Wer sich als IT-Verantwortlicher vor eventuellen Haftungsansprüchen schützen möchte, muss versuchen, sich buchstäblich schadlos zu halten. So zählt die Broschüre eine "gewissenhafte Aufgabenerfüllung" ebenso auf, wie eine "regelmäßige Information der Geschäftsleitung über mögliche Risiken" und die Erarbeitung von "Lösungsvorschlägen für Sicherheitsmängel". Ebenfalls auf sicherem Terrain bewegt sich, wer Projekte vorschlägt oder um ein angemessenes Budget für Sicherheitsfragen ringt.

Risiken unermüdlich aufzeigen

"Lehnt die Geschäftsleitung vorgeschlagene Maßnahmen ab, empfehlen die Autoren, die Risiken erneut aufzuzeigen, Diskussionen und Ablehnungsbeschlüsse zu protokollieren und zu dokumentieren, "Mitwisser zu schaffen" (etwa durch E-Mails mit CC oder BCC) sowie schriftliche Bestätigungen einzufordern.

Auf der sicheren Seite ist, so das Fazit, wer die Verantwortung für die Sicherheitsfragen auf die vorgesetzte Ebene verlagere. Denn letztendlich verantwortlich für die IT-Compliance ist die Unternehmensführung. Sie hat Sorge zu tragen, dass im Unternehmen ein wirksames Risiko-Management-System arbeitet.

"Im KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) schreibt der Gesetzgeber Sicherungsmaßnahmen vor, nach denen ein Überwachungssystem einzurichten ist, das bestandsgefährdende Entwicklungen frühzeitig erkennt". Allein die mit dieser Verantwortung verbundene Haftung macht deutlich: Unternehmenssicherheit ist keine Aufgabe alleine für die IT, sondern eine unternehmensweite Pflicht.