Editorial

Security ist keine Frage der Technik

04.10.2004
Es gibt keinen undankbareren Job als den des Chief Security Officers. Stetig muss er zur Vorsicht mahnen und Geld für Dinge ausgeben, deren Effekt niemand bemerkt - jedenfalls, wenn alles gut geht. Taucht das Thema Sicherheit dennoch auf einer Vorstands-Agenda auf, dann nur, weil die Ausfallzeiten der Systeme überhand genommen haben und die Folgekosten für fehlende Sicherheit bereits entstanden sind. In so einer Situation möchte man nicht CSO sein. Es ist ein bisschen so, als höre in dieser Position das Jahr-2000-Problem niemals auf zu existieren, mit dem einzigen Unterschied, dass damals noch Geld für technische Lösungen vorhanden war.

Es gibt keinen undankbareren Job als den des Chief Security Officers. Stetig muss er zur Vorsicht mahnen und Geld für Dinge ausgeben, deren Effekt niemand bemerkt - jedenfalls, wenn alles gut geht. Taucht das Thema Sicherheit dennoch auf einer Vorstands-Agenda auf, dann nur, weil die Ausfallzeiten der Systeme überhand genommen haben und die Folgekosten für fehlende Sicherheit bereits entstanden sind. In so einer Situation möchte man nicht CSO sein. Es ist ein bisschen so, als höre in dieser Position das Jahr-2000-Problem niemals auf zu existieren, mit dem einzigen Unterschied, dass damals noch Geld für technische Lösungen vorhanden war.

Die Sicherheitsausgaben 2004 hingegen stagnieren. Genau wie bei der ersten großen Security-Studie des CIO-Magazins 2003 liegen sie bei elf Prozent der IT-Budgets. Das ist kein Grund zum Jammern, denn auch mit einem gleich bleibenden Anteil lassen sich die Downtimes reduzieren, wie die Antworten von mehr als 8000 Sicherheitsverantwortlichen weltweit zeigen. Security ist eben keine Frage von teuren technischen Lösungen, sondern eine Sache der "Awareness bei den Mitarbeitern. Wie sich diese erzeugen lässt, zeigt der bekannteste deutsche Chief Information Security Officer, Michael Lardschneider von der Münchener Rückversicherung (Seite 12). Er und andere CSOs belegen, dass Sicherheit als absoluter Wert bei Mitarbeitern nicht zu vermitteln ist, da diese ein Mehr an Security immer mit einem Weniger an Freiheit bezahlen. Die Hauptarbeit eines CSO besteht darin, hier das richtige Verhältnis zu finden und zu vermitteln.

Übrigens: Das deutsche CIO-Magazin feiert in diesem Oktober dreijähriges Bestehen. Auch 2001 haben wir aus traurigem Anlass des 11. Septembers das Thema Sicherheit auf dem Titel geführt. Es hat uns seitdem immer wieder beschäftigt: Gerade erst letzten Monat hat unser Autor Detlef Borchers für seinen Artikel über biometrische Verfahren (CIO vom April 2004) einen Journalistenpreis von Innenminister Otto Schily verliehen bekommen. Borchers hat es darin geschafft, sich nicht von den Möglichkeiten der Technik blenden zu lassen, sondern auf das richtige Verhältnis von Freiheit zu Sicherheit zu verweisen.

So werden wir das Thema auch in Zukunft behandeln.

Ihre CIO-Redaktion