Hinzu kommt, dass die Branche seit Microsofts Einstieg verunsichert ist. Schließlich bricht auch Symantec zu neuen Ufern auf. Analysten, Mitbewerber und Kunden freuen sich demonstrativ darüber, dass Microsoft die Sicherung seiner Betriebssysteme künftig selbst in die Hand nimmt. Hinter dieser Zustimmung verbirgt sich jedoch mindestens so viel Häme wie Verunsicherung. So wird darüber spekuliert, dass es Microsoft weniger um das lukrative Security-Geschäft gehe als darum, dem Ruf entgegenzuwirken, Windows, das E-Mail-Programm „Outlook“ und der „Internet-Explorer“ selbst seien das Sicherheitsproblem. In der Tat gelten diese Programme als Haupteinfallstor für Malware jeder Art - vor allem weil die Microsoft-Produkte aufgrund ihrer weiten Verbreitung bei Attacken den größten Effekt versprechen. So gehen schon vor der ersten öffentlichen Betaversion des Windows-XP-Nachfolgers „Vista“ Meldungen über darauf spezialisierte Viren über den Ticker.
Steht Microsoft für Security?
Security-Spezialisten wie Kaspersky Labs reagieren nervös auf die Möglichkeit, Microsoft könne Sicherheitsfunktionen in das Betriebssystem integrieren. Deutschland-Geschäftsführer Andreas Lamm warnte auf der CeBIT 2005 vor einer Microsoft-Monostruktur, durch die erfolgreiche Angriffe noch größeren Schaden anrichten können. Gewichtigere Argumente gegen einen raschen Erfolg von Microsoft führt Artur Heil, Geschäftsführer beim Security-Dienstleister Cybertrust, ins Feld: „Wenn ein Großkonzern mehrere tausend Antiviren-Clients installiert hat, wird er sie nicht in kurzer Zeit umstellen. Vorher gilt es Prozesse, etwa für automatische Updates, anzupassen. Deshalb bleiben große Unternehmen noch lange bei Symantec, CA, Trend Micro und McAfee.“ Hinzu kommt, dass die Beschränkung auf die Windows-Plattform für größere Unternehmen ebenfalls nicht attraktiv ist. Tatsächlich möchten nach einer Online- Umfrage der COMPUTERWOCHE mehr als drei Viertel von über tausend Teilnehmern keine Antivirensoftware von Microsoft.
Solche Statistiken sind allerdings irreführend. Selbst die Kaspersky-Geschäftsführung geht davon aus, dass die Masse der Konsumenten die Microsoft-Sicherheitssoftware benutzen wird, insbesondere wenn sie den bekannten Desktop-Produkten kostenlos beiliegt. In diesem Bereich sind daher Umsatzeinbrüche für die klassischen Antivirenprodukt-Hersteller unvermeidlich. Viele Anbieter stehen aber auch unter Druck, weil Konsumenten wie Firmenkunden zunehmend nach Suiten verlangen, die alle gängigen Sicherheitsaufgaben in sich vereinigen. Auf diese Weise lassen sich der Verwaltungsaufwand und die Zahl der Lieferanten reduzieren. Aus ähnlichen Gründen sind vor allem in mittelständischen Unternehmen die wartungsarmen „Multifunktions-Appliances“ beliebt, die Angriffe, Spam und andere äußere Bedrohungen abwehren. Analysten erwarten schon lange eine Konsolidierung des an Anbietern reichen Security-Marktes. Sollte sie nun einsetzen, ist der Einstieg von Microsoft allenfalls ein Auslöser, nicht die Ursache.
Der eigentliche Grund für eine Neuorientierung der Branche liegt vor allem in der Einsicht, dass Sicherheit als Aufgabe längst alle Bereiche eines Unternehmens durchdringt und deshalb ganzheitlich anzugehen ist. Aus Sicht der Chefetagen geht es nicht nur um die Abwehr äußerer und innerer Angriffe, sondern generell darum, dass der operative Betrieb möglichst nicht gestört wird. „Deshalb propagiert Symantec, dass Verfügbarkeit genauso wichtig wie Security ist. Von hier kommt der Business-Druck“, so Cybertrust-Geschäftsführer Heil. Ein wenig paradox erscheint, dass Symantec der Security-Branche damit den anerkanntermaßen richtigen Weg gewiesen hat, ihn aber vermutlich relativ einsam gehen wird. Den meisten Sicherheitsanbietern fehlen für einen so umfassenden Ansatz schlicht die Produkte und das Geld.
Symantec begibt sich in eine neue Liga, in der die System-Management-Größen wie Computer Associates (CA) und Hewlett-Packard spielen, aber auch Netzausstatter wie Cisco und Speicherspezialisten wie EMC. Sie alle bemühen sich unter dem Schlagwort Business Continuity, dass die Systeme ihrer Kunden möglichst ausfallsicher arbeiten.
Wer darf was? Wer tut was?
Symantecs unmittelbarster Wettbewerber ist derzeit wohl CA. Der Anbieter von Management-Software verfügt über ein breites Security-Portfolio vom Client bis zum Mainframe sowie über Speicherprodukte. So gehören zur hauseigenen „Data Protection Suite“ auch Backup und Recovery. CA konzentriert sich derzeit auf das Hype-Thema Identitäts-Management, ein Bereich, in dem Symantec bislang nichts vorzuweisen hat.
Identity-Management lässt sich einem Trend zuordnen, der momentan vor allem große Anwenderunternehmen erfasst hat: Compliance, also die Erfüllung von vorgegebenen Regularien. Die Bedeutung von Identitäts- und Zugangs-Management liegt hier darin, bei Bedarf belegen zu können, wer was im Unternehmen tun durfte und getan hat. Auch Geschäftspartner werden inzwischen in solche Systeme einbezogen. CA ist hier seit Jahren Marktführer. Allerdings sind auch die IBM und Sun ausgesprochen aktiv. Zählt man zu dem Markt auch Administration, Autorisierung und Authentifikation hinzu, liegt Big Blue vor CA.
Umstritten ist in Sachen Compliance, welche Rolle der immer wieder genannte Sarbanes-Oxley Act hier zu Lande spielt, da diese Regeln für transparente, sprich nachvollziehbare Unternehmensführung eigentlich nur Konzerne betrifft, die in den USA börsennotiert sind. Allerdings bereitet die EU für nächstes Jahr ein Regelwerk vor, in der dieser Act mit den hiesigen Basel-II-Regeln verschmolzen werden soll, die Banken ab August 2007 bei der Kreditvergabe berücksichtigen müssen. Schon jetzt wirken diese Vorgaben sich sehr direkt aus. Eine schlechte Wertung bei den Sicherheitsstandards führt zu höheren Kreditzinsen. Hinzu kommt der momentane Expansionsdrang deutscher Unternehmen ins nahe und ferne Ausland, wo jenseits der Sicherheitsbelange die verschiedensten Vorschriften warten. Handlungsbedarf ist also gegeben, und viele Unternehmen nützen laut CA die Gelegenheit, generell transparente Strukturen einzuziehen. „Das Ganze läuft auf eine Revisionssicherheit der IT-Infrastruktur hinaus“, so Gerhard Beeker, Business Unit Manager E-Trust bei CA. Hiesige Unternehmen sind nach seiner Auskunft besonders eifrig.
Compliance wird als einer der Hauptmarkttreiber gesehen, obwohl die Anwender hier vor allem Beratungsleistungen brauchen, die nur am Rande mit IT-Security zu tun haben. Dieses Geschäft ist meist in der Hand von Accenture und Co., die allerdings immer wieder Fach- Know-how hinzuziehen müssen. Hier tut sich eine kleine, aber lukrative Geschäftsnische für Symantec und andere Security-Spezialisten auf. Zudem können Compliance- Bemühungen gerade bei großen Organisationen erhebliche Investitionen in Sicherheitslösungen initiieren. Außerdem pflanzen sich die Compliance-Regeln und die damit verbundenen Kosten oft auch auf die Zulieferer von Industriekonzernen fort.
Großer Wandel nicht in Sicht
Ein genereller Wandel in Richtung Security-Dienstleistungen ist eher unwahrscheinlich, auch wenn Analysten für 2005 ein Wachstum dieses Bereichs um 9,5 Prozent auf rund 1,6 Milliarden Euro prognostiziert haben. Gutes Geschäft ist beispielsweise mit Beratung für globale Sicherheitsrichtlinien zu machen. Solche fehlen nach einer Umfrage des TK-Dienstleisters Equant in mehr als der Hälfte der 200 befragten deutschen Großunternehmen. Ein weiteres Feld sind die Managed Security Services. Hier werten Firmen wie Symantec oder Cybertrust in ihren Rechenzentren die Logfiles aus den Firewalls und Intrusion-Detection-Systemen ihrer Kunden aus und lösen im Gefahrenfall Alarm aus. Dieser Outsourcing- Dienst setzt allerdings beim Kunden eine ausgefeilte Security-Infrastruktur und eine volle Tool-Austattung voraus. Konsequenterweise sieht Olaf Lindner, Director Symantec Security Services, Sicherheit als einen Bereich, in dem der Wertschöpfungsanteil der Services zwar stetig steigt, aber im Kern doch auf einem Produkt beruht.
Bedrohungen ändern sich ständig
Charakteristisch für den Sicherheitsmarkt ist, dass die Bedrohungen sich ständig verändern. Es handelt sich um ein Rennen, bei dem die Programmierer von Malware der Industrie immer einen kleinen Schritt voraus sind. Absolute Sicherheit gebe es nicht, warnt der Symantec- Manager Lindner. Daher könne es nur darum gehen, erkennbare Risiken mit vertretbaren Kosten zu vermeiden. Mit raschen Updates und globalen Analysen lassen sich die Appliances und Scanner der Unternehmen über neue Viren oder Spam-Attacken informieren.
Große Sorgen bereitet der Branche, dass die Angriffe immer gezielter erfolgen. Lindner berichtet von einem Fall in Israel, wo ein trojanisches Pferd speziell für die Industriespionage in einem Unternehmen entwickelt und über Präsentationen beim Topmanagement eingeschleust wurde. Von solchen Vorfällen bekommt ein Antiviren- Dienstleister nur per Zufall etwas mit. Seine Tools sind großer krimineller Energie nicht gewachsen. Hier gilt es, organisatorische Maßnahmen zu ergreifen und die Aufmerksamkeit der Mitarbeiter zu schulen. Bei der Suche nach Tätern allerdings können Logfiles und forensische Techniken wieder helfen.
Auf einen Wachstumstrend ist Verlass: Jede Innovation reißt neue Sicherheitslücken auf. Eine Riesenaufgabe ist zum Beispiel die Einbindung von mobilen Techniken in die Sicherheitsverfahren. Generell reicht es allerdings oft, gängige Verfahren an die Neuerungen anzupassen. Auch die sich allmählich ausbreitende IP-Telefonie sorgt für Arbeit.Mit dem Session Initiation Protocol (SIP), das bei Voice over IP (VoIP) genutzt wird, kommen Firewalls allerdings schon länger zurecht. Trivial sind die Aufgaben deswegen jedoch noch lange nicht. So müssen in den USA immer mehr Unternehmen ihre Instant-Messaging- Systeme abschalten, weil sie damit nicht die Hürden der Sarbanes-Oxley-Vorgaben nehmen können.
* Der Autor HERMANN GFALLER ist freier Journalist in München. [hgfaller@arcor.de]