In den Jahren 2003 und 2004 hat sich ein Teil des Sicherheits-Beratungsmarktes bereinigt. Einige Unternehmen sind in Konkurs gegangen oder haben ihre Tätigkeit eingestellt. Manche haben betriebsbedingte Entlassungen ausgesprochen und damit auf eine schlechte Auftragslage reagiert. Andere wiederum wurden fusioniert.
Aber auch neue Beratungsunternehmen wurden gegründet. Sie dürften keine allzu großen Chancen haben, sich durchzusetzen. Oftmals taten sich Gruppen freigesetzter Mitarbeiter zusammen und riefen ein neues Unternehmen ins Leben, weil sich andere Chancen auf dem Arbeitsmarkt nicht boten. Viele glauben, dass Sicherheitsthemen der Renner seien, weil alle Welt über Sicherheit spricht, und haben zu vorhandenen, oft schlecht ausgelasteten Beratungsangeboten Sicherheit ins Programm aufgenommen. Das war falsch - und zu spät, denn Sicherheitsthemen sind auf vielen Gebieten kein Herrschaftsthema mehr. Die Probleme sind so hautnah geworden, dass sich jeder mit Viren, Würmern und Spams auseinander setzen muss. Das Thema ist Tagesgeschäft der Administratoren. Der Markt reagiert offensichtlich empfindlich und konzentriert seine Aufträge auf eingeführte, erfahrene Beratungen. Es gibt Gesellschaften auf dem Gebiet der IT-Sicherheit, die 2003 Wachstumsraten zwischen 30 und 40 Prozent vorweisen konnten. Das Jahr 2004 aber ist eher von Konsolidierung geprägt.
Weiterhin zu beobachten ist der Versuch Branchenfremder, in den Bereich der Sicherheitsberatung einzudringen. Auch große Unternehmensberatungen sind bemüht, Aufträge zum Thema Sicherheit zu akquirieren. Sie sind bislang nicht allzu erfolgreich und haben zu einem großen Teil das dafür abgestellte Personal bereits wieder abgezogen und in anderen Aktivitäten untergebracht.
Viele Unternehmen haben in der Vergangenheit den Fehler gemacht, beim Outsourcing Verträge abzuschließen, die auch Verfügbarkeitsvorgaben enthielten, ohne jedoch zu kontrollieren, wie der Vertragspartner diese Verfügbarkeit sicherstellt, das heißt, ob dessen Dienstleistungsbereich überhaupt den Standard-Sicherheitsanforderungen für das Unternehmen entspricht. Eine Reihe von Ausfällen und/oder Schwachstellenanalysen bei Outsourcing-Anbietern hat gezeigt, dass teilweise elementare Sicherheitserfordernisse nicht erfüllt sind.
Personalmischung gefragt
Berater mit langjähriger Erfahrung in der Erarbeitung von Schwachstellenanalysen im Rechenzentrums-Betrieb und mit einer Personalmischung aus Ingenieuren, Informatikern und IT-Organisatoren sind in Einzelfällen gefragt, um die Standortrisiken beziehungsweise die Risiken der Vertragspartner zu beurteilen und Nachbesserungskonzepte zu entwickeln. Da durch Outsourcing der IT vielfach der Sachverstand im Detail verloren gegangen ist, werden externe Experten hinzugezogen werden müssen.
Keiner gibt den Trend zum Rücksourcing zu, insbesondere wenn es sich um IT-Dienstleistungen handelt. Zwar denkt immer noch eine Vielzahl von Unternehmen erst jetzt über Outsourcing nach, während andere bereits schlechte Erfahrungen gemacht haben und an die Wiederübernahme von Kernfunktionen, die ausgelagert waren, herangehen. IT und IT-Sicherheit sind solche Kernfunktionen. Einige große Beratungsunternehmen verkaufen dessen ungeachtet weiterhin viele Manntage mit nur kurzfristig funktionierenden Outsourcing-Konzepten.
IT als Hirn- und Nervenstrang
IT ist vergleichbar mit Hirn- und Nervenstrang. Beides sind Kernfunktionen eines Organismus. Man kann sich davon nicht trennen, ohne Schaden zu nehmen. Um das zu erkennen, darf man aber sein Hirn nicht schon an Berater outgesourcet haben. Mit dem Rücksourcing, bei dem die gleichen Berater wieder gutes Geld verdienen, gehen erhebliche organisatorische Probleme einher, beispielsweise Wiederaufbau von Fachpersonal, Bereitstellung von Räumen und Ressourcen und Aufgabenplanungen. Der Trend zum Rücksourcing wird sich 2005 verstärkt fortsetzen - mit einer Doppelstrategie: Hochwertige Leistungen werden zurückgeholt, Numbercrunching bleibt ausgelagert.
Corporate Security ist ambivalent zu beurteilen. Die Unternehmen sind bemüht, konzerneinheitliche Konzepte zu entwickeln. Solche Konzepte sind der organisatorische Überbau für die Globalisierung von IT-Aktivitäten und werden von den Unternehmen dringend benötigt. Allerdings wird auf diesem Gebiet noch viel "gefrickelt". Es ist nur eine Frage der Zeit, wann der Nachholbedarf an konzeptioneller Beratung zum Tragen kommt. Noch will man kein Geld dafür ausgeben. Vor einigen Jahren begann man erste derartige Überlegungen anzustellen, hat dann aber auf Externe so weit wie möglich verzichtet und größere Beratungsprojekte in Coaching-Projekte umgewandelt. Das war nicht verkehrt, denn auch durch Coaching wird Know-how-Transfer erreicht. 2005 werden einige auf Eis gelegte Projekte wieder aufgegriffen werden.
Der Datenschutz befindet sich im Umbruch. Viele Datenschutzbeauftragte der ersten und auch der zweiten Generation sind in den zurückliegenden Monaten in Pension gegangen oder werden es bald tun. In vielen Unternehmen herrscht der Gedanke, den Datenschutz künftig in fremde Hände zu geben, also nicht mehr mit einem eigenen Datenschutzbeauftragten (DSB) zu arbeiten, sondern mit einem externen DSB.
Datenschutz kein Fremdkörper
Dafür spricht, dass der Datenschutz sehr oft erheblich "ökonomisiert" wurde. Nicht nur, dass man die Vollzeitstelle des Datenschutzbeauftragten nicht neu besetzt und damit Köpfe reduziert, sondern auch weil Büroinfrastruktur entfällt, sich der hohe Schulungsaufwand vermindert, der mit dem internen DSB zwangsläufig verbunden ist, und das Problem des "Sich-beweisen-Müssens" und der Überbürokratisierung manchmal gelöst wird.
Dem gegenüber steht der Datenschutz durch externe Datenschutzbeauftragte, die häufig ein Prozessdenken einbringen und dafür Sorge tragen, dass er nicht als Fremdkörper auf die Organisation aufgepfropft, sondern homogen in die Abläufe integriert wird. Hier liegt der Trend in den nächsten Jahren - und damit Beratungsbedarf.
Etats sparsam ausgestattet
Etats für Beratung in der IT und IT-Sicherheit sind nach wie vor sparsam ausgestattet, und die Personaldecke ist kurz. Daran wird sich nicht viel ändern. Nur dort, wo durch den Investitionsstau der vergangenen Jahre Bedingungen entstanden, die einfach nicht mehr vertretbar sind, werden Etats vorsichtig freigegeben, zurzeit fast immer im Zusammenhang mit sehr eng definierten Aufgabenstellungen.
Da bei vielen Unternehmen der Investitionsstau geradezu bedrohlich geworden ist, werden neue Rechenzentren und Server-Parks oder Sanierungen bestehender Parks überfällig. Vor allem Hersteller und Systemanbieter drängen mit dem Angebot sehr preiswerter und teilweise sogar kostenloser Vorplanungs- und Beratungsleistungen zwecks Vorverkauf ihrer Produkte und Dienstleistungen in den Markt. Sie verfolgen dabei vorrangig eigene Ziele wie zum Beispiel das anschließende Betreiben der IT. Vor diesem Hintergrund entwickelt sich der Markt für freie Berater teilweise in Richtung Begutachtung von Konzepten als "Third Party Opinion". Dabei stellen sich vielfach erhebliche Überteuerungen - zwischen 25 und 30 Prozent der Problemlösungen - heraus. Hier liegt ein Ökonomisierungspotenzial, das auch verstärkt genutzt wird. (bi)
*Rainer v. zur Mühlen ist Geschäftsführer der gleichnamigen Beratungsgesellschaft in Bonn.
Hier lesen Sie ...
- warum viele Anwender die Kernfunktion der IT-Sicherheit wieder zurück ins Unternehmen holen;
- weshalb neue IT-Sicherheitsberater zurzeit wenig Chancen haben;
- welche organisatorischen Probleme beim Rücksourcing entstehen können;
- warum auch Coaching-Projekte einen Know-how-Transfer in Sachen IT-Sicherheit bringen können.