Dass Sicherheit Priorität genießt, machen die Analysten von Gartner an zwei auf den ersten Blick eher unspektakulären Zahlen fest. Das Security-Budget steigt demnach für 2010 um durchschnittlich vier Prozent. Was wie ein magerer Zuwachs klingt, bedeutet im Vergleich der verschiedenen Infrastruktur-Ausgaben den ersten Platz vor Storage-Management mit einem erwarteten Plus von 3,79 Prozent und Business Intelligence (BI) mit 3,28 Prozent.
Im Bereich der IT-Dienstleistungen zeigt sich das Bild noch schärfer. Die Security-Services ziehen demnach im kommenden Jahr um 2,74 Prozent an. Hört sich noch bescheidener an - und bedeutet doch die unangefochtene Spitzenstellung vor Entwicklungs- und Integrations-Services mit 1,62 Prozent. Der Befund spiegelt die nach wie vor hohe Unsicherheit nach dem Einbruch der Krise wider. Sicherheit zuerst, während insgesamt nur vorsichtig mit Mehrausgaben gerechnet wird.
Größtmögliche Vorsicht lassen die Gartner-Analysten Adam Hils und Ruggero Contu allerdings auch in der Interpretation der Ergebnisse walten. Lediglich eine feste Handlungsempfehlung für die CIOs leiten sie aus ihrer Umfrage ab. 15 Prozent des IT-Sicherheits-Budgets sollten beiseite gelegt werden, um auf neue Gefahren und Verwundbarkeiten reagieren zu können.
Wie hoch die Security-Ausgaben tatsächlich ausfallen, schwanke stark - je nach Branche, Region, Unternehmenskultur, regulatorischer Praxis und Risk Mitigation-Anforderungen. Stärker als üblich gilt für CIOs die Empfehlung, sich nicht blind an diesen Richtwerten zu orientieren. Unternehmensspezifische Gegebenheiten sollten tunlichst nicht außer Acht gelassen werden.
Da Kürzungen im Security-Budget gerade in diesen Zeiten fatale Folgen haben können, sollten sich CIOs laut Gartner nicht ungesichert auf dieses dünne Eis begeben. Schlüsselfiguren in Vorstand und Geschäftsführung sind in die Entscheidungen über diesen Posten in jedem Fall einzubinden und es ist sicherzustellen, dass Risiken auf dieser Ebene auch nachvollzogen und verstanden wurden.
Managed Services und Cloud Computing
Im Bereich der Security-Software richten die CIOs ihr Augenmerk derzeit vor allem auf Security-Information and Event-Management (SIEM), E-Mail-Sicherheit, URL-Filterung und User-Provisioning. Gartner geht davon aus, dass die tatsächlichen Ausgaben dafür größer sind als aus ihrer Umfrage hervorgeht, weil sie zum Teil unter IT-Operations subsummiert werden.
Im Feld der Services beobachten die Analysten eine Bewegung hin zu Managed Security Services, cloud-basierten Mail- und Web-Security-Lösungen und compliance-bezogenem Consulting sowie Vulnerability Audits und Scans.
Ein Treiber der Security-Ausgaben ist nach Ansicht der Analysten die Abkehr vom Outsourcing. Ein Unternehmen, das ehedem ausgegliederte Dienste und Business-Prozesse wieder selbst übernimmt, muss dies zwangsläufig durch ein höheres Sicherheitsbudget flankieren.
Die momentane Krise wirkt nach Einschätzung von Gartner in zweierlei Weise befruchtend auf den Anteil der IT-Sicherheit am Budget. Zum einen wollen Firmen angesichts schwieriger Umstände bereits getätigte Investitionen - beispielsweise in neue virtualisierte Daten-Zentren - absichern und in besonderer Weise schützen. Zum anderen werden Security-Projekte in aller Regel nicht gänzlich abgeblasen, sondern nur gestundet. Ein Teil der bislang auf Eis gelegten Vorhaben dürfte deshalb die Nachfrage im kommenden Jahr stimulieren.
Compliance-Regelungen mitbedenken
Zu den Unwägbarkeiten der Prognose zählen die Analysten neben der allgemeinen wirtschaftlichen Entwicklungen und dem möglichen Auftauchen neuer Gefahrenherde auch die Bemühungen um ein strengeres Compliance-Regime durch Regierungen oder Industrie-Organisationen. Auch davon hänge ab, wie das Security-Budget im kommenden Jahr tatsächlich aussehe.
Gartner befragte für den Report "Security Software and Services Spending Will Outpace Other IT Spending Areas in 2010" im April und Mai rund 1000 Unternehmen weltweit.