"Stark zersplittert" - so lautet das Urteil von Claudia Eckert, Leiterin des Fraunhofer-Instituts für sichere Informationstechnik (SIT) über die deutsche IT-Security-Szene. Die Expertin kritisiert, dass in der Community aus Herstellern, Forschern, Anwendern, Beratern und öffentlichen Einrichtungen "nicht alle an einem Strang ziehen" und eine Bündelung der Kräfte derzeit "nicht stattfindet". Eckert steht mit ihrer Meinung nicht allein. Spricht man Berater, Hersteller oder Analysten auf das Thema "Security made in Germany" an, dann hört man ähnliche Aussagen.

So kommt es, dass im deutschen Markt US-amerikanische Security-Anbieter den Rahm abschöpfen. Allen voran bestimmen Konzerne wie Symantec oder Cisco das Geschehen. Immerhin stellt Deutschland den weltweit drittgrößten Markt für Security-Lösungen darstellt - mit guten Perspektiven: Für 2006 und 2007 erwartet die Experton Group ein jährliches Wachstum von elf Prozent auf ein Volumen von 4,5 Milliarden Euro.

Doch auch die deutschen Hersteller, sämtlich kleine und mittelständische Firmen mit einer ganz speziellen technischen Ausrichtung, sind konkurrenzfähig. Tetraguard, Kobil, Steganos oder IT-Watch sind typische Vertreter hierfür. Michaela Harlander, Geschäftsführerin des Firewall-Spezialisten Genua (Gesellschaft für Netzwerk- und Unix-Administration), beobachtet "eine lebendige Szene kleiner Anbieter, die Punktlösungen entwickelt haben und in ihren Nischen recht aktiv sind". Für Dennis Monner, CEO von Gateprotect, finden sich darunter jedoch "zu wenige, die gute Perspektiven haben". Größere, überregional oder gar international agierende Player gibt es kaum.

Firmen wie Genua, Utimaco oder Astaro bemühen sich zwar, international zu reüssieren, doch der Erfolg fällt ihnen nicht in den Schoß. Das liegt nicht zuletzt daran, dass das Zentrum des weltweiten Security-Markts eindeutig in den USA liegt. Hier finden die wesentlichen Fachveranstaltungen und Messen statt, hier sitzen die tonangebenden Experten vom Schlage eines Bruce Schneier, Whitfield Diffie oder Howard Schmidt. "Die Musik spielt in den USA", bringt Martin Wülfert, CEO von Utimaco, die Situation auf den Punkt.

Dabei ist Deutschland in Sachen IT-Security kein unbeschriebenes Blatt und weit davon entfernt, ein Entwicklungsland zu sein. Die hiesige Sicherheitsszene hat einen guten Ruf und klare Kompetenzen. "Technisch gesehen stehen wir in einigen Bereichen sehr weit oben", lobt SIT-Leiterin Eckert. Das gelte insbesondere für Themengebiete wie Kryptografie, eingebettete Systeme oder Biometrie und erschöpfe sich nicht in der Forschung, sondern führe auch zu konkreten Produkten. Daneben sieht die Expertin deutsche Anbieter rund um die Absicherung von Anwendungen gut aufgestellt.

Genua-Chefin Harlander konzediert der deutschen Security-Szene zudem ein "gutes Gespür dafür, wo IT-Security wirklich relevant ist". Dazu gehöre, dass Technik kritisch hinterfragt und mögliche Schwachstellen thematisiert werden, wodurch Sicherheit einen ganz anderen Stellenwert erhalte. Symbolisch verkörpert wird diese Art der Auseinandersetzung durch den Chaos Computer Club, den die Managerin als einen "wichtigen, kritischen Impulsgeber" bezeichnet (siehe Kasten: "Der Chaos Computer Club").

Daneben profitieren deutsche Anbieter von Security-Lösungen vom guten Klang des Prädikats "made in Germany": Im Ausland verbindet man mit diesem Begriff noch immer Werte wie Qualität, Zuverlässigkeit oder Präzision. Den Glauben an die "deutsche Gründlichkeit, auch was die Herstellung von Produkten angeht", bezeichnet Jan Hichert, CEO von Astaro, daher als "Riesenvor

teil". Seine Company ist unlängst als einziger deutscher Hersteller in Gartners Magic Quadrant für Enterprise Network Firewalls aufgenommen worden.

Übereinstimmend glauben die Experten, dass die technische Reife und der Qualitätsgedanke wesentliche Stärken der deutschen Security-Szene darstellen. "Ein hohes Maß an Exaktheit und Zuverlässigkeit" bescheinigt auch Matthias Gärtner, Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI) den hiesigen Security-Produkten. Groteskerweise scheinen es aber gerade diese Eigenschaften zu sein, die dem Erfolg deutscher Unternehmen im Ausland - besonders gegenüber der amerikanischen Konkurrenz - zuweilen im Weg stehen. Anders als die US-Konkurrenz tendieren deutsche Anbieter dazu, die Arbeit mit der Technik allzu sehr in den Vordergrund zu stellen. Peter Graf, Geschäftsführer der Beratungshauses Ampeg, formuliert es so: "Wir sind in Deutschland vor allem Ingenieure. Die Entwicklung einer Lösung steht bei uns im Vordergrund, erst danach denken wir an das Marketing."

Um dieses Defizit auszugleichen und deutschen Security-Anbietern bei der Selbstvermarktung im Ausland unter die Arme zu greifen, hat das Bundesministeriums für Wirtschaft und Arbeit (BMWI) im Frühjahr 2005 die Initiative "IT-Security made in Germany" (ITSMIG) gestartet. Sie soll eine Art Dachmarke für deutsche Sicherheitstechnik darstellen und Unternehmen dabei helfen, im Ausland Marktanteile zu gewinnen. IT Security made in Germany dient daneben aber auch als Kooperationsnetz für mehr als 60 deutsche IT-Sicherheitsfirmen. Die Homepage bietet einen guten Überblick über das Produktspektrum in Sachen IT-Sicherheit und wartet zudem mit Referenzprojekten bei Anwendern auf.

In einer Grundsatzerklärung identifiziert das Bundeswirtschaftsministerium die IT-Sicherheit als "einen der zentralen Wachstumsmärkte der Informationstechnik". Deutsche Produkte, Lösungen und Dienstleistungen seien weltweit führend. Daher wolle man diese Vorteile "festigen und weiter ausbauen".

Unterstützung erfährt die deutsche Security-Szene auch durch das Bundesinnenministerium, zu dem das BSI gehört. Eine derartige Institution ist nach Ansicht der IT-Experten einmalig in der Welt. Das BSI leistet Aufklärungsarbeit und sorgt dafür, dass die Informationssicherheit einen höheren Stellenwert genießt. Mit ihren rund 400 Mitarbeitern hat sich die Behörde unter anderem zum Ziel gesetzt, einen wesentlichen Beitrag für eine "von allen Gruppen getragene Sicherheitskultur" zu leisten, um so die Rahmenbedingungen für die Sicherheit und Zuverlässigkeit der IT zu verbessern.

Dabei verfolgt das BSI einen herstellerneutralen Ansatz und ist Open-Source-Themen gegenüber aufgeschlossen. Mit dem über 2500 Seiten starken IT-Grundschutzhandbuch (GSHB) hat das Bundesamt einen wichtigen Leitfaden entwickelt, den Anwender zur Absicherung ihrer Systeme verwenden können. Aus Sicht von Genua-Chefin Harlander ist es dem BSI zudem gelungen, mit dem Grundschutzauditor einen Standard einzuführen, der "einiges voran gebracht hat" und im Bereich der Security-Berater für mehr Klarheit sorgt.

Starke Impulse für die Security-Szene kommen inzwischen auch aus dem universitären Bereich. Hier hat sich in den vergangenen Jahren einiges getan: An vielen Fachhochschulen und technischen Universitäten stellen Inhalte mit Bezug zur IT-Security bereits einen festen Bestandteil der Lehrprogramme dar.

Auch aus Sicht von Michael Spreng, Vorstand von Secaron, ist die Ausbildung an den Universitäten inzwischen deutlich besser geworden, "das merken wir immer wieder in Bewerbungsgesprächen". Noch vor ein paar Jahren hätten nur wenige Bewerber Kenntnisse über Sicherheitsstandards vorzuweisen gehabt. Inzwischen brächten Absolventen schon ein ganz gutes Basiswissen mit. Das bestätigt Utimaco-Chef Wülfert, der sich für die universitäre Ausbildung allerdings einen stärkeren Praxisbezug sowie mehr Nähe zur Industrie wünscht.

Im Rahmen seines Projekts "Sicherheits-Hochschullandkarte" identifizierte der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom) im vergangenen Jahr 29 Forschungsstandorte, die in ganz Deutschland verteilt Lehrinhalte zum Thema IT-Security vermitteln. Stellvertretend seien hier der Lehrstuhl für Informationssicherheit und Kryptografie an der Universität des Saarlandes, der Lehrstuhl für Netz- und Datensicherheit an der Ruhr-Universität Bochum oder das im Mai 2005 gegründete Institut für Internet-Sicherheit an der Fachhochschule in Gelsenkirchen genannt. Starke Akzente setzt zudem das Fraunhofer-Institut für sichere Informationstechnologie in Darmstadt, das auch in wichtigen Gremien und Initiativen vertreten ist.

Dazu gehört etwa das Competence Center for Applied Security Technology (Cast). Der gemeinnützige Verein mit Sitz in Darmstadt sieht sich selbst als "eine der wichtigsten Kontakt- und Weiterbildungsorganisationen für IT-Sicherheit im deutschsprachigen Raum". Satzungsziel von Cast ist die Förderung der Aus- und Weiterbildung im Bereich IT-Sicherheit.

All diese Beispiele zeigen, dass es um das Thema IT-Security hierzulande nicht schlecht bestellt ist. Doch mangelt es an der kommerziellen Verwertung der Lösungen und Dienstleistungen. Neben dem bereits erwähnten fehlenden Austausch der Mitglieder der Security-Szene untereinander fehlt es an Risikokapital für junge Unternehmen. Financiers und Banken seien zu zurückhaltend, was die Förderung von jungen Firmen und innovativen Ideen angeht, lautet eine häufig geäußerte Kritik. Gateprotect-CEO Monner etwa klagt: "Es ist in Deutschland sehr schwer, Kapitalgeber zu finden, das ist eine der Haupthürden für neue Unternehmen." Viele gute Ideen kämen aufgrund der fehlenden Förderung nicht zum Start. Auch SIT-Leiterin Eckert findet es bedauerlich, dass die Finanzinstitute zu zögerlich sind, wenn es darum gehe, einem Unternehmen mit einem Kredit unter die Arme zu greifen.

Die Expertin macht daneben mit der "Überregulierung" noch einen anderen Punkt aus, der der technischen Entwicklung mitunter im Weg stehe. So etwa im Fall der Signaturgesetzgebung: Die Vorgabe, sehr starke Signaturen zu schaffen, die der Unterschrift per Hand entsprechen, habe lähmend auf die Einführung der Technik gewirkt. Jahrelang seien deutsche Unternehmen bei der Einführung von digitalen Signaturen und Public Key Infrastructures (PKIs) kaum vorangekommen. Inzwischen habe die Branche jedoch dazugelernt, so dass Eckert Grund zur Hoffnung sieht.

Die Notwendigkeit eines intensiveren Austauschs sei inzwischen erkannt. Eckert verspricht sich zudem viel davon, dass die Security-Themen stark im Bundeswirtschafts- und Bundesinnenministerium verankert sind: "Das lässt den Willen der Politik erkennen, etwas zu bewegen und kann ein Ausgangspunkt sein, um die Sicherheitsthematik in Deutschland voranzubringen."