Die "Digitale Agenda 2014 - 2017" der deutschen Bundesregierung zählt die Verbesserung der Sicherheit und den Schutz der IT-Systeme und Dienste zu ihren drei Kernzielen. Gemeinsam mit der Wirtschaft möchte die Regierung die deutsche Technologiekompetenz für vertrauenswürdige IT stärken und dauerhaft sichern.
Gründe dafür nennt die Regierung auch: Die Spionageabwehr und der Wirtschaftsschutz machen nach Ansicht des Bundesinnenministeriums eine starke Souveränität Deutschlands erforderlich. Der sogenannte No-Spy-Erlass sieht für Vergabeverfahren vor, dass jeder Bieter Erklärungen abgibt, die heimliche Abflüsse schützenswerter Informationen an ausländische Nachrichtendienste betreffen.
- Formalisieren Sie Risiko-Management und IT-Security
Gießen Sie Ihr Risiko- und IT-Sicherheits-Management in eine wiederhol- und messbare Form. Diese umfasst in der Regel vier Phasen: Governance, Planung, Aufbau und Betrieb. - Messen Sie den Reifegrad
Nutzen Sie eine Reifegradskala, um Planungslücken und ungenutzte Chancen des IT-Security-Programms zu finden. Solch eine Skala ist überdies ein gutes Mittel, um solchen Entscheidungsträgern das Thema zu veranschaulichen, die mit Technologie nicht immer etwas anfangen können. - Fahren sie risikobasierte Ansätze
Risiko-Management heißt auch, dass es den perfekten Schutz nicht gibt. Unternehmen sollten bewusste Entscheidungen über ihr Handeln und Nichthandeln fällen, was das Eingehen von Risiken betrifft. Das betrifft nicht nur die IT-Abteilungen, sondern vor allem auch die Nicht-IT-Bereiche. Über allem steht, das Risiko-Manager vorbeugende Ansätze befolgen, die Risiken von Anfang an minimieren. Schließlich sollen sie die Risiken steuern, und sich nicht von diesen steuern lassen. - Nutzen Sie Kennzahlen
Wer im Risiko-Management tätig ist, muss Kennzahlen definieren, an denen er seine Geschäftsprozesse ausrichten kann. Das sind zum einen KPIs (Key Performance Indicators), zum anderen KRIs (Key Risk Indicators). Letztere sollten sich aber nicht nur auf IT-zentrierte Kennzahlen konzentrieren - sonst besteht die Gefahr, zu meinen, dass die Risiken ausschließlich von der IT ausgehen. - Passen Sie Ihre KRIs den KPIs an
Die meisten Unternehmen arbeiten mit einer Fülle von Risiko- und Security-Kennzahlen. Auch wenn diese für interne Prozesse extrem wertvoll sind, haben sie doch meist nur einen geringen Wert für die Unternehmensentscheider. Gute KRIs sind deshalb einfach, messbar und haben einen direkten Einfluss auf viele der KPIs. - Entkoppeln Sie operative Messgrößen von der Vorstandskommunikation
Verwenden Sie keine operativen Messgrößen auf Vorstandsebene. Entscheidern fehlt das Hintergrundwissen und das Training, mit diesen in einem Business-Kontext umzugehen. - Kommunizieren Sie klar, was geht und was nicht
In einer risikobasierten Welt will eine Business-orientierte Zuhörerschaft genau wissen, welche Risiken drohen, welche Haltung ein Unternehmen dazu hat und was dagegen unternommen wird. Beantworten Sie diese Fragen für jeden verständlich, haben Sie den "Kampf" schon halb gewonnen.
Viele Anzeichen und Initiativen sprechen somit dafür, dass IT- Lösungen aus Deutschland eine steigende Bedeutung erhalten. Dies unterstreicht auch der Internetreport 2014 von eco und die PAC-Studie "IT made in Germany - Was wollen deutsche Unternehmen?"
Deutsche Anwender und deutsche Lösungen
Laut der zuvor genannten PAC-Studie achten deutsche Unternehmen insbesondere auf die Einhaltung deutscher Datenschutzrichtlinien (99 Prozent) und Verträge nach deutschem Recht (96 Prozent) sowie auf die Standorte der Anbieter. Für 97 Prozent der Befragten ist es wichtig, ob sich die Rechenzentren in Deutschland befinden, und 94 Prozent legen Wert darauf, dass der Hauptsitz des Unternehmens in Deutschland liegt. Besonders sensibel sind IT-Security-Lösungen, so dass hier eine starke Position deutscher Anbieter zu erwarten ist.
"Die NSA-Debatte zeigt Auswirkungen auf Verwaltungs- und Rechtsetzungsebene. Insbesondere vertrauenswürdige IT-Sicherheitstechnologie 'made in Germany' wird politisch aufgewertet", so Thorsten Urbanski, Leiter der Initiative "IT Security made in Germany" des Bundesverbandes IT-Sicherheit TeleTrust.
Unternehmen, die das TeleTrust-Zeichen "IT Security made in Germany" tragen, müssen als Kriterien insbesondere ihren Hauptsitz in Deutschland haben, vertrauenswürdige IT-Sicherheitslösungen anbieten, die IT-Sicherheitsforschung und -entwicklung in Deutschland durchführen, den Anforderungen des deutschen Datenschutzrechtes genügen, und ihre Lösungen dürfen keine versteckten Zugänge enthalten (keine "Backdoors").
Deutsche Anbieter und ihre Konkurrenz auf dem Markt
Auch wenn die Initiative "IT Security made in Germany" deutlichen Zuspruch bei Anbietern von Sicherheitslösungen findet und viele Anbieter aktiv mit ihrem Standort Deutschland werben, stammen die auf dem deutschen Markt führenden IT-Sicherheitsanbieter meist aus anderen Ländern.
Es stellt sich die Frage, welche Marktstärke IT-Security-Anbieter aus Deutschland wirklich haben und wo ggf. noch Optimierungspotenzial besteht. Damit verbunden ist die Frage, welche weiteren Entscheidungskriterien es neben der Herkunft bei der Auswahl von IT-Security-Lösungen gibt.
Die Erfahrung zeigt: Die Nachfrage nach IT-Sicherheitslösungen wird maßgeblich beeinflusst durch die wahrgenommene Bedrohungslage, die intern erkannten Risikofaktoren und die jeweiligen Compliance-Vorgaben. Ebenfalls eine wichtige Rolle spielen die technologischen Trends wie Mobile Enterprise oder Cloud Computing, die einen neuen Bedarf für IT-Security generieren.
Aus Anwendersicht sind zudem die Möglichkeit zur Integration in die bestehende IT-Landschaft, die Zukunftssicherheit, das vorhandene Partnernetzwerk, die Referenzen und der Support des Anbieters entscheidende Faktoren. Die zuvor genannten Faktoren haben alle einen großen Einfluss auf die Marktstärke eines Anbieters.
Im Folgenden werden Beispiele aus der Vielzahl der deutschen IT-Security-Anbieter näher betrachtet und hinsichtlich ihrer Marktstärke untersucht.
- T-Systems
Security Services für Unternehmenskunden gehören zu den Fokusthemen von T-Systems. Dabei werden auch die Risiken durch aktuelle Entwicklungen wie Mobile Enterprise und Big Data adressiert. - T-Systems
Der Sicherheitstacho bietet ein Bild der aktuellen Bedrohungslage, wie sie die "Sicherheitssensoren" der Telekom wahrgenommen haben. Solche Bedrohungsanalysen helfen auch bei der Abwehr von Cyber-Attacken durch die Managed Security Services der Telekom. - G Data
G Data bietet Lösungspakete für Internet- und Datensicherheit vom Basisschutz bis hin zur umfassenden Security Suite. - G Data
Auch sicherheitsrelevante Aufgaben wie das Mobile Device Management (MDM) lassen sich mit Lösungen von G Data unterstützen. - antispameurope
Auch bei einem Managed Security Service ist die hohe Verfügbarkeit des Supports entscheidend, zum Beispiel bei dem E-Mail- und Spam-Schutz von antispameurope. - antispameurope
antispameurope bietet verschiedene Filterlösungen, mit denen sich der Internetverkehr der betrieblichen Nutzer steuern und damit sicherer machen lässt. - Avira
Avira sichert speziell Endgeräte, Server und die Internetnutzung ab. - Avira
Für Unternehmen gibt es auch eine zentrale Management-Konsole, um die Einstellungen für alle geschützten Endpunkte zu verwalten. - gateprotect
gateprotect richtet sich an kleine und mittlere Unternehmen ebenso wie an Großunternehmen. Zusätzlich stehen spezielle Branchenlösungen zur Verfügung. - gateprotect
Hervorzuheben ist das Angebot von gateprotect, Netzwerk- und Endpunktsicherheit aus einer Hand zu bekommen. - genua
genua bietet unter anderem spezielle Firewall-Lösungen wie die vs-diode. Diese ermöglicht Einbahn-Datenverkehr mit bis zu 1 Gbit/s Durchsatz, in der Gegenrichtung wird der Abfluss von Informationen dagegen blockiert. - genua
Die VPN-Appliance genucrypt 300s von genua dient der sicheren Vernetzung von Unternehmensstandorten. Damit adressiert genua das Risiko von Lauschangriffen auf Datenverbindungen. - NCP
Die NCP Secure VPN GovNet Box ist eine hochsichere VPN-Lösung für die Geheimhaltungsstufe VS-NfD (Verschlusssache – Nur für den Dienstgebrauch) speziell für Ministerien, Behörden, die Bundeswehr und Firmen im Geheimschutzbereich. - NCP
NCP bietet universelle VPN Clients für Windows, Android, OS X und Windows Mobile mit Kompatibilität zu allen gängigen VPN-Gateways. - secunet
secunet bietet unter anderem Lösungen im Bereich der öffentlichen Sicherheit wie eGate als Zutritts- und Dokumentenkontrolle. - secunet
SINA (Sichere Inter-Netzwerk Architektur) dient der sicheren Bearbeitung, Speicherung und Übertragung von Verschlusssachen (VS) sowie anderen sensiblen Daten und wird insbesondere bei Behörden, Streitkräften und Geheimschutz-betreuten Unternehmen eingesetzt. - Steganos
Steganos Online Shield VPN ermöglicht eine verschlüsselte Datenverbindung und unterstützt die Anonymität im Internet, indem Tracking-Versuche blockiert und IP-Adressen verschleiert werden. - Steganos
Die Steganos Privacy Suite vereint mehrere Datenschutz-Funktionen in sich wie Verschlüsselung, Passwort-Management und die Löschung von Nutzungsspuren auf dem gesicherten Endgerät. - Zertificon
Z1 SecureMail Gateway ermöglicht die Kombination aus sicherer Verschlüsselung mittels PKI oder Passwort zusammen mit der De-Mail-Zustellung. So kann jede vertrauliche E-Mail auch als De-Mail versendet werden. - Zertificon
Z1 SecureHub wurde für Situationen entwickelt, in denen große, sicherheitskritische Dateien an unterschiedliche Empfänger übertragen werden müssen, um den Beschränkungen bei E-Mail-Anhängen zu begegnen. - Secomba
Boxcryptor von Secomba verschlüsselt Daten, bevor diese in die Cloud übertragen werden, auch auf mobilen Endgeräten. - Secomba
Die Verschlüsselungslösung Boxcryptor unterstützt zahlreiche Cloud-Speicherdienste und ist somit flexibel einsetzbar.
T-Systems
Leistungsbeschreibung: T-Systems bietet ein sehr breites Security-Portfolio, insbesondere VPN- und Firewall-Lösungen, Antivirus-, Anti-Spam- und andere Filterlösungen, Intrusion Detection and Prevention, Mobile Security and Encryption, Content Security (Host), Managed Anti-Spam Services (Cloud-Service), Security Application Services, Encryption (Verschlüsselung von Daten und Hardware), PKI-Technologie (Public Key Infrastructure), Smart Cards, Identity and Access Management, Device Security sowie Beratungsleistungen von der Ebene der Geschäftsprozesse über Security Policies und Sicherheitskonzepte bis hin zur Umsetzung (wie die Unterstützung bei der Implementierung eines Information Security Managements, beispielsweise nach ISO 27001).
Marktstärke: Anwenderunternehmen finden ein sehr umfassendes Angebot an Security-Leistungen, die auch die neuen IT-Trends adressieren. Support- und Beratungsleistungen runden das Angebot ab. Für Großunternehmen und größere mittelständische Unternehmen stellt T-Systems einen sehr leistungsfähigen, deutschen Anbieter dar. Die Position auf dem deutschen Markt ist als sehr stark einzustufen.
G Data
Leistungsbeschreibung: Das Portfolio von G Data umfasst Lösungen zur Erkennung und Abwehr von Malware, Absicherung von Online-Banking, Spamschutz und E-Mail-Sicherheit, Firewall, Geräte- und Applikationskontrolle, verschiedene Filterlösungen für den Datenverkehr, Absicherung mobiler Endgeräte, für ein (mobiles) Gerätemanagement und Patch Management.
Marktstärke: Die G-Data-Sicherheitslösungen richten sich an Endkunden, den Mittelstand und an Großunternehmen. Das Lösungsspektrum konzentriert sich auf Internetsicherheit, E-Mail-Sicherheit und Absicherung der Endpunkte / Clients. Aktuelle Gefahren für Anwender werden mit dem Portfolio angesprochen, ein umfassender Support steht zur Verfügung. G Data gehört zu den starken Anbietern auf dem deutschen Markt und kann zusammen mit Lösungspartnern auch Bereiche außerhalb des eigenen Fokus absichern. Bemerkenswert sind die neuen Managed Security Services, die G Data über Partner anbieten will. Gerade für kleine und mittlere Unternehmen sind solche Managed Security Services eine Antwort auf den Fachkräftemangel bei IT-Experten in Deutschland.
antispameurope
Leistungsbeschreibung: Auch wenn der Name "antispameurope" nach reinem Spam-Schutz klingt, bietet der Security Provider Lösungen im Bereich Spam- und Virenschutz, Webfilter, E-Mail-Signierung, E-Mail-Continuity und E-Mail-Archivierung. Grundlegend ist dabei der Ansatz, dass die Lösungen aus der Cloud angeboten werden, also beim Anwender keine Installationen notwendig sind. Ein Zusatzangebot besteht in dem verschlüsselten Speicherdienst HORNETDRIVE.
Foto: antispameurope
Marktstärke: Das Portfolio von antispameurope ist auf E-Mail- und Internetsicherheit konzentriert. Beide Bereiche sind von großer Bedeutung für deutsche Unternehmen. Durch den Ansatz Security aus der Cloud spricht das Angebot auch gerade kleine und mittlere Unternehmen an, die bekanntlich in Deutschland stark vertreten sind. antispameurope ist somit als ein starker Anbieter für den deutschen Markt zu sehen, deckt aber nicht alle Trendthemen des Marktes ab, wie zum Beispiel die Kommunikation im Social Business über Mail-Alternativen.
Avira
Leistungsbeschreibung: Das Portfolio von Avira bietet Anti-Malware, Anti-Spam, Endpoint Security, Server Security (wie Exchange Server), Mobile Security, E-Mail Security (für den Eigenbetrieb) und Managed E-Mail Security.
Marktstärke: Avira bietet mit seinen Lösungen Schutz für PCs, Smartphones, Tablets, Server und Netzwerke, für den Eigenbetrieb als auch als Cloud-Services. Die Zielgruppe sind neben den Privatanwendern vornehmlich kleine und mittlere Unternehmen. Von den IT-Trends werden Cloud und Mobile Business im Portfolio speziell berücksichtigt. Hier ist mit einer weiterhin steigenden Nachfrage auf dem deutschen Markt zu rechnen, so dass Avira eine gute Marktposition hat.