Security/Privacy/Die Anwender sind sensibilisiert

IT-Security - ein lukrativer Wachstumsmarkt

29.03.2002
Die wirtschaftliche Abschwächung in den vergangenen zwölf Monaten ist auch am IT-Security-Markt nicht spurlos vorübergegangen: Anwender konzentrieren sich auf Vorhaben operativer und taktischer Natur, während "Experimentierfreudigkeit" selten wurde. Dennoch bleibt IT-Sicherheit ein Wachstumsmarkt. Von Wolfgang Funk*

Im Jahr 2001einer Sensibilisierung für das Thema IT-Sicherheit geführt. Deren Auswirkung auf entsprechende Investitionen wird aber überschätzt. Bei knappen Budgets ist der Weg vom Bewusstsein zur Investitionsentscheidung lang und mit vielen Hindernissen gepflastert. Die Attacke auf das World Trade Center hatte zwei Effekte, die im Widerspruch zueinander stehen: Zum einen schaffte sie Verunsicherung in Bezug auf das globale wirtschaftliche Klima, zum anderen hinterfragen die Anwender nun, ob ihr eigenes Unternehmen auf ähnliche Ereignisse oder auch "nur" Hackerangriffe vorbereitet ist. Aktuelle Beobachtungen deuten darauf hin, dass viele große Unternehmen mit gekürzten IT-Budgets ihre Geldmittel für Sicherheit dennoch konstant halten; bei "eingefrorenen" Budgets ist sogar ein leichtes Wachstum der Sicherheitsinvestitionen zu verspüren.

Bei E-Business-Projekten geben deutsche Unternehmen mit einem Anteil von mehr als 13 Prozent des Investitionsvolumens sogar überproportional viel für IT-Security ("E-Security") aus. Damit gilt E-Business grundsätzlich als Treiber für den IT-Security-Markt. Im Jahr 2001 gingen viele Unternehmen jedoch zu einer risikoreduzierenden Investitionspolitik über und "stückelten" E-Business-Projekte in kleinere Projektphasen, während größere Phasen teilweise ins Jahr 2002 geschoben oder komplett gestoppt wurden. Betroffen waren insbesondere "Nice-to-have"-Projekte. Damit wurden die Umsatzerwartungen einiger Nischenanbieter mit Schwerpunkt E-Security enttäuscht. Viele hatten zuvor enorm hohe Wachstumsraten für 2001 eingeplant und entsprechende Investitionen in Personal und Technologie getätigt. Heute steckt so mancher E-Security-Anbieter in wirtschaftlichen Schwierigkeiten.

Pilotprojekte gestopptDies wird besonders im Bereich PKI (Public Key Infrastructure) deutlich. Zwar hatten bei einer Befragung von deutschen Anwendern Anfang 2001 noch 23 Prozent solche Vorhaben für das laufende Jahr geplant. Doch handelte es sich zumeist um Pilotprojekte, die mit der Abschwächung des wirtschaftlichen Klimas dem Rotstift zum Opfer fielen. Nach Informationen der Meta Group sind im vergangenen Jahr weltweit sogar 43 Prozent der PKI-Projekte gescheitert. Obwohl in Deutschland positive Ansätze vorhanden sind, die Standardisierung in den Bereichen PKI und digitale Signaturen voranzutreiben, hemmen auch hierzulande die Komplexität, Integrationsprobleme und die hohen Kosten deren schnellere Verbreitung. Viele Unternehmen und Endanwender erkennen zwar die Vorteile derartiger Lösungen, sind aber nicht bereit, sie zu finanzieren.

Aussagen der Anwender zur künftigen Einsatzplanung von PKI sind vorsichtig zu bewerten, doch kann für dieses Segment in den kommenden zwei Jahren von einem langsamen, aber stetigen Wachstum ausgegangen werden. Die Auswirkung auf den gesamten IT-Security-Markt ist dennoch vergleichsweise gering; schließlich betrug das Marktvolumen in Deutschland im Jahr 2001 weniger als 300 Millionen Euro, verglichen mit einem Gesamtvolumen für IT-Security in Höhe von rund 1,6 Milliarden Euro.

Hauptgeschäft mit LösungenDas Hauptgeschäft wird im Jahr 2002 eher mit Lösungen getätigt, die vergleichsweise standardisiert beziehungsweise kostengünstiger sind und sich im Massenmarkt durchsetzen können. So liegt etwa bei Technologien wie Firewalls, lokaler und Remote-Nutzerverwaltung, Virenschutz und Server-Zugriffskontrolle bereits heute ein hoher Einsatzgrad vor. Der Markt dafür ist aber längst nicht gesättigt, schließlich müssen sie immer wieder neue Anforderungen - man denke nur an Anwendungssicherheit oder mobile Geräte - erfüllen und weiterentwickelt werden.

Die Nachfrage nach Produkten für die Zugriffskontrolle spiegelt sich auch in den Aussagen zahlreicher deutscher Anwender zu Sicherheitsrisiken im E-Business wider: Weit oben auf der Liste stehen Viren und der potenzielle Missbrauch von Benutzerrechten ("Innentäter"). Erkennbar ist, dass sich das Bedrohungspotenzial durch die Externalisierung von Geschäftsprozessen zwar allmählich von innen nach außen verschiebt, aber die Mitarbeiter in der Lage sind, bewusst oder unbeabsichtigt Tür und Tor für externe Bedrohungen zu öffnen. Dabei sind viele Unternehmen weder technologisch noch organisatorisch in der Lage, Eindringlinge oder Schäden zu registrieren. Davon profitieren Anbieter von Lösungen für Administration, Intrusion Detection und Audit (Sicherheitsprüfungen).

Als weiteren Wachstumsbereich identifiziert die Meta Group Virtual Private Networks (VPN). Die häufigste Form des VPN-Einsatzes ist derzeit das Dial-up-VPN, also der Zugriff auf das unternehmensinterne Netzwerk über das herkömmliche Telefon- beziehungsweise Mobilfunknetz. Diese versprechen Kosteneinsparungspotenziale und den flexiblen Einsatz von Ressourcen. Auch das Branch-Office-VPN, die sichere Anbindung von Niederlassungen an die unternehmensinternen Ressourcen über Standleitungen, erfährt zunehmenden Einsatz. Dies kommt den heutigen Bestrebungen der Unternehmen entgegen, die Sicherheitsinvestitionen überschaubar zu halten und deren Wirtschaftlichkeit kalkulieren zu können. Der VPN-Markt in Deutschland hat im Jahr 2002 ein geschätztes Volumen von 1,4 Milliarden Euro und dürfte bis 2005 mit einer durchschnittlichen jährlichen Rate von 21 Prozent wachsen. Einer stabilen Nachfrage können sich Anbieter von Security-Dienstleistungen erfreuen. Gefragt sind vor allem Beratung und Systemintegration zum Thema Datenschutz (Vertraulichkeit, Integrität, Schutz gegen Eindringlinge), außerdem sämtliche Leistungen rund um die Verfügbarkeit (Business Continuity & Disaster Recovery).

Security Policy implementierenDer 11. September hat den Anwendern einen zusätzlichen Anstoß gegeben, ihre Sicherheitskonzepte und -systeme eingehend zu überprüfen. Weitere Impulse sind langfristig auch durch die "Basel II"-Regelungen zu erwarten, die Investitionen in Risk Assessment und Audits vorantreiben. Nicht zuletzt wegen Know-how- und Ressourcenmangels wird auf "neutrale" Dienstleister zurückgegriffen. Dabei geht es nicht nur um Technologiethemen, sondern zunächst vor allem um die Implementierung grundsätzlicher organisatorischer Rahmenbedingungen wie beispielsweise von Security Policies. Offenbar haben die Anwender hier noch sehr großen Nachholbedarf. So zeigte eine Befragung von Unternehmen mit abgeschlossenen oder geplanten E-Business-Projekten Anfang 2001, dass sich nur knapp die Hälfte der Unternehmen auf eine Security Policy stützen konnte. Daher ist es auch wenig verwunderlich, dass gerade das mangelnde Sicherheitsbewusstsein der Anwender im Unternehmen als Haupthemmnis für die Umsetzung von Sicherheitsmaßnahmen angesehen wird.

Dienstleister unter PreisdruckProjekte mit hoher Komplexität, wie zum Beispiel Public-Key-Infrastrukturen, sind zurzeit spärlich gesäht. Diese werden allenfalls in Nischenbereichen initiiert, in denen sehr hohe Sicherheitsanforderungen vorherrschen und große potenzielle Schäden entstehen können (vor allem bei Banken und in der öffentlichen Hand).

Insgesamt gibt es gute Aussichten für Sicherheitsdienstleister - allerdings stehen diese unter Preisdruck, wenn auch nicht in gleichem Maße wie der IT-Service-Markt insgesamt. Wichtig sind daher für Dienstleister einschlägige Referenzen und ein Image als vertrauenswürdiger Partner. Große IT-Beratungsunternehmen und Systemintegratoren profitieren von einem hohen Bekanntheitsgrad; dedizierten Security-Dienstleistern wird oftmals eine ausgesprochen hohe Leistungsfähigkeit zugetraut. (bi)

*Wolfgang Funk ist Consultant IT und Net Service der Meta Group Deutschland GmbH in Bad Homburg.

AngeklicktDie Investitionsscheu der Anwender in IT-Security hat sich gelegt, im Gegenteil: An Sicherheit wird sogar dann nicht gespart, wenn andere Bereiche deutlich zurückstecken müssen. Neue Anbieter, wie beispielsweise die Münchner Guardeonic Solutions AG, eine Infineon-Tochter, rechnen mit einem Wachstum von 30 Prozent.Trotz gekürzter IT-Budgets werden die Geldmittel für Sicherheit nicht gekürzt - gute Aussichten für die nächsten Jahre.Intrusion-Detection-Systeme und Virtual Private Networks sind die Spitzenreiter bei den geplanten Investitionen.

Abb.1: Marktentwicklung in Deutschland

Trotz gekürzter IT-Budgets werden die Geldmittel für Sicherheit nicht gekürzt - gute Aussichten für die nächsten Jahre. Quelle: Meta Group Deutschland 2001

Abb.2: Einsatzgrad von Sicherheitstechnologien

Intrusion-Detection-Systeme und Virtual Private Networks sind die Spitzenreiter bei den geplanten Investitionen. Quelle: Metagroup Deutschland