elche Bedeutung das Thema IT-Sicherheit hat, braucht man deutschen Unternehmen nicht zu sagen. Die Security-Professionals hierzulande wissen gut Bescheid über die Gefahren, die ihre IT-Systeme bedrohen, und ergreifen Gegenmaßnahmen. Mit Erfolg, wie es scheint: So ergab eine Befragung von rund 600 IT-Entscheidern im Auftrag von McAfee im Mai dieses Jahres, dass 91 Prozent der deutschen Unternehmen mit mehr als 250 Mitarbeitern zu 80 Prozent und mehr mit dem firmeneigenen IT-Schutz zufrieden sind - bessere Werte erzielte kein anderes europäisches Land.

Auch in Bezug auf die Wirtschaftlichkeit der eingesetzten Security-Lösungen erreichen die deutschen Sicherheitsspezialisten Höchstwerte: 88 Prozent schätzen diese positiv ein (Frankreich: 91 Prozent). Zum Vergleich: In den Niederlanden halten 27 Prozent der Befragten ihren IT-Schutz für nicht wirtschaftlich.

Gute Aussichten

Möglicherweise trägt dieses Bewusstsein für IT-Risiken dazu bei, dass der deutsche Security-Markt sich eines stabilen Wachstums erfreut. Zwar ist das Volumen dieses Segments, das sich aus Produkten (Hardware und Software) sowie Services zusammensetzt, im Vergleich zum gesamten IT-Markt relativ bescheiden: So kalkulierte die Experton Group für den deutschen IT-Markt im Jahr 2005 einen Wert von 66,9 Milliarden Euro - auf IT-Security entfielen davon rund 3,7 Milliarden Euro. Dafür erfreut sich die Sicherheitsbranche jedoch an Zuwachsraten, wie sie der Gesamt-IT-Markt schon seit Jahren nicht mehr kennt: Für 2006 rechnen die Analysten mit einem Anstieg von elf Prozent auf die Gesamtsumme von rund 4,1 Milliarden Euro. Der deutsche IT-Markt insgesamt muss sich in diesem Jahr mit einem Wachstum von 3,4 Prozent auf 69,2 Milliarden Euro begnügen, wenn die Analysten mit ihrer Prognose Recht behalten.

Steigende Budgets

Verwundern müssen diese Zahlen nicht, denn wie eine Online-Umfrage der COMPUTERWOCHE von März bis Mai 2006 ergab, rangiert die Sicherheit bei Anwendern ganz oben, wenn sie nach den für sie zentralen IT-Herausforderungen gefragt werden. Lediglich der Aspekt Standardisierung/Konsolidierung hatte für die Befragten einen noch höheren Stellenwert.

Daher sind die Anwender auch bereit, Geld für Sicherheitsvorhaben auszugeben. Nach Einschätzung von Wolfram Funk, Senior Advisor bei der Experton Group, steigen die Security-Budgets in deutschen Unternehmen derzeit "tendenziell eher an". Obwohl die einheimischen Anwender im internationalen Vergleich bei der Erfüllung ihrer Security-Pflichten gut abschneiden, sind dem Experten zufolge durchaus "noch Hausaufgaben zu erledigen".

Er sieht dabei vier große Themen, um die sich Firmen vorrangig kümmern müssen: Zunächst sind es die vielfältigen, immer ausgefeilteren und zunehmend zielgerichteten Malware-Attacken, die eine große Herausforderung darstellen. Außerdem seien Anwender gefordert, plattformübergreifende Lösungen zu finden, die das automatisierte Management von Patch-Prozessen und IT-Schwachstellen ermöglichen. Hinzu kommt dem Analysten zufolge die Compliance-Problematik; Mit Hilfe entsprechender Tools und Prozesse soll verhindert werden, dass Unternehmen gegen Gesetze und Richtlinien verstoßen: Dieses Thema sei zwar in Deutschland noch nicht so wichtig wie beispielsweise in den USA, spiele jedoch eine immer größere Rolle. Als letzten Punkt sieht Funk ein verstärktes Bemühen um mehr Applikationssicherheit, wodurch auch Themen wie Web-Services, Service-orientierte Architekturen sowie Identity-Management stärker in den Mittelpunkt des Interesses rücken.

Security wird hinterfragt

Bei der Beschäftigung mit diesen Dingen haben die Unternehmen mit Personal- und Zeitmangel zu kämpfen. Auch der Faktor Geld spielt laut Funk immer noch eine Rolle, denn "steigende Budgets bedeuten nicht, dass genügend finanzielle Mittel zur Verfügung stehen". Der Wille zur Verbesserung sei zwar da, und es geschehe einiges, doch letztlich "konkurrieren die Security-Vorhaben immer mit allen anderen IT-Projekten". In vielen Fällen werde daher noch jeder Euro umgedreht und im Zweifelsfall mit einer einfacheren Security-Lösung Vorlieb genommen, die die Standardanforderungen wie Virenschutz und Firewall abdeckt. Das Restrisiko werde dafür in Kauf genommen. Komplexere Projekte erfordern laut Funk einen Business Case, aus dem hervorgeht, was die Lösung tatsächlich bringt.

Dass so genau gerechnet wird, ist kein Wunder. Funks Schätzungen zufolge müssen die deutschen Unternehmen allein schon 35 bis 40 Prozent des Sicherheitsetats auf interne Kosten verwenden, sprich für das eigene Personal und etwaige Schulungen ausgeben. Der Rest des Security-Budgets verteilt sich auf Produkte, also Hardware und Lizenzkosten, sowie externe Services, für die Anwender laut Funk "ein knappes Drittel" ihrer Security-Budgets ausgeben.

Im Jahr 2005 war das immerhin eine Gesamtsumme von rund 1,7 Milliarden Euro, was etwa 46 Prozent des deutschen IT-Security-Marktvolumens entspricht. Knapp zwei Milliarden gaben die deutschen Sicherheitsexperten für Produkte, also Hard- und Software aus (54 Prozent).

Die Qual der Wahl

Die Anwender haben die Qual der Wahl, denn eine große Schar von Anbietern buhlt um ihre Gunst und damit ihr Geld. Die deutsche Security-Landschaft ist aus Sicht von Funk von vielen kleinen Firmen gekennzeichnet, die "relativ gut in ihren jeweiligen Nischenmärkten agieren". Seiner Einschätzung zufolge stellt es für diese Hersteller eine große Herausforderung dar, internationale Vertriebsstrukturen aufzubauen, um gegenüber der großen Konkurrenz bestehen zu können.

Daneben sieht der Experte im Bereich Beratung/Implementierung sowie Managed Services "Firmen wie Sand am Meer". Eine Übersicht der Fachpublikation "kes" listete Anfang 2006 rund 180 Firmen auf, die allein im Umfeld der IT-Security-Beratung ihr Geld verdienen.

Dazu gehören viele kleine Player, aber auch Unternehmen wie T-Systems, SBS, Integralis oder Secunet, die dem Experton-Mann zufolge "zumindest europaweit Rang und Namen haben" und nicht nur reine Dienstleistungen anbieten, sondern auch konkrete Lösungen im Portfolio haben.

Platzhirsch

Aus der breiten Masse der in Deutschland aktiven Sicherheitsanbieter ragen einige Firmen heraus. Symantec gilt nach wie vor als der Security-Platzhirsch, wobei sich die Stärke des Herstellers historisch vor allem auf die breite installierte Basis im Bereich der Privatanwender gründet. Mit einem Anteil von rund 50 Prozent im Bereich der Antivirensoftware war Symantec im letzten Jahr in Europa klar die Nummer eins vor Konkurrenten wie McAfee, Trend Micro oder Panda Software. Daneben gibt es einige deutsche Anbieter wie Softwin ("Bitdefender") oder Avira ("Antivir"), die über durchaus leistungsfähige Lösungen verfügen, mit denen sie auch Unternehmenskunden ansprechen. Im Vergleich zu den genannten international agierenden Herstellern spielen sie jedoch eine eher untergeordnete Rolle.

Neue Impulse sowohl für den internationalen als auch den deutschen Security-Markt könnten Microsofts verstärkte Ambitionen im Bereich IT-Sicherheit bringen. Die Redmonder haben durch Zukäufe Techniken zum Schutz vor Viren und Spyware erworben und wollen diese mit Services koppeln, um die Desktop-Rechner der Anwender zu optimieren und zu schützen.

Daneben will Microsoft sein Security-Portfolio, das unter anderem in Gestalt des "Internet Security and Acceleration Server" eine Lösung für professionelle Anwender enthält, durch weitere Akquisitionen ausbauen. Damit würde der Anbieter stärker in Gefilde vorstoßen, in denen hierzulande vor allem Cisco Systems stark ist. Der kalifornische Hersteller nutzt seinen hohen Bekanntheitsgrad im Netzbereich, um vom Wachstum des Security-Segments zu profitieren. Seit Jahren baut Cisco sein Sicherheitsportfolio sukzessive aus und ist hier inzwischen mit seinen Produkten wie den "Pix"-Firewalls, VPN-Gateways oder den Multifunktionsgeräten der "Adaptive-Security-Appliances"-Reihe eine feste Größe.

Es bleibt abzuwarten, wie sich die verstärkten Ambitionen von Microsoft auf den Security-Markt auswirken werden.
Von Martin Seiler (Redakteur bei der Computerwoche)