Die firmeninterne Zuständigkeit für den Bereich Security wandelt sich: Zunächst primär der IT zugeordnet, entwickelt sich der Themenkomplex allmählich zu einem eigenen Ressort mit abteilungsübergreifender Zuständigkeit.

Sicherheitsexperten und -berater begrüßen diese Entwicklung: Wo Security allein aus der IT heraus gesteuert wird, sind Interessenkonflikte ihrer Ansicht nach unausweichlich. Im Zweifelsfall habe sich die IT als von den Fachabteilungen beauftragter Dienstleister an deren Wünschen zu orientieren, meint Stefan Strobel, Geschäftsführer von Cirosec, einem auf IT-Sicherheit spezialisierten Dienstleistungs- und Beratungshaus. Im Alleingang könne sie dem Thema im Unternehmen nur wenig Gewicht verleihen.Peter Wirnsperger, Security-Spezialist bei Deloitte & Touche, geht noch weiter: "Aufgabe der IT ist es ja, Dinge zu ermöglichen und nicht Projekte abzulehnen." Das sei aber die zwangsläufige Folge einer Organisation, in der die IT-Abteilung die Verantwortung für alle Sicherheitsthemen trage.

Eigene Abteilungen

Deutsche Firmen haben dies offenbar erkannt: Vor allem große Unternehmen haben ihre IT-Organisation mittlerweile von der Last befreit und dedizierte Security-Positionen geschaffen oder gar eigene Abteilungen mit dem Thema betraut. Formalisierte und festgeschriebene Prozesse im Projektumfeld sollen zudem gewährleisten, dass Sicherheitsaspekte bereits in der Konzeption eines IT-Vorhabens berücksichtigt werden und nicht etwa kurz vor dem Rollout zu einer kostspieligen Notbremsung zwingen.