So spielt IT-Sicherheit etwa bei der Finanz IT GmbH, dem IT-Dienstleister der Sparkassen-Finanzgruppe, von Projektbeginn an eine tragende Rolle: Security-Konzepte beziehungsweise Risikobetrachtungen gehören hier zu den Pflichtzutaten eines jeden Vorhabens. Eine entsprechende Kontrolle durch die Sicherheitsabteilung über standardisierte Checklisten erfolgt allerdings erst vor der Produktionsübergabe. Trotz des "formal relativ späten Zeitpunkts" hat sich diese Vorgehensweise laut Chief IT-Security Officer (CISO) Stefan Krebs bewährt.

Der Mobilfunkanbieter O2 hat IT-Sicherheit ebenfalls fest im Projektgeschehen verankert. Verantwortliche müssten im Zuge der Designerstellung auf einem Formblatt detailliert festhalten, inwieweit sie die Security-Richtlinien einhalten, erklärt Alex Röder, Geschäftsführer Information Systems und CIO der O2 GmbH & Co KG. Diese Vorgaben werden vom "Vice President Corporate Security" erlassen, bei dem Mobilfunkanbieter besetzt diese Position Ursula Leinemann. Ihre Aufgabe ist es unter anderem, unter Mitwirkung diverser Fachabteilungen inklusive der Technikorganisation IT-Security-Guidelines aus den Konzernrichtlinien abzuleiten und entsprechende Policies zu verabschieden, deren Einhaltung vom Betrieb sowie dem Bereich Audit kontrolliert werden. Sie berichtet an Dietrich Beese, den O2-Geschäftsführer Corporate Affairs, der neben Security auch den Bereichen Legal, Audit, Lobbying, Regulierung, Qualität und Carrier Services vorsteht. Werden die Sicherheitsrichtlinien im Zuge eines Vorhabens nicht eingehalten, fordert der Security-Prozess eine Risikoübernahme. "Ansonsten würde das Projekt nicht gelauncht", so Röder.

Von Beginn an aufpassen

Bereits in einer sehr frühen Projektphase packt der Henkel-Konzern Security-Themen an. "Wir wollen Sicherheitsklippen von Anfang an umschiffen", bekräftigt Michael Prange, der bei Henkel als Leiter CNS für die IT-Infrastruktur verantwortlich zeichnet und eng mit dem "Information IT-Security Officer" (ISO) des Düsseldorfer Konsumgüterkonzerns kooperiert. Organisatorisch ist der Sicherheitschef in das Audit-Department, die Konzernrevision des Unternehmens, eingebunden und berichtet direkt an den CEO. Unter seiner Aufsicht entsteht auch die verbindliche IT-Security-Policy, deren Einhaltung wiederum die weltweit für die einzelnen Regionen verantwortlichen Chief Administrative Officers (CAOs) der Henkel-Gruppe zu überwachen haben.