Behalten die Gartner-Marktforscher Recht, so wird 2003 kein IT-Security-Anbieter seine Geschäftsbilanz mit Ledereinband und Goldschnitt versehen können. Denn wie im vergangenen Jahr werden auch heuer nur kleine IT-Security-Projekte umgesetzt, die sich schnell bezahlt machen und nur wenig Implementationsaufwand mit sich bringen. Lediglich in den Segmenten öffentliche Verwaltung, Gesundheit und Konsumgüter verläuft die Entwicklung antizyklisch, hier wird noch investiert.
Aber zumindest beginnen auch die KMU jetzt über Security-Outsourcing nachzudenken und die Budgets entsprechend zu überdenken. Innerhalb der nächsten zehn Jahre sollen tatsächlich 90% aller KMU regelmässiges Auditing, Access Management, Firewall und Intrusion Detection outsourcen – falls Gartner Recht behält.
Zu technologischer Ansatz
Carsten Casper, Research Analyst für Security bei der Meta Group stellt gegenüber IT Reseller fest: «Generell wird IT-Sicherheit von den Firmen noch zu technologisch angegangen. Aber Virenscanner und Firewall zu kaufen genügt eben nicht. Es braucht einen kompletten Prozess, um Sicherheitslöcher zu beheben. Vielfach fehlen Sicherheitskonzepte und -Richtlinien.»
Für IT-Security-Anbieter bedeutet es noch viel Aufklärungsarbeit, ihren Kunden die wirklich wichtigen Investitionen plausibel zu machen. Für «Mainstream»-Themen wie Viren liegt mittlerweile eine hohe Sensibilisierung vor. Bei neueren Themen wie Sicherheit von Web Services oder mobilen Systemen ist die subjektive Bedrohungskulisse durch entsprechende Erfahrungswerte, sprich nachweisbare Schäden, noch nicht stark genug, um zu Investitionen zu führen.
Ähnliches gilt für organisatorische Lücken, deren Auswirkungen nur indirekt nachvollziehbar sind.
Reizwort ROI
Investiert wird in den Zeiten knapper Budgets vorzugsweise dort, wo sich der ROI schnell nachweisen lässt. «Mit dem Return on Investment sollte man im Bereich Security vorsichtig umgehen», erklärt Casper weiter, «der ist zwar in einigen Bereichen einigermassen nachweisbar, etwa indem sich die Produktivität der Administrationsmitarbeiter erhöht.
Aber besser ist es doch, ihn auf quantifizierbare, qualifizierbare und beschreibende Anteile herunterzubrechen, etwa ein höheres Sicherheitsniveau, auch wenn die Produktivität vielleicht nicht sichtbar steigt.»
PKI lahmt
Der Bereich PKI (Public Key Infrastructure) läuft zur Zeit laut Fabrizio Biscotti, Analyst bei Gartner, am schlechtesten im ganzen Security-Markt. «In der Schweiz war das Wachstum hier sogar negativ, da die technischen Erwartungen nicht erfüllt wurden. Man darf nicht unterschätzen, dass PKI sehr komplex zu implementieren ist, das ist bei den aktuell knappen Budgets heikel», so Biscotti zu IT Reseller.
Intrusion Prevention hat Potential
Mögliches Wachstum sieht Biscotti noch im Bereich Intrusion Detection. In den USA etwa ist die Abdeckung viel grösser, aber die Schweizer Unternehmen sehen den Bedarf noch nicht so stark. Aber da man aus dem System im Prinzip nur eine Liste der versuchten Angriffe ziehen kann, erwartet Biscotti eher Investitionen bei Intrusion Prevention Systemen. Speziell die Schweizer Banken sollen Vorreiter im europäischen Markt sein.
Trüffelsuche
Auch wenn der Markt zur Zeit nicht gerade boomt, sieht Biscotti doch einige Bereiche, die künftig lukrativ werden können:
Managed Security Services, da diese Bereiche für KMU zu teuer und aufwendig sind, um sie selbst abzudecken
Smartcards
Web Services Security, hier werden speziell die Schweizer Banken eine Vorreiterrolle haben
WLAN-Security, hier lässtsich bereits 2003/2004 Geld verdienen
Zudem vergrössert Breitband die Sicherheitsrisiken. Durch die hohe Breitbandabdeckung in der Schweiz sieht Biscotti auch hier gute Geschäftsmöglichkeiten für Security-Anbieter. Die Trüffel im Markt sind zur Zeit noch nicht reif, aber es lohnt sich, den Rüssel bereits jetzt in die richtige Richtung zu wenden. Laut Gartner sollen immerhin 5% der weltweiten IT-Budgets bereits im Jahr 2003 in den Bereich IT-Security investiert werden – so viel wie nie zuvor. (ava)
