Diese Freiheit haben seine Kollegen in den Unternehmen nicht. Für sie sind Betriebssicherheit, Vertraulichkeit und Verfügbarkeit der Daten und Programme von größter Bedeutung. "Für uns ist ein Systemausfall der Super-Gau", sagt Kai Benzing, CISO beim Reiseveranstalter Thomas Cook. "Für die Reisebüros und Kunden müssen die Systeme ständig verfügbar sein - damit verdienen wir ja unser Geld." Er verantwortet die Sicherheit der IT-Systeme mit 3000 Nutzern bei Thomas Cook in Deutschland. Seine Rolle als CISO ist eher strategischer Natur: Die komplette IT-Infrastruktur ist an den IT-Dienstleister LH-Systems ausgelagert. Zu Benzings Aufgaben gehören die Formulierung der Ziele der IT-Security im Einklang mit der Business-Strategie, die Definition von Anforderungen, die Entwicklung von Kriterien für das Risk-Management, das Klassifizieren von Daten und das Ausarbeiten und Anpassen der Security Policies. Seit 2003 ist er als CISO im Amt. "Schon allein dadurch, dass ich mich als CISO ausschließlich um Sicherheitsbelange kümmere, ist ein entscheidender Schritt für mehr IT-Sicherheit getan", sagt Benzing.

Marketing-Aspekt nicht zu unterschätzen

Lardschneider nennt einen weiteren Grund für eine umfassende und nach außen darstellbare IT-Sicherheit: "Wir werden auch an unserer Verlässlichkeit gemessen. Die operative Sicherheit - und damit auch die Sicherheit der IT-Systeme - wird von der Öffentlichkeit zunehmend kritisch hinterfragt. Eine gut funktionierende IT-Sicherheit ist damit für uns auch ein nicht zu unterschätzender Marketingaspekt." Das ist, verglichen mit einer Vielzahl seiner Kollegen, durchaus weitsichtig - denn die IT-Sicherheit beeinflusst auch die Einschätzung durch Analysten und wirkt sich auf den Aktienkurs aus. Den US-Top-Managern scheint aber vor allem Sarbanes-Oxley in die Glieder gefahren zu sein. Fast die Hälfte der US-Unternehmen haben ihre IT-Sicherheitsrichtlinien erst im Hinblick auf gesetzliche Vorgaben überarbeitet. In Deutschland waren es nur 20 Prozent, denen regulatorische Vorgaben Anlass zu einer Revision der IT-Sicherheit gaben.

Auf die Frage nach den Auswirkungen von Sicherheitsvorfällen gab nur ein einziges deutsches Unternehmen Nachteile für den Aktienkurs an - bei insgesamt 256 erfassten Sicherheitsvorfällen (Weltweit waren es 114 bei 6274 erfassten Vorfällen). 50 Prozent hatten mit ausfallenden oder verlangsamten Netzwerken zu kämpfen; ebenso waren bei einer Hälfte der Unternehmen E-Mail oder Anwendungen zeitweise ausgefallen. Bei 18 Prozent der Vorfälle verschickten die Server ungewollt massenweise Spam. Verantwortlich für die Störfälle waren nach Einschätzung der Betroffenen an erster Stelle Hacker, gefolgt von Angestellten und ehemaligen Mitarbeitern.

Nur fünf Prozent senken die Ausgaben

Insgesamt zeichnet die amerikanische Studie ein durchaus positives Bild. Die IT-Sicherheit in den Unternehmen ist besser geworden. Die Budgets steigen - wenn auch nur moderat. Fast die Hälfte der Befragten will ihre Ausgaben erhöhen, bei 46 bleiben sie gleich, nur fünf Prozent senken die Ausgaben (siehe Diagramm Seite 18) Pläne für Business-Continuity und Desaster-Recovery sind bei 45 Prozent der deutschen Unternehmen in Kraft, weitere 30 Prozent wollen sie im Laufe des Jahres installieren. Und 46 Prozent haben sich vorgenommen, ihre Policies und technischen Standards zu verbessern. Stiefkinder sind nach wie vor die mangelnde Ausrichtung der IT-Security auf die Business-Strategie und das Fehlen eines umfassenden Risk-Managements.

CISO Lardschneider von der Münchener Rück jedenfalls blickt optimistisch in die Zukunft. Obwohl sein Budget dieses Jahr nicht steigt, glaubt der überzeugte Sicherheitsmann, dass die Zeit für ihn arbeitet: "IT-Sicherheit ist unverzichtbar. Ohne funktionierende IT kein funktionierendes Unternehmen - diese Erkenntnis setzt sich inzwischen auch in den Führungsetagen vieler großer Unternehmen durch", ist Lardschneider überzeugt. Und im Großen und Ganzen bestätigt die Studie "The State of Information Security 2004" seine Vermutung.