Deshalb sind es häufig E-Business-Initiativen, die CIOs veranlassen, die IT-Sicherheit auf den Prüfstand zu stellen. "Vor zehn Jahren war der IT-Sicherheit noch mit Benutzer-Adminstration und Datensicherung Genüge getan; heute braucht man ein für das jeweilige Unternehmensumfeld maßgeschneidertes Sicherheitsmanagement", sagt CA-Sicherheitsfachmann Stephan. Selbst wer in zusätzliche Security-Software investiere, sei keineswegs automatisch abgesichert.

Wichtiger noch, da sind sich die Experten einig, ist das Etablieren einer Security Policy - einer klar und deutlich ausformulierten Sicherheitsrichtlinie. Dazu gehört auch, Sicherheitsziele zu definieren, die gesetzlichen Regelungen zu berücksichtigen, Verantwortliche zu benennen, die Administration einzubinden und Sicherheitsbewusstsein zu schaffen. Hieraus lassen sich dann verbindliche, transparente Handlungsanleitungen für alle Mitarbeiter und Partner des Unternehmens im Umgang mit Systemen, Anwendungen und Daten ableiten. Die technische Umsetzung ist dabei ein wichtiger, aber eben nur ein Baustein der umfassenden Security Policy. Rarität: der Chief Security Officer Weil es IT-Sicherheit nicht von der Stange gibt, beginnt die Planung von Richtlinien immer mit einer Bestandsaufnahme und der Formulierung strategischer Ziele. "Eine sinnvolle Abschätzung des Gefährdungspotenzials kann nur auf einer Bewertung der einzelnen Geschäftsprozesse aufsetzen", erläutert Meta-Experte Casper. "Da spielt nicht allein die Branche eine Rolle, sondern vor allem die Frage, wie wichtig ein bestimmter Prozess für das Kerngeschäft ist." Erst anschließend könnten die Policies für einzelne Bereiche festgelegt werden: beispielsweise für die Zugriffsrechte, den Umgang mit OutsourcingOutsourcing und externen Dienstleistern sowie mit Passwörtern und Eskalationsszenarien, für strategische Prozesse wie Rollendefinitionen, Daten-klassifikationen und das Policy-Management selbst. Alles zu Outsourcing auf CIO.de

Ein steiniger Weg mit vielen Hindernissen. Fast immer werden Sicherheitsmaßnahmen als unbequem wahrgenommen und häufig umgangen. Beispiel Passwort: Wer im häufigen Wechsel "starke" Passwörter (die außer Buchstaben und Ziffern auch Sonderzeichen enthalten) verwenden muss, kann sich diese meist nicht merken. Resultat: Wenn das Passwort nicht gleich gut sichtbar am Bildschirm klebt, hat der Mitarbeiter es meist in unmittelbarer Nähe verwahrt. "Wer danach sucht, findet 50 Prozent der Passwörter im Umkreis von einem Meter von Monitor und Computer" schätzt Professor Christoph Meinel, Direktor des Instituts für Telematik in Trier.

Andere Probleme entstehen bei der Verankerung der Sicherheitsziele in der Administration. Während in den USA ein Chief Security Officer (CSO) zumindest in großen Unternehmen keine Seltenheit mehr ist, sind Sicherheitsverantwortliche mit klaren Befugnissen hierzulande noch die große Ausnahme. Meist im Bereich der operativen IT angesiedelt, haben sie eher die technische Umsetzung als die strategische Planung im Blick. "Es ist unerlässlich, die strategischen Ziele regelmäßig zu überprüfen. Die IT-Sicherheit ist keine Aufgabe, die einmal erledigt wird, sondern ein fortlaufender Prozess", sagt Sicherheitsberater Casper. "Das Formulieren von Sicherheitsrichtlinien ist nur dann sinnvoll, wenn der verantwortliche Manager in der Position ist, sie intern durchzusetzen - notfalls auch gegen Widerstände", bestätigt CA-Mann Stephan.

So weit sind nur wenige europäische Unternehmen. Gerade ein Viertel stützt sich bei der IT-Sicherheit überhaupt auf ein Policy-Set, das fortlaufend angepasst wird. Am ehesten ist diese Art der Prävention bei Großunternehmen und jenen zu finden, die schon ein E-Business-Projekt abgeschlossen haben. Das Bewusstsein, dass eine immer komplexere Firmen-IT mit einem ebenso komplexen und maßgeschneiderten Sicherheitsmanagement ausgestattet sein muss, ist noch weithin unterentwickelt.