Der "Walking Man" von Jonathan Borofsky: 17 Meter hoch, 16 Tonnen schwer und energisch ausschreitend. Seit 1995 ragt die Skulptur an der Leopoldstraße in München auf, Symbol für Größe und Bewegung. Damit steht das Monument vor dem Hauptsitz der Münchener Rückversicherungs-Gesellschaft am richtigen Platz: Mit 36 Milliarden Euro an Beiträgen und 162 Milliarden Euro Kapitalanlagen ist das Unternehmen der größte Rückversicherer der Welt. Und Bewegung ist immer; Katastrophen wirbeln die Gewinnrechnung regelmäßig durcheinander. Die Anschläge auf das World Trade Center und das Pentagon kosteten die Münchener Rück rund 3,4 Milliarden Euro, 15,4 Prozent der Beitragseinnahmen aus dem Rückversicherungsgeschäft.
Ein CISO ist kein Datenschützer
Um das Geschäftsrisiko durch Lücken in der IT nicht zu erhöhen, hat die Münchener Rück den Posten eines Chief Information Security Officers geschaffen. CISO - nur ein gut titulierter Datenschutzbeauftrager ohne große Befugnisse? Datenschützer haben selten eigene Budgets, teilweise ist ihr Einfluss auf IT-Entscheidungen kaum wahrnehmbar. Michael Lardschneider, der CISO der Münchener Rück, weiß das und wundert sich deshalb nicht über die Frage. Herkömmlichen Industrie-Datenschützern, die mit ihrer Kernaufgabe und der Absicherung der IT-Infrastruktur häufig überfordert sind, hat er jedoch einiges voraus. Er ist ausschließlich für die IT-Sicherheit zuständig. Alle Beteiligten wissen zudem: Versicherer können in diesem Bereich keine Kompromisse eingehen.
Im vergangenen Dezember wurde das ganz deutlich. Über eine nicht genehmigte Internet-Verbindung gelangte ein Virus ins Netz; ein ganzer Standort musste für 126 Stunden abgehängt werden. Die Schadenminderungs-kosten (ohne Geschäftsausfall) beliefen sich auf 1000 Personenstunden. "Das kam im Vorstand zur Sprache; seitdem ist die Sensibilität noch ausgeprägter", weiß Lardschneider.
Bringschuld der IT gegenüber der Security
Ohnehin ist die IT-Security der Münchener Rück hoch aufgehängt: als Stabsstelle unter dem CIO (offizieller Titel: Group Information Executive, GIE) Rainer Janßen, an den Lardschneider berichtet. Damit ist er den CIOs der elf Tochtergesellschaften der Münchener Rück in Europa, Amerika, Afrika und Asien/Ozeanien gleichgeordnet, die mit ihren insgesamt 450 Mitarbeitern plus 250 externen Consultants derzeit einige große Projekte in Arbeit haben. Seit April läuft die konzernweite Umstellung auf Windows 2000 als Server- und PC-Betriebssystem; der Projektabschluss ist für das Jahresende geplant. Ebenfalls ein dicker Brocken: das Rückversicherungs-Verwaltungs-system "Gloria" (Global Re-Insurance Administration) auf der Basis von SAP R/3.
Insgesamt laufen pro Jahr rund 350 Projekte an den fünf IT-Standorten Johannesburg, München, Princeton (New Jersey), Sydney und Toronto. "Da kann ich nicht immer mit am Tisch sitzen", erklärt Lardschneider. "Security-relevante Informationen und Leistungen sind deshalb eine Bringschuld der IT-Verantwortlichen gegenüber dem CISO." Der sieht seine Position zusätzlich gestärkt, weil GIE Janßen "ein Faible für IT-Sicherheit" habe und sich deshalb gegenüber Belangen der IT-Security sehr offen zeige.
Diese Unterstützung kann Lardschneider brauchen, denn das Verhältnis zwischen IT und Sicherheit birgt Spannungen. Seine Beobachtung: IT-Verantwortliche neigten dazu, gegenüber dem Management und den Fachbereichen die Risiken zu verharmlosen, um ihre eigenen Budgets zu schonen. "Das Management verliert den Bodenkontakt, wenn es nur aus einer Perspektive informiert wird", warnt Lardschneider.
Um das zu verhindern, betreibt der CISO professionelles Risk Assessment. Lardschneider berät die CIOs in Sachen Informationssicherheit, er kann ihnen sogar fachliche Weisungen erteilen. Die Verantwortung für die IT tragen jedoch die lokalen Entscheider. Diese Struktur existiert seit 1998, und wie fast alle IT-Großprojekte trägt sie einen Namen: "@lcatraz".
Eigentlich passt das nicht so gut, denn isoliert wie die legendäre Gefängnisinsel in der Bucht von San Francisco ist die IT der Münchener Rück gewiss nicht. Im Gegenteil: Die Vernetzung mit den Tochtergesellschaften und den Erstversicherern, den Kunden der Rückversicherung also, erfordert eine intensive Kommunikation. Doch die findet unter scharfer Kontrolle statt, und so passt der Name dann doch wieder. Außerdem fasst Lardschneider die damit verbundenen, bedrohlichen Assoziationen als angemessene Motivation auf, dem Risiko entschlossen und mit hohem Einsatz zu begegnen. Im kanadischen Toronto betreibt die Gesellschaft ein Center of Competence für IT-Sicherheit. Kryptographie- und Authentifizierungsexperten entwickeln dort im Auftrag des CISOs die technische Basis für konzernweite Security-Lösungen.
Menschen sind nicht böse, aber riskant
Die in IT-Sicherheitskreisen verbreitete Meinung, dass Menschen an sich böse und korrupt und deshalb das größte Risiko für jedes Netzwerk seien, teilt Lardschneider nicht. Aber da Routine mit der Zeit zu Nachlässigkeit führe, erblickt er in allen Mitarbeitern ein Risiko - was auf dasselbe hinausläuft. "Erst wenn der Mensch aus einem Prozess verschwindet, wird dieser sicher", sagt der CISO. In der IT zieht er deshalb für oft wiederholte Tätigkeiten, etwa das Auswerten von Protokolldateien, automatische Werkzeuge vor.
Das Misstrauen trifft dabei auch die Fachabteilungen. Mitarbeiter, die ihren PC während der Pause schon mal ohne Passwortschutz gelassen haben, wissen das. Zurück am Platz, fanden sie ein Fenster vor mit Texten wie: "Überlegen Sie mal, was ich alles hätte machen können, wenn ich gewollt hätte!" - Lardschneider war da, der Walking Man in Sachen Sicherheitsbewusstsein.
Schäden an die große Glocke hängen
Mit dem Schrecken, den er so gelegentlich verbreitet, verfolgt er ein Ziel: den Sinn jedes Einzelnen für die eigene Verantwortung in Sachen Sicherheit zu schärfen. "Wenn lange nichts passiert, schläft das Bewusstsein dafür ein", konstatiert Lardschneider. Um das zu verhindern, scheut er sich nicht, sicherheitskritische Vorfälle konzernweit publik zu machen. Seine Erfahrung: "Aus Schaden wird man nur dann klüger, wenn man darüber redet."
Es gibt noch einen Grund für das Misstrauen des CISOs: "Menschen sind auf der ganzen Welt in Gewohnheiten und kulturellen Verhaltensmustern gefangen", analysiert Lardschneider, der seine Jugend teils in Lateinamerika verbrachte. Schwierig findet er seine Aufgabe vor allem in Asien, wo es kaum möglich sei, einem Sicherheitschef Entscheidungsgewalt zu geben. Japanische Security-Verantwortliche hielten unerschütterlich daran fest, ihre Vorgesetzten zu fragen - aus der Sicht eines Europäers fatal. Lardschneider: "Eingriffe in die Arbeitsabläufe kann man da eigentlich fast vergessen."
Für das Sicherheitsmanagement stehen ihm 4,8 Millionen Euro pro Jahr zur Verfügung, rund fünf Prozent vom IT-Budget. Das reiche derzeit für die Konzeption bedarfsgerechter Lösungen, sagt der CISO. "Sicherheitsmaßnahmen müssen ein akzeptables Verhältnis zwischen Kosten und Nutzen aufweisen" - das ist Gesetz. Konkret bedeutet dies etwa, dass nur sicherheitskritische E-Mails verschlüsselt werden, so bei Firmenübernahmen oder beim Thema Lebensversicherungen. Lardschneider: "Dafür gibt es an diversen Standorten gesonderte Arbeitsplätze." Eine eigene Krypto-Lösung für die Vorstandsmitglieder sei in Arbeit und werde den Münchener-Rück-Oberen demnächst zur Verfügung gestellt. Auch Restriktionen muss er durchsetzen, zum Beispiel bei der Verschlüsselung von E-Mails auf PDAs. "Zu unsicher, zu teuer und derzeit nicht machbar!", lautet Lardschneiders Ansage, und die Manager fügen sich - wenn auch oft knurrend.
"IT-Sicherheit ist wie eine Versicherungspolice: Man zahlt, akzeptiert aber ein Restrisiko", zitiert Lardschneider GIE Janßen. "Sonst würden die Beiträge ins Uferlose steigen."