anderes Image", schlug Matthias Mehrtens, CIO der Stadtwerke Düsseldorf, vor: "Mit einer Chaos-Computer-Club Mentalität schaffen wir es vielleicht, die Leute ins Boot zu holen."
Governance und Umsetzung trennen
Straub empfahl, die Verantwortung für die Governance-Regeln und die Umsetzung zu trennen: "Es kann nicht sein, dass dieselbe Stelle, die die Regeln macht, auch die Umsetzung leistet." Als Prozesseigner kommt seiner Ansicht nach der Vorstand in Frage - oder jemand, der vom Vorstand damit beauftragt wird. Die Definition der Regeln könnte eine Stabsstelle übernehmen, die dicht an der IT angesiedelt ist. Die Umsetzung werde jedoch am CIO hängenbleiben: "Auch in anderen Bereichen ist der CIO Schöpfer und Spaßbremse zugleich. Es gibt immer Regeln, die man einhalten muss, zum Beispiel bei der Architektur, im Einkauf oder beim Jahresabschluss. Wichtig ist nur, dass diese Regeln transparent sind."
Bernd Hilgenberg, CIO des Franchise-Unternehmens Fressnapf, erinnerte die Diskussionsteilnehmer daran, dass Sicherheit nicht unbedingt eine Frage der Technik oder des Budgets ist: "Wir werden künftig noch mehr mit den Mitarbeitern sprechen müssen."
Warum das so ist, beschrieb einer der Diskussionsteilnehmer, der aus naheliegenden Gründen anonym bleiben möchte: Die IT in seinem Unternehmen habe einmal die Probe aufs Exempel gemacht und auf dem Firmenparkplatz ein paar USB-Sticks "verloren". Darauf befanden sich allerdings nicht etwa die vertraulichen Daten eines Kollegen, sondern ein harmloser Computervirus. Jeder einzelne der präparierten Sticks sei an einem Arbeitsplatz eingesteckt worden und habe das Störprogramm freigesetzt. Mit den betreffenden Mitarbeitern habe er ein ernstes Wörtchen geredet, sagte der IT-Verantwortliche. Von einem generellen USB-Verbot halte er allerdings nichts.