Eine angemessene Security ist eine wesentliche Grundlage für die Funktion und Akzeptanz der IT im Unternehmen. Aufgrund der immer weiter fortschreitenden und alle Lebens- und Arbeitsbereiche durchdringenden Vernetzung der IT-Systeme sind alle Unternehmen direkt oder indirekt abhängig von der Funktionsfähigkeit der IT im eigenen Unternehmen oder bei Kunden, Dienstleistern etc. Sie ist somit eine der tragenden Säulen im „Haus der IT“, die als Querschnittsthema die Wertschöpfung durch die IT wesentlich mitbestimmt.
Abbildung: Security – eine der tragenden Säulen der IT. Quelle: Experton Group AG.
Die grundlegenden Ziele aller Anstrengungen im Bereich Security – Vertraulichkeit, Integrität und Verfügbarkeit der Daten – sind daher nur durch eine kontinuierliche Anpassung der eingesetzten Technik und Strategien zu erreichen.
Betrachtet man die aktuellen Trendthemen in den Unternehmen wie beispielsweise Industrie 4.0, Social Business, Big Data, Mobile Enterprise, Cloud etc., so hat sich in den letzten Jahren die Security-Landschaft aus Sicht der Verantwortlichen in den Unternehmen, aber auch aus Sicht der Hersteller bzw. Anbieter von Security-Produkten und -Services grundlegend verändert. Die Anzahl der möglichen Angriffspunkte, die Art der Angriffe, aber auch die Ressourcen und Rahmenbedingungen für die Umsetzung von Security-Maßnahmen und -Projekten in den Unternehmen verändern sich fortlaufend.
Dabei wird die Entwicklung stark von internen und externen Faktoren getrieben, die wesentliche Einflüsse auf die Security im Unternehmen haben; sie werden nachfolgend beschrieben.
Interner Treiber Kostendruck
Ein wichtiger interner Treiber für den zunehmenden Bedarf an Security-Produkten und -Services ist der Kostendruck in den Unternehmen, der zur Folge hat, dass die Digitalisierung und Standardisierung immer weiter zunimmt und Geschäftsprozesse und Infrastrukturen teilweise oder vollständig ausgelagert werden.
Insbesondere die CIOs in großen Unternehmen und Konzernen sind unter einem erhöhten Rechtfertigungszwang für IT-Ausgaben. In einer Studie der Experton Group wurde festgestellt, dass sich der seit Jahren bestehende Trend des Rückgangs der dedizierten Security-Budgets weiter fortsetzt und die Ausgaben für Security entweder aus den immer knapper werdenden IT-Budgets oder den Budgets der Fachabteilungen gedeckt werden. Somit konkurriert die von den Business-Einheiten als nicht produktiv bzw. wertschöpfend wahrgenommene Security mit den aktuellen Geschäftsanforderungen.
Um die Kosten zu senken, werden die zentralen Security-Funktionen inhouse gehalten und operative Aufgaben werden, z.B. als Managed Service, teilweise oder vollständig an entsprechende Dienstleister vergeben. Dies hat den Vorteil, dass das Expertenwissen zum Thema Security im Unternehmen verbleibt und eine weitergehende Kontrolle ausgeübt werden kann.
Alternativ oder parallel zur Auslagerung an Dienstleister werden immer mehr automatisierte und „intelligente“ Systeme zur Abwehr von Bedrohungen eingesetzt. Schlagworte wie Security Intelligence, SIEM etc. sind hier die Vorreiter einer Entwicklung, bei der der kontinuierliche Transfer von aktuellem Expertenwissen vom Anbieter zum Kunden das zentrale Produkt ist und so der kostenintensive Aufbau von entsprechendem Fachwissen in den Unternehmen reduziert wird. Dieser Trend verstärkt sich umso mehr, als die schiere Masse an Daten mit herkömmlichen oder gar manuellen Auswertungsmechanismen nicht mehr zu bewältigen ist.
Interner Treiber Mitarbeiter
Ein weiterer interner Treiber für neue Anforderungen an die Security im Unternehmen ist die Wandlung der Arbeitswelt. Sie wird vorangetrieben von technikaffinen Mitarbeitern auf allen Ebenen, die Themen wie Bring your own Device (ByoD) und Social Media an die IT-Verantwortlichen herantragen. In der Folge verschwimmen die Grenzen zwischen privater und geschäftlicher Nutzung und Identitäten immer mehr, so dass die gleichzeitige Erfüllung von bestehenden geschäftlichen Unternehmensanforderungen und datenschutzrechtlichen Anforderungen der Mitarbeiter für Security-Verantwortliche immer komplexer wird. Der Trend hin zur Vermischung von geschäftlichen und privaten Lebenswelten der Mitarbeiter hat schon vor einigen Jahren begonnen und es ist nicht abzusehen, dass dieser an Fahrt verliert.
Externer Treiber „Hacking“
Der klassische externe Treiber für Security in Unternehmen war und ist der versuchte und oft auch erfolgreiche Zugriff von Dritten auf die IT-Systeme bzw. Unternehmensdaten. Diese Art der Bedrohung hat sich in den letzten Jahren grundlegend gewandelt, da die Angriffe immer professioneller geworden sind.
Grund dafür ist zum einen, dass als Gegenbewegung zur Weiterentwicklung der Security-Technologien die Angriffstechniken auf ein mindestens ebenso hohes Niveau gehoben wurden und zum anderen, dass neben den staatlichen und politisch motivierten Akteuren die organisierte Kriminalität Cyber-Verbrechen als lukrative und risikoarme Einnahmequelle entdeckt hat. Diese immer weiter fortschreitende Entwicklung erhöht den Druck auf die Security-Verantwortlichen gewaltig, da insbesondere das Stehlen bzw. die Manipulation von Daten mit dem Ziel der Wirtschaftsspionage immer mehr zugenommen hat.
Externer Treiber Staatliche Regulierung
Ein weiterer Treiber für den Markt von Security-Produkten und -Services sind die gesetzlichen bzw. aufsichtsrechtlichen Vorgaben, die verschiedene Branchen, z.B. Finanzdienstleister, Energieversorger und Telekommunikationsanbieter zwingt, angemessene Sicherheitsstandards (ISO 27001, BSI-Grundschutz etc.) zu erfüllen. Der Druck auf einen Teil der deutschen Unternehmen wird durch das neue IT-Sicherheitsgesetz (ITSIG) noch verschärft werden. Die betroffenen Unternehmen (ca. 2000) sind als Betreiber von kritischen Infrastrukturen (Energie- und Wasserversorgung, Finanzdienstleistungen etc.) gezwungen, einen definierten Mindeststandard einzuhalten und – das ist eine zentrale Neuerung – entsprechende Nachweise im zweijährigen Turnus beim BSI einzureichen. Mit dem Zugang der Information, dass ein Unternehmen den Anforderungen des ITSIG entsprechen muss, bleiben zwei Jahre Zeit, diese umzusetzen.
Wie ernst diese Anforderungen gemeint sind, ist an den möglichen Sanktionen zu erkennen. Das BSI kann bei Nichterfüllung der Mindestanforderungen an die IT-Security die Umsetzung von entsprechenden Maßnahmen zwingend anordnen.
Weitere Entwicklung
Grundsätzlich ist das Thema Security in den Unternehmen angekommen. Insbesondere in großen, international ausgerichteten bzw. durch staatliche Aufsichtsorgane überwachten Unternehmen (z.B. Finanzdienstleister, Energieversorger) ist die Frage nicht, ob, sondern in welchem Umfang Security-Maßnahmen umgesetzt werden. Ein zentraler Grund für die stärkere Akzeptanz des Themas ist die zunehmende Verantwortung der Geschäftsleitung für die Umsetzung einer angemessenen Security in den Unternehmen.
Innerhalb der Unternehmen wird es im Bereich Security eine immer stärkere Differenzierung zwischen dem operativen Teil und der Governance der Security geben.
Für die operative Security werden Sourcing und Automatisierung die zentralen Stichworte zur Beschreibung der zukünftigen Entwicklung sein. Insbesondere bei international agierenden Unternehmen wurden und werden umfangreiche Sourcing-Projekte für die Business IT umgesetzt, und die Security-Verantwortlichen werden sich diesem Trend nicht entgegenstellen können und wollen. Vor allem wenn die Verantwortung für die Security beim CIO des Unternehmens angesiedelt ist, wird der Kostendruck ein sehr wichtiges Argument sein.
Da das Sourcing gerade im hoch sensiblen und risikorelevanten Bereich der Security mit besonderer Sorgfalt umzusetzen und ein zentraler Verantwortungsbereich der Unternehmensleitung ist, erfordert dies eine strikte Governance. In der Folge wird sich die Aufgabenstellung der Security-Abteilungen mehr in Richtung Betrieb eines Information Security Management Systems (ISMS) und Provider Management entwickeln. Dieser Trend wird mit zunehmender Größe und internationaler Ausprägung des Unternehmens zunehmen und immer stärker mit den Risikomanagementfunktionen verzahnt werden, um den Verantwortlichkeiten der Geschäftsführung gerecht zu werden.
Der Markt für Security-Produkte und -Services in Deutschland ist ein Wachstumsmarkt, da sich die Erkenntnis insbesondere in den mittleren und großen Unternehmen durchgesetzt hat, dass Security ein Muss-Thema ist.
Von den oben genannten Faktoren wird vor allem das IT-Sicherheitsgesetz (ITSIG) in den nächsten Jahren einen deutlichen Wachstumsimpuls setzen, da die betroffenen Branchen (z.B. Banken, Versicherungen, Energieversorger, Telekommunikation, IT-Dienstleister) nahezu vollständig in den Geltungsbereich des Gesetzes fallen und durch die regelmäßigen Kontrollen gezwungen sind, ein Mindestniveau im Bereich Security zu halten.
Da bei den betroffenen Branchen bzw. Unternehmen zum Teil erheblicher Umsetzungsbedarf besteht, ist nach Meinung der Experton Group davon auszugehen, dass der Markt für Security-Produkte und -Services nach dem Inkrafttreten des ITSIG einen spürbaren Anschub erhalten wird.
Insbesondere im Bereich Security Consulting wird ein erheblicher Bedarf am Markt generiert, da die vom ITSIG betroffenen Unternehmen ihre Compliance entweder durch einen Security Audit oder eine Zertifizierung nach einem anerkannten Security-Standard nachweisen können. Dies führt dazu, dass die knappen Ressourcen am Markt weiter schrumpfen werden, zumal die ersten Unternehmen bereits Projekte auflegen, um die „zukünftigen regulatorischen Anforderungen“ erfüllen zu können.
Als Reaktion auf die in den Unternehmen immer stärkere Relevanz der Kosten und die Entwicklung der Security-Abteilungen in Richtung Governance wird sich der Trend zur immer weiter fortschreitenden Zusammenfassung von Security-Funktionen in einem Produkt bzw. zu einer Serie von Produkten mit einer zentralen Steuerungs- und Überwachungs-/Auswertungszentrale weiter fortsetzen. Kombiniert wird dies mit einer zunehmenden Automatisierung und dem Einsatz von Security Intelligence, die die Notwendigkeit des menschlichen Eingriffs weiter reduziert.
Der größte Zuwachs ist bei den Managed Services zu erwarten, da sie den Unternehmen die größte Flexibilität bei gleichzeitig geringsten Kosten versprechen. Darüber hinaus kann das eigene Expertenwissen im Bereich Security reduziert und die Konzentration auf das Kerngeschäft weiter vorangetrieben werden.
Der Markt für IT-Security
Der Markt für IT-Security-Lösungen und -Dienstleistungen in Deutschland wird 2016 im Jahresvergleich um rund sieben Prozent wachsen. Vom Marktvolumen in Höhe von 5 Milliarden Euro entfallen 2,6 Milliarden Euro auf Security-Services (inkl. Cloud) sowie 2,4 Milliarden Euro auf Security-Produkte.
Das Security-Marktwachstum der vergangenen Jahre wird also auch weiterhin Bestand haben. Bis 2020 werden die Ausgaben für die entsprechenden Sicherheitsdisziplinen auf insgesamt ca. 6,5 Mrd. Euro ansteigen, was eine durchschnittliche jährliche Wachstumsrate (CAGR) von 7 Prozent bedeutet und somit deutlich über der Entwicklung des IT-Gesamtmarktes liegt. Security bleibt also auch weiterhin einer der Treiber des deutschen IT-Marktes. Insbesondere Anforderungen in den Bereichen Schutz vor Cyberwar, DDoS-Angriffen, Data Loss Prevention etc., aber auch insbesondere der Einfluss aktueller Trendthemen wie Digitalisierung, Cloud Computing, Social Business, Industrie 4.0, Mobile Enterprise und Big Data werden dabei zu weiterhin steigenden Investitionen führen.
Abbildung: Marktentwicklung IT-Sicherheit in Deutschland, 2015-2020. Quelle: Experton Group AG.