Die Sicherheitswarnungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) wie auch die laufende Berichterstattung der einzelnen Security-Anbieter gehören für IT-Verantwortliche beziehungsweise ihre Mitarbeiter zur täglichen Morgenlektüre - wie dies früher nur für Tageszeitungen galt. Ob neue Angriffsvektoren, Herstellermaßnahmen oder Management-Infos - das Nicht-Wissen über die aktuellen Geschehnisse kann unerwartete wie unangenehme Konsequenzen nach sich ziehen, die erheblichen wirtschaftlichen Schaden oder zumindest weitreichende Imageverluste zur Folge haben. In der Cybersecurity-Branche zahlt sich Informationsvorsprung wie in fast keiner anderen Branche aus.
Allerdings machen nicht alle Unternehmen ihre Hausaufgaben diesbezüglich. Die Faktenlage ist laut Experten eindeutig:
57 Prozent der Cyber-Angriffe haben Wirtschaftsspionage als Ziel
58 Prozent der IT-Mitarbeiter verfügen nicht über das erforderliche Cyber-Security Know-how
64 Prozent der Unternehmen sind regelmäßig Cyber-Angriffen ausgesetzt
65 Prozent der Cyber-Angriffe auf Unternehmen bleiben unbemerkt
Für 2022 wird ein weiterer Zuwachs an Cyber-Threats und Cyber-Angriffen von rund 35 Prozent erwartet. Vor dem Hintergrund dieser Zahlen lässt sich das Wachstum der Security-Branche der letzten Jahre erklären. Zudem wird deutlich, dass sich das Wachstum auch über die gesamten 2020er Jahre dank Digitalisierung, IIoT + Industrie 4.0, Vernetzung und mobilem Arbeiten weiter fortsetzen wird. Die Branche hat ihre goldenen Jahre noch vor sich!
Auch Hacker machen Urlaub
Das Bedrohungspotential im August lag - wie die obere Abbildung "Cyber-Bedrohungspotential | Reduzierung" zeigt - mit Werten um die 20 Prozent deutlich unter den Werten der beiden Vormonate, in denen die Werte in einem Bereich von 30 bis 40 Prozent lagen (die Prozentwerte sind der Anteil für "hohes" und "sehr hohes" Bedrohungspotential).
Auffällig ist, dass das Bedrohungspotential durch den Faktor "Mensch" im Vergleich zu dem durch technische Fehler oder Lücken über die Monate hinweg als signifikant geringer eingestuft wird. Die in Konsequenz der Lockdowns im Kontext von mobilen Arbeiten getroffenen Schulungs- und Trainings-Maßnahmen scheinen zu einer deutlichen Steigerung der Sicherheits- beziehungsweise Risiko-Awareness der Mitarbeiter geführt zu haben. Die verstärkte Nutzung von IT außerhalb des Office und das Bewusstsein, auf funktionierende IT angewiesen zu sein, scheint die Mitarbeiter für Cybersecurity sensibilisiert zu haben. Eine gewisse Befürchtung, bei (erfolgreichen) Cyber-Angriffen, nicht entsprechend zeitnahen Support wie im Office zu haben, mag sicherlich ein zusätzlicher Aspekt sein für dieses Bewusstmachen sein.
Friede, Freude, Eierkuchen?
Rasanter technologischer Fortschritt, eine breiter werdende Kundenbasis und eine komplexer werdende Gefährdungslage garantieren gesichertes wie anhaltendes Wachstum. Die Security-Branche ist bereits heute eine der am schnellsten wachsenden Boom-Branchen und dürfte dies über das aktuelle Jahrzehnt hinaus weiter bleiben. Ist somit alles gut?
Aus wirtschaftlicher Sicht stehen relevante Finanz-KPIs (Key Performance Indikator), was Wachstum und Umsatz oder entsprechend abgeleitete Kennziffern betrifft, für die Branche eindeutig auf grün. Etwas anders sieht die Situation dagegen aus, wenn man die Zufriedenheit der Kunden mit den einzelnen Security-Anbietern beziehungsweise diesen in Summe betrachtet.
Bei der Analyse des Net Promotor Scores (NPS), der zentralen Kennzahl, die die Weiterempfehlungsrate von Kunden widerspiegelt, wird bei über 20 Security-Anbietern deutlich, wo die wirklichen Herausforderungen der Security-Branche im Vergleich zu klassischen Hardware-Herstellern oder Distributoren liegen:
NPS | Security Anbieter| minus 59
NPS | Hersteller (Hersteller) | minus 3
NPS | Tech-Distribution | plus 13
Der NPS-Wert, die Zufriedenheit und Loyalität der Kunden zu Cybersecurity-Anbietern, ist deutlich geringer als die Loyalität zu klassischen Hardware-Herstellern oder der Tech-Distribution!
Die Cybersecurity-Branche profitiert somit sehr deutlich von dem elementaren Bedürfnis nach Sicherheit, der Entwicklung der allgemeinen Bedrohungslage sowie der Komplexität von Security-Lösungen. Hieraus entstehende Lock-in-Effekte erschweren es Kunden, einen einmal gewählten Security-Anbieter kurzfristig zu wechseln beziehungsweise verursachen einen hohen Aufwand, den viele Unternehmen scheuen.
Die Schlussfolgerung hieraus ist einfach wie klar: Der aktuell praktizierte und für die Tech-Industrie klassische Marketing-Ansatz kommt bei Kunden, beim Management wie bei Fachleuten aus dem Bereich Cybersecurity, nur sehr bedingt an. Diese Zielgruppe ist in ihren Interessen einerseits zu spezifisch und andererseits zu fokussiert und verfügt - zumindest teilweise - über hohes fachspezifisches Wissen. Der Marketing-Ansatz bietet zu wenig Inhalte, die gelesen, erinnert, für wichtig und positiv befunden werden. Threat-Dashboards, tägliche Patches und Updates schaffen es ebenso wenig positives Image beim Kunden aufzubauen, wie die Lizenz- oder Subscription-basierten Geschäftsmodelle. Auch das Marketing über die Partner im Channel erreicht Experten und Entscheider in den Unternehmen nicht in ausreichendem Maße.
Die Grenzen des klassischen Marketings
Bei den aktuellen Wachstumsraten mag dies vernachlässigbar sein. Für den zu erwartenden Konsolidierungsprozess der Cybersecurity-Branche wird dies allerdings ein entscheidender Faktor, der über Erfolg oder Nicht-Erfolg entscheidet. Aufgrund des langfristigen Charakters von Image und Loyalität sind geringe NPS-Werte nur bedingt und in der Regel mit erheblichem finanziellem Investment in einem kurzen Zeitraum zu verbessern. Dies macht die Branche attraktiv für neue Anbieter, da die Akteure der Branche aktuell nicht auf hohe Loyalität von Kundenseite bauen können.
Gezieltes Content-Marketing, also Marketing mit für die Zielgruppe relevanten Inhalten, ist eine Möglichkeit, Loyalität zu erhöhen. Subscription-Modelle, die aus der Perspektive des Kunden betrachtet, mehr Flexibilität und Optionen bieten, ist eine weitere. Voraussetzung für beides ist ein entsprechend gutes Verständnis der Interessen, Wünsche und Bedürfnisse der Kunden, vor allem der Cybersecurity-Experten bei den Kunden. Auch hier scheint die Branche durchaus Potential zu besitzen.
Die Branche hat - aufgrund der positiven Wachstumserwartungen - ein noch ausreichend großes Zeitfenster, um ihre Kunden-Wahrnehmung zu ändern. Nichtsdestotrotz ist ein rechtzeitiger Start erforderlich, um die eigene Positionierung im Wettbewerbskontext rechtzeitig vor der Branchen-Konsolidierung klarzumachen.
IIoT + Industrie 4.0
Arbeitsteilige, verzahnte wie vernetzte Produktion, sensor-basierte Automatisierung und Steuerung sowie Anpassungen an unterschiedliche vertikale Märkte/Branchen/Industrien wird Cybersecurity zu einem elementaren Bestandteil industrieller Systeme (IIoT: Industrial Internet of Things, beziehungsweise Industrie 4.0) werden lassen. Branding wird in diesem Kontext für Cybersecurity-Anbieter weiter an Bedeutung gewinnen.
Marketing-Investment in diese Thematik, gegebenenfalls unterstützt durch eine Erweiterung von Geschäftsmodellen, um höhere NPS-Werte und mehr Loyalität zu erhalten, ist daher schon heute eine Investition in die Zukunft. Die pandemiebedingte Beschleunigung einer branchenübergreifenden Digitalen Transformation wird neue Anwendungsfelder und Absatzmärkte entstehen lassen. Distribution wie Reseller-Channel werden hiervon analog profitieren. Unternehmen werden verschiedenen Security-Anbieter für die einzelnen betrieblichen Funktionsbereiche benötigen, also ein anbieterübergreifendes Lizenz- und Subscription-Management. Vor-Ort-Service wird in Ergänzung neue Umsatzmöglichkeiten überall da bieten, wo digitale und klassisch-physische Technologien in Kombination genutzt werden.
Es wird auch im 21. Jahrhundert die "goldenen zwanziger Jahre" geben - zumindest für die Cybersecurity-Branche!
Alle weiteren iSCM-Analysen finden Sie hier