"Ein Grundübel ist, dass der IT-Sicherheitsverantwortliche noch bis zur Unternehmensgröße großer Mittelständler fast regelmäßig der IT-Leiter ist", sagt Sicherheitsberater Euler. "Er hat aber eine technische Sicht der Dinge und investiert deshalb auch zuerst in Technik. Die Erkenntnis, dass organisatorische Maßnahmen nötig sind, wird in den seltensten Fällen aus der IT-Abteilung kommen." Zwar lasse sich, bei entsprechendem Budget, die Gefahr durch Angriffe von außen zu 99 Prozent mit technischen Mitteln abfedern, glaubt Sicherheitsexperte Euler, "aber damit hat man höchstens die Hälfte für die IT-Sicherheit getan". Dabei seien gerade Lücken im Personal- und Organisationsbereich mit relativ geringem Aufwand zu schließen. "Hier kann man mit wenig Geld viel erreichen", weiß Euler aus Erfahrung.

Security raus aus der IT-Abteilung

Nach wie vor liegt die Verantwortung für IT-Sicherheit in gut 70 Prozent der Unternehmen in den IT-Abteilungen. Kein Wunder also, dass professionelles Risk-Management und die Ausrichtung der Sicherheitsmaßnahmen auf die Business-Strategie nach wie vor die Ausnahme ist: Nur zwölf Prozent der deutschen Unternehmen leiten ihre IT-Security-Strategie konsequent aus den Unternehmenszielen ab. Allzu oft eilen die Maßnahmen den gesetzlichen Auflagen hinterher. Den "Best Practice"-Unternehmen machen diese hingegen wenig zu schaffen. Lardschneider kann ihnen sogar eine gute Seite abgewinnen: "Das lenkt die Aufmerksamkeit des Managements auf Sicherheitsfragen und vereinfacht für mich die Argumentation für Security-Investments." Ähnlich entspannt sieht es Wolfgang Schäfer, Leiter der Organisation IT-Sicherheit bei der Datev. Als Dienstleistungsunternehmen für bundesweit 39 000 Steuerberater liegt seine Messlatte für die IT-Scherheit auch ohne gesetzlichen Zwang besonders hoch: "Wir sind dem Gesetzgeber meist voraus. Wenn die gesetzlichen Regelungen akut werden, müssen wir lediglich unsere Mechanismen anpassen."

Wo sich die Gefahrenabwehr ausschließlich auf technische Lösungen stützt, bleiben die Sicherheitsmaßnahmen jedoch Flickwerk. Denn der Sicherheitsstandard hat nur bedingt mit der technischen Ausstattung zu tun. Beispiel Firewalls: Sie gehören fast regelmäßig zur Grundausstattung und dienen als Beleg für eine vorhandene Sicherheitsinfrastruktur. Aber: "Wer glaubt, dass eine Firewall automatisch mehr Sicherheit bringt, liegt falsch. Wenn es keine Security-Policy gibt, die klar festlegt, wie die Firewall zu konfigurieren ist, bleibt sie selbst ein Unsicherheitsfaktor", sagt Henning Brauer, Internet-Provider aus Hamburg und Firewall-Experte. Aber lediglich in 60 Prozent der deutschen Unternehmen ist die Netzwerk-Sicherheits-Administration Bestandteil der Security Policies. Regeln für den Internet-Gebrauch finden sich nur bei 35 Prozent, Hinweise zur Überprüfung des Sicherheits-Standards lediglich bei 15 Prozent der Unternehmen (siehe Tabelle Seite 20).

Uwe Schulz ist als Info-Security-Manager bei der Siemens-Verkehrstechnik in Krefeld für die IT-Sicherheit verantwortlich. Auch für ihn ist Mitarbeiterschulung ein zentrales Anliegen: "Es geht darum, die Leute zu überzeugen. Generelle Verbote führen nicht automatisch dazu, dass die Mitarbeiter sich tatsächlich daran halten", sagt Schulz. "Sicherheitsregeln müssen so gemacht sein, dass sie im Arbeitsalltag eingehalten werden können."

Die Überzeugungsarbeit kann gar nicht früh genug beginnen und zielt nicht nur auf die Mitarbeiter: "Es kommt darauf an, Management und Führungskräfte aus der Fachabteilung schon bei der Planung neuer Anwendungen ins Boot zu holen. Sicherheit ist eine Designfrage, kein Add-on-Produkt. Die nachträgliche Inplementation von Security-Features ist fast unmöglich oder unbezahlbar", sagt Security-Experte Lardschneider. Auch Schulz glaubt an die Kraft der Kommunikation: "Es reicht nicht aus, dem Business- Management das Regelwerk auf den Tisch zu legen. Als Sicherheitsmann muss man sich schon die Mühe machen, zu erklären und zu überzeugen."