"Man kann nicht früh genug an später denken", lautet der Werbeslogan der Gothaer Versicherung in Köln. Ein Kleinkind mit blau gestricheltem Bart strahlt den Betrachter an. Die Fusion mit der Berlin-Kölnischen Krankenversicherung vor vier Jahren hat hier dazu geführt, in Sachen IT-Sicherheit erwachsener zu werden.
IT-Vorstand Herbert Schmitz erkannte damals in der Vielzahl unterschiedlicher Systeme ein Gefahrenpotenzial. "Er gab der Sicherheit einen besonderen Stellenwert, indem er eine zentrale Abteilung für die Sicherheit installierte", erinnert sich Günther Otten, Leiter der Abteilung Corporate Security. Während Projekte wie die Vereinheitlichung der Systeme und der Umstieg auf SAP R/3 von der IT-Tochter Informationsverarbeitung und Dienstleistungen (IDG) erledigt werden, ist Ottens zehnköpfiges Team für die Sicherheit im Unternehmen sowie der IT verantwortlich und direkt dem IT-Vorstand unterstellt. "Für technische Fragen ziehen wir die IDG hinzu", sagt Otten, der dafür jährlich eine Million Euro ausgeben darf.
Konzernweite Leitlinien
Otten betreut die vier Verantwortungsbereiche IT-Sicherheit, Datenschutz, physisch-technische Sicherheit und Arbeitssicherheit. Für jeden davon gibt es eine einheitliche Politik. "Konzernweit ist festgelegt, welcher Virenschutz eingesetzt werden soll und welche Festplattenverschlüsselung für den Außendienst vorgesehen ist", sagt der Diplomkaufmann. "Verbindliche Regeln sind noch längst nicht selbstverständlich in deutschen Unternehmen."
Als Standards kann Otten inzwischen eine vom TÜV zertifizierte Firewall vorweisen, zudem ein Virtual Private Network (VPN) sowie einen übergreifenden Virenschutz. Doch Otten ist Realist; er weiß, dass alte Sicherheitskonzepte ständig geprüft und verbessert werden müssen. So bereitet er derzeit ein Single-Sign-on-Konzept für das Portal vor und außerdem eine Mitarbeiterkarte. "Diese Company-Card dient der Identifizierung, Zeiterfassung, Zugangskontrolle und Authentifizierung; sie soll signaturfähig werden", sagt Otten.
Seit 2001 wird mangelhafter Datenschutz sanktioniert. In der Novelle des Bundesdatenschutzgesetzes ist der "Anlassbezug" für eine Untersuchung des Datenschutzes in Firmen durch die Aufsichtsbehörden weggefallen. "Bis dahin wurde der Datenschutz irgendwem aufgedrückt; diese Feigenblattfunktion gibt es nicht mehr", sagt Otten, der 2002 den Datenschutzpreis der Bonner Gesellschaft für Datenschutz und Datensicherung erhielt. Die Landesdatenschutzaufsicht Düsseldorf darf also ohne konkreten Verdacht bei der Gothaer Versicherung überprüfen, ob Daten unrechtmäßig an Dritte weitergegeben oder gar verkauft wurden.
Anforderungen an Risk Management steigen
Auch das Artikelgesetz zur Kontrolle und Transparenz im Unternehmensbereich ("KonTraG") zwingt Unternehmen seit 1998, "ein Überwachungssystem zur Früherkennung existenzgefährdender Entwicklungen einzurichten". Seither ist die Verpflichtung der Geschäftsführung gesetzlich festgeschrieben, ein unternehmensweites Risikomanagement einzuführen, auch für die IT. "Die Einführungen der digitalen Signatur und einer starken Verschlüsselung aus dem Netz kosten schnell eine Millionensumme", sagt Otten. "Für die Geschäftsführung stellt sich die betriebswirtschaftliche Frage: Soll man das Risiko der un- sicheren Übermittlung von Daten eingehen oder aber eine hohe Summe investieren?" Sowohl börsennotierte Unternehmen als auch solche, in denen die IT eine unternehmenskritische Rolle spielt, werden durch "KonTraG" erfasst. "Kann einem Vorstand ein Organisationsverschulden nachgewiesen werden, haftet er persönlich dafür", so Otten. Der Imageschaden, den die Firma erleide, sei dagegen kaum reparabel. Folge: Die IT-Sicherheit ist im Vorstand als tragende Säule akzeptiert - hierzulande allerdings noch nicht überall.
Sicherheit fange in den Köpfen an, meint Otten. Der "hüpfende Weihnachtsmann" etwa werde von Mitarbeitern immer gern an Bekannte und Verwandte gemailt. Dass sich dahinter oft ein Trojaner, also ein verdecktes Virus, verbirgt, sei vielen nicht bewusst. Ottens Gegenkonzept: Aufklärung über das Mitarbeiterportal. Zudem bietet er Online-Schulungen an - die jedoch nach seinem Wunsch mehr genutzt werden könnten.