Foto: imagenist/shutterstock.com
Die jüngsten Ransomware-Attacken und die von der Pandemie erzwungenen neuen Arbeitsplatzmodelle haben viele Fragen im Bereich IT-Sicherheit aufgeworfen. Wie Unternehmen Cloud und IoT sicher nutzen, ist auch noch nicht geklärt. An Angeboten fehlt es nicht, es ist eher eine Frage der Budgets und der vorhandenen Möglichkeiten, neue Technologien und Konzepte aufzugreifen, zu verstehen, zu beherrschen und zu nutzen.
Dass generell ein Mangel an qualifizierten IT-Security-Fachkräften herrscht, macht die Lage nicht besser. Hier kommen Security-VADs ins Spiel. Ältere denken an Namen wie Computerlinks, Esesix, TLK und Wick Hill, die ähnlich wie Scouts der großen Clubs der Fußballbundesliga nach den besten Talenten suchten und ihnen zum Auftritt auf dem deutschen Markt verhalfen.
TLK gehört heute zu Exclusive Networks, Computerlinks zu Arrow, aus Wick Hill wurde Nuvias und Infinigate ist zunächst organisch, dann durch die Übernahme von Acmeo deutlich gewachsen. Anerkannte Security-Spezialisten sind sie immer noch - aber eben anders. Denn Größe und Struktur dieser Unternehmen macht es erforderlich, dass sie vor allem mit Anbietern zusammenarbeiten, die spürbar zum Geschäft beitragen - also viel Umsatz machen.
Natürlich greifen auch die groß gewordenen Security-VADs neue Trends auf und nehmen immer wieder hierzulande noch weitgehend unbekannte Hersteller ins Portfolio auf - jedoch mit wesentlich mehr Bedacht und geringerer Frequenz als früher. "Testballons" steigen zu lassen, können sie sich kaum leisten.
Gleichzeitig stehen sie immer stärker zu den sich ebenfalls als Security-VADs positionierenden Abteilungen der Broadliner in Konkurrenz. Die haben Erfahrung mit Masse, Größe und Effizienz und verstärkten sich in den vergangenen Jahren in Bezug auf Expertise, Personal und Herstellerportfolio deutlich. Aber auch sie haben nur begrenzte Kapazitäten und begrenztes Interesse daran, "Exoten" ins Portfolio aufzunehmen. Und wenn sie es tun, bleibt offen, wie intensiv sie sich darum kümmern können.
Gleichzeitig sorgen Wagniskapitalgeber, Investoren und nach dem Verkauf ihrer ersten oder zweiten Firma reich gewordene und auf den Geschmack gekommene Unternehmer vor allem in den USA und Israel für ein ausgesprochen günstiges Klima für Neugründungen im IT-Security-Markt. Die lassen sich in mehrere Kategorien einteilen: Eintagsfliegen, Börsengänger und Technikgläubige.
Eintagsfliegen, Börsengänger und Technikgläubige
Den "Eintagsfliegen" reicht es, ihr Nischenprodukt bei einigen Kunden zu platzieren. Nachdem sie dessen Praxistauglichkeit unter Beweis gestellt haben, lassen sie sich kaufen. Manchmal war der Käufer schon zuvor an dem Unternehmen beteiligt. So konnte er die Neuentwicklung mit geringem Risiko und bei einem Scheitern ohne Gesichtsverlust erproben. Dem Käufer reicht die Übernahme dann oft, um in der Grafik zur Marktübersicht ein Stückchen weiter nach rechts oben zu rücken. Ob er die neue Technologie ernsthaft aufnimmt und weiterführt, scheint zweitrangig. Oft ist es auch egal, wird doch bald darauf schon die nächste Sau durchs Dorf getrieben.
Diese "Eintagsfliegen" brauchen Distribution und Fachhandel nicht. Wenn sie den Anschein erwecken, sie würden einen indirekten Vertrieb aufbauen, wollen sie nur den Kaufpreis hochtreiben. Diese Motivation scheinen auch einige der "Börsengänger" zu haben. Ihr großes Ziel ist nicht der Verkauf der Firma, sondern der Börsengang. Bei sinnlosen Apps, die hemmungslos Daten sammeln, ist es relativ einfach Anleger zu überzeugen. Bei IT-Security ist das komplizierter. Daher muss die Firma eine gewisse Bedeutung im Markt entfalten.
Viel braucht man dazu nicht: Das Trio aus Country Manager, Vertriebsmitarbeiter und technischem Presales-Spezialisten pro Land reicht schon aus, um das Fähnchen in die Weltkarte zu stecken, das Investoren beeindrucken soll: Die nächste Finanzierungsrunde ist gesichert. Mit dem eingenommenen Geld soll nun der indirekte Vertrieb außerhalb des Heimatmarktes aufgebaut werden. Der Erfolg wird am Umsatz, aber auch an der Zahl der Partner gemessen. Hier ist ein gutes Betätigungsfeld für Security-Distributoren: Sofern sie über einen Stamm an innovativen Systemhäusern und Dienstleistern verfügen, die Beziehungen zu aufgeschlossenen Kunden haben, lassen sich neue Technologien gut positionieren.
Sowohl Distribution als auch Fachhandel müssen dabei umdenken: Sie sind dann eigentlich nicht mehr Dienstleister des Kunden, der sie beauftragt und bezahlt, sondern Dienstleister des Herstellers. Der ist ohne sie machtlos. Da er nicht über eigene personellen Ressourcen verfügt, muss er sie finanziell unterstützen. Diese Unterstützung kann man ruhig einfordern: Schließlich haben die Investoren auch dafür ihr Geld zur Verfügung gestellt - in der Hoffnung, es durch den bevorstehenden Börsengang zu vermehren.
Der Kunde muss mitspielen
Kommt der Kunde dabei unter die Räder? In der Regel nicht. Gute Systemhäuser werden sich hüten, ihn als Versuchskaninchen zu missbrauchen. Schließlich ist die Anzahl der geeigneten Kunden begrenzt. Sie müssen groß genug sein, um für die Hersteller interessant zu sein und genug eigene Spezialisten haben, die den Wert der Technologie beurteilen können. Außerdem müssen sie Nutzen und Risiko abwägen können, die es mit sich bringt, wenn man aufstrebende Technologien einsetzt. So lange Fehlgriffe und Erfolge im richtigen Verhältnis stehen und das Klima im Unternehmen innovationsfreundlich bleibt, kann das Modell funktionieren.
Foto: Cyber Monks
Bei den "Technikgläubigen" verhält es sich ähnlich wie bei den Börsen-Aspiranten. Nur dass bei ihnen der Erwartungsdruck der Investoren geringer und der Wunsch etwas Eigenes aufzubauen größer sind. Oft haben die Gründer schon vorher eine Firma zum Erfolg geführt. Nun wollen sie den wiederholen. Alternativ handelt es sich um ein Forschungsprojekt, dass sich verselbständigt hat, oder ein Produkt, dass aus der Praxis bei einem Dienstleister oder Anwenderunternehmen entstanden ist. Dass weniger Geld im Spiel ist, machen diese Unternehmen durch Praxisbezug wett: Ihre Lösung ist aus einem konkreten Bedarf entstanden - was sie direkt für alle Firmen mit einem ähnlichen konkreten Bedarf wertvoll macht.
Die neuen Spezialisten
Der Bedarf nach kleinen, feinen Security-Distributoren ist im Markt also da. Anwender und Fachhandel könnten ohne sie auskommen - aber nicht die Hersteller. Die Kunst dieser Distributoren ist es, dem Hersteller zu dienen ohne ihre kleine, feine Kundenbasis zu verärgern. Erfolgreich machen das schon seit Jahren etwa Ectacom, das sich extra "Business Development Distributor" nennt, und im Security-Bereich auch Sysob - obwohl es nicht nur auf Security fokussiert ist. Interessant sind auch die Ansätze von Veronym und Cyber Monks, die sich ganz auf die Bereitstellung von Lösungen für Manged-Service-Provider konzentrieren wollen.
Selbst für potente Neueinsteiger ist der Markt jedoch schwierig, wie zwei Beispiele aus dem vergangenen Jahr zeigen. Mit Spectrami und StarLink hatten zwei außerhalb Deutschlands bereits etablierte VADs (Umsatz bei StarLink über 400 Millionen Dollar) ihre Fühler nach Deutschland ausgestreckt. Sie können auf internationaler Ebene auf Distributionsverträge mit namhaften Herstellern vorweisen, haben aber auch einige ungeschliffene Diamanten im Portfolio. Denen wollten sie in Deutschland mit einem besonders stark auf Beratung und Kooperation mit Security-Dienstleistern ausgerichteten Ansatz zum Durchbruch verhelfen.
So der Anspruch. Daraus geworden ist nichts. Beide Unternehmen haben ihre Niederlassungen inzwischen wieder aufgegeben. Spectrami ist in Europa gar nicht mehr präsent, Starlink nur noch in Benelux und Großbritannien. Beiden fehlte offenbar der Durchhaltewillen - und wohl auch die Marktkenntnis.
Eine ganz andere Ausgangsbasis haben Firmen wie Aqaio oder ICOS. Aqaio wurde von Richard Hellmeier, dem ehemaligen Arrow-Geschäftsführer und Computerlinks-Vorstand, gegründet. Das Unternehmen mit Sitz in München hat inzwischen rund ein Dutzend Hersteller im Portfolio - alle in Trend-Bereichen der IT-Sicherheit. Damit konkurriert es nicht direkt mit den großen VADs, sondern ergänzt deren Portfolio da, wo die das aus den oben genannten Gründen nur schwer selbst können. Mit Engelbert Tretter hat das Unternehmen zudem einen erfahrenen Sales Director. Auf der it-sa im Oktober will sich das Unternehmen mit eigenem Stand einem hoffentlich größeren Publikum vorstellen.
Foto: ICOS
Der VAD ICOS ist in seiner Heimat Italien eine feste Größe. Er wurde 1987 gegründet und wagt nun - mit einigen Security-Spezialisten im Gepäck, den Gang über die Alpen. Es ist der erste Schritt zur Internationalisierung. Mainstream wird bewusst vermieden. "Endkunden haben bereits traditionelle IT-Security-Maßnahmen umgesetzt, werden aber immer noch durch ausgefeilte, neuartige Methoden angegriffen", teilt das Unternehmen mit. Deshalb konzentriert sich ICOS darauf, Themen zu bearbeiten, die als Ergänzung zu vorhandenen Security-Konzepten zum Zuge kommen. "Value-Added-Distributoren wie ICOS spielen eine wichtige Rolle bei der Unterstützung der Reseller, damit diese erfolgreich auf die rasanten Veränderungen im IT-Markt reagieren können", fasst Alexander Mautner, Country Sales Manager bei dem Unternehmen zusammen. Mautner weiß, wovon er spricht: Er war über 25 Jahren bei Computerlinks und nach der Übernahme bei Arrow.
Es tut sich also was, beim dringend benötigten Nachwuchs in der IT-Security-Distribution. Auch wenn aus Herstellersicht noch mehr möglich wäre. Aber ganz ehrlich: Der Markt braucht gar nicht alle Anbieter. Und so sind die knappen Ressourcen in der spezialisierten Distribution auch ein effektiver Filtermechanismus. Allerdings braucht es für feine Speisen auch feine Siebe - und daher ist es gut, dass sich neben den Distributoren mit Milliardenumsätzen kleinere halten oder sogar neu entstehen, die sich um die Feinheiten kümmern.
Channel Excellence Award 2021 - Die besten VADs
Context-Chef Howard Davies über die Distribution in der Pandemie
Erfahrungen von Systemhäusern mit der Distribution
Channel Excellence Award 2021 - Die besten Security-Hersteller