Atos erwirbt die SEC Consult Group. Das auf Beratungsleistungen im Bereich Cybersecurity spezialisierte Unternehmen beschäftigt rund 200 Mitarbeiter. Es ist in Deutschland neben der Zentrale in Berlin auch mit Büros in München, Bochum und seit kurzem auch in Nürnberg präsent. Außerdem unterhält es mehrere Standorte in Österreich, ist mit einer Niederlassung in Zürich auch in der Schweiz präsent und in Luxemburg, Litauen, Russland, Thailand, Malaysia, Singapur, den USA und Kanada vertreten.
Was SEC Consult zu Atos mitbringt
Mit dem Kauf will Atos vor allem seine Position als Anbieter von Cybersecurity-Services in der DACH-Region stärken. Eigenen Angaben zufolge kann das französische Unternehmen hier nun mehr als 600 Experten vorweisen. SEC Consult wiederum erhalte Zugang zu weiteren Ländern und Kunden. Die SEC-Büros in Asien sollen dagegen zum Ausgangspunkt der Expansion von Atos in dieser Weltregion werden. Der Abschluss der Transaktion unterliegt kartellrechtlichen Vorschriften, wird aber dennoch bereits im Laufe des Jahres 2020 erwartet. Zu finanziellen Details machte Atos keine Angaben.
SEC Consult ist bietet unter anderem Penetrationstests, Red Teaming und technischen Bewertungen an. Damit richtete sich das Unternehmen vor allem an Großkunden aus den Branchen Finanzen, Versorgung, Technologie und im öffentlichen Sektor. Spätestens hier hat Atos auch die Expertise des kleineren Unternehmens kennengelernt, überprüfte der doch die von Atos durchgeführte und nicht immer zur Zufriedenheit des Auftraggebers und der Nutzer gelaufene Einrichtung der elektronischen Anwaltspostfächer (beA) der Bundesrechtsanwaltskammer (BRAK).
Die beA-Episode von Sec Consult und Atos
Marktkenner und -beobachter rümpften bei Bekanntwerden der Übernahme schnell die Nase: Versucht sich Atos einen unangenehmen Kritiker vom Hals zu schaffen? Oder ist der Kauf das nachträgliche Eingeständnis, dass es bei der eigenen, hochgelobten Security-Expertise doch noch erheblichen Nachbesserungsbedarf gibt? Auch der Vergleich zum deutschen Profifußball wurde bemüht, wo einem Verein immer wieder unterstellt wird, regelmäßig genau die Spieler vom Markt zu kaufen, die gegen ihn Tore erzielten, die weh getan haben.
Anlass für solche Überlegungen ist die Rolle von SEC Consult bei der Überprüfung der von Atos und Governikus für die Bundesrechtsanwaltskammer eingerichteten elektronischen Anwaltspostfächer (beA). Bereits zuvor hatte SEC Consult generell vor einem Problem mit privaten Schlüsseln in der Firmware von Embedded-Geräten gewarnt. Eine sehr ähnliche Lücke verursachte später ein Zertifikatsproblem beim beA. Außerdem hatte SEC Consult Sicherheitslücken in der von der Firma Governikus entwickelten Software OSCI aufgedeckt. Governikus war als Sub-Unternehmer von Atos an der Entwicklung des beA beteiligt, wo die Software ebenfalls zum Einsatz kam.
SEC Consult wurde von Atos mit einer Überprüfung des beA beauftragt. Zu den Ergebnissen durfte sich SEC Consult nicht äußern, Atos und Governikus wollten es nicht. Es blieb daher offen, ob SEC Consult bei seiner Prüfung später bekannt gewordenen Lücken übersehen hatte oder ob die von Atos und Governikus nicht oder nur unzureichend behoben wurden.
Bei einer weiteren Überprüfung durch Secunet, deren Ergebnisse erst nach juristischer Intervention veröffentlicht wurden, tauchten jedoch weitere Lücken auf. Nach einigem Hin- und Her und ziemlicher Verzögerung konnte das eigentlich ab 1. 1.2018 vorgeschriebene beA Anfang September 2018 dann weitgehend fehlerbereinigt erneut an den Start gehen. Insgesamt kann die Einführung als ein ziemliches Desaster bezeichnet werden, bei dem die Rolle von SEC Consult zumindest für Außenstehende unklar blieb.
Atos bei beA inzwischen draußen
Für die Bundesrechtsanwaltskammer hat sich das Thema inzwischen erledigt. Die Verträge mit Atos liefen zum 31.12.2019 aus. Der Folgeauftrag wurde an eine Bietergemeinschaft aus Westernacher Solutions und Rockenstein AG vergeben - "zwei Unternehmen" - wie die BRAK mittteilte, die "seit vielen Jahren im Bereich der Entwicklung, dem Betrieb und dem Support von Fachanwendungen der Justiz und der öffentlichen Verwaltung ihren Schwerpunkt haben." BRAK-Präsident Dr. Ulrich Wessel freute sich damals auf die "Zusammenarbeit mit einem in dem besonderen Umfeld des elektronischen Rechtsverkehrs erfahrenen Dienstleister." Die Kritik zwischen den Zeilen zum Abschied von Atos ist dabei deutlich herauszuhören.
Zum Verhältnis zu SEC Consult teilt Atos auf Anfrage von ChannelPartner anlässlich der Übernahme mit: "Atos Deutschland hat im Rahmen der Entwicklung des besonderen elektronischen Anwaltspostfachs (beA) im Jahr 2015 die Firma SEC Consult für eine externe Sicherheitsüberprüfung beauftragt. Ziel der Sicherheitsüberprüfung war es, verschiedene Arten von Schwachstellen, sowie übliche Konfigurationsfehler in der getesteten Software zu identifizieren. Es handelte sich um eine entwicklungsbegleitende Prüfung, um frühestmöglich kritische Punkte zu identifizieren und zu bereinigen. Atos war sich mit dem Start des Projektes beA über die hohen Ansprüche in Bezug auf Sicherheit im Klaren und hat daher zusätzlich diesen externen Sachverstand genutzt."
Dass sich der Go-Live des beA Anfang 2018 verschoben hatte, habe "keinen inhaltlichen Bezug zu dieser Sicherheitsüberprüfung" gehabt. Zudem sei Atos Deutschland seit Juni 2020 nicht mehr mit dem Betrieb des beA betraut.
Was sich SEC Consult bei Atos erwartet
"Nachdem SEC Consult fast 20 Jahre lang völlig unabhängig das SEC Security Consulting Business betrieben hat, haben wir einen Grad an Globalisierung und Professionalität erreicht, bei dem wir die enormen Vorteile erkennen, die eine Zusammenarbeit mit Atos mit sich bringt", erklärt Wolfgang Baumgartner, CEO von SEC Consult. "Wir sind überzeugt, die richtige Entscheidung zu treffen und sind sicher, dass sowohl unsere Mitarbeiter als auch unsere Kunden von dieser Entscheidung mit einer klaren Vision und Strategie für die Zukunft profitieren werden."
Zusammen mit Atos böten sich den Cybersecurity-Experten von SEC Consult "großartige Entwicklungsmöglichkeit" und die Chance, an "noch spannenderen Projekten zu arbeiten". Für Atos ist der personelle Zuwachs an ausgewiesenen Spezilaisten in dieser Größenordnung tatsächlich ein wichtiger Schritt nach vorne. Allerdings ist es eben in erster Linie ein Zukauf von Mitarbeitern. Zu den künftigen Organisationsstrukturen liegen noch keine Detailinformationen vor. Bei ihnen sollte Atos jedoch behutsamer Vorgehen als bei seinen früheren Übernahmen in Deutschland: Denn Security-Spezialisten werden derzeit überall mit Handkuss genommen. Sie dürften daher nicht lange mit einem Wechsel zögern, wenn ihnen das organisatorische Umfeld nicht mehr gefällt.