Seit 2001 wird mangelhafter Datenschutz sanktioniert. In der Novelle des Bundesdatenschutzgesetzes ist der "Anlassbezug" für eine Untersuchung des Datenschutzes in Firmen durch die Aufsichtsbehörden weggefallen. "Bis dahin wurde der Datenschutz irgendwem aufgedrückt; diese Feigenblattfunktion gibt es nicht mehr", sagt Otten, der 2002 den Datenschutzpreis der Bonner Gesellschaft für Datenschutz und Datensicherung erhielt. Die Landesdatenschutzaufsicht Düsseldorf darf also ohne konkreten Verdacht bei der Gothaer Versicherung überprüfen, ob Daten unrechtmäßig an Dritte weitergegeben oder gar verkauft wurden.

Anforderungen an Risk Management steigen

Auch das Artikelgesetz zur Kontrolle und Transparenz im Unternehmensbereich ("KonTraG") zwingt Unternehmen seit 1998, "ein Überwachungssystem zur Früherkennung existenzgefährdender Entwicklungen einzurichten". Seither ist die Verpflichtung der Geschäftsführung gesetzlich festgeschrieben, ein unternehmensweites Risikomanagement einzuführen, auch für die IT. "Die Einführungen der digitalen Signatur und einer starken Verschlüsselung aus dem Netz kosten schnell eine Millionensumme", sagt Otten. "Für die Geschäftsführung stellt sich die betriebswirtschaftliche Frage: Soll man das Risiko der un- sicheren Übermittlung von Daten eingehen oder aber eine hohe Summe investieren?" Sowohl börsennotierte Unternehmen als auch solche, in denen die IT eine unternehmenskritische Rolle spielt, werden durch "KonTraG" erfasst. "Kann einem Vorstand ein Organisationsverschulden nachgewiesen werden, haftet er persönlich dafür", so Otten. Der Imageschaden, den die Firma erleide, sei dagegen kaum reparabel. Folge: Die IT-Sicherheit ist im Vorstand als tragende Säule akzeptiert - hierzulande allerdings noch nicht überall.

Sicherheit fange in den Köpfen an, meint Otten. Der "hüpfende Weihnachtsmann" etwa werde von Mitarbeitern immer gern an Bekannte und Verwandte gemailt. Dass sich dahinter oft ein Trojaner, also ein verdecktes Virus, verbirgt, sei vielen nicht bewusst. Ottens Gegenkonzept: Aufklärung über das Mitarbeiterportal. Zudem bietet er Online-Schulungen an - die jedoch nach seinem Wunsch mehr genutzt werden könnten.