E-Business-Sicherheit

Security im E-Business-Zeitalter

15.11.2001
Sicherheitsfragen treten durch die Umsetzung von E-Business-Aktivitäten verstärkt in den Vordergrund. Dabei erweisen sich die Sicherheitsvorkehrungen als ein Erfolgsfaktor. In einer neuen Studie beleuchtet die Metagroup den status quo in Deutschland und schätzt die Marktentwicklung ein.

Unternehmen bewegen sich heute im Spannungsfeld zwischen schnellem Time-to-Market im E-Business und hohen Security-Anforderungen. Der Erfolg von E-Business-Initiativen wird künftig maßgeblich davon abhängen, wie es den Unternehmen gelingt, den ROI (Return on Investment) der Vorhaben unter Berücksichtigung sowohl der projektbezogenen Security-Anforderungen als auch der Marktanforderungen im E-Business-Zeitalter zu optimieren beziehungsweise auszubalancieren.

E-Business und Security im Wettlauf

E-Business ist heute der treibende Faktor hinter vielen Security-Initiativen. Während durch die Externalisierung von Anwendungen und Prozessen bereits erhöhter Sicherheitsbedarf in Hinsicht auf die eigenen IT-Systeme besteht, sind es vor allem auch die involvierten Kunden und Partner, die vom Unternehmen die Umsetzung von nötigen Security-Maßnahmen fordern. Der Schutz von Daten und die Verfügbarkeit der Systeme ist im E-Business-Zeitalter damit zu einer unternehmensübergreifenden Herausforderung geworden.

Security im E-Business ("E-Security") umfasst alle Disziplinen der Enterprise Security, die zum Ziel haben, die Sicherheit von E-Business-Lösungen und der damit verbundenen IT-Systeme im Unternehmen sicherzustellen. E-Security legt gegenüber der Enterprise Security aber einen stärkeren Akzent auf die Sicherheit externalisierter Anwendungen und Transaktionen zwischen verschiedenen Unternehmen oder mit dem Endkunden. E-Security geht damit über die Thematik der klassischen Enterprise Security hinaus. Auf der anderen Seite sind auch die Grenzen zwischen E-Security und E-Business fließend, da Sicherheitslösungen zunehmend als Bestandteil von E-Business-Produkten verkauft werden.

Typisches Kennzeichen von E-Business-Vorhaben sind kurze Projektlaufzeiten. Anwenderunternehmen bewegen sich heute im Spannungsfeld zwischen schnellem Time-to-Market im E-Business und hohen Security-Anforderungen. Dabei hält die Gestaltung von Security-Organisation und -Prozessen nur mit Mühe dem hohen Tempo der technologischen Implementierung stand, wie die Ergebnisse der vorliegenden Studie zeigen.

Nur 59% der Unternehmen, die heute E-Business-Projekte planen, durchführen oder bereits solche abgeschlossen haben, verfügen über eine IT-Sicherheitsorganisation. Zudem kann sich nach Einschätzung der META Group nur knapp die Hälfte der Unternehmen auf eine Security Policy stützen. Diese ist jedoch nach Meinung der META Group absolut unerlässlich für alle weiteren Maßnahmen technologischer oder organisatorischer Art.

Für viele Unternehmen ist ein E-Business-Projekt jedoch der konkrete Anlass, Sicherheitsorganisation und Policies aufzubauen. Deshalb haben hier Unternehmen mit bereits durchgeführten Projekten einen deutlich höheren Implementierungsgrad erreicht. Der Aufbau der Security Policies geschieht aufgrund der kurzen Projektlaufzeiten unter hohem Zeitdruck und vor allen Dingen überwiegend punktuell im Projektkontext. Nach Erkenntnissen der META Group erfolgen sowohl Konzeption als auch Umsetzung und Kontrolle der organisatorischen Sicherheitsmaßnahmen lückenhaft und pragmatisch. Überdies scheinen Anwender ohne Security-Organisation deutlich schlechter in der Lage zu sein, auftretende Sicherheitsprobleme zu bemerken und zu identifizieren.

Daher ist es nicht verwunderlich, dass die befragten Anwender als Hauptrisiken im Datenschutz Viren und den Missbrauch von Benutzerrechten ("Innentäter") sehen. Erkennbar ist, dass das Bedrohungspotenzial sich durch die Externalisierung von Geschäftsprozessen zwar allmählich von innen nach außen verschiebt, andererseits aber die Mitarbeiter potenziell in der Lage sind, bewusst oder unbeabsichtigt Tür und Tor für externe Bedrohungen zu öffnen.

Dies spiegelt sich auch in den Aussagen der Anwender zu den Hemmnissen für die Durchsetzung eines hohen Sicherheitsniveaus bei Projektierung und Betrieb von E-Business-Lösungen wider. Als Haupthemmnis postulieren die befragten Entscheidungsträger eindeutig das mangelnde Sicherheitsbewusstsein der Anwender im Unternehmen. Die sorgfältige Implementierung einer Security Policy und deren Umsetzung in allen relevanten Bereichen könnte die Situation nach Ansicht der META Group wesentlich verbessern. Die Durchführung organisatorischer und technischer Security-Vorhaben wird allerdings zum gegenwärtigen Zeitpunkt durch weitere Hindernisse erschwert, insbesondere durch die fehlende Messbarkeit von Risiken, geringe Budgets und Personalengpässe sowie insgesamt die Komplexität des Themas E-Security.

Die zwei wesentlichen Entscheidungsgrundlagen für den Umfang der Security-Investitionen in E-Business-Projekten sind der Stand der Technik und die Anforderungen, welche von Partnern und Kunden an die Sicherheit gestellt werden. Wirtschaftliche Kosten-Nutzen-Analysen und Risk Assessment werden von den befragten Anwendern derzeit weniger als Entscheidungsgrundlage herangezogen, da es momentan noch kaum standardisierte Vorgehensweisen gibt, um die Risiken durch Sicherheitsprobleme beziehungsweise den Nutzen von entsprechenden Gegenvorkehrungen zu bewerten. Es herrscht eine pragmatische Vorgehensweise vor, die sich an dem orientiert, was heute technisch möglich ist und sich angesichts eines schnellen Time-to-Market in Bezug auf E-Business-Projekte unter harten Zeitanforderungen implementieren lässt. Der Anwender befindet sich dabei im Spannungsfeld zwischen hohen potenziellen Schäden bei Implementierung unsicherer Lösungen einerseits und dem Verlust von Marktanteilen bei der Implementierung sicherer, aber erheblich zeit- und kostenaufwendigerer E-Business-Lösungen. Welche Kräfte bei der Entscheidung für die Inbetriebnahme einer E-Business-Lösung siegen werden - Treiber oder Hemmnisse - hängt maßgeblich vom Wettbewerbsumfeld des einzelnen Unternehmens ab. Nach Einschätzung der META Group ist nicht auszuschließen, dass man in sehr wettbewerbsintensiven Branchen, in denen E-Business zu völlig neuen Geschäftsmodellen führt, den ersteren Weg geht und zunächst die Anforderungen der Kunden an die Funktionalität erfüllt, um zu einem späteren Zeitpunkt Security-Funktionalitäten zu optimieren.

Entscheidend ist insgesamt eine Betrachtung des Zusammenhangs zwischen E-Business und E-Security. Ausgehend von Marktanforderungen wie beipielsweise der Umsetzung neuer Geschäftsmodelle oder der Optimierung von Geschäftsprozessen werden E-Business-Projekte initiiert. Diese wirken sich ihrerseits markttreibend für E-Security aus, stellen doch die involvierten Kunden, Partner oder Mitarbeiter nicht nur hohe Anforderungen an Funktionalitäten, sondern auch an die Sicherheit. E-Security wiederum erweist sich als Enabler beziehungsweise Erfolgsfaktor für E-Business-Projekte. Der Erfolg von E-Business-Initiativen hängt nach Meinung der META Group maßgeblich davon ab, wie es dem Anwenderunternehmen gelingt, ganzheitlich vorzugehen und den ROI (Return on Investment) der E-Business-Vorhaben unter Berücksichtigung sowohl der projektbezogenen Security-Anforderungen als auch der Marktanforderungen zu optimieren.

Der Markt für E-Security-Produkte und Dienstleistungen

Nach Einschätzung der META Group bleibt E-Business mittelfristig, d.h. für die nächsten drei bis fünf Jahre, der wesentliche treibende Faktor hinter Security-Initiativen. In der gegenwärtigen Phase des E-Business-Lebenszyklus hat die Mehrheit der großen Unternehmen begonnen, konkrete E-Business-Projekte zu planen oder durchzuführen. Die späte Mehrheit - darunter auch weite Teile des Mittelstands - wird in den Jahren 2002-2004 nachziehen. E-Security ist jedoch sehr eng mit den E-Business-Aktivitäten der einzelnen Unternehmen verknüpft. Die Entwicklung im E-Business überlappt sich dabei mit der spezifischen Dynamik des Marktes für E-Security-Lösungen und Dienstleistungen.

In Deutschland steht derzeit die punktuelle Realisierung von E-Security in spezifischen Bereichen im Vordergrund. Später soll E-Security in weitere Unternehmensbereiche hineingetragen werden. Der Anteil des E-Security-Budgets an den IT-Budgets steigt bei deutschen Unternehmen mit geplanten oder durchgeführten E-Business-Projekten von 3% in 2000 auf über 5% in 2002. Auch der Anteil der Kosten für Security, die im Rahmen von E-Business-Projekten veranschlagt werden, wird von 13% in 2000 auf rund 15% Ende 2001 zunehmen.

Insbesondere vom Jahr 2001 werden nach Einschätzung der META Group entscheidende Wachstumsimpulse für den E-Security-Markt ausgehen. Allein die befragten Anwender planen, in 2001 über 50% mehr für Hardware, Software und externe Dienstleistungen auszugeben als im Vorjahr.

Insgesamt hatte der Markt für E-Security in Deutschland im Jahr 2000 ein Volumen von 204 Millionen Euro und wird mit einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von 42% auf 831 Millionen Euro in 2004 ansteigen. Der gesamte deutsche Markt für IT-Security wächst nach Schätzungen der META Group im gleichen Zeitraum von rund 1,3 auf knapp 3 Milliarden EURO.

In den Jahren 2001 und 2002 wird die Entwicklung geprägt sein durch zunehmende Reife der Technologien, aber nach wie vor mangelnde Standardisierung und Integrationsfähigkeit mit geschäftskritischen Applikationen und der bestehenden Systemlandschaft. Die Gestaltung von Security-Organisation, -Prozessen und Policies wird nur mit Mühe dem hohen Tempo der technologischen Implementierung standhalten. In den Jahren 2003 und 2004 wird sich eine zunehmende Anzahl an Unternehmen bei der Realisierung von Folgeprojekten im E-Business auf Erfahrungen aus früheren Vorhaben berufen können. Überdies werden sich allmählich standardisierte Verfahren zur Einschätzung von Risiken (Risk Assessment) und deren monetärer Bewertung etablieren.

Zu einer Verschnaufpause kommen die Anwender hingegen nicht, da neue Geschäftsmodelle umzusetzen und abzusichern sind. Besondere Impulse werden dabei von drahtlosen mobilen Anwendungen und UMTS ausgehen, die den Markt für Wireless-Security-Produkte stimulieren. Dieser Markt befindet sich heute noch am Anfang der Entwicklung.

Fokus der E-Security-Initiativen

Die Themen Authentifizierung und Autorisierung stehen bei den Unternehmen weit oben auf der Prioritätenliste. Bislang erfolgt die Umsetzung noch häufig durch Directory mit Web Single Sign-on, im Bereich Public Key Infrastructures (PKI) werden in 2001/02 aber bereits die ersten signifikanten Umsätze erbracht. Dennoch sind in 2001 noch einige Hemmnisse zu überwinden. Neben der Komplexität und den Kosten von PKI-Lösungen ist mittelfristig die Integration mit Infrastrukturen und Systems Management zu bewältigen. Zudem herrscht mangelnder Support von geschäftskritischen (Standard-) Applikationen vor.

Nach Einschätzung der META Group werden sich die traditionellen Grenzen auflösen, wenn Security-Funktionalitäten (z.B. Intrusion Detection, Firewall, PKI) im Laufe der Jahre 2002-04 immer stärker in Infrastruktur-Komponenten integriert werden. Zunächst wird das Thema PKI jedoch primär durch Unternehmen mit sehr hohen Anforderungen an Authentifizierung und Schutz bzw. Integrität von Daten vorangetrieben (heute Banken/Versicherungen, in 2001/2002 auch Transport, Telekommunikation und Versorgung, Fertigungsindustrie sowie Medien und Business Services und die öffentliche Hand).

Begünstigend für diese Entwicklung ist unter anderem die Novelle des Signaturgesetzes in Deutschland, welche einen festen Gesetzesrahmen schafft und damit eine beschleunigte Akzeptanz und Verbreitung digitaler Zertifikate bewirkt. Überdies haben die Banken mit Identrus sehr früh eine eigene Initiative gestartet, die den hohen Sicherheits-Anforderungen im B2B-Geschäft dieser Branche Rechnung tragen soll.

Die Implementierung von Public-Key-Infrastrukturen wird mit dem wachsenden Einsatz von Technologien zur starken User-Authentifizierung einhergehen. Mit zunehmender Marktreife der Produkte, sinkenden Preise und der Integration in die allgemein üblichen Computing-Plattformen werden mittelfristig Smart Cards (2001/2002) und biometrische Verfahren (2003/04) zum Einsatz kommen.

Insgesamt wird der Markt für Security-Lösungen im E-Business kräftig wachsen, wobei die Hardware einen erheblichen Anteil einnehmen wird. Nach Einschätzung der META Group spiegelt dies die Beschaffung von Kryptohardware und SmartCards im Zusammenhang mit dem Aufbau von PKIs und der für Datenschutz und Hochverfügbarkeit notwendigen Infrastruktur (Server und Desktops) wider.

Marktwachstum für E-Security-Services

Nach Einschätzung der META Group stehen die Unternehmen gegenwärtig unter enormem Druck, im Rahmen von E-Business-Projekten adäquate organisatorische und technologische Infrastrukturen und Prozesse aufzubauen. Erste Erfahrungen mit E-Security müssen vielerorts erst noch gesammelt werden. Time-to-Market stimuliert in den kommenden Jahren und ganz besonders in 2001 und 2002 den Markt für E-Security-Services. Externe Dienstleistungen helfen den Unternehmen, vor dem Hintergrund kurzer Projektrealisierungszyklen akute Engpässe an qualifiziertem Personal und Know-how zu überbrücken. Buy-Alternativen im Entscheidungsprozess können damit zunächst in den Vordergrund rücken. Nach 2002 nehmen die Freiheitsgrade in Make-or-Buy-Entscheidungen jedoch wieder zu.

Der Dienstleistungsmarkt für E-Security in Deutschland wird in den Jahren 2000 bis 2004 von 55 Millionen Euro mit einer durchschnittlichen Rate von ca. 50% (CAGR) auf ca. 280 Millionen Euro wachsen. Im Vordergrund stehen dabei zunächst die Systemintegration und Evaluierung von Produkten. Während die Technologien heranreifen, sind die zugrundeliegenden Security-Organisationen, -Prozesse und -Policies bei den Anwendern jedoch noch unvollständig. Diese müssen im Rahmen der E-Business-Projekte unter hohem Zeitdruck aufgebaut werden. Deshalb geht die META Group auch hier von starkem Wachstum an Professional Services bzw. Beratungsleistungen aus, die in der Regel im konkreten Projektkontext erbracht werden.

In Zeiten mangelnder Anwender-Awareness und fehlender Messbarkeit von Risiken werden zudem verstärkt Schulungen und Risk Assessment nachgefragt, unterstützt durch Penetration Testing zur Untersuchung von Schwachstellen. Das Risk Assessment wird aber erst mit der Etablierung von Standards und Versicherungsangeboten zur Absicherung von IT-Risiken (in 2003/04) seine volle Blüte entfalten.

Das Outsourcing von Betrieb und Management von sicherheitsrelevanten Systemen nimmt in den Jahren 2001/02 zu, wobei auch dies vor allem im Rahmen der E-Business-Projekte erfolgt und eher kurze Vertragslaufzeiten sowie selektives Outsourcing bzw. Outtasking dominieren.

Herausforderungen für Anbieter

Anwenderunternehmen suchen in der jetzigen Phase primär einen kompetenten und vertrauenswürdigen Partner, der in der Lage ist, den Kunden bei der Planung und Implementierung spezifischer Security-Lösungen zu unterstützen. Der Anbieter muss dabei nicht notwendigerweise alle Leistungen aus einer Hand bieten können, und die Anforderung der Betreuung in großen oder internationalen Projekten steht ebenfalls nicht im Vordergrund. Daher sehen die Anwender die Gesamtumsetzungs-Kompetenz auch primär bei dedizierten Security-Dienstleistern und Systemintegratoren. Nach Einschätzung der META Group ist dies nicht zuletzt darauf zurückzuführen, dass viele Vorhaben im Bereich E-Security in Deutschland derzeit noch Pilotcharakter haben und nicht unternehmensweit, sondern eher punktuell durchgeführt werden. Sollte sich das ändern, wird die Größe und Internationalität des Anbieters sowie die Breite und Tiefe seines Portfolios verstärkte Bedeutung erlangen. Der Erfolg des einzelnen Anbieters wird jedoch langfristig in erster Linie davon abhängen, wie es ihm gelingt, Strategie und Positionierung rechtzeitig mit den aktuellen Marktanforderungen in Einklang zu bringen.

Die Erweiterung des Portfolios wird nahezu in allen Fällen sowohl über Partnerschaften als auch über Akquisitionen erfolgen.

Obgleich nicht explizit von den Anwendern gefordert, treiben regional operierende Produktanbieter die Internationalisierung voran. Manche verfolgen damit das Ziel, neue Absatzmärkte für höchst standardisierte Produkte zu erschließen. Andere wiederum möchten damit Wachstum durch internationale Großprojekte realisieren, in denen komplexere Anforderungen zu erfüllen sind (globaler Rollout und Support unter Berücksichtigung von Standards und rechtlichen Rahmenbedingungen).

Vor ähnlichen Fragestellungen stehen heute auch die Dienstleister im E-Security-Umfeld. Der Zwang zur Internationalisierung kommt dann ins Spiel, wenn komplexe Individuallösungen in weltweiten Unternehmensverbünden realisiert werden sollen. Positive Begleiterscheinung der Internationalisierung ist die Möglichkeit, auch für lokale Projekte auf Ressourcen aus dem internationalen Personal-Pool zurückgreifen zu können.

Dienstleister für E-Security verfügen über sehr unterschiedliche Unternehmens-Historien und unterscheiden sich heute noch stark in ihren Leistungsangeboten. Teilweise sehr technologisch ausgerichtet, geht der Trend allmählich hin zur Komplettierung der Leistungen um lösungsorientierte Angebote einschließlich der Unterstützung durch Organisations- und Prozessberatung im Umfeld der E-Security. Die Anbieter versprechen sich damit nicht zuletzt den Einstieg in Projekte. Dennoch wird auch künftig die Arbeitsteilung im Zyklus Plan-Build-Run nicht völlig aufgehoben werden, sind doch bestimmte Services für den einzelnen Anbieter nur mit äußerst hohem Aufwand zu realisieren, wie beispielsweise der Betrieb von Trust Centern.

Obwohl Security-Dienstleister in den kommenden Jahren prinzipiell vor glänzenden Wachstumsperspektiven stehen, müssen sie sich im Hinblick auf den Mangel an geeigneten Security- Fachkräften ähnlichen Herausforderungen stellen wie die Anbieter. Der Personalmangel wird sich in vielen Fällen als Wachstumsbremse erweisen.

Fortsetzung auf Seite 2