Deutschen Unternehmen muss man nicht mehr eigens nahebringen, welche Bedeutung die Absicherung ihrer Netze, IT-Systeme sowie kritischen Applikationen und Daten für ihr Business hat: Seit Jahren schon rangiert das Thema Security aus Sicht der Anwender ganz oben auf der Liste der zentralen IT-Herausforderungen. Nach einer Umfrage der Experton Group unter 450 deutschen IT-Entscheidern hat sich Sicherheit zwischenzeitlich sogar zur obersten Priorität entwickelt und damit die Kostensenkung vom Spitzenplatz verdrängt.

Inwieweit sich diese Gewichtung von Seiten der Anwender auf die Entwicklung des IT-Security-Markts niederschlägt, lässt sich mangels Marktzahlen indes schwer ermitteln. Das stark fragmentierte Geschäft erschwert konkrete Umsatzangaben und -prognosen zunehmend. Schwer durchschaubar ist der Security-Markt aus Sicht der Marktbeobachter nicht nur, weil er inhaltlich in eine Vielzahl von IT-Themen hineinspielt, sondern vor allem auch wegen seiner ungewöhnlichen Dynamik. "Was heute passiert, war vor zwölf Monaten noch undenkbar - und wir wissen noch nicht, was nächstes Jahr geschieht", erklärt Carsten Casper, Research Director Information Security, Risk & Compliance bei Gartner, die Unberechenbarkeit des Segments, das sich aus Soft- und Hardwareprodukten sowie Services zusammensetzt. Doch nicht nur Analysten tun sich schwer - trotz anhaltenden Marktwachstums ist offenbar auch das Geschäft mit der Sicherheit kein Zuckerschlecken mehr: Laut Wolfram Funk, Senior Advisor bei der Experton Group, wird es für Anbieter zunehmend schwieriger, ihre Produkte zu verkaufen. Dies sei zum einen auf die zunehmende Komplexität der Bedrohungsszenarien und damit auch der entsprechenden technischen Gegenwehr zurückzuführen. "Zudem ist IT-Security kein isoliertes Thema mehr, das klar benannt und auch so ausgeschrieben wird, sondern wird mittlerweile in verschiedenste Projekte verpackt", beobachtet der Berater.

Andere Töpfe, andere Sitten

Ein Sachverhalt, der sich nicht zuletzt auch in den veränderten Budgetierungsgepflogenheiten der Unternehmen widerspiegelt: Anders als noch vor wenigen Jahren werden die Ausgaben für IT-Sicherheit in Deutschland meist nicht mehr aus einem dedizierten Security-Etat bestritten, sondern zunehmend von anderen Bereichen der IT-Organisation sowie aus den Töpfen der Fachbereiche finanziert. Laut Funk verfügten im vergangenen Jahr nur noch gut 15 Prozent der Firmen über ein eigens ausgewiesenes Sicherheitsbudget. Eine stimmige Koordination zwischen Sicherheitsverantwortlichem, Fachabteilungen und Geschäftsführung vorausgesetzt, erachtet der Berater diese Dezentralisierung jedoch als hilfreich. Die Fachbereiche würden den Schutzbedarf ihrer Daten und Prozesse am ehesten kennen, auch lasse sich mit Geschäftsfakten grundsätzlich besser argumentieren als mit rein technischen Kennzahlen aus der IT. Security-Verantwortliche müssten aber darauf achten, nicht zum zahnlosen Tiger zu mutieren, der zwar die Sicherheitsanforderungen vorgibt, aber keine Budgethoheit für die technische Umsetzung hat.