Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

14.03.2003 - 

CeBIT-Trends/IT-Sicherheit kein Stiefkind mehr

Die Bedrohungslage wird komplexer

Mehr als zwei Drittel der weltweit tätigen Konzerne haben nach dem 11. September 2001 ihre Aufwendungen für IT-Sicherheit erheblich erhöht. IDC-Analysten prognostizieren einen Security-Markt, der von einer Kombination aus Produkten und Services geprägt ist. Die Anwenderfirmen organisieren den Schutz ihrer Netze zentral. Von Volker Pampus*

Erfolge von Viren und Würmern sind stets ein Indiz für den Sicherheitszustand von Unternehmen. Prominentes Beispiel von Anfang Januar war "Slammer". Auf seiner rasanten Reise durch das Web nutzte der Wurm eine seit sieben Monaten bekannte Schwachstelle im SQL Server. Obwohl Microsoft bereits am 24. Juli 2002 einen Patch bereitgestellt hatte, breitete sich der 376 Byte umfassende Code nach einer Analyse der Caida (Cooperative Association for Internet Data Analysis) in nur zehn Minuten auf 90 Prozent aller 160000 weltweit infizierten Rechner aus. Dabei richtete er laut Studie des britischen Anbieters mi2g einen geschätzten Gesamtschaden von 1,2 Milliarden Dollar an.

Steigendes Sicherheitsbewusstsein

Ist IT-Sicherheit nach wie vor das viel beschworene Stiefkind? Die Marktzahlen sprechen dagegen. Hatten global operierende Unternehmen laut Forrester Research im Jahr 2000 noch durchschnittlich nur 0,024 Prozent ihres Gesamtbudgets für IT-Security aufgewendet, prognostizierten Marktforscher nach dem 11. September einheitlich ein steigendes Sicherheitsbewusstsein. Glaubt man den Zahlen der Meta Group, hat sich dies 2002 auch in Investitionen niedergeschlagen. 71 Prozent der weltweit tätigen Konzerne haben demnach in diesem Zeitraum ihre Aufwendungen erhöht. Bis Ende dieses Jahres sollen nach Angaben von Gartner weltweit über 50 Prozent der großen Unternehmen mehr als ein Zwanzigstel ihrer IT-Mittel für Sicherheit bereitstellen.

Symptomatisch für das wachsende öffentliche Bewusstsein in Sachen Sicherheit sind staatliche Behörden und Organisationen. Deren Aktivitätenliste seit dem 11. September ist lang: So gründen die USA mit dem Department of Homeland Security ein eigenes Ministerium, in dem Cybersicherheit einen wichtigen Platz einnimmt. Weitreichendste Maßnahme war bislang die Verabschiedung des Gesetzes zur Verfolgung von Straftaten im Bereich der Computerkriminalität.

Lebenslange Haftstrafen für Cybercrime

Der Cyber Security Enhancement Act (CSEA) sieht unter anderem vor, dass Personen, denen besonders schwere Cybercrime-Vergehen nachgewiesen werden, zu lebenslangen Haftstrafen verurteilt werden können. Auch die EU plant schärfere Anti-Hacker-Gesetze mit bis zu einem Jahr Haftstrafe. Zur Strafverfolgung ist die neue Cybersecurity Task Force gedacht. Weitere Initiativen reichen von der Einrichtung einer European Network and Information Security Agency, den Sicherheitsrichtlinien der OECD (Organisation für wirtschaftliche Zusammenarbeit und Entwicklung) bis zu den Bemühungen des BSI (Bundesamt für Sicherheit in der Informationstechnik) in Deutschland.

Den Analysen auf Seiten der Unternehmens- und öffentlichen Anwender entsprechen die Vorhersagen für die Anbieter. So geht die International Data Corp. (IDC) in einer Ende 2002 veröffentlichten Studie davon aus, dass der Gesamtmarkt für IT-Sicherheit weltweit von 17 Milliarden Dollar im Jahr 2001 auf 45 Milliarden im Jahr 2006 steigt. Die höchste durchschnittliche Wachstumsrate gehört dabei mit jährlich 25 Prozent dem Hardwaresegment, dicht gefolgt von Services (24 Prozent) und Software (16 Prozent). Auf absehbare Zeit ist nach Meinung der Analysten davon auszugehen, dass Managed Security Services den größten Marktanteil für sich beanspruchen. Dies war bereits 2001 der Fall, als 47,4 Prozent des weltweiten Sicherheitsmarktes den Services gehörten. Das Softwaresegment verbuchte im gleichen Zeitraum 35,2 und Hardware 17,4 Prozent für sich.

Ein Blick auf die einzelnen Teilsegmente schlüsselt diese Prognosen weiter auf. So sollen bei den Services von 2002 auf 2003 die Ausgaben für Implementierung von 4,085 auf 5,027 Milliarden Dollar, für Management von 2,223 auf 2,822 Milliarden und für Consulting von 2,058 auf 2,431 Milliarden Dollar steigen.

Innerhalb des Hardwaresektors wird nach IDC der Firewall/VPN-Markt in diesem Jahr von 1,528 Milliarden (2002) auf 1,972 Milliarden Dollar (2003) wachsen. Diese Voraussage gründet sich auf den weltweiten Ausbau von Breitbandzugängen, die verbesserte Sicherheitsmaßnahmen erfordern. Mit zunehmender Geschwindigkeit der Datenübertragung müssen auch veraltete Geräte ausgetauscht werden. Der Markt für hardwarebasierende NIDS (Network Intrusion Detection Systems) soll in diesem Jahr von 196,4 Millionen (2002) auf 261,3 Millionen Dollar (2003) steigen. Außerdem glaubt IDC, dass Firewall/ VPN-Sicherheits-Applikationen mit Intrusion Detection, Content Security und Policy Management zu einer einzigen Sicherheitsapplikation verschmelzen. Diese Entwicklung wird sich vor allem in kleineren und mittelgroßen Unternehmen durchsetzen.

Im laufenden Jahr erwartet IDC im größten Marktsegment des Softwarebereichs "Secure Content Management" eine Steigerung der Ausgaben von 2,655 (2002) auf 3,247 Milliarden Dollar (2003) und damit um 22 Prozent. Knapp dahinter folgt mit 21 Prozent Wachstum "Intrusion Detection und Schwachstellenanalyse" - von 742 (2002) auf 896 Millionen Dollar (2003). Ursache für diese Steigerungsrate sei nicht zuletzt die veränderte Qualität drohender Gefahren, so genannter Hybrid Threats. Diese zeichnen sich durch eine immer längere Wirkungsdauer aus. Das hat beispielsweise dazu geführt, dass das Forschungsteam der X-Force vom Anbieter Internet Security Systems in den letzten drei Monaten 2002 zwar einen Rückgang digitaler Plagegeister um 28 Prozent im Vergleich zum vorhergehenden Quartal verzeichnen konnte. Dafür wurde im gleichen Zeitraum aber ein Anstieg sicherheitsrelevanter Ereignisse um etwa 250000 verzeichnet (von 16,35 auf 16,60 Millionen). IDC geht in seiner Studie davon aus, dass die Anzahl schwer zu entdeckender hybrider Gefahren in Zukunft weiter steigen wird.

Zu Mehrinvestitionen bereit

Trotz wachsender Komplexität der Bedrohungslage sind die Aussichten für alle Beteiligten also offenbar günstig. Unternehmen und öffentlicher Sektor scheinen die Herausforderung erkannt zu haben und zu Mehrinvestitionen bereit zu sein. Folgerichtiges Resultat wäre laut Analysten ein florierender Markt. Bleibt die Frage nach möglichen Hindernissen. Oder: Wie wurde Slammer möglich?

Eine Umfrage von Time Kontor unter 500 deutschen Unternehmen versuchte Ende 2002, Antworten darauf zu finden. Als größte Hemmnisse für Investitionen in IT-Sicherheit wurden knappe Budgets (59 Prozent), mangelnde Transparenz von Kosten und Nutzen (48 Prozent), die Komplexität der zur Verfügung stehenden Lösungen (38 Prozent) und fehlende integrierte Lösungen (37 Prozent) genannt. Folglich sind für die Erfüllung der Marktprognosen nicht nur konjunkturelle Faktoren und damit vollere Kassen nötig. Durchsetzen werden sich Lösungen, die sich an den Forderungen der Anwender orientieren: einfach und zentral steuerbar. Entsprechend ist für das Institute for Information Infrastructure Protection (I3P), ein Konsortium aus 23 führenden US-Instituten, das "Enterprise Security Management" der derzeit vordringlichste von insgesamt acht stiefmütterlich behandelten Sicherheitsbereichen auf Unternehmensseite. Auch das Fazit der IDC-Analysten über die Zukunft des Security-Marktes unterstreicht dies. Er werde geprägt sein von der Kombination aus Produkten und Services, zentral verwaltet und auf den unternehmensweiten Schutz von Netzen ausgerichtet.

Doch welche Ursachen führen dazu, dass Unternehmen in puncto IT-Sicherheit aktiv werden? In der Umfrage von Time Kontor nannten 68 Prozent "Erfahrungsberichte anderer", 49 Prozent "Vorfälle im eigenen Unternehmen" und 44 Prozent "persönliche Haftung". Dabei verzeichneten im vergangenen Jahr (2002) bereits 55,9 Prozent der Entscheider in ihrem eigenen Unternehmen Sicherheitsvorfälle durch Würmer, Viren oder Trojaner, 8,7 Prozent Denial-of-Service-Attacken, 6,4 Prozent Hacking und 3,5 Prozent Sabotage. Entsprechend genießt die Netzwerksicherheit für 2003 oberste Priorität. Trotz des steigenden Bewusstseins liegt die Entscheidungsbefugnis bei der IT-Sicherheit aber nach wie vor nur zu 37,9 Prozent beim Geschäftsführer oder Vorstand. Dabei erweist sich gerade die fehlende Rückendeckung durch das Topmanagement als eine der Hauptursachen für die unzureichende Umsetzung adäquater Sicherheitsstrategien. (bi)

*Volker Pampus ist Geschäftsführer von Internet Security Systems (ISS) Deutschland in Stuttgart.