Der Markt für IT-Security boomt

IT-Sicherheit: Strategie statt Technik

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Kaum ein anderer Bereich der deutschen IT-Industrie konnte in den vergangenen Jahren so zulegen wie IT-Sicherheit. Das ist gut für die Branche, zeigt aber auch, welchen Nachholbedarf die Unternehmen hier noch haben.

Nach Schätzungen der Experton Group wird der in Deutschland über Sicherheitsprodukte erzielte Umsatz im laufenden Jahr bei 2,08 Milliarden Euro liegen – 13,4 Prozent mehr als im Vorjahr. Die Branche boomt, und das verwundert nicht: Das viel zitierte "Hase-Igel-Rennen" zwischen Angreifern und Herstellern nimmt weiter an Fahrt auf, Unternehmen müssen sich täglich mit Themen wie Datenschutz, der Sicherheit beim Mobile Computing und zunehmend auch mit Compliance-Regelungen auseinandersetzen. Galt es in der Vergangenheit primär, Sicherheitslücken in Software rechtzeitig zu schließen, bevor ein Angriff von außen erfolgen konnte, geht es mittlerweile darum, für alle Eventualitäten gewappnet zu sein. Der Großteil der Sicherheitsvorfälle, gegen die Firmen sich absichern müssen, erfolgt mittlerweile von innen heraus – wenn auch oft unbeabsichtigt – durch unvorsichtige oder unwissende Mitarbeiter. Angriffe von außen werden seltener, dafür aber effektiver und aggressiver: Das Bild vom Hacker, der der Welt zeigen möchte, wie gut sein Schadcode funktioniert, ist veraltet. Vielmehr hat sich eine profitable Schattenwirtschaft nach Marktprinzipien entwickelt: Angegriffen werden nur noch diejenigen, bei denen es auch wirklich etwas zu holen gibt.

Mit dem zunehmenden Anspruch der Mitarbeiter, von überall aus arbeiten zu können, steigt die Zahl der potenziellen Gefahrenstellen: Blackberry, Smartphone und PDA gehören schon jetzt zum guten Ton, deren Absicherung wird nach Expertenmeinungen im kommenden Jahr eine der größten Security-Herausforderungen darstellen. Die bislang mangelhafte Standardisierung, gerade auch von unternehmenseigenen Web-Applikationen, die über verschiedene Endgeräte angesteuert werden können, macht die mobile Sicherheit nicht gerade einfacher. Eine Mammutaufgabe stellt nicht zuletzt die flächendeckende Einführung von Identity-Management-Lösungen dar, denn gerade kleine und mittelständische Unternehmen hinken hier noch deutlich hinterher.

Sicherheit fängt im Kopf an

CW-TV: 'Das Hase-Igel-Spiel bleibt aktuell' - Gespräch mit Wolfram Funk, Experton Group.
CW-TV: 'Das Hase-Igel-Spiel bleibt aktuell' - Gespräch mit Wolfram Funk, Experton Group.

Doch Sicherheit fängt im Kopf an: Geht es nach dem Willen der Experten, forcieren Unternehmen Mitarbeiter-Schulungen sowie Bewusstseinskampagnen und setzen gegebenenfalls bereits vorhandene Security-Policies auch durch. Doch die Wirklichkeit sieht noch ein wenig anders aus: Laut Experton wird die Bedeutung der IT-Sicherheit für das Gesamtunternehmen in Deutschland unterschätzt und vom Topmanagement in den meisten Firmen nach wie vor als reine IT-Aufgabe betrachtet. Das erschwert ein strategisches Risiko-Management, ebenso mangelt es am Informationsaustausch mit den Fachabteilungen. Nach der jüngsten Security-Studie von Experton betreiben erst 55 Prozent der Interviewten punktuelle Risiko-Analysen, 41 Prozent setzen ein umfassendes Risiko-Management um, und knapp 30 Prozent konzipieren Risiko-Assessments mit den Business-Bereichen.

Hilfe von außen

Glaubt man den Analysten, setzen deutsche Unternehmen zunehmend auf externe Dienstleistungen, um ihre Sicherheitsanforderungen zu klären und zu erfüllen. Was in den USA seit einigen Jahren bereits Standard ist, hält nun auch hierzulande Einzug: Drei Viertel der von Experton befragten Organisationen holen sich Security-Wissen in irgendeiner Form bereits von außen ins Haus. Meist handelt es sich dabei um Wartungs- und Supportleistungen, besonders extern betriebene Schwachstellen-Audits und Prozessberatungen sind den Experten zufolge aber stark im Kommen. 2008 könnte auch in Deutschland branchenübergreifend erstmalig ein Jahr der langfristig angelegten, strategisch statt technisch motivierten Absicherung von Kundendaten und Geschäftsprozessen werden.