Stark zersplittert" - so lautet das Urteil von Claudia Eckert, Leiterin des Fraunhofer-Instituts für sichere Informationstechnik (SIT), über die deutsche IT-Security-Szene. Die Expertin kritisiert, dass in der Community aus Herstellern, Forschern, Anwendern, Beratern und öffentlichen Einrichtungen "nicht alle an einem Strang ziehen" und eine Bündelung der Kräfte derzeit "nicht stattfindet". Eckert steht mit ihrer Meinung nicht allein. Spricht man Berater, Hersteller oder Analysten auf das Thema "Security made in Germany" an, dann hört man ähnliche Aussagen.

Deutscher Markt lockt

So kommt es, dass im deutschen Markt US-amerikanische Security-Anbieter den Rahm abschöpfen. Allen voran bestimmen Konzerne wie Symantec oder Cisco das Geschehen. Immerhin bildet Deutschland den weltweit drittgrößten Markt für Security-Lösungen - mit guten Perspektiven: Für 2006 und 2007 erwartet die Experton Group ein jährliches Wachstum von elf Prozent auf zuletzt 4,5 Milliarden Euro.

Tüftler in Nischen

Doch auch die deutschen Hersteller, sämtlich kleine und mittelständische Firmen mit einer spezialisierten technischen Ausrichtung, sind konkurrenzfähig. Tetraguard, Kobil, Steganos oder IT-Watch sind typische Beispiele hierfür. Michaela Harlander, Geschäftsführerin des Firewall-Spezialisten Genua (Gesellschaft für Netzwerk- und Unix-Administration), beobachtet "eine lebendige Szene kleiner Anbieter, die Punktlösungen entwickelt haben und in ihren Nischen recht aktiv sind". Für Dennis Monner, CEO von Gateprotect, finden sich darunter jedoch "zu wenige, die gute Perspektiven haben". Größere, überregional oder gar international agierende Player gibt es kaum.

Firmen wie Genua, Utimaco oder Astaro bemühen sich zwar, international zu reüssieren, doch der Erfolg fällt ihnen nicht in den Schoß. Das liegt nicht zuletzt daran, dass das Zentrum des weltweiten Security-Markts eindeutig in den USA liegt. Hier finden die wesentlichen Fachveranstaltungen und Messen statt, hier sitzen die tonangebenden Experten vom Schlage eines Bruce Schneier, Whitfield Diffie oder Howard Schmidt. "Die Musik spielt in den USA", bringt Martin Wülfert, CEO von Utimaco, die Situation auf den Punkt.

Technische Kompetenz

Dabei ist Deutschland in Sachen IT-Security kein unbeschriebenes Blatt und weit davon entfernt, ein Entwicklungsland zu sein. Die hiesige Sicherheitsszene hat einen guten Ruf und klare Kompetenzen. "Technisch gesehen stehen wir in einigen Bereichen sehr weit oben", lobt SIT-Leiterin Eckert. Das gelte insbesondere für Themengebiete wie Kryptografie, eingebettete Systeme oder Biometrie und erschöpfe sich nicht in der Forschung, sondern führe auch zu konkreten Produkten. Daneben sieht die Expertin deutsche Anbieter rund um die Absicherung von Anwendungen gut aufgestellt.

Genua-Chefin Harlander konzediert der deutschen Security-Szene zudem ein "gutes Gespür dafür, wo IT-Security wirklich relevant ist". Dazu gehöre, dass Technik kritisch hinterfragt und mögliche Schwachstellen thematisiert werden, wodurch Sicherheitsfragen ernster genommen würden. Symbolisch verkörpert wird diese Art der Auseinandersetzung durch den Chaos Computer Club, den die Managerin als einen "wichtigen, kritischen Impulsgeber" bezeichnet (siehe Kasten "Der Chaos Computer Club").

Daneben profitieren deutsche Anbieter von Security-Lösungen vom guten Klang des Prädikats "made in Germany": Im Ausland verbindet man mit diesem Begriff noch immer Werte wie Qualität, Zuverlässigkeit oder Präzision. Den Glauben an die "deutsche Gründlichkeit, auch was die Herstellung von Produkten angeht", bezeichnet Jan Hichert, CEO von Astaro, daher als "Riesenvorteil". Seine Company ist unlängst als einziger deutscher Hersteller in Gartners Magic Quadrant für Enterprise Network Firewalls aufgenommen worden.

Qualität aus Deutschland

Übereinstimmend glauben die Experten, dass die technische Reife und der Qualitätsgedanke wesentliche Stärken der deutschen Security-Szene darstellen. "Ein hohes Maß an Exaktheit und Zuverlässigkeit" bescheinigt auch Matthias Gärtner, Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI), den hiesigen Security-Produkten. Groteskerweise scheinen es aber gerade diese Eigenschaften zu sein, die dem Erfolg deutscher Unternehmen im Ausland - besonders gegenüber der amerikanischen Konkurrenz - zuweilen im Weg stehen. Anders als die US-Konkurrenz tendieren deutsche Anbieter dazu, die Arbeit mit der Technik allzu sehr in den Vordergrund zu stellen. Peter Graf, Geschäftsführer der Beratungshauses Ampeg, formuliert es so: "Wir sind in Deutschland vor allem Ingenieure. Die Entwicklung einer Lösung steht bei uns im Vordergrund, erst danach denken wir an das Marketing."

Hilfe aus der Politik

Um dieses Defizit auszugleichen und deutschen Security-Anbietern bei der Selbstvermarktung im Ausland unter die Arme zu greifen, hat das Bundesministerium für Wirtschaft und Arbeit (BMWI) im Frühjahr 2005 die Initiative "IT Security made in Germany" (ITSMIG) gestartet. Sie soll eine Art Dachmarke für deutsche Sicherheitstechnik darstellen und Unternehmen dabei helfen, im Ausland Marktanteile zu gewinnen. IT Security made in Germany dient daneben aber auch als Kooperationsnetz für mehr als 60 deutsche IT-Sicherheitsfirmen. Die Homepage bietet einen guten Überblick über das Produktspektrum in Sachen IT-Sicherheit und wartet zudem mit Referenzprojekten bei Anwendern auf.

Unterstützung erfährt die deutsche Security-Szene auch durch das Bundesinnenministerium, zu dem das BSI gehört. Eine derartige Institution ist nach Ansicht von IT-Experten einmalig in der Welt. Das BSI leistet Aufklärungsarbeit und sorgt dafür, dass Informationssicherheit als wichtig verstanden wird.

Dabei verfolgt die Behörde einen herstellerneutralen Ansatz und ist Open-Source-Themen gegenüber aufgeschlossen. Mit dem über 2500 Seiten starken IT-Grundschutzhandbuch (GSHB) hat das Bundesamt einen wichtigen Leitfaden entwickelt, den Anwender zur Absicherung ihrer Systeme verwenden können. Aus Sicht von Genua-Chefin Harlander ist es dem BSI zudem gelungen, mit dem Grundschutzauditor einen Standard einzuführen, der "einiges voran gebracht hat" und in wesentlichen Sicherheitsfragen für mehr Klarheit sorgt.

Starke Impulse für die Security-Szene kommen daneben auch aus dem universitären Bereich. Hier hat sich in den vergangenen Jahren einiges getan: An vielen Fachhochschulen und technischen Universitäten stellen Inhalte mit Bezug zur IT-Security bereits einen festen Bestandteil der Lehrprogramme dar.

Auch aus Sicht von Michael Spreng, Vorstand von Secaron, ist die Ausbildung an den Universitäten inzwischen wesentlich besser geworden, "das merken wir immer wieder in Bewerbungsgesprächen". Noch vor ein paar Jahren hätten nur wenige Bewerber Kenntnisse über Sicherheitsstandards vorzuweisen gehabt. Inzwischen brächten Absolventen schon ein ganz gutes Basiswissen mit.

Forschung holt auf

Im Rahmen seines Projekts "Sicherheits-Hochschullandkarte" identifizierte der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom) im vergangenen Jahr 29 deutsche Forschungseinrichtungen, die Lehrinhalte zum Thema IT-Security vermitteln. Starke Akzente kommen etwa vom Fraunhofer-Institut für sichere Informationstechnologie in Darmstadt, das auch in wichtigen Gremien und Initiativen vertreten ist.

Dazu gehört das Competence Center for Applied Security Technology (Cast). Der gemeinnützige Verein mit Sitz in Darmstadt sieht sich selbst als "eine der wichtigsten Kontakt- und Weiterbildungsorganisationen für IT-Sicherheit im deutschsprachigen Raum". Satzungsziel von Cast ist die Förderung der Aus- und Weiterbildung im Bereich IT-Sicherheit.

Noch einige Hürden

All diese Beispiele zeigen, dass es um das Thema IT-Security hierzulande nicht schlecht bestellt ist. Doch mangelt es an der kommerziellen Verwertung der Lösungen und Dienstleistungen. Neben dem bereits erwähnten fehlenden Austausch der Mitglieder der Security-Szene untereinander mangelt es an Risikokapital für junge Unternehmen. Financiers und Banken seien zu zurückhaltend, was die Förderung von jungen Firmen und innovativen Ideen angeht, lautet eine häufig geäußerte Kritik. Gateprotect-CEO Monner etwa klagt: "Es ist in Deutschland sehr schwer, Kapitalgeber zu finden, das ist eine der Haupthürden für neue Unternehmen." Viele gute Ideen würden aufgrund der fehlenden Förderung nicht umgesetzt. Auch SIT-Leiterin Eckert findet es bedauerlich, dass die Finanzinstitute zu zögerlich seien, wenn es darum gehe, einem Unternehmen mit einem Kredit unter die Arme zu greifen.

Die Expertin macht daneben mit der "Überregulierung" noch ein anderes Hemmnis aus, der der technischen Entwicklung mitunter im Weg stehe. So etwa im Fall der Signaturgesetzgebung: Die Vorgabe, gleich Signaturen zu schaffen, die so verlässlich sind wie eine Unterschrift per Hand, habe lähmend gewirkt. Jahrelang seien deutsche Unternehmen bei der Einführung von digitalen Signaturen und Public Key Infrastructures (PKIs) kaum vorangekommen. Inzwischen habe die Branche jedoch dazugelernt, so dass Eckert Grund zur Hoffnung sieht.

Die Notwendigkeit eines intensiveren Austauschs sei inzwischen erkannt. Eckert verspricht sich zudem viel davon, dass die Security-Themen stark im Bundeswirtschafts- und Bundesinnenministerium verankert sind: "Das lässt den Willen der Politik erkennen, etwas zu bewegen und kann ein Ausgangspunkt sein, um die Sicherheitsthematik in Deutschland voranzubringen." u