Es gibt noch einen Grund für das Misstrauen des CISOs: "Menschen sind auf der ganzen Welt in Gewohnheiten und kulturellen Verhaltensmustern gefangen", analysiert Lardschneider, der seine Jugend teils in Lateinamerika verbrachte. Schwierig findet er seine Aufgabe vor allem in Asien, wo es kaum möglich sei, einem Sicherheitschef Entscheidungsgewalt zu geben. Japanische Security-Verantwortliche hielten unerschütterlich daran fest, ihre Vorgesetzten zu fragen - aus der Sicht eines Europäers fatal. Lardschneider: "Eingriffe in die Arbeitsabläufe kann man da eigentlich fast vergessen."

Für das Sicherheitsmanagement stehen ihm 4,8 Millionen Euro pro Jahr zur Verfügung, rund fünf Prozent vom IT-Budget. Das reiche derzeit für die Konzeption bedarfsgerechter Lösungen, sagt der CISO. "Sicherheitsmaßnahmen müssen ein akzeptables Verhältnis zwischen Kosten und Nutzen aufweisen" - das ist Gesetz. Konkret bedeutet dies etwa, dass nur sicherheitskritische E-Mails verschlüsselt werden, so bei Firmenübernahmen oder beim Thema Lebensversicherungen. Lardschneider: "Dafür gibt es an diversen Standorten gesonderte Arbeitsplätze." Eine eigene Krypto-Lösung für die Vorstandsmitglieder sei in Arbeit und werde den Münchener-Rück-Oberen demnächst zur Verfügung gestellt. Auch Restriktionen muss er durchsetzen, zum Beispiel bei der Verschlüsselung von E-Mails auf PDAs. "Zu unsicher, zu teuer und derzeit nicht machbar!", lautet Lardschneiders Ansage, und die Manager fügen sich - wenn auch oft knurrend.

"IT-Sicherheit ist wie eine Versicherungspolice: Man zahlt, akzeptiert aber ein Restrisiko", zitiert Lardschneider GIE Janßen. "Sonst würden die Beiträge ins Uferlose steigen."