Security-Reseller können aufatmen: Was den Basisschutz ihrer IT betrifft, machen deutsche Firmen kaum Kompromisse. Investiert wird allerdings strikter denn je nach dem Kosten-Nutzen-Prinzip.

"Unternehmen können es sich nicht leisten, ihre Daten und ihr intellektuelles Kapital ungeschützt zu lassen", erklärt Romain Fouchereau, Research Analyst bei IDC, die anhaltend hohe Priorität, die Firmen dem Thema IT-Sicherheit auch zu Zeiten knapp bemessener Budgets verleihen. Nach Beobachtung der Marktexperten setzten Unternehmen ihre Bestrebungen zum Schutz vor Sicherheitsbedrohungen sowie zur Erfüllung von Compliance-Vorgaben im vergangenen Jahr trotz rückläufiger genereller IT-Ausgaben unbeirrt fort.

Dass der Security-Markt vom Wirtschaftsabschwung bislang weitgehend verschont geblieben ist, zeigen auch konkrete Zahlen: Laut Gartner wurden 2008 global 13,5 Milliarden Dollar mit Security-Software umgesetzt - ein Plus von 18,6 Prozent gegenüber dem Vorjahr. "Ein zweistelliges Wachstum in wirtschaftlich schwierigen Zeiten deutet darauf hin, dass Sicherheit für CIOs und IT-Verantwortliche weiterhin ein Schlüsselthema bleibt", so Gartner-Analyst Ruggero Contu.

Doch auch das Geschäft mit der Angst wird die konjunkturelle Schieflage zu spüren bekommen: Für das laufende Jahr erwarten die Auguren weltweite Zuwachsraten von "nur" noch rund neun Prozent. Ein im Vergleich zum globalen IT-Markt, dem Gartner für 2009 ein Umsatzminus um sechs Prozent prognostiziert, allerdings immer noch fürstliches Plus.

Investitionsbereitschaft ungebrochen

Was für den zuwachsverwöhnten Security-Weltmarkt gilt, trifft auch auf Deutschland zu: "Zum ersten Mal seit Jahren wird auch das Wachstum bei den Ausgaben für IT-Sicherheit deutlich gebremst", berichtet Wolfram Funk, Senior Advisor bei der Experton Group. Nach Prognosen der Marktforscher wird der hierzulande mit Sicherheitsprodukten und -Services erzielte Umsatz 2009 nur noch um sechs Prozent auf 4,1 Milliarden Euro wachsen. Mit den gewohnten Steigerungsraten im zweistelligen Prozentbereich ist den Analysten zufolge erst ab 2011 wieder zu rechnen.

Die Bereitschaft der deutschen Firmen, in die Absicherung ihrer IT zu investieren, scheint dennoch ungebrochen - verglichen mit den vielerorts schrumpfenden IT-Budgets entwickeln sich die Ausgaben für IT-Sicherheit nach wie vor positiv: Vor dem Hintergrund der Weltwirtschaftskrise gehen laut einer Studie der Experton Group mittlerweile nur noch 15 Prozent der deutschen Security-Verantwortlichen von höheren Ausgaben für die IT allgemein als 2008 aus. Für IT-Sicherheit im Besonderen hingegen will immerhin jeder Dritte heuer mehr Geld für IT-Sicherheit in die Hand nehmen. Und während 22 Prozent der hiesigen CIOs sinkende IT-Budgets erwarten, wollen nur sieben Prozent ihre Security-Investitionen im laufenden Jahr zurückfahren.

Im Schnitt geben die hiesigen Unternehmen momentan knapp acht Prozent ihres IT-Budgets für Security-Lösungen und -Services aus. Ein eigens ausgewiesenes IT-Sicherheitsbudget hat mittlerweile jedoch Seltenheitswert. Das Gros der Firmen finanziert Security-Maßnahmen über die IT-Abteilung oder bedient sich hierfür aus den Töpfen anderer Bereiche.

Kosten-Nutzen-Verhältnis im Fokus

Wenn die Wirtschaft lahmt, haben Security-Maßnahmen Vorrang, "die den Leidensdruck des Unternehmens spürbar lindern, ein nachweislich gutes Kosten-Nutzen-Verhältnis mit sich bringen und mit überschaubarem Projektrisiko verbunden sind", erläutert Berater Funk die hiesigen Investitionsgepflogenheiten im Hinblick auf IT-Sicherheit. Darunter fallen etwa die Abwehr von E-Müll, Schadsoftware und Phishing-Attacken sowie Netzsicherheitsvorkehrungen in Form von Firewalls. Allem Anschein nach, so der Berater, ist hierzulande das Bewusstsein für die Notwendigkeit eines "Basisschutzes" mittlerweile so ausgeprägt, dass er dem Abschwung nicht automatisch zum Opfer fällt.

Davon zeugen auch die in der deutschen Firmenlandschaft eingesetzten Sicherheitsvorkehrungen: Gut etabliert sind laut Experton-Analyse vor allem Techniken aus den Bereichen Infrastruktur-, Endpunkt- sowie Messaging- und Web-Sicherheit: 94 Prozent der Unternehmen betreiben Firewalls, 88 Prozent Messaging-Sicherheitsfunktionen an Server und Gateway, während 86 Prozent Virtual Private Networks (VPN) und 75 Prozent Messaging-Lösungen am Client einsetzen. Was die Investitionspläne bis 2010 betrifft, rangiert die revisionssichere E-Mail-Archivierung ganz oben auf den Einkauflisten der Firmen. Danach folgen E-Mail-Verschlüsselung, Festplattenverschlüsselung sowie Lösungen für starke Authentisierung.

Komplexität - nein danke

Mit hohen Projektrisiken verbundene oder komplexe Vorhaben wie etwa der Schutz vor unerwünschtem Datenabfluss (Data Leakage Protection = DLP) hingegen müssen heuer erst einmal warten. Selbst bei den Topthemen E-Mail- und Festplattenverschlüsselung sowie Enterprise Single Sign On (ESSO) beobachten die Marktforscher eine Diskrepanz zwischen "Wollen" und "Umsetzen": Zwar wird der grundsätzliche Bedarf laut Funk erkannt, die Priorität gegenüber anderen Security-Aufgaben ist in diesem Jahr jedoch vergleichsweise niedrig. Solche Vorhaben liefen Gefahr, bei einer Verschlechterung der wirtschaftlichen Lage zugunsten anderer Projekte auf Eis gelegt zu werden. "Die Kosten-Nutzen-Relation ist stärker in den Mittelpunkt gerückt", resümiert der Analyst.

Zaghaftes Risiko-Management

Neben der zunehmenden Fülle an Aufgaben im Bereich IT-Sicherheit erfordert es die vielerorts drohende Ebbe in den Firmenkassen mehr denn je, Prioritäten zu setzen. Voraussetzung für eine realistische Kosten-Nutzen-Abwägung und eine angemessene Verteilung der Ressourcen ist ein umfassendes Risiko-Management - eine Disziplin, die deutsche Unternehmen jedoch nach wie vor nicht wirklich beherrschen. Nach Beobachtungen der Experton Group beschränkt sich das Gros der Firmen dabei auf punktuelle Analysen. Ein kontinuierliches, an die Prozesse angebundenes Risiko-Management betreiben nur knapp 40 Prozent der Unternehmen. Zudem werden lediglich in jedem dritten Betrieb die Business-Verantwortlichen involviert, um die Bedeutung des jeweiligen Risikos nicht nur für die operative IT, sondern für die Organisation als Ganzes zu berücksichtigen. "In der Realität liegt dieser Anteil noch niedriger", weiß Funk aus Erfahrung. Vielen Firmen fehle schlicht der Mut, die Risiken zu quantifizieren.

MSS auf dem Vormarsch

Nach den Prognosen der Experton Group wird der Markt für Security-Produkte in diesem Jahr um 5,1 Prozent auf etwa 1,7 Milliarden Euro wachsen. Für entsprechende Dienstleistungen erwarten die Analysten einen Umsatzzuwachs um 6,4 Prozent (2,4 Milliarden Euro). Anhaltend gefragt sind insbesondere Wartungs- und Support-Services, Beratung, Implementierungs- und Integrationsdienste sowie Schwachstellen-Audits.

Mit dem Ziel, die eigenen Mitarbeiter zu entlasten, gibt mittlerweile jedes dritte Unternehmen Sicherheitsaufgaben im Rahmen von Managed Security Services (MSS) in fremde Hände. Bevorzugte Auslagerungskandidaten sind das Firewall-, Messaging- und VPN-Management. Dabei liegt der Fokus allerdings auf Fernüberwachung (Remote Monitoring) sowie der Verwaltung von Systemen, die im Rechenzentrum des Anwenders betrieben werden. Das Hosting hingegen vertrauen bislang nur zehn Prozent der Firmen einem externen Dienstleister an. "Viele Anwender befürchten nach wie vor Kontrollverluste", begründet Experton-Consultant Funk die Zurückhaltung. Auf Cloud-Services oder Security-Software-as-a-Service (SaaS) wiederum, in deren Rahmen sich ein Unternehmen mit anderen Firmen eine vom Provider betriebene Plattform teilt, lassen sich bislang sogar nur fünf Prozent der Organisationen ein. (Computerwoche/kf)