Die firmeninterne Zuständigkeit für den Bereich Security wandelt sich: Zunächst primär der IT zugeordnet, entwickelt sich der Themenkomplex allmählich zu einem eigenen Ressort mit abteilungsübergreifender Zuständigkeit.

Sicherheitsexperten und -berater begrüßen diese Entwicklung: Wo Security allein aus der IT heraus gesteuert wird, sind Interessenkonflikte ihrer Ansicht nach unausweichlich. Im Zweifelsfall habe sich die IT als von den Fachabteilungen beauftragter Dienstleister an deren Wünschen zu orientieren, meint Stefan Strobel, Geschäftsführer von Cirosec, einem auf IT-Sicherheit spezialisierten Dienstleistungs- und Beratungshaus. Im Alleingang könne sie dem Thema im Unternehmen nur wenig Gewicht verleihen.Peter Wirnsperger, Security-Spezialist bei Deloitte & Touche, geht noch weiter: "Aufgabe der IT ist es ja, Dinge zu ermöglichen und nicht Projekte abzulehnen." Das sei aber die zwangsläufige Folge einer Organisation, in der die IT-Abteilung die Verantwortung für alle Sicherheitsthemen trage.

Eigene Abteilungen

Deutsche Firmen haben dies offenbar erkannt: Vor allem große Unternehmen haben ihre IT-Organisation mittlerweile von der Last befreit und dedizierte Security-Positionen geschaffen oder gar eigene Abteilungen mit dem Thema betraut. Formalisierte und festgeschriebene Prozesse im Projektumfeld sollen zudem gewährleisten, dass Sicherheitsaspekte bereits in der Konzeption eines IT-Vorhabens berücksichtigt werden und nicht etwa kurz vor dem Rollout zu einer kostspieligen Notbremsung zwingen.

So spielt IT-Sicherheit etwa bei der Finanz IT GmbH, dem IT-Dienstleister der Sparkassen-Finanzgruppe, von Projektbeginn an eine tragende Rolle: Security-Konzepte beziehungsweise Risikobetrachtungen gehören hier zu den Pflichtzutaten eines jeden Vorhabens. Eine entsprechende Kontrolle durch die Sicherheitsabteilung über standardisierte Checklisten erfolgt allerdings erst vor der Produktionsübergabe. Trotz des "formal relativ späten Zeitpunkts" hat sich diese Vorgehensweise laut Chief IT-Security Officer (CISO) Stefan Krebs bewährt.

Der Mobilfunkanbieter O2 hat IT-Sicherheit ebenfalls fest im Projektgeschehen verankert. Verantwortliche müssten im Zuge der Designerstellung auf einem Formblatt detailliert festhalten, inwieweit sie die Security-Richtlinien einhalten, erklärt Alex Röder, Geschäftsführer Information Systems und CIO der O2 GmbH & Co KG. Diese Vorgaben werden vom "Vice President Corporate Security" erlassen, bei dem Mobilfunkanbieter besetzt diese Position Ursula Leinemann. Ihre Aufgabe ist es unter anderem, unter Mitwirkung diverser Fachabteilungen inklusive der Technikorganisation IT-Security-Guidelines aus den Konzernrichtlinien abzuleiten und entsprechende Policies zu verabschieden, deren Einhaltung vom Betrieb sowie dem Bereich Audit kontrolliert werden. Sie berichtet an Dietrich Beese, den O2-Geschäftsführer Corporate Affairs, der neben Security auch den Bereichen Legal, Audit, Lobbying, Regulierung, Qualität und Carrier Services vorsteht. Werden die Sicherheitsrichtlinien im Zuge eines Vorhabens nicht eingehalten, fordert der Security-Prozess eine Risikoübernahme. "Ansonsten würde das Projekt nicht gelauncht", so Röder.

Von Beginn an aufpassen

Bereits in einer sehr frühen Projektphase packt der Henkel-Konzern Security-Themen an. "Wir wollen Sicherheitsklippen von Anfang an umschiffen", bekräftigt Michael Prange, der bei Henkel als Leiter CNS für die IT-Infrastruktur verantwortlich zeichnet und eng mit dem "Information IT-Security Officer" (ISO) des Düsseldorfer Konsumgüterkonzerns kooperiert. Organisatorisch ist der Sicherheitschef in das Audit-Department, die Konzernrevision des Unternehmens, eingebunden und berichtet direkt an den CEO. Unter seiner Aufsicht entsteht auch die verbindliche IT-Security-Policy, deren Einhaltung wiederum die weltweit für die einzelnen Regionen verantwortlichen Chief Administrative Officers (CAOs) der Henkel-Gruppe zu überwachen haben.

Obwohl also die meisten Firmen IT-Sicherheit sehr ernst nehmen, gibt es Fehler, die immer wieder auftreten. Selbst in Großunternehmen, die bereits eigene Security-Teams etabliert und unternehmensspezifische Policies entwickelt haben, werden die Sicherheitsverantwortlichen seiner Erfahrung nach oft zu spät in das Projektgeschehen involviert. Cirosec-Chef Strobel berichtet: "In den meisten Fällen preschen die Fachabteilungen ihren Bedürfnissen entsprechend erst einmal vor, um mit ihren Vorstellungen dann bei der Sicherheitsabteilung das große Grauen auszulösen." Vor allem bei Eigenentwicklungen erachtet es der Berater als zwingend, Security-Aspekte bereits im Vorfeld der Codierung einzuplanen: Zum einen sei über nachträgliche Implementierungen technisch keine echte Sicherheit zu gewährleisten. Zum anderen würden erst im fortgeschrittenen Projektstadium berücksichtigte Sicherheitsbelange nicht selten das für das Vorhaben angesetzte Budget sprengen.

In einem Punkt sind sich die Security-Verantwortlichen weitgehend einig: Allein aufgrund von Sicherheitsbedenken werden von den Fachabteilungen beantragte Vorhaben nicht abgelehnt. "Glaubt jemand, sich nicht an die von mir erlassenen Sicherheitsrichtlinien halten zu können, wird dieses Risiko im Rahmen eines nach ISO27000 orientierten Security-Prozesses bewertet", erläutert Krebs von der Finanz IT GmbH. Alle Unternehmensrisiken werden in einer zentralen Datenbank, dem von der Sicherheitsabteilung unabhängigen "Risiko- und Chancen-Management" des IT-Dienstleisters, gesammelt und der Geschäftsleitung regelmäßig vorgelegt.

Das Business hat Vorrang

Auch bei O2 wurde bislang noch kein Vorhaben aus Sicherheitsgründen ganz abgewehrt. Aus Gründen der Flexibilität hält es CIO Röder für nötig, nach Analyse von Business-Vorteil und potenziellem Schaden sowie detaillierter Aufklärung der Unternehmensleitung Wagnisse einzugehen. "Nicht Security soll das Business treiben, sondern umgekehrt", meint Röder. Für ein permanentes Monitoring sorgt ein eigens eingesetztes Team, das neben den Audit-Ergebnissen auch die akzeptierten Risiken im Auge behält. "Da haben wir nicht wenige", räumt Röder ein, der etwa einmal im Vierteljahr eine Risikoübernahme unterschreibt, um Projekte zu ermöglichen.

Doch nicht alle Unternehmen lassen sich auf Risiken ein. Wenn beispielsweise bei der Henkel-Gruppe ein Projekt firmeninterne Sicherheitsrichtlinien verletzt, wird es in der Regel nicht umgesetzt. "Da gibt es keine Risikoabwägung - unsere Policy ist bindend", so Prange. Im Zweifelsfall müsse der Fachbereich von seinen Anforderungen etwas abrücken, um diese den Sicherheitsrichtlinien anzupassen - nicht etwa umgekehrt. Aufgrund der frühzeitigen Einbindung der Security-Verantwortlichen in das Projektgeschehen kommt es allerdings selten zu einer kategorischen Ablehnung eines IT-Vorhabens: Prange schätzt die Quote in seinem Unternehmen auf unter ein Prozent. Im Eskalationsfall hat bei Henkel das "Oberste Informatik-Komitee", das sich aus Business-Managern sowie IT-Verantwortlichen im Vorstand zusammensetzt, das letzte Wort.

Hart in Sachen Security gibt sich auch die Fressnapf Tiernahrungs GmbH: Verstößt ein von den Fachabteilungen beantragtes Projekt gegen die von dem Franchise-Unternehmen definierten Security-Standards, sei dies schlicht ein "No-go-Kriterium", statuiert Bernd Hilgenberg, der als Gesamtverantwortlicher IT auch für das Thema IT-Security verantwortlich zeichnet. Für eine Trennung der beiden Zuständigkeiten seien die organisatorischen Strukturen des Mittelständlers nicht ausgelegt, begründet er die Personalunion.

Erst kürzlich sei bei Fressnapf eine Software abgelehnt worden, die - entgegen der Security-Policy - eine Rekonfiguration der firmeneigenen Firewall erfordert hätte, nennt Hilgenberg ein Beispiel für die diesbezügliche Konsequenz seines Unternehmens. Er sieht es als seine grundsätzliche Aufgabe, für ein größtmögliches Maß an Sicherheit zu sorgen - allerdings unter Berücksichtigung ökonomischer Gegebenheiten: "Wir sind ja nicht die Nasa und wollen auch noch Geld verdienen", räumt der IT- und Security-Chef ein. In der Regel würden Sicherheitsbedenken gemeinsam mit den Fachabteilungen besprochen, "die ihre Anforderungen dann meist von sich aus entsprechend modifizieren oder das Projekt aufgeben", beschreibt Hilgenberg die friedliche Koexistenz aller Beteiligten.

Abkopplung von der IT

Sicherheitsexperten deuten die abteilungsübergreifende Koordination des Themas IT-Security und dessen Abnabelung von der Technikabteilung als Indizien für eine zunehmende Reife. Letztere hängt nach Beobachtungen von Berater Wirnsperger allerdings weniger von der Firmengröße als von der jeweiligen Industrie ab: So zähle der Bankensektor angesichts der dort zu erfüllenden Regularien zu den sicherheitbewussten Branchen, während etwa im Medienbereich Nachholbedarf bestehe.

Cirosec-Consultant Strobel hält folgende Konstellation für die günstigste: "Im Idealfall berichtet der Sicherheitsverantwortliche entweder direkt an den Vorstand, oder er ist dem CIO unterstellt, verfügt jedoch über einen separaten Berichtskanal zum CEO."

Nicht zuletzt angesichts der mit Security einhergehenden Investitionsentscheidungen hält es auch Ludwig Zink, Consulting Manager bei dem Netzdienstleister International Network Services (INS), für günstig, wenn das Thema Sicherheit nicht primär IT-getrieben ist. Dies allein habe sich in der Praxis allerdings noch nicht als Qualitätsgarant erwiesen: "Manche Unternehmen haben zwar bereits einen CSO - doch ist er nicht selten ein König ohne Reich", so Zink. Häufig habe der Sicherheitschef lediglich eine Reporting-Funktion, während Sicherheitsinitiativen nach wie vor aus einzelnen Abteilungen kämen.

CSO Krebs erachtet seinen Einflussbereich als größer: "Der Security-Bereich ist nicht die Unternehmensleitung, hat aber die Vollmacht Vorgänge situativ zu stoppen und zu beeinflussen", so der Manager, der bei der Finanz IT GmbH Weisungsrecht in allen Sicherheitsbelangen hat, direkt an den Vorsitzenden der Geschäftsführung berichtet und dem eine 20 Experten starke Security-Mannschaft zur Verfügung steht. Allerdings empfindet auch er es als vorteilhaft, nicht in einem operativen Bereich, sondern direkt beim Vorsitzenden der Geschäftsführung in einer mit der Revision vergleichbaren Position angesiedelt zu sein.