Diese Unterstützung kann Lardschneider brauchen, denn das Verhältnis zwischen IT und Sicherheit birgt Spannungen. Seine Beobachtung: IT-Verantwortliche neigten dazu, gegenüber dem Management und den Fachbereichen die Risiken zu verharmlosen, um ihre eigenen Budgets zu schonen. "Das Management verliert den Bodenkontakt, wenn es nur aus einer Perspektive informiert wird", warnt Lardschneider.
Um das zu verhindern, betreibt der CISO professionelles Risk Assessment. Lardschneider berät die CIOs in Sachen Informationssicherheit, er kann ihnen sogar fachliche Weisungen erteilen. Die Verantwortung für die IT tragen jedoch die lokalen Entscheider. Diese Struktur existiert seit 1998, und wie fast alle IT-Großprojekte trägt sie einen Namen: "@lcatraz".

Eigentlich passt das nicht so gut, denn isoliert wie die legendäre Gefängnisinsel in der Bucht von San Francisco ist die IT der Münchener Rück gewiss nicht. Im Gegenteil: Die Vernetzung mit den Tochtergesellschaften und den Erstversicherern, den Kunden der Rückversicherung also, erfordert eine intensive Kommunikation. Doch die findet unter scharfer Kontrolle statt, und so passt der Name dann doch wieder. Außerdem fasst Lardschneider die damit verbundenen, bedrohlichen Assoziationen als angemessene Motivation auf, dem Risiko entschlossen und mit hohem Einsatz zu begegnen. Im kanadischen Toronto betreibt die Gesellschaft ein Center of Competence für IT-Sicherheit. Kryptographie- und Authentifizierungsexperten entwickeln dort im Auftrag des CISOs die technische Basis für konzernweite Security-Lösungen.

Menschen sind nicht böse, aber riskant

Die in IT-Sicherheitskreisen verbreitete Meinung, dass Menschen an sich böse und korrupt und deshalb das größte Risiko für jedes Netzwerk seien, teilt Lardschneider nicht. Aber da Routine mit der Zeit zu Nachlässigkeit führe, erblickt er in allen Mitarbeitern ein Risiko - was auf dasselbe hinausläuft. "Erst wenn der Mensch aus einem Prozess verschwindet, wird dieser sicher", sagt der CISO. In der IT zieht er deshalb für oft wiederholte Tätigkeiten, etwa das Auswerten von Protokolldateien, automatische Werkzeuge vor.

Das Misstrauen trifft dabei auch die Fachabteilungen. Mitarbeiter, die ihren PC während der Pause schon mal ohne Passwortschutz gelassen haben, wissen das. Zurück am Platz, fanden sie ein Fenster vor mit Texten wie: "Überlegen Sie mal, was ich alles hätte machen können, wenn ich gewollt hätte!" - Lardschneider war da, der Walking Man in Sachen Sicherheitsbewusstsein.

Schäden an die große Glocke hängen

Mit dem Schrecken, den er so gelegentlich verbreitet, verfolgt er ein Ziel: den Sinn jedes Einzelnen für die eigene Verantwortung in Sachen Sicherheit zu schärfen. "Wenn lange nichts passiert, schläft das Bewusstsein dafür ein", konstatiert Lardschneider. Um das zu verhindern, scheut er sich nicht, sicherheitskritische Vorfälle konzernweit publik zu machen. Seine Erfahrung: "Aus Schaden wird man nur dann klüger, wenn man darüber redet."