PDF: 1 MB

Transcrição

PDF: 1 MB

Der IT-Sicherheitsmarkt
in Deutschland
Grundstein für eine makroökonomische Erfassung der Branche
Im nachfolgenden Text wird für ein besseres Leseverständnis und einen flüssigeren Sprachstil die männliche Grammatikform generisch verwendet.
Die Autoren danken folgenden Personen für ihre tatkräftige Unterstützung bei der Erstellung der Studie: Frau Nihal Islam und Tobias Ehrhard,
WifOR Darmstadt, Lisa-Marie Sax und Julian Knippel, WifOR Berlin. Darüber hinaus danken wir den zahlreichen Branchenvertretern und IT-Sicherheits
experten, die in Interviews am Rande der CeBIT mit ihrem fachlichen Input zum Gelingen der Studie beigetragen sowie jenen, die an der OnlineUmfrage teilgenommen haben.
Impressum
Herausgeber
Bundesministerium für Wirtschaft
und Technologie (BMWi)
Öffentlichkeitsarbeit
11019 Berlin
www.bmwi.de
Das Bundesministerium für Wirtschaft und
Technologie ist mit dem audit berufundfamilie®
für seine familienfreundliche Personalpolitik
ausgezeichnet worden. Das Zertifikat wird von
der berufundfamilie gGmbH, einer Initiative der
Gemeinnützigen Hertie-Stiftung, verliehen.
Text und Redaktion
WifOR
Susanne Schubert/Mathias Rhiel
Elisabethenstraße 35
64285 Darmstadt
E-Mail: [email protected]
Druck
Silber Druck oHG, Niestetal
Gestaltung und Produktion
PRpetuum GmbH, München
Stand
August 2013
Diese Broschüre ist Teil der Öffentlichkeitsarbeit des
Bundesministeriums für Wirtschaft und Technologie.
Sie wird kostenlos abgegeben und ist nicht zum
Verkauf bestimmt. Nicht zulässig ist die Verteilung
auf Wahlveranstaltungen und an Informationsständen
der Parteien sowie das Einlegen, Aufdrucken oder
Aufkleben von Informationen oder Werbemitteln.
Diese und weitere Broschüren erhalten Sie bei:
Bundesministerium für Wirtschaft und Technologie
Referat Öffentlichkeitsarbeit
E-Mail: [email protected]
www.bmwi.de
Zentraler Bestellservice:
Telefon: 01805 778090
Bestellfax: 01805 778094
(0,14 Euro/Min. aus den Festnetzen und
max. 0,42 Euro/Min. aus den Mobilfunknetzen)
Inhaltsverzeichnis
Abbildungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Tabellenverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Abkürzungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1. Die IT-Sicherheit in Deutschland und ihre Rahmenbedingungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1.1 Status Quo der IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1.2 IT-Sicherheit und Interessenssphären . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1.3 Exkurs: IT-Sicherheit als Wachstumsdeterminante und Freiheitsgarant? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.
Vorgehensweise und Studienzweck . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.1Erkenntnisinteresse des Forschungsprojekts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.2 Makroökonomischer Fokus der Analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.3 Erläuterung makroökonomischer Kennzahlen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.4 Qualitative Abgrenzung der IT-Sicherheitswirtschaft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
3. Die IT-Sicherheitswirtschaft in Zahlen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.1Das ökonomische Lagebild der IT-Sicherheitswirtschaft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.2Produktionswert . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
3.3 Bruttowertschöpfung und Vorleistungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
3.4Marktgröße . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.5Außenhandel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3.6 Beschäftigung, Einkommen und Arbeitsproduktivität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
3.7 Die bedeutendsten Abnehmer von IT-Sicherheitsgütern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4. Entwicklungsprognosen bis ins Jahr 2020 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.1 Möglichkeiten der Fortschreibung und ihre Aussagekraft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.2 Entwicklungsprognose Produktionswert . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.3Entwicklungsprognose Bruttowertschöpfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4.4 Entwicklungsprognose Marktvolumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4.5 Entwicklungsprognose Beschäftigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
5. Markttreiber der IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
5.1 Technologische Trends als Markttreiber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
5.1.1Sicherheitserfordernisse durch das Internet der Dinge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
5.1.2Sicherheitserfordernisse industrieller Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
5.1.3Sicherheitserfordernisse von eGovernment und ePartizipation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
5.2 Politik und Wirtschaft als Markttreiber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
5.2.1Der aktivierende Staat und die initiative Wirtschaft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
5.2.2Der regulierende Staat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
6.
Gesamtfazit: Ableitung von Handlungsfeldern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
6.1 Handlungsfelder von Politik und IT-Sicherheitswirtschaft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
6.2 Forschung und Innovationskraft steuerlich fördern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
6.3 Vernetzung von Forschung und Wirtschaft verdichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
6.4Fachkräfteangebot und -bedarf kontinuierlich im Blick behalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
6.5 Exportfähigkeit von kleinen und mittleren Unternehmen dauerhaft fördern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
7. Methodensteckbrief . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
7.1 Allgemeine Charakterisierung der Methodik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
7.2Branchenabgrenzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
7.3Wertschöpfungsansatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
7.4 Verwendete Datenbasis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
7.5Bestimmung der IT-Sicherheitskoeffizienten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
7.6 Fortschreibung und Prognose . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Anhang, Tabellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
3
Abbildungsverzeichnis
Abbildung 1: Kreislauf übergeordneter Zwecke und Mittel der IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Abbildung 2: Erkenntnisleitende Fragen des Forschungsprojekts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Abbildung 3: Produkt- und Dienstleistungskategorien der IT-Sicherheitswirtschaft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Abbildung 4: Güteraufkommen im Jahr 2012 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Abbildung 5: Entwicklung des Produktionswerts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Abbildung 6: Entwicklung der Produktionswerte in den Branchensegmenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Abbildung 7: Branchenstruktur der Jahre 2005 und 2012 im Vergleich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Abbildung 8: Entwicklung der Bruttowertschöpfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Abbildung 9: Entwicklung der Vorleistungsquote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Abbildung 10: Durchschnittliche Wachstumsrate der Bruttowertschöpfung im Vergleich . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Abbildung 11: Volumen des Markts für IT-Sicherheitsgüter in Deutschland . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Abbildung 12: Prozentuale Zusammensetzung des Markts für IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Abbildung 13: Außenhandel mit IT-Sicherheitsgütern im Jahr 2012 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Abbildung 14: Entwicklung des Außenhandels mit IT-Sicherheitsgütern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Abbildung 15: Außenhandel der Branchensegmente im Jahr 2012 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Abbildung 16: Entwicklung der Erwerbstätigenzahlen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Abbildung 17: Durchschnittliche Zuwachsraten der Erwerbstätigen im Vergleich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Abbildung 18: Entwicklung des Pro-Kopf-Einkommens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Abbildung 19: Entwicklung der Arbeitnehmeranzahl in der IT-Sicherheitswirtschaft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Abbildung 20: Entwicklung der Arbeitnehmerentgelte pro Kopf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Abbildung 21: Entwicklung der Arbeitsproduktivität in der IT-Sicherheitswirtschaft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28
Abbildung 22: Bedeutendste Abnehmer von IT-Sicherheitsgütern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Abbildung 23: Branchen mit der höchsten IT-Sicherheitsintensität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Abbildung 24: Entwicklungskorridor des Produktionswerts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Abbildung 25: Entwicklungskorridor der Bruttowertschöpfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4
Abbildungsverzeichnis/Tabellenverzeichnis
Abbildung 26: Entwicklungskorridor des Marktvolumens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Abbildung 27: Entwicklungskorridor der Anzahl Erwerbstätiger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Abbildung 28: Facetten des Engagements für IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Abbildung 29: Datenverfügbarkeit der Volkswirtschaftlichen Gesamtrechnung nach Gliederungstiefe . . . . . . . . . . . . . 50
Tabellenverzeichnis
Tabelle 1: Unterschiede zwischen betriebswirtschaftlicher und makroökonomischer Betrachtung . . . . . . . . . . . . . . . . . 11
Tabelle 2: Entwicklung wichtiger Eckwerte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Tabelle 3: Branchenabgrenzung der IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Tabelle 4: Entwicklung der IT-Sicherheitskoeffizienten am Beispiel des PW . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
5
Abkürzungsverzeichnis
ANArbeitnehmer
PWProduktionswert
ASWArbeitsgemeinschaft für Sicherheit der
Wirtschaft
RFID
Radio frequency identification
SKSatellitenkonto
BIPBruttoinlandsprodukt
UN
BMBFBundesministerium für Bildung und
Forschung
United Nations
VDI/VDE-ITVerband der Elektrotechnik, Elektronik
und Informationstechnik
BMUBundesministerium für Umwelt, Naturschutz und Reaktorsicherheit
VGR
BMVg
VLVorleistungen
Bundesministerium der Verteidigung
BMWiBundesministerium für Wirtschaft und
Technologie
VN
Volkswirtschaftliche Gesamtrechnungen
Vereinte Nationen
WZWirtschaftszweig
BWSBruttowertschöpfung
CAGR
Compound Annual Growth Rate
CPA Classification of product activity (Statistische Güterklassifikation in Verbindung
mit den Wirtschaftszweigen in der Europäischen Wirtschaftsgemeinschaft)
Destatis
Statistisches Bundesamt
ETErwerbstätige
EU
Europäische Union
FuE
Forschung und Entwicklung
GAGüteraufkommen
IKTInformations- und Kommunikationstechnologien
IOTInput-Output-Tabelle
ITInformationstechnik
KMU
Kleine und mittlere Unternehmen
OECDOrganization for Economic Co-operation
and Development
6
1. Die IT-Sicherheit in Deutschland und ihre
Rahmenbedingungen
1.1 Status Quo der IT-Sicherheit
Die Informations- und Kommunikationstechnologien
(IKT) konstituieren einen elementaren Bestandteil des
alltäglichen Lebens und des Wirtschaftshandelns.
Nicht zuletzt deshalb stellen in einer globalisierten und
vernetzten Welt hochleistungsfähige und dauerhaft
verfügbare IKT die wichtigste Grundvoraussetzung für
die Wettbewerbsfähigkeit der deutschen Wirtschaft
dar. Darüber hinaus stärkt das Internet als Medium der
Meinungsäußerung und des Gedankenaustauschs die
freiheitlichen Rechte von Individuen und vermag die
demokratische Entwicklung von Gesellschaften zu
befördern. Darum ist der Schutz der IKT als kritischer
Infrastruktur ein zentrales Anliegen der Bundesregierung, das in der Cyber-Sicherheitsstrategie seinen Ausdruck gefunden hat.1 Überdies sind andere kritische
Infrastrukturen wie der Energie- oder der Finanzsektor
vor IT-Angriffen zu schützen, denn die Beeinträchtigung dieser Branchen könnte die Lebensgrundlagen,
den wirtschaftlichen Wohlstand und sogar die öffent
liche Sicherheit in Deutschland erheblich gefährden.
Folglich ergibt sich die Signifikanz der IT-Sicherheitswirtschaft nicht nur aus ihrem ökonomischen Potenzial, sondern vor allem aus der sicherheitsstrategischen
Bedeutung ihrer Produkte und Dienstleistungen.
Aber auch im privaten Bereich kann der Verlust vertraulicher Informationen deutliche Vermögensschäden
nach sich ziehen und die Akzeptanz digitaler Technologien mindern. Mit Hilfe von IT-Sicherheitstechnologien sollen daher die Gefahren frühzeitig erkannt, ITAngriffe abgewehrt und ihre möglichen Auswirkungen
begrenzt werden.2 Die Bedrohungslandschaft nimmt
exponentiell zu, in dem Maß wie auch die Vielfalt der
Zugänge zu IT-Infrastrukturen zunimmt. Mit dem
zunehmenden Ausbau der Breitbandversorgung3, der
Einführung von Cloud Computing4 und dem Einsatz
von Smart Grids und Smart Metering5 entstehen neue
IT-Angriffspunkte und Vulnerabilitäten. Diese erfordern
angepasste Sicherheitslösungen, sodass der Markt für
IT-Sicherheit seine Stellung als wichtigster Folgemarkt
der Informationstechnik behaupten wird.
In Deutschland bieten zahlreiche Unternehmen ihre
IT-Sicherheitsprodukte und -dienstleistungen an, die
bei der Sicherung sensibler Daten, kritischer Infrastrukturen und der Umsetzung von Sicherheitsricht
linien in Unternehmen helfen. Der deutsche Markt für
IT-Sicherheit weist einen hohen Anteil an kleinen und
mittleren Unternehmen auf, die zumeist Nischen besetzen und im Vergleich zu den Global Playern der ITSicherheitswirtschaft eher unbedeutend erscheinen.
Dennoch stellt die IT-Sicherheit ein attraktives Ge
schäftsfeld und ein strategisch wichtiges Kompetenzfeld dar, dessen wirtschaftspolitische Flankierung
geboten erscheint.6 Viele deutsche Unternehmen der
IT-Sicherheitswirtschaft zeichnen sich durch Technologievorsprünge in den Bereichen Kryptographie,
Smart Cards, PKI-Lösungen7, digitale Signaturen und
Hochsicherheitslösungen aus; durch ihre Kompetenzdichte und Zuverlässigkeit genießen sie ein positives
Image auch auf ausländischen Märkten.8
1.2 IT-Sicherheit und Interessenssphären
Der Markt für IT-Sicherheit hat eine Sonderstellung
innerhalb der verschiedenen Segmente des IT-Marktes,
da hier verschiedene Interessenssphären zusammentreffen. Die in den Kapiteln 3 und 4 erläuterten Untersuchungsergebnisse müssen vor dem Hintergrund
folgender Prämissen verstanden werden:
1
Vgl. die Rede von Staatssekretärin Rogall-Grothe des BMI auf der Fachkonferenz des DStGB am 13. Juni 2012, „Cyber-Sicherheit für Deutschland“.
Verfügbar unter: http://www.dstgb.de/dstgb/Kommunalreport/B%C3%BCrgernahe%20Sicherheitskommunikation/Vortrag_Rogall-Grothe.pdf
2
Der Schutz sensibler Daten visiert die Sicherheitsziele Authentizität, Verfügbarkeit, Integrität, Verbindlichkeit, Vertraulichkeit, Anonymität
und Privatheit an. Vgl. Eckert, C. (2012), S. 7ff.
3
Mit dem Ausbau der Breitbandversorgung erwachsen auch neue Verletzlichkeiten von Telekommunikationssystemen.
Vgl. hierzu http://www.bmwi.de/DE/Themen/Digitale-Welt/sicherheit.html
4
Die Absicherung des Cloud Computing ist eine der neueren Aufgaben der IT-Sicherheit. Siehe dazu BITKOM-Leitfaden unter:
http://www.bitkom.org/files/documents/BITKOM-Leitfaden-CloudComputing_Web.pdf. Im Zuge der Spähaffäre um PRISM sehen Vertreter der
IT-Branche das Geschäftsmodell des Cloud Computing in ernster Gefahr, da das Vertrauen in die Sicherheit der Daten schwer erschüttert sei.
5
Smart Grids und Smart Metering stellen große Herausforderungen an die IT-Sicherheit. Siehe dazu Fenn/Metz (2012).
6
Vgl. Bernnat/Bauer/Zink/Bieber/Jost (2010), S. 43ff.
7
Die Abkürzung PKI steht für Public-Key-Infrastruktur.
8
Vgl. Bernnat/Bauer/Zink/Bieber/Jost (2010), S. 13f.
1. Die IT-Sicherheit in Deutschland und ihre Rahmenbedingungen
→→ Auf der einen Seite steht das wirtschaftliche Interesse der Anbieterunternehmen von IT-Sicherheitsgütern, die an günstigen ordnungspolitischen Rahmenbedingungen für ihre Branche interessiert sind.
Entscheider in Unternehmen setzen auf das staat
liche Engagement für die Fachkräftesicherung, sei
es durch die Förderung der MINT-Fächer9, sei es
durch eine gezielte Einwerbung ausländischer
qualifizierter Arbeitnehmer.
→→ Auf der anderen Seite steht das staatliche Interesse, das dem Kompetenzerhalt in Deutschland gilt:
Gerade im Bereich der Hochsicherheit wäre eine
vollkommene Abhängigkeit von ausländischen
Produkten und Dienstleistungen sicherheitsstrategisch bedenklich. Darüber hinaus ist es von wirtschaftspolitischer Bedeutung, Know-how intensive
Branchen wie die IT-Sicherheitswirtschaft in ihrem
hohen Wertschöpfungswachstum und ihrem Stabilitätsbeitrag zur deutschen Volkswirtschaft zu unter
stützen. Dieses Bemühen hat in der Exportinitiative
des Bundesministerium für Wirtschaft und Technologie für die zivile Sicherheitswirtschaft seinen Ausdruck gefunden.
→→ Eine dritte Interessensphäre betrifft Staat und
Wirtschaft gleichermaßen: Miteinander verzahnte
Aktionsprogramme gelten der Sensibilisierung für
notwendige IT-Sicherheitsmaßnahmen, sowohl in
öffentlichen Einrichtungen als auch privaten Unter
nehmen gleich welcher Größe. Konzerne ebenso
wie mittelständische und kleine Unternehmen in
einem branchenübergreifenden Ansatz, die Indus
trie, der Handel, Banken und andere Dienstleister
bis zu Handwerksbetrieben sollen in einer gemeinsamen Anstrengung die IT-Strukturen in Deutschland sicherer machen. Wie soll das geschehen?
Zur Erläuterung sei eine Analogie aus der Medizin
gestattet: Der Effekt eines hohen IT-Sicherheits
niveaus lässt sich vergleichen mit dem Kollektivschutz, der sich aus einer hohen Impfrate für die
gesamte Bevölkerung ergeben kann. Epidemien
7
mit bestimmten Krankheitserregern können so
von vornherein vermieden werden. Analog hierzu
mögen IT-Sicherheitsmaßnahmen zunächst ge
winnminimierend wirken, sie dienen vordergründig dem Schutz von informationellen Unternehmenswerten, Firmengeheimnissen und wertvollem
Knowhow. Letztlich stellen sie den Erhalt der Wettbewerbsfähigkeit der gesamten Volkswirtschaft
sicher, indem die Resilienz der gesamten IT-Infrastruktur verbessert wird.
Mit der Einrichtung der Task Force „IT-Sicherheit in
der Wirtschaft“ hat das Bundesministerium für Wirtschaft und Technologie den hohen Stellenwert der
Thematik unterstrichen und für einen kooperativen
Lösungsweg zwischen Staat und Privat optiert. Wirtschaftspolitische Maßnahmen der Vergangenheit, sei
es die neueste Sensibilisierungskampagne des Bundesministeriums für Wirtschaft und Technologie10 oder
Maßnahmen aus der Wirtschaft wie der IT-Sicherheits
check des Bundesverbands Mittelständische Wirtschaft11,
zielten darauf ab, in Unternehmen, insbesondere den
kleinen und mittleren, das Bewusstsein für die Notwendigkeit geeigneter IT-Sicherheitsmaßnahmen zu
schaffen und aufrecht zu erhalten. In Unternehmen, in
denen die Informationstechnologie die Arbeitsgrundlage darstellt, sei es für die Entwicklung von Produkten,
für die Überwachung der Produktion oder die Unternehmenskommunikation nach innen und außen, kann
von einem gewachsenen Verständnis für die Erfordernisse eines zuverlässigen IT-Schutzes ausgegangen werden. Dennoch sehen viele Unternehmensentscheider
die IT-Sicherheit vornehmlich als Kostenfaktor an, die
erwünschte Wirkung der eingesetzten IT-Sicherheitsgüter wird in erster Linie als schadenverhütend wahrgenommen. Was wenn ein befürchteter Angriff ausgeblieben wäre und sich kein Schaden eingestellt hätte?
Wären in diesem Fall die Ausgaben für die IT-Sicherheit nicht fehlalloziert? Unbestreitbar ist, dass die
Aufwendungen für die IT-Sicherheit in einer wertschöpfungsförderlichen Balance mit den Unternehmenserlösen stehen müssen. Nur zögerlich setzt sich
9
MINT-Fächer bezeichnen die Fächer Mathematik, Informatik, Naturwissenschaft und Technik.
10
Die Initiative „IT-Sicherheit in der Wirtschaft“ unter der Ägide einer eigens eingerichteten Task Force hat die
Sensibilisierungskampagne Ende 2012 lanciert und anlässlich der CeBIT 2013 intensiviert:
http://www.it-sicherheit-in-der-wirtschaft.de/IT-Sicherheit/Navigation/Angebote/sensibilisierungskampagne.html
11
Abrufbar unter www.bvmw.de/leistungen/it-sicherheit/sicherheitscheck.html
8
in Unternehmen eine neue Konzeption durch, die ITSicherheit als economic enabler auffasst12 und ihre
wertschöpfungssteigernden Aspekte würdigt. Die EUKommissarin für die digitale Agenda Neelie Kroes
umriss die EU-Position so: „Je mehr die Menschen vom
Internet abhängen, umso mehr verlassen sie sich darauf, dass es auch sicher ist. Ein sicheres Internet
schützt unsere Freiheiten und Rechte und unsere Wirtschaftstätigkeit. Es ist höchste Zeit für ein koordiniertes
Vorgehen, denn die Kosten des Nichtstuns sind weitaus
höher als die Kosten des Handelns.“13
1.3 Exkurs: IT-Sicherheit als Wachstums
determinante und Freiheitsgarant?
Das Internet und verbundene Technologien haben sich
innerhalb weniger Jahre von einem eher statischen
Medium des digitalisierten Informationsaustauschs zu
einem multidimensionalen, erweiterbaren Datenraum
entwickelt, der viele globale Märkte überhaupt erst
ermöglicht hat. Es ist ein Cyber-Ökosystem entstanden,
an dem immer mehr Menschen partizipieren. Via Inter
net wurden allein in den G20-Staaten im Jahr 2010
Waren und Dienstleistungen im Wert von 6,3 Milliarden
US-Dollar gehandelt – Tag für Tag. Im Jahr 2016 dürfte
der Wert der täglichen Handelstransaktionen in den
großen Industrienationen im Netz auf 11,5 Milliarden
US-Dollar täglich ansteigen.14 Am Wohlstand dieser
Märkte wollen auch Kriminelle partizipieren. Allein in
Deutschland beliefen sich im Jahr 2011 die mit Internetkriminalität verbundenen Kosten auf 16,4 Milliar-
den EUR.15 Akte der Cyberkriminalität können somit
als die größte, kriminell motivierte „Umverteilung von
Wohlstand“ in der Geschichte bezeichnet werden.16 Aus
nahezu jeder Sicherheitslücke lässt sich ein kriminelles
„Geschäftsmodell“ entwickeln.17 Güter für IT-Sicherheit stellen ein Segment des IT-Marktes mit hoher
strategischer Bedeutung dar: da IT zu einer kritischen
Infrastruktur geworden ist, auf die praktisch sämtliche
anderen Wirtschaftszweige zugreifen, müssen ihre Systeme in besonderem Maße geschützt werden. Vertrauen stellt wie in allen anderen Bereichen wirtschaftlicher Interaktion die Basis der Internetwirtschaft im
Besonderen und des Internetgebrauchs im Allgemeinen dar. Daraus ergeben sich folgende Überlegungen:
Güter der IT-Sicherheit dienen dazu, IT-Nutzern trotz
der unbestreitbar vorhandenen Risiken der Cyberkrimi
nalität eine vertrauensvolle und uneingeschränkte
Nutzung digitaler Medien zu ermöglichen. So kann
beispielsweise das Internet als Raum für kulturelle,
gesellschaftliche, technologische und politische Innovation seine freiheitlichen Dimensionen nur entfalten,
wenn es einer wachsenden Zahl von Menschen weltweit als vertrauenswürdig erscheint. Auch im Internet
und im Umgang mit Informationstechnologien fungiert
„Vertrauen als ein elementares Organisationsprinzip
zwischenmenschlicher Austauschbeziehungen.“18 Insofern ist IT-Sicherheit ein Beispiel dafür, dass Sicherheit
und Freiheit nicht notwendigerweise einen impliziten
Widerspruch enthalten, sondern dass „Freiheit durch
Sicherheit gefördert werden kann.“ 19
12
Vgl. Stöwer, die die enabling-Funktion von IT-Sicherheitsverfahren unterstreicht, S. 4: „Dafür sind Public-Key-Infrastrukturen
ein Beispiel, ohne die etwa Homebanking oder der elektronische Abschluss von Verträgen gar nicht möglich wäre.“
13
Zitiert nach der deutschen Pressemeldung zur EU-Cybersicherheitsstrategie, abrufbar unter:
http://ec.europa.eu/deutschland/press/pr_releases/11150_de.htm (Zugriff am 29.05.2013) Es bleibt kritisch anzumerken, dass die „Kosten
des Nichtstuns“ und die „Kosten des Handelns“ bislang noch nicht einer evidenzbasierten Untersuchung unterzogen wurden. Es existieren
lediglich Schätzungen, die von IT-Sicherheitsunternehmen wie Symantec oder Kasperski kommuniziert werden (siehe Literaturliste).
14
Die Tageswerte wurden ermittelt anhand der Marktgröße der Internetwirtschaft laut einer Studie der Unternehmensberatung Boston
Consulting Group aus dem Jahr 2012, „The Internet economy in the G-20“, Pressemitteilung zur Studie unter
https://www.bcgperspectives.com/content/articles/media_entertainment_strategic_planning_4_2_trillion_opportunity_internet_economy_g20/
15
Nach der Studie „Cybercrime“ von Symantec aus dem Jahr 2011, abrufbar unter http://de.norton.com/cybercrimereport/promo. Symantec
rechnet zu den Kosten die finanziellen Verluste durch Diebstahl im Internet sowie die Aufwendungen für präventive Maßnahmen.
16
Cyberkriminalität sei „the greatest transfer of wealth in history”, so der Leiter der National Security Agency Keith B. Alexander in einem
Interview. http://www.zdnet.com/nsa-cybercrime-is-the-greatest-transfer-of-wealth-in-history-7000000598/. Cyberkriminalität dient häufig
der Finanzierung von terroristischen Vereinigungen.
17
So die sinngemäße Einschätzung von Rudolf Neurath, IABG, auf einem Podiumsgespräch auf der Potsdamer Konferenz für Nationale
CyberSicherheit im Juni 2013.
18
Vgl. Ripperger, T. (2003), S. 262.
19
Diesen Gedanken formuliert Schmid, V. (2004). Weiter heißt es dort, S. 82: „Sowohl die Ausübung privater Freiheit (E-Liberty) als auch hoheitlicher Gewalt (E-Government) verlangen nach (Vertrauen in die) Funktionalität der IT-Systeme, Identifizierung und Authentifizierung von
Cyberakteuren.“
Die Güter der IT-Sicherheitswirtschaft sorgen dafür,
dass dieses Vertrauen gerechtfertigt ist und die wegweisenden Erfindungen des ausgehenden 20. Jahrhunderts – das Internet und die digitalen Technologien –
ihre befruchtenden Wirkungen auf viele Bereiche des
Lebens und des Wirtschaftshandelns entfalten können.
Eine von primären Funktionalitäten losgelöste Betrach
tung rückt die übergeordneten Zwecke und Mittel von
IT-Sicherheitsgütern in den Fokus (siehe Abbildung 1).
9
→→ dem Erhalt von Vertrauen in Informationstechnologien und das Internet.
Diese übergeordneten Zwecke der IT-Sicherheit werden
erreicht mit den Mitteln
→→ IT-Sicherheitstechnologien,
→→ Stärkung des Risikobewusstseins,
Der Einsatz von IT-Sicherheitsgütern dient demnach
→→ verantwortungsvoller Umgang mit sensiblen Daten.
→→ dem Schutz sensibler Daten von Personen, Unternehmen und Organisationen,
Die Zwecke und Mittel der IT-Sicherheit sind in einem
Wirkungskreislauf verbunden, die im Idealfall die ITInfrastrukturen insgesamt widerstandsfähiger machen.
→→ der Erzeugung eines Sicherheitsgefühls bei der
Nutzung von Informationstechnologien und
Internet,
Abbildung 1: Kreislauf übergeordneter Zwecke und Mittel der IT-Sicherheit
Zwecke
Schutz
informationeller
Werte
Erhalt von
Vertrauen in digitale
Technologien
Erzeugung
eines
Sicherheitsgefühls
Resilenz
Verantwortungsvoller Umgang
mit sensiblen Daten
Stärkung
des Risikobewusstseins
IT-Sicherheitstechnologien
Mittel
Quelle: Eigene Darstellung
10
2. Vorgehensweise und Studienzweck
2.1 Erkenntnisinteresse des
Forschungsprojekts
Die vorliegende Untersuchung macht sich die pragmatische Definition des Bundesministeriums für Wirtschaft und Technologie zu eigen, das IT-Sicherheit als
„Produkte oder Dienstleistungen zum Schutz der
Verfügbarkeit von IKT-Systemen und der Integrität,
Authentizität und Vertraulichkeit der darin vorhandenen Daten“20 beschreibt. Diese Abgrenzung ist zugleich
umfassend, da sie Systemverfügbarkeit als conditio sine
qua non der Informationssicherheit begreift, und res
triktiv, insofern als sie angrenzende Themenbereiche
wie „Sicherheit durch IT“ aus der Betrachtung ausklammert. Im Rahmen der vorliegenden Studie wird
neben der Quantifizierung der volkswirtschaftlichen
Substanz der IT-Sicherheitswirtschaft untersucht, ob
sich unterstützende Maßnahmen der Politik und der
Wirtschaft für die IT-Sicherheit positiv auf den Markt
für IT-Sicherheit auswirken können.
Ausgehend von der oben zitierten Definition soll im
Rahmen der Studie die wirtschaftliche Bedeutung
sowie die Besonderheiten und Chancen des deutschen
IT-Sicherheitsmarkts ermittelt werden. Die Untersu-
chung soll Klarheit verschaffen über die Dimension
der Branche, ihre wirtschaftliche Leistungsfähigkeit,
ihre Beschäftigungseffekte und ihre Bedeutung für den
Außenhandel sowie die wirtschaftliche Bedeutung der
Branche innerhalb der Volkswirtschaft quantifizieren.
Im Einzelnen gilt es, folgende Fragestellungen zu
untersuchen:
→→ Welches ökonomische Gewicht hat die IT-Sicherheitswirtschaft innerhalb der Gesamtwirtschaft
und im Vergleich zu anderen Branchen in Deutschland?
→→ In welche Teilmärkte lässt sich der IT-Sicherheitsmarkt untergliedern?
→→ Was zeichnet die IT-Sicherheitswirtschaft und ihre
einzelnen Segmente im Besonderen aus?
→→ Wo liegen Stärken und Potenziale der IT-Sicherheitswirtschaft und der verschiedenen Segmente?
Das Erkenntnisinteresse des Forschungsprojekts ist in
Abbildung 2 noch einmal veranschaulicht.
Abbildung 2: Erkenntnisleitende Fragen des Forschungsprojekts
20
Das ist der Wortlaut des BMWi in der Ausschreibung zur Studie.
2.2 Makroökonomischer Fokus der Analyse
Branchenuntersuchungen operieren im Allgemeinen
mit Umsatzzahlen, die von Branchenverbänden oder
anderen Interessenvereinigungen kommuniziert werden. Dabei werden die Umsatzerlöse einzelner herausragender Unternehmen auf ein vermutetes Branchenvolumen addiert. Alternativ werden Kennzahlen zu
globalen Umsätzen auf Deutschland heruntergebrochen.
Betriebswirtschaftliche Kennzahlen wie Umsatz oder
Gewinn dienen jedoch in erster Linie der Leistungsanalyse einzelner Unternehmen oder Unternehmensführer. Ihre Addierung auf Branchengröße ist nur be
dingt geeignet, die volkswirtschaftliche Bedeutung
einer gesamten Branche widerzuspiegeln. Eine Summierung der Verkaufserlöse spiegelt somit keinesfalls
den in der Branche geschaffenen Wert der Wirtschaftsgüter wider. Daher erlauben sie weder eine verlässliche
Bemessung der ökonomischen Effekte einer Branche,
noch sind sie als Grundlage für wirtschaftspolitische
Entscheidungen geeignet.
Die vorliegende Studie prüft erstmals die ökonomische
Substanz der IT-Sicherheitswirtschaft, indem sie auf
Erhebungen des Statistischen Bundesamtes zurückgreift,
diese mittels eines bewährten makroökonomischen
Verfahrens21 interpretiert und somit den Mangel an
Daten zur volkswirtschaftlichen Bedeutung des ITSicherheitsmarktes beseitigt. Anhand der Ergebnisse
der Berechnungen werden die wachstums- und be
schäftigungsfördernden Eigenschaften der IT-Sicherheitswirtschaft für den deutschen Wirtschaftsstandort
deutlich gemacht.
11
Zu diesem Zweck wird die IT-Sicherheitswirtschaft
in Kategorien der Volkswirtschaftlichen Gesamtrechnungen abgebildet. Auf dieser Grundlage lässt sich die
Branche anhand ausgewählter makroökonomischer
Indikatoren wie Produktionswert, Bruttowertschöpfung,
Arbeitsproduktivität und Exportquote bewerten. Im
Zeitreihenverlauf werden die Besonderheiten der ITSicherheitswirtschaft und ihre Chancen verdeutlicht.
Fortschreibungen der ökonomischen Kenngrößen
ermöglichen dabei Prognosen zu den Entwicklungs
potenzialen der Branche. Mit der vorgeschlagenen
Abgrenzung der IT-Sicherheitswirtschaft innerhalb
allgemein gültiger statistischer Kategorien verbindet
sich ein weiterer Erkenntnisvorteil, der sich künftig
erschließen lässt: Die vorgestellte Studie bildet die
Grundlage für eine Weiterentwicklung zum Satellitenkonto der IT-Sicherheitswirtschaft (SK ITSec). Mit
einem solchen Satellitenkonto ließen sich auch die
Ausstrahleffekte der Branche in vor- und nachgelagerte
Wirtschaftszweige nachzeichnen.
Da die vorliegenden Berechnungen auf der Systematik
der Volkswirtschaftlichen Gesamtrechnungen beruhen,
ist ihnen ein hoher Grad an Objektivität beizumessen.
Die Untersuchungsergebnisse können als eine methodisch anerkannte Informationsgrundlage zur IT-Sicher
heitswirtschaft dienen und eignen sich als Entscheidungshilfe für wirtschaftspolitische Weichenstellungen.
Die angewandte Methodik ermöglicht zudem Vergleiche
mit den IT-Sicherheitsbranchen anderer OECD-Länder.
Tabelle 1: Unterschiede zwischen betriebswirtschaftlicher und makroökonomischer Betrachtung
Betriebswirtschaftliche Betrachtung
Kennzahlen
Umsatz, Gewinne, Cash Flow
Produktionswert, BWS, Vorleistungen
Aussagekraft
Leistungsbewertung von Unternehmen und
Unternehmensführern
Quantifizierung eines Wirtschaftszweigs durch Daten
aggregation aus diversen Unternehmenserhebungen
Adressaten
Investoren, Analysten
Politik, Wirtschaft, Wissenschaft
21
Makroökonomische Betrachtung
Das Verfahren wird in Kapitel 7 eingehend beschrieben.
12
Mit der geschilderten Herangehensweise lassen sich
folgende Fragen beantworten:
waren aus eigener Produktion und aus dem Wert
der selbsterstellten Anlagen zusammen.
→→ Welche volkswirtschaftliche Produktionsleistung
zeichnet die IT-Sicherheitswirtschaft aus?
→→ Bruttowertschöpfung
Die Bruttowertschöpfung ist die wohl wichtigste
ökonomische Kennzahl, da sie unmittelbar das
Wachstums- und Wohlstandspotenzial eines Wirtschaftszweigs erfasst. Sie bildet den Wert ab, der
den Vorleistungen durch Bearbeitung oder Weiterverarbeitung hinzugefügt wurde. Um wertschöpfend tätig sein zu können, bedarf es grundsätzlicher
Voraussetzungen wie Bildung und Ausbildung,
fachliche Fähigkeiten, Problemlösungskompetenzen, aber auch Erfindungsreichtum und Unternehmergeist. Vereinfacht ausgedrückt errechnet sich
die Bruttowertschöpfung aus dem Produktionswert
der Güter abzüglich des Werts der in die Produktion eingeflossenen Vorleistungen. Die Bruttowertschöpfung bildet somit den aus dem Produktionsprozess hervorgehenden Wachstumsbeitrag ab, den
eine Branche oder ein Unternehmen für die
gesamte Volkswirtschaft leistet.
→→ Welcher ökonomische Wert wird der deutschen
Volkswirtschaft durch die Geschäftstätigkeit der
Branche hinzugefügt?
→→ Wie viele Arbeitsplätze generiert die IT-Sicherheitswirtschaft direkt?
→→ Welche Einkommen erzielen die Erwerbstätigen
der IT-Sicherheitswirtschaft durchschnittlich?
→→ Welche Arbeitsproduktivität ist den Erwerbstätigen
der IT-Sicherheitswirtschaft zuzuordnen?
Diese Fragen dienen als Leitfaden zur makroökonomischen Charakterisierung der deutschen IT-Sicherheitswirtschaft.
2.3 Erläuterung makroökonomischer
Kennzahlen
Die vorliegende makroökonomische Analyse untersucht die nachfrageinduzierten Wertschöpfungs- und
Beschäftigungseffekte der IT-Sicherheitswirtschaft, die
aus der branchenspezifischen Wirtschaftstätigkeit
resultieren. Um ein umfassendes Bild der Branche und
des dazugehörigen Marktes in Deutschland zu zeichnen, werden die unmittelbar von der IT-Sicherheitswirtschaft generierten makroökonomischen Effekte
ermittelt, wie sie sich in folgenden Kenngrößen widerspiegeln:
→→ Produktionswert
Der Produktionswert gibt die Summe des Wertes
aller produzierten Güter und Dienstleistungen
einer Branche oder Volkswirtschaft an. Er setzt sich
aus dem Wert der Verkäufe von Waren und Dienstleistungen aus eigener Produktion, aus dem Wert
der Bestandsveränderungen an Halb- und Fertig-
22
→→ Außenhandel
Der Begriff des Außenhandels umfasst die Kennzahlen sämtlicher Importe und Exporte. Exporte
sind die Ausfuhren und Verkäufe von im Inland
produzierten Gütern an Wirtschaftseinheiten im
Ausland. Importe sind alle Einfuhren und Käufe
inländischer Wirtschaftseinheiten von im Ausland
produzierten Waren und Dienstleistungen.
→→ Erwerbstätige
Zu den Erwerbstätigen zählen alle Personen, die
„als Arbeitnehmer (Arbeiter, Angestellte, Beamte,
geringfügig Beschäftigte, Soldaten) oder als Selbständige beziehungsweise als mithelfende Fami
lienangehörige eine auf wirtschaftlichen Erwerb
gerichtete Tätigkeit […], unabhängig vom Umfang
dieser Tätigkeit [ausüben].“22 Die Unterscheidung
zwischen Erwerbstätigen und Arbeitnehmern gibt
Aufschluss über den näherungsweisen Anteil der
Selbstständigen und vermittelt so ein realitätsnahes
Abbild der Branchenstruktur.
Vgl. Definition von Statistisches Bundesamt:
https://www.destatis.de/DE/Publikationen/STATmagazin/Arbeitsmarkt/2009_03/ErwerbstaetigeVGR.html
→→ Einkommen
Im Rahmen dieser Studie werden die Bruttoein
künfte von Erwerbstätigen als Einkommen bezeich
net. Hierunter fallen sowohl die Einkünfte von
Selbständigen als auch die Löhne und Gehälter von
abhängig Beschäftigten, jedoch – im Unterschied zu
den Arbeitnehmerentgelten – ohne Lohnsteuer und
Sozialbeiträge der Arbeitnehmer und auch nicht
inklusive der Aufwendungen für die Altersvorsorge
durch Selbständige.
→→ Arbeitnehmer
Als Arbeitnehmer werden Arbeiter, Angestellte,
Beamte, Auszubildende, Praktikanten oder Volontäre
in einem Arbeits- oder Dienstverhältnis bezeichnet
(einschließlich der geringfügig Beschäftigten).
→→ Arbeitnehmerentgelte
Das Arbeitnehmerentgelt setzt sich aus den Bruttolöhnen und -gehältern sowie den Sozialversicherungsbeiträgen der Arbeitnehmer zusammen.
Mit den aufgeführten Kennzahlen ist der unmittelbare
ökonomische Leistungsbeitrag der IT-Sicherheitswirtschaft zur Wirtschaftskraft Deutschlands messbar. Die
Zeitreihenbetrachtung der Produktions- und Wertschöpfungseffekte, die aus der Geschäftstätigkeit der
IT-Sicherheitsunternehmen erwachsen, ermöglicht
Rückschlüsse darüber, wie wettbewerbsfähig die Branche in Deutschland ist und ob sie ihre Wachstumschancen auf in- und ausländischen Märkten erfolgreich nutzt. Dieser Aspekt ist für eine langfristige
Beschäftigungssicherung am deutschen Wirtschaftsstandort von hoher Bedeutung.
13
2.4 Qualitative Abgrenzung der
IT-Sicherheitswirtschaft
Für die deskriptive Erfassung des IT-Sicherheitsmarkts
in Deutschland wurden einerseits verschiedene Studien23
im Rahmen der vorliegenden Untersuchung ausgewertet. Andererseits flossen offizielle Definitionsansätze
der IKT-Branche in die Überlegungen ein, nämlich
jene der OECD aus dem Jahr 201124 sowie die des Statistischen Bundesamtes aus dem Jahr 201325. Damit
wird der Tatsache Rechnung getragen, dass die ITSicherheitswirtschaft eine Teilbranche der IKT-Branche
ist und für eine allgemein anerkannte definitorische
Grundlage gesorgt. Pragmatisch und praxisnah er
scheint die Segmentierung der IT-Sicherheitsgüter in
Software, Hardware und Dienstleistungen, wie sie
bereits in der vorangegangenen Studie für das Bundesministerium für Wirtschaft und Technologie aus dem
Jahr 200926 vorgeschlagen wurde. Diese Einteilung bietet den Vorteil, dass die IT-Sicherheitswirtschaft in
Kategorien der Volkswirtschaftlichen Gesamtrechnungen, wie sie in der Klassifikation der Wirtschaftszweige
2008 (WZ 2008) rechtsverbindlich festgehalten sind,
gespiegelt werden kann. Letztere klassifiziert wirtschaftliche Tätigkeiten, die von „wirtschaftlichen Einheiten“ (das sind im allgemeinen Unternehmen27) ausgeübt werden. Die Klassifikation der Wirtschaftszweige
stellt die Grundvoraussetzung für statistische Erhebungen dar, da sie ein (international) anerkanntes und
verbindliches System darstellt, das die umfassende und
überschneidungsfreie Erfassung wirtschaftlicher Aktivitäten erlaubt.
Im Zuge einer kontinuierlichen Harmonisierung von
Wirtschaftszweigklassifikationen verschiedener Staaten
und Wirtschaftsräume wurde die WZ 2008 in Deutschland stärker an internationale Referenzklassifikationen
angelehnt. In diese Revision der Wirtschaftszweige
wurden Vertreter aus Wirtschaft, Wissenschaft, Gesellschaft und Verwaltung eingebunden. Die Integration
der nationalen WZ-Klassifikation in die statistische
Systematik der EU (NACE Rev.2), die ihrerseits auf der
23
Die ausgewerteten Studien werden sämtlich im Literaturverzeichnis zitiert.
24
OECD – Organisation for Economic Co-operation and Development (2011), S. 28ff.
25
Statistisches Bundesamt (2013a), S.8.
26
Bernnat, R./Bauer, M./Zink, W./Bieber, N./Jost, D. (2010), S. 22.
27
In den verwendeten Erhebungen des Statistischen Bundesamtes werden Unternehmen ab einer Größe von 17.500 Euro Jahresumsatz erfasst.
Die kleinste „Wirtschaftseinheit“ ist jedoch der Mensch, der einer wertschöpfenden Tätigkeit nachgeht. Mehr zu der Wertschöpfungsleistung
Selbständiger in der IT-Sicherheitswirtschaft in Kapitel 3.6.
14
internationalen Wirtschaftszweig-Systematik der UN
(ISIC Rev. 4) beruht, bietet verschiedene Vorteile: Zum
einen ermöglicht sie wirtschafts- und sozialpolitische
Entscheidungen in Deutschland, die auf internationale
Entwicklungen abgestimmt werden können, zum an
deren stellt sie eine verlässliche Grundlage für Unternehmensentscheidungen in einer globalisierten Wirtschaftswelt dar.
können so einige Jahre lang mit der bestehenden
Systematik erfasst werden, bevor der technologische
Fortschritt eine neuerliche Revision notwendig macht.
Die vorliegende Studie liefert somit eine erstmalige,
transparente und auf öffentlich zugänglichen Statistiken
basierende Definition der IT-Sicherheitswirtschaft. Das
konkrete methodische Vorgehen wird ausführlich im
Methodensteckbrief in Kapitel 7 beschrieben.
Für die vorliegende Untersuchung ist die Anlehnung
an die Systematik der WZ 2008 die unerlässliche Voraussetzung für die Erfassung des makroökonomischen
Leistungsbeitrags der deutschen IT-Sicherheitswirtschaft. Darüber hinaus eröffnet die internationale Ausrichtung der WZ 2008 künftige Vergleichsmöglichkeiten
mit anderen Ländern. Die Systematik muss aus praktischen Gründen eine gewisse Überzeitlichkeit aufweisen,
um eine Vergleichbarkeit der Daten im Jahresverlauf
zu ermöglichen. Gerade im Bereich der ITK sowie der
IT-Sicherheit sind die technologischen Veränderungen
rasant. Die für die IT-Sicherheitswirtschaft relevanten
WZs beschreiben wirtschaftliche Tätigkeiten der ITBranche mit allgemein gehaltenen Begrifflichkeiten
und bilden spezifische IT-sicherheitsrelevante Tätig
keiten als Teilverfahren28 ab. Verfahrensinnovationen
Die Vorgängerstudie von Booz & Company aus dem Jahr
200929 definierte verschiedene Hauptanwendungsgebiete
von IT-Sicherheitsprodukten gemäß ihrer Sicherheits
ziele – Netzwerksicherheit, Endgerätesicherheit, Nachrichtensicherheit, Websicherheit, Applikationssicher
heit sowie Identitäts- und Zugriffsverwaltung – und
zergliederte diese Marktsegmente in weitere Produkt
bereiche. Die vorliegende Studie greift die vorgeschlagene Segmentierung auf, passt sie jedoch an die Be
dürfnisse einer makroökonomischen Betrachtung an.
Das bedeutet, dass die in Abbildung 28 aufgeführten
Produkt- und Dienstleistungskategorien den relevanten
Wirtschaftszweigen zugeordnet werden. Dieses Verfahren wird im Methodikteil in Kapitelabschnitt 7.2 eingehend beschrieben. Die folgende Abbildung verdeutlicht
die technologische Vielfalt der IT-Sicherheitswirtschaft:
Abbildung 3: Produkt- und Dienstleistungskategorien der IT-Sicherheitswirtschaft
Software
Dienstleistungen
Schutz vor Viren und Schadprogrammen, (Personal) Firewall,
Lösungen für die Netzzugangskontrolle sowie für Intrusion
Detection und Prevention, VPN, Sicherheitslösungen für mobile
Endgeräte, Anwendungs- und Gerätekontrolle, Benutzer- und
Berechtigungsverwaltung, (Starke) Authentisierung,
PKI und Schlüsselmanagement, Verschlüsselung,
Digital Rights Management, u.a.
Sicherheitsanalysen, Sicherheitsstrategien und -architekturen,
Sicherheitstrainings- und sensibilisierung, Managed Security
Services, Zugriffs- und Konfigurationsmanagement, Überwachung
und Monitoring, Auditing und Zertifizierung, Computer-Forensik,
Cloud Security, Testen von Anwendungen und Programmiercode,
Verschlüsselungs- und Archivierungsdienste, u. a.
IT-Sicherheit
Intelligente Karten, Sicherheitstoken, Fingerabdruckscanner, Kryptographische Hardware u.a.
Hardware
Quelle: Eigene Darstellung, Begrifflichkeiten orientiert am BSI
28
Zur Verdeutlichung: Viele IT-Anbieter haben den Anspruch, mit ihren Produkten ein vertrauenswürdiges Computererlebnis zu ermöglichen.
Die vorliegende Studie vermag nicht den Anteil von trustworthy computing-Funktionen in IT-Produkten makroökonomisch zu erfassen.
29
Vgl. Bernnat, R./Bauer, M./Zink, W./Bieber, N./Jost, D. (2010).
Im Bereich der Software bieten IT-Sicherheitsunternehmen derzeit Produkte für die folgenden Sicherheits
bereiche und -bedarfe an, wobei sich die Lösungen
immer stärker durch Integration mehrerer Sicherheitsfunktionen auszeichnen30: Neben Lösungen zum Schutz
vor Viren und Schadprogrammen nehmen Firewalls
auf Desktop- sowie auf Serverebene einen wichtigen
Platz in der Reihe der IT-Sicherheitsprodukte ein. Der
Schutz sensibler Daten wird erreicht auf verschiedenen
Ebenen der Datenverarbeitung und -speicherung: Für
Perimetersicherheit sorgen Lösungen für die Netzzugangskontrolle sowie für Intrusion Detection und Prevention. Die Anwendungs- und Gerätekontrolle sichert
sämtliche Endpunkte, die als Einfallstore für Malware
oder Angriffe geeignet sind: Da Computing stets mobiler wird (und in der Tendenz zunehmend ubiquitär,
wie in Kapitel 5.1.1 ausgeführt wird), erlangen Sicherheitslösungen für mobile Endgeräte eine wachsende
Bedeutung. Um Rechtsgeschäfte im Internet vertrauenswürdiger zu machen, werden Software-Verfahren
zur Verschlüsselung sensibler Daten stetig wichtiger.
Dienstleistungen für die IT-Sicherheit lassen sich differenzieren nach folgenden Angebotskategorien: Ein
wichtiger wirtschaftlicher Tätigkeitsbereich liegt in der
IT-Sicherheitsberatung, die Analysen, den Entwurf von
15
IT-Sicherheitsstrategien und architekturen umfasst.
Unter dem Begriff der Managed Security Services werden Dienstleistungen wie das Zugriffs- und Konfigurationsmanagement, das IT-Sicherheitsmonitoring, die
„Echtzeit“-Angriffserkennung sowie das Incident
Management oder das Testen von Anwendungen und
Programmiercode subsumiert. Für die vorliegende
Untersuchung ist es dabei ohne Belang, ob die Dienstleistung produktbezogen ist oder produktunabhängig
angeboten wird.31
Hardware-basierte Lösungen für die IT-Sicherheit stellen ein Sondersegment des Marktes dar. Es umfasst bei
spielsweise neben intelligenten Karten32 oder Sicherheitstoken Produkte wie Fingerabdruckscanner sowie
kryptografische Hardware. Letztere Produkte zielen
auf Informationen mit besonders hoher Schutzwürdig
keit ab (in den Geheimhaltungsstufen „Verschlusssache“
bis „Streng geheim“). Obwohl das Marktsegment für
IT-Sicherheitshardware vergleichsweise klein ist, ist es
von hoher sicherheitsstrategischer Bedeutung für
Regierungsorgane, Behörden und militärische Einrichtungen, sowie in vergleichbarem Maß für Unternehmen,
die für eben jene Behörden Dienstleistungen mit hochsensiblen Daten erbringen.
30
Die Segmentierung folgt weitgehend dem Wording des Bundesamts für Sicherheit in der Informationstechnik.
https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Glossar/cs_Glossar_node.html, zuletzt geprüft am 06.05.2013.
31
Diese Unterscheidung macht die Studie von Booz & Company, sie hat jedoch für eine dezidiert makroökonomische Betrachtung
keinen Erkenntniswert. Sofern im Rahmen von IT-Sicherheitsdienstleistungen IT-Sicherheitsprodukte zum Einsatz kommen,
werden diese in ihrem Wert sämtlich in den Vorleistungen der Branche erfasst.
32
Intelligentere Karten bringen auch größere Risiken mit sich. Vgl. Calafato, A./Markantonakis K. (2012).
16
3. Die IT-Sicherheitswirtschaft in Zahlen
3.1 Das ökonomische Lagebild der
Im Folgenden wird der ökonomische Leistungsbeitrag
der IT-Sicherheitswirtschaft zur deutschen Volkswirtschaft beschrieben, wie er sich im Rahmen der makroökonomischen Erfassung der Branche darstellt. Die
direkten ökonomischen Wirkungen der Branche finden
ihren Ausdruck in den makroökonomischen Kennzahlen,
wie sie in Kapitel 2.3 erläutert wurden. Die Betrachtung
dieser Kennzahlen im Zeitverlauf lässt die Entwicklung
der IT-Sicherheitswirtschaft deutlich werden. Die
Ergebnisse werden sodann mit anderen Branchen verglichen, um den ökonomischen Leistungsbeitrag der
IT-Sicherheitswirtschaft besser bewerten zu können.
Im Jahr 2012 wurden von der deutschen IT-Sicherheits
wirtschaft Güter33 im Wert von 6.254 Millionen Euro
in näherungsweise 9.200 Unternehmen34 produziert.
Dieser Produktionswert setzt sich zusammen aus 2.694
Millionen Euro an bezogenen Vorleistungen von
Zulieferunternehmen und einer erbrachten Bruttowertschöpfung der IT-Sicherheitsunternehmen von
3.560 Millionen Euro. Zusätzlich zu der inländischen
Abbildung 4: Güteraufkommen im Jahr 2012 in Mio. Euro
Importe
1.575
Bruttowertschöpfung
3.560
Produktionswert
6.254
Vorleistungen
2.694
Produktion wurden 1.575 Millionen Euro an Gütern
der IT-Sicherheit importiert. Das gesamte Aufkommen
an IT-Sicherheitsgütern belief sich somit auf 7.829 Millionen Euro.
Aus den in Abbildung 4 dargestellten Kennzahlen
ergibt sich eine Importquote von ca. 20 Prozent im
Jahr 2012. Zum Vergleich: Die durchschnittliche
Importquote in der IKT35 lag in 2008 bei 33,2 Prozent,
so dass der Importanteil in der IT-Sicherheitswirtschaft unterdurchschnittlich war, auch im Vergleich
zur Gesamtwirtschaft, deren Importquote im Jahr 2012
bei 34,4 Prozent lag.36 Das bedeutet, dass die Nachfrage
nach IT-Sicherheitsgütern vorwiegend mit heimischen
Produkten und Dienstleistungen gestillt werden kann.
Das Angebot der deutschen IT-Sicherheitswirtschaft
erweist sich somit gegenüber ausländischen Konkurrenzprodukten als wettbewerbsfähig.
Die Betrachtung der in Abbildung 4 dargestellten
Kenngrößen Güteraufkommen, Produktionswert, Vorleistungen und Bruttowertschöpfung im Zeitverlauf
macht die bemerkenswerte Entwicklung der IT-Sicherheitswirtschaft der letzten Jahre deutlich: Das Güteraufkommen als Summe aus inländischer Produktion
und Importen wuchs mit einer durchschnittlichen
jährlichen Rate von 2,1 Prozent. Die Bruttowertschöpfung ist noch stärker gestiegen und zwar um durchschnittlich 2,9 Prozent pro Jahr seit 2005, das ist eine
Gesamtzunahme im Betrachtungszeitraum von 22,0
Prozent. Zurückzuführen ist diese Entwicklung zum
einen auf die Steigerung der inländischen Produktion
von jährlich 4,8 Prozent, zum anderen auf den Rückgang der importierten Güter um jährlich 4,9 Prozent.
Insgesamt ist der Wert der Importe von 2005 bis 2012
um 671 Millionen Euro gesunken, was einem Rückgang von fast 30 Prozent im gesamten Betrachtungszeitraum entspricht (siehe Tabelle 2).
Gesamtes Aufkommen: 7.829
Quelle: Eigene Berechnungen, Statistisches Bundesamt
33
Der Begriff der Güter umfasst sowohl Waren als auch Dienstleistungen.
34
Wert wurde eruiert aus der Umsatzsteuerstatistik des Jahres 2011, die sämtliche Unternehmen mit einem Umsatz von mehr als
17.500 Euro pro Jahr in Kategorien der Wirtschaftszweige erfasst. Hierunter fallen auch die Einzelunternehmen oder Selbständigen.
35
Für die Ermittlung der Importquote in der IKT wurden die WZ 26.1-4, 61, 62 und 63 zugrunde gelegt.
36
Statistisches Bundesamt:
https://www.destatis.de/DE/ZahlenFakten/GesamtwirtschaftUmwelt/Aussenhandel/Handelskennzahlen/Tabellen/Importquote.html
17
Tabelle 2: Entwicklung wichtiger Eckwerte
Wert in 2012
(Mio. Euro)
Veränderung
seit 2005 p. a.
Anteil an
Gesamtwirtschaft
Güteraufkommen
7.829
+2,1 %
0,12 %
- Importe
1.575
-4,9 %
0,13 %
= Produktionswert
6.254
+4,8 %
0,12 %
- Vorleistungen
2.694
+7,9 %
0,10 %
= Bruttowertschöpfung
3.560
+2,9 %
0,15 %
9,4 Prozent. Das bedeutet: Nahezu jeder zehnte, in
der IT-Wirtschaft erbrachte Euro ist der IT-Sicherheitswirtschaft zuzurechnen.
Auch die Wertentwicklung der bezogenen Vorleistungen ist augenfällig: Die Zunahme um jährlich 7,9 Prozent ist ein Indiz für die zunehmende Komplexität der
IT-Sicherheitsgüter und der damit verbundenen Notwendigkeit, hochwertige Produktbestandteile oder
Beratungsleistungen von spezialisierten Anbietern zu
beziehen.
3.2 Produktionswert
Die Entwicklung des Produktionswerts verdeutlicht
die Robustheit der IT-Sicherheitswirtschaft gegenüber
konjunkturellen Einflüssen. Der Produktionswert
wuchs im gesamten Betrachtungszeitraum stetig an
und zwar um 1.751 Millionen Euro, was einem Plus
von 38,9 Prozent entspricht. Das jährliche Durchschnittswachstum (CAGR) erreichte 4,8 Prozent. Abbildung 5 weist für kein Jahr einen Rückgang der Produktion aus, das zeigt, dass die IT-Sicherheitswirtschaft
von der Finanz- und Wirtschaftskrise unbeeindruckt
war.
Mit einer Bruttowertschöpfung von 3.560 Millionen
Euro im Jahr 2012 trug die deutsche IT-Sicherheitswirtschaft mit 0,15 Prozent zur deutschen Wirtschaftsleistung bei, ökonomisch gesehen nur ein geringes
Quantum. Wie wichtig der Beitrag der Branche unter
sicherheitsstrategischen Gesichtspunkten einzuschätzen ist, ist eine Frage, die über die schiere ökonomische
Größe der IT-Sicherheitswirtschaft hinausgeht und
insofern mit Mitteln der makroökonomischen Analyse
nicht zu beantworten ist. Der Anteil der IT-Sicherheitswirtschaft an der IT-Wirtschaft37 beläuft sich auf
Abbildung 5: Entwicklung des Produktionswerts in Mrd. Euro
7
6
5,2
5
4,5
5,4
5,8
6,0
6,1
6,3
2010
2011*
2012*
4,7
4
3
2
1
0
2005
2006
2007
2008
2009
*Fortschreibung
37
Die IT-Wirtschaft wurde durch die Wirtschaftsabteilungen 62 und 63 der Wirtschaftszweigklassifikation (Ausgabe 2008) abgebildet.
18
Abbildung 6: Entwicklung der Produktionswerte in den Branchensegmenten in Mrd. Euro
3,5
ø +5,0 %
ø +8,2 %
3,0
2,5
2,0
1,5
1,0
0,5
ø -7,4 %
0,0
2005
Hardware
2006
Software
2007
2008
2009
2010
2011*
2012*
Dienstleistungen
*Fortschreibung
Die Produktionswerte der Branchensegmente Software
und Dienstleistungen nahmen im Betrachtungszeitraum um jeweils 73,1 Prozent bzw. 41,0 Prozent zu. Der
Produktionswert des Hardwaresegments, dem traditionell ohnehin kleinsten Segment der Branche, ist dagegen im gesamten Zeitraum um 41,6 Prozent gesunken.
Ausgehend von einem Niveau von 0,74 Milliarden Euro
in 2005 schrumpfte der Wert der produzierten Hardware-Sicherheitsprodukte jährlich um durchschnittlich 7,4 Prozent auf einen Produktionswert von 0,43
Milliarden Euro im Jahr 2012. Besonders die Rezessionsjahre 2008 und 2009 sind in Abbildung 6 deutlich
zu erkennen. In diesen Jahren nahm der Wert der Produktion von Sicherheitshardware besonders stark ab,
nämlich in 2008 um 11,3 Prozent und in 2009 sogar
um 56,6 Prozent.
Fast diametral entgegengesetzt zur Entwicklung im
Hardware-Segment der IT-Sicherheitswirtschaft erfuhren das Software- und Dienstleistungssegment der
Branche ein sprunghaftes Wachstum. Besonders deutlich fiel die Zunahme des Produktionswerts von ITSicherheitssoftware von 2008 auf 2009 aus: um 28,2
Prozent legte der Produktionswert in einem Jahr zu,
ein Wachstumswert, der angesichts der damaligen
38
schwierigen Wirtschaftslage überraschend hoch ist.
Dies zeigt, dass es der Branche trotz widriger konjunktureller Bedingungen gelungen ist, mit wettbewerbs
fähigen Waren und Dienstleistungen zu punkten.
Als ein willkommener Stabilisierungsfaktor für die
Branche mag das IT-Investitionsprogramm der Bundes
regierung gewirkt haben: Im Rahmen des Konjunkturpakets II wurden von 2009 bis 2011 knapp 220 Millionen Euro in die IT-Sicherheit der Bundesverwaltung
investiert. Das gesamte Investitionsprogramm belief
sich auf 476,8 Millionen Euro, umfasste 371 Einzelmaßnahmen und bezog knapp 800 Unternehmen als
Auftragnehmer bzw. Lieferanten ein. Die Investitionsmaßnahme hat nicht nur Arbeitsplätze in der Krise
gesichert, sondern – was angesichts der Robustheit der
Branche noch wichtiger erscheint – zu einer Verbesserung der IT-Sicherheit in der Bundesverwaltung beigetragen. Bei genauerer Prüfung der Wachstumszahlen
wird ersichtlich, dass sich der positive Trend in der ITSicherheitswirtschaft bereits im ersten Krisenjahr 2008
manifestiert hat mit einem Wachstum von ca. 200 Millionen Euro von 2007 auf 2008 (und insofern noch vor
Inkrafttreten des Investitionsprogramms).38
Im Zusammenhang mit dem IT-Investitionsprogramm der Bundesregierung wäre interessant zu ermitteln, welche positiven ökonomischen
Ausstrahleffekte die Finanzspritze auf vor- und nachgelagerte Branchen gehabt hat. Dies lässt sich bewerkstelligen im Rahmen einer InputOutput-Analyse der IT-Sicherheitswirtschaft, die die Verflechtungen der Branche mit der Gesamtwirtschaft nachzeichnet.
19
Abbildung 7: Branchenstruktur der Jahre 2005 und 2012 im Vergleich
2005
2012
16 %
48 %
7%
49 %
36 %
Hardware
Software
44 %
Dienstleistungen
Die anteilige Bedeutung des Hardwaresegments für die
IT-Sicherheitswirtschaft hat im Betrachtungszeitraum
stetig abgenommen. Betrug der Hardwareanteil am
gesamten Produktionswert im Jahr 2005 noch 16 Prozent, belief sich der monetäre Anteil von HardwareSicherheitsgütern im Jahr 2012 auf nur noch 7 Prozent.
Hingegen hat die Produktion von IT-Sicherheitssoftware an Bedeutung gewonnen. Von 2005 bis 2012
nahm der Anteil jenes Segments am gesamten Produktionswert der Branche um 8 Prozentpunkte auf ein
Niveau von 44 Prozent zu. Die Bedeutung des Dienstleistungssegments in der IT-Sicherheit ist nahezu
gleichgeblieben. Dieses Segment umfasst rund die
Hälfte des Produktionswerts, den heimische IT-Sicherheitsgüter aufweisen (siehe Abbildung 7).
Diese Entwicklung lässt unterschiedliche Interpreta
tionen zu: Die naheliegende Erklärung lautet, dass sich
der Bedarf an Hardware-Sicherheit abschwächt und
Unternehmen in ungleich höherem Maß für software
basierte Sicherheitslösungen optieren. Denkbar ist
jedoch auch, dass der sinkende Produktionswert lediglich sinkende Marktpreise reflektiert und der mengenmäßige Konsum nicht im gleichen Maß gesunken ist
wie der Produktionswert des Segments.39
3.3 Bruttowertschöpfung und Vorleistungen
Die IT-Sicherheitswirtschaft hat ihre Bruttowertschöpfung im Betrachtungszeitraum um 22,0 Prozent steigern können. Dies entspricht einem jährlichen Durchschnittswachstum von 2,9 Prozent. Im Jahr 2012
erreichte die Bruttowertschöpfung der Branche somit
3,6 Milliarden Euro (siehe Abbildung 8).
Auffällig bei dieser Entwicklung ist, dass die Bruttowertschöpfung in den Jahren 2005 bis 2007 zunächst
deutlich anstieg. Ab dem Jahr 2007 stagnierte die Entwicklung jedoch nahezu bei einem Wert von etwa 3,4
Milliarden Euro bis 2010. Dies ist auf eine steigende
Vorleistungsquote zurückzuführen: Betrug der Anteil
der Vorleistungen gemessen am Produktionswert in
den Jahren von 2005 bis 2007 noch ca. 35 Prozent, stieg
er in den Folgejahren sukzessive bis auf 43,1 Prozent
im Jahr 2012 an (siehe Abbildung 9). Analog zur Entwicklung der Bruttowertschöpfung nahm die Wertschöpfungsquote40 im Gesamtzeitraum von 65 Prozent
im Jahr 2005 auf 57 Prozent im Jahr 2012 ab. Parallel
zum steigenden Produktionswert (siehe Kapitel 3.2)
nahm auch der Wert der bezogenen Vorleistungen zu,
die im Produktionsprozess von IT-Sicherheitsgütern
weiterverarbeitet wurden. Dies kann als Indiz für eine
zunehmende Industrialisierung der Branche gewertet
39
Für diesen Hinweis danken wir Dr. Günther Welsch vom BSI, geäußert im Rahmen der Vernetzungssitzung der TaskForce
„IT-Sicherheit in der Wirtschaft“ im April 2013.
40
Die Wertschöpfungsquote (BWS-Quote) bezeichnet den Anteil der Bruttowertschöpfung am Produktionswert.
20
Abbildung 8: Entwicklung der Bruttowertschöpfung41
4,0
3,5
3,0
2,9
3,0
2005
2006
3,5
3,6
2010
2011*
2012*
43,8
43,3
43,1
2010
2011*
2012*
3,4
3,4
3,4
3,4
2007
2008
2009
2,5
2,0
1,5
1,0
0,5
0,0
*Fortschreibung
Abbildung 9: Entwicklung der Vorleistungsquote in Prozent
50
40
40,4
35,2
34,9
34,8
2005
2006
2007
36,7
30
20
10
0
2008
2009
*Fortschreibung
werden. Mit zunehmender Komplexität und Innovativität der IT-Sicherheitsprodukte und -dienstleistungen
werden auch innovative und somit höherwertige Vorprodukte von spezialisierten Anbietern bezogen und
weiterverarbeitet.
Wirtschaft als hoch einzustufen. So wuchs die deutsche IT-Sicherheitswirtschaft im Betrachtungszeitraum
2005 bis 2012 im Vergleich zur Gesamtwirtschaft um
0,8 Prozentpunkte stärker und leistete somit einen
überdurchschnittlichen Wachstumsbeitrag zur deutschen Volkswirtschaft.
Das Wachstum der Bruttowertschöpfung um durchschnittlich 2,9 Prozent pro Jahr (siehe Abbildung 10)
ist im Vergleich zu anderen Sektoren der deutschen
41
Die identische Wertebezeichnung von Balken unterschiedlicher Höhe ist rundungsbedingt.
21
Abbildung 10: Durchschnittliche Wachstumsrate der Bruttowertschöpfung im Vergleich in Prozent
2,9
2,6
Verarbeitendes Gewerbe
1,9
Information und Kommunikation
Dienstleistungssektor
2,1
Gesamtwirtschaft
2,1
0,0
0,5
1,0
1,5
2,0
2,5
3,0
3,5
3.4 Marktgröße
Der Markt für IT-Sicherheitsgüter in Deutschland ist
nicht völlig kongruent mit der inländischen Produktion eben jener Güter. Der Begriff des Marktes, der oft
missverständlich als Synonym für „Branche“ verwendet wird, umreißt den gesamten inländischen Konsum
an IT-Sicherheitsgütern. Dessen Volumen umfasst die
inländische Produktion abzüglich der Exporte zuzüg-
lich der Importe von IT-sicherheitsrelevanten Produkten und Dienstleistungen.42 Für die Jahre 2005 bis 2012
ergibt sich folgendes Bild des IT-Sicherheitsmarktes in
Deutschland:
Im Jahr 2012 wies der deutsche Markt für IT-Sicherheits
güter ein Volumen von 6,6 Milliarden Euro auf. Mit
anderen Worten: es wurden IT-Sicherheitsgüter in
Deutschland im genannten Wert verbraucht. Die
Abbildung 11: Volumen des Markts für IT-Sicherheitsgüter in Deutschland in Mrd. Euro
8
7
6
6,7
5,8
6,2
6,2
6,0
2008
2009
6,3
6,5
6,6
2010
2011*
2012*
5
4
3
2
1
0
2005
2006
2007
*Fortschreibung
42
Als Markt wird das Zusammentreffen von Angebot und Nachfrage definiert. Das Angebot auf dem deutschen Markt für IT-Sicherheitswirtschaft umfasst sämtliche im Inland produzierten Güter abzüglich jener, die ins Ausland exportiert und dort verbraucht werden, zuzüglich der
aus dem Ausland importierten Güter.
22
Abbildung 12: Prozentuale Zusammensetzung des Markts für IT-Sicherheit in Prozent
100
90
80
33
35
34
41
47
46
45
41
42
41
12
12
14
13
2009
2010
2011*
2012*
70
45
60
50
26
27
26
32
40
30
20
41
38
40
10
41
28
0
2005
Hardware
2006
Software
2007
2008
Dienstleistungen
*Fortschreibung
größte Ausdehnung erreichte der Markt im Jahr 2007
(siehe Abbildung 11) mit 6,7 Milliarden Euro. In den
Folgejahren nahm das Marktvolumen ab und durchschritt im Jahr 2009 eine Talsohle. Für den Rückgang
des Marktvolumens in den Jahren 2007 bis 2009 ist der
Außenhandel verantwortlich, genauer gesagt die
Importe ausländischer IT-Sicherheitsgüter. In diesen
Jahren sanken die Importe um insgesamt 51,7 Prozent
und nahmen erst ab dem Jahr 2010 wieder zu. Kapitelabschnitt 3.5 wird diese Entwicklung genauer beleuchten.
Sicherheitsmarkt. Wie bereits in Kapitel 3.2 erwähnt,
kann der Rückgang des Wertes von IT-Sicherheitshardware sowohl auf den schwindenden Bedarf an Hardware-Sicherheit, als auch auf sinkende Marktpreise
der Hardware zurückgeführt werden. Das Statistische
Bundesamt ermittelte für die Jahre 2005 bis 2009 eine
Veränderung des Verbraucherpreisindexes und des
Importpreisindexes von über 60 Prozent.43 Dies entspricht in etwa dem Rückgang des Hardwaresegments
in diesen Jahren.
Im Zeitverlauf haben die einzelnen Branchensegmente
einen unterschiedlichen Einfluss auf den deutschen
Markt für IT-Sicherheit ausgeübt.
3.5 Außenhandel
Im Betrachtungszeitraum nahm der Anteil von Software und Dienstleistungen am IT-Sicherheitsmarkt
stetig zu (Abbildung 12). Der Wert der Güter des Hardwaresegments ist hingegen beständig gesunken. Hier
zeigt sich eine Parallelentwicklung zum Produktionswert, wie in Kapitelabschnitt 3.2 beschrieben. Ausgehend vom Jahr 2009 fiel der Markt für Güter der ITSicherheitshardware um 15 Prozentpunkte auf einen
Anteil von nur noch 13 Prozent am gesamten IT-
43
Im Jahr 2012 wurden in der IT-Sicherheitswirtschaft
Güter im Wert von 1.228 Millionen Euro exportiert
(siehe Abbildung 13). Im gleichen Jahr erreichten die
Importe einen Wert von 1.576 Millionen Euro. Die Differenz von 347 Millionen Euro ergibt das branchenspezifische Außenhandelsdefizit des Jahres 2012. Auch in
den Jahren davor wies die IT-Sicherheitswirtschaft ein
Außenhandelsdefizit auf: In jedem Jahr wurden mehr
IT-Sicherheitsgüter importiert als von der heimischen
Branche exportiert wurden (siehe Abbildung 14).
Vgl. Pressemitteilung des Statistischen Bundesamtes vom 30.07.2009:
https://www.destatis.de/DE/PresseService/Presse/Pressemitteilungen/2009/07/PD09_287_614.html
23
Abbildung 13: Außenhandel mit IT-Sicherheitsgütern im Jahr 2012
Exporte:
1.228 Mio. Euro
Importe:
1.576 Mio. Euro
Außenhandelsdefizit in 2012*: 347 Mio. Euro
*Fortschreibung
einen Wert von konstanten 1,2 Milliarden Euro (siehe
Abbildung 14). Über den gesamten Betrachtungszeitraum haben die Exporte in ihrem Wert um 20 Prozent
zugelegt, woraus sich ein jährliches Durchschnittswachstum von 3,7 Prozent ergibt. Verglichen mit dem
jährlichen Exportwachstum der deutschen Gesamtwirtschaft in diesem Zeitraum von 5,8 Prozent weist
die IT-Sicherheitswirtschaft somit ein unterdurchschnittliches Wachstum bei den Exporten auf.
Die Exporte blieben über den gesamten Betrachtungszeitraum relativ stabil. Im Jahr 2005 wurden noch
Güter der IT-Sicherheit im Wert von 1 Milliarde Euro
für den Export produziert. In den Folgejahren stieg der
Wert der Exporte bis in das Jahr 2007 auf 1,4 Milliarden
Euro an, das ist ein Plus von 40 Prozent. In der Folgezeit kam es zu einem Rückgang der Exporte bis auf
einen Wert von 1,1 Milliarden Euro im Jahr 2009. In
den Jahren 2010 bis 2012 legte der Export von Gütern
der IT-Sicherheitswirtschaft wieder zu und erreichte
Abbildung 14: Entwicklung des Außenhandels mit IT-Sicherheitsgütern in Mrd. Euro
3
2,9
2,8
2,2
2,0
2
1,4
1,3
1,3
1,0
1
1,1
1,6
1,6
1,5
1,4
1,2
1,2
1,2
2011*
2012*
0
2005
Importe
2006
2007
Exporte
*Fortschreibung
2008
2009
2010
24
Abbildung 15: Außenhandel der Branchensegmente im Jahr 201244 in Mio. Euro
800
704
700
600
500
469
419
508
452
400
300
251
200
100
0
Hardware
Importe
Software
Dienstleistungen
Exporte
Während die Exporte zulegten, wenn auch vergleichsweise unterdurchschnittlich, wiesen die Importe von
IT-Sicherheitsgütern eine rückläufige Entwicklung auf:
In den Jahren 2005 bis 2009 nahmen sie zunächst um
0,7 Milliarden Euro auf 2,9 Milliarden Euro zu, sanken
in den Folgejahren auf ein Tief von 1,4 Milliarden Euro
im Krisenjahr 2009 und hielten sich seitdem konstant
bei etwa 1,6 Milliarden Euro (siehe Abbildung 14). Die
Importentwicklung weist im Gegensatz zu den Exporten eine höhere Volatilität auf: So betrug das Importwachstum in den Jahren von 2005 bis 2007 rund 32
Prozent. Anschließend halbierten sich die Importe bis
2009 (ein Minus von 52 Prozent).
Der Mittelwert bei den Exporten liegt bei 1,2 Milliarden Euro, bei den Importen bei 2,0 Milliarden Euro. Im
Mittel wurden in der IT-Sicherheitswirtschaft folglich
0,8 Milliarden Euro mehr Güter im- als exportiert. Insgesamt hat sich das Außenhandelsdefizit im Betrachtungszeitraum jedoch deutlich reduziert. Während es
in den Jahren 2006 und 2007 noch 1,5 Milliarden Euro
betrug, ist es seitdem auf 347 Millionen Euro gesunken,
wie weiter oben bereits ausgeführt. Dies entspricht
einem Abbau des branchenspezifischen Außenhandelsdefizits um 73 Prozent im gesamten Betrachtungszeitraum. Die Tendenz hin zu einer ausgeglichenen
44
Für das Jahr 2012 werden fortgeschriebene Werte ausgewiesen.
Handelsbilanz in der IT-Sicherheitswirtschaft ist deutlich sichtbar.
Bei Betrachtung der Im- und Exportwerte der einzelnen Branchensegmente in der IT-Sicherheitswirtschaft
werden Unterschiede in der Außenhandelsentwicklung
ersichtlich (siehe Abbildung 15). Während die Exporte
des Software- und des Dienstleistungssegments die Im
porte übersteigen, übersteigen die Importe im Hardwaresegment die Exporte um das 2,8-fache. Für die
negative Außenhandelsbilanz der gesamten IT-Sicherheitswirtschaft zeichnet folglich das Branchensegment
Hardware verantwortlich. Hingegen sind Software und
Dienstleistungen der deutschen IT-Sicherheitswirtschaft
im Ausland gefragt.
In Kapitel 3.4 wurde gezeigt, dass das Segment der
IT-Sicherheitshardware eine schwindende Bedeutung
für den deutschen IT-Sicherheitsmarkt hat. Da ausschließlich in diesem Segment ein Außenhandelsdefizit vorliegt, wird die Schrumpfung des Marktsegments
der IT-Sicherheitshardware mittelfristig zu einer ausgeglichenen Außenhandelsbilanz führen.
25
3.6 Beschäftigung, Einkommen und
Arbeitsproduktivität
Zur Erinnerung: Mit Erwerbstätigen sind alle in einem
Wirtschaftszweig wirtschaftlich tätigen Personen ge
meint, sowohl abhängig Beschäftigte (Arbeitnehmer)
als auch Selbständige. Die Anzahl der Erwerbstätigen
in der IT-Sicherheitswirtschaft stieg von 53.370 im Jahr
2005 um 9.980 Personen auf ca. 63.320 Erwerbstätige45.
Dieser Beschäftigungszuwachs von insgesamt 18,7 Prozent über den gesamten Betrachtungszeitraum entspricht einem jährlichen Plus von durchschnittlich
2,5 Prozent (siehe Abbildung 16).
Die durchschnittliche Zuwachsrate bei den Beschäftigten in der IT-Sicherheitswirtschaft ist als verhältnis
mäßig hoch einzustufen. Zum Vergleich: Der Beschäftigungszuwachs in der IKT-Branche betrug im gleichen
Zeitraum durchschnittlich nur 0,4 Prozent, in der
Gesamtwirtschaft waren es 0,9 Prozent. Im Verhältnis
zum Dienstleistungssektor, der einen Beschäftigungszuwachs von 1,2 Prozent im Jahresdurchschnitt aufweist, wuchs die Beschäftigung in der IT-Sicherheitswirtschaft mit einer mehr als doppelt so hohen Rate
(siehe Abbildung 17).
Die ermittelten 63.300 Erwerbstätigen der Branche im
Jahr 2012 erzielten zusammen ein Jahreseinkommen
von 2,8 Milliarden Euro. Dies entspricht einem ProKopf-Einkommen von rund 44.800 Euro (siehe Abbildung 18). Über den gesamten Betrachtungszeitraum
beträgt der Einkommenszuwachs 44,4 Prozent, was
einer jährlichen Steigerung von 5,4 Prozent entspricht.
Die Einkommen sind stärker gestiegen als die Erwerbstätigenzahlen, daraus folgt, dass das Pro-Kopf-Einkommen im Betrachtungszeitraum um 21,7 Prozent bzw.
durchschnittlich um 2,8 Prozent pro Jahr gestiegen ist.
Das durchschnittliche Pro-Kopf-Einkommen von
44.800 Euro in der IT-Sicherheitswirtschaft liegt 85
Prozent über dem Durchschnitt von 24.200 Euro pro
Kopf im Dienstleistungssektor.
Die Erwerbstätigen sind die Gesamtheit aller in einer
Branche arbeitenden Personen, die eine auf wirtschaftlichen Erwerb ausgerichtete Tätigkeit ausüben. Als
Arbeitnehmer hingegen werden nur diejenigen Personen bezeichnet, die sich in einem Arbeits- bzw. Dienstverhältnis befinden. Eine gesonderte Betrachtung der
Arbeitnehmerzahlen gibt Aufschluss über den Anteil
der sozialversicherungspflichtig Beschäftigten sowie
über die Selbständigenquote in der IT-Sicherheitswirtschaft. Letztere belief sich im Jahr 2012 auf 18,5 Prozent. Seit 2005 ist die Selbständigenquote um 3,2 Prozent gestiegen. Mit anderen Worten: im Jahr 2012
Abbildung 16: Entwicklung der Erwerbstätigenzahlen in Tausend
70
60
53,3
55,2
57,0
59,0
59,9
60,7
61,5
2008
2009
2010
2011*
63,3
50
40
30
20
10
0
2005
2006
2007
*Fortschreibung
45 Diese Zahl sollte als Näherungswert aufgefasst werden.
2012*
26
Abbildung 17: Durchschnittliche Zuwachsraten der Erwerbstätigen im Vergleich in Prozent
2,5
0,2
Verarbeitendes Gewerbe
0,4
Information und Kommunikation
0,9
Dienstleistungssektor
2,1
Gesamtwirtschaft
0,0
0,5
1,0
1,5
2,0
2,5
3,0
3,5
Abbildung 18: Entwicklung des Pro-Kopf-Einkommens in Tausend Euro
50
40
36,8
37,0
38,2
2005
2006
2007
40,0
40,7
41,7
2008
2009
2010
43,3
44,8
30
20
10
0
2011*
2012*
*Fortschreibung
stand nahezu jeder fünfte Erwerbstätige der IT-Sicherheitswirtschaft in keinem Angestelltenverhältnis. Zum
Vergleich: Im Dienstleistungssektor erreichte die
Quote der nicht sozialversicherungspflichtigen Personen einen Wert von 11,2 Prozent. Folglich arbeitet ein
verhältnismäßig hoher Anteil der in der IT-Sicherheitswirtschaft tätigen Personen auf eigene Rechnung.
Arbeitsmarktpolitische Maßnahmen sollten sowohl die
Bedürfnisse von Unternehmen mit ihrer Nachfrage
nach qualifizierten Arbeitskräften als auch die selbständigen IT-Sicherheitsexperten in den Blick nehmen.
Auch die zahlreichen Selbständigen sind wertschöpfend
tätig und leisten ihren Beitrag zum Branchenwachstum. Sie zu ignorieren hieße, den volkswirtschaftlichen
Leistungsbeitrag der IT-Sicherheitswirtschaft systematisch zu unterschätzen.
Die Zahl der in der IT-Sicherheitswirtschaft abhängig
Beschäftigten ist seit dem Jahr 2005 von 43.800 um
7.800 auf 51.600 Personen gestiegen. Das entspricht
einem Zuwachs von insgesamt 17,8 Prozent über den
gesamten Betrachtungszeitraum und einem durchschnittlichen jährlichen Beschäftigungszuwachs von
2,4 Prozent (siehe Abbildung 19). Damit wuchs die Zahl
27
Abbildung 19: Entwicklung der Arbeitnehmeranzahl in der IT-Sicherheitswirtschaft in Tausend
60
50
43,8
45,1
2005
2006
47,1
49,1
50,5
49,6
50,2
51,6
2008
2009
2010
2011*
2012*
40
30
20
10
0
2007
*Fortschreibung
der Arbeitnehmer langsamer als die Zahl der Erwerbstätigen insgesamt (vgl. Kapitel 3.6), woraus sich ein
Trend auf dem Arbeitsmarkt der IT-Sicherheitswirtschaft zur Selbständigkeit ablesen lässt.
fluss auf die Einnahmen der Sozialkassen sowie der
Lohnsteuereinnahmen.
Zur Verdeutlichung: Die in der IT-Sicherheitswirtschaft
beschäftigten Personen sind mitnichten alle IT-Sicherheitsexperten. Die Wirtschaftszweigsystematik erfasst
zum einen wirtschaftliche Schwerpunkte von Unternehmen, zum anderen sämtliche dort tätige Berufsgruppen. Laut Information des BITKOM beläuft sich
der Anteil der IT-Sicherheitsexperten an der Gesamtzahl der IT-Beschäftigten in der Gesamtwirtschaft auf
geschätzte 10 Prozent.46
Die Arbeitsproduktivität gibt Aufschluss über die Höhe
des Wirkungsgrads eines Erwerbstätigen bei der Erstellung von Produkten und Dienstleistungen. Diese Kenn
zahl kann als Maß für die Leistungsfähigkeit eines
Wirtschaftsbereichs herangezogen werden und dient,
über sämtliche Wirtschaftsbereiche hinweg betrachtet,
als Messgröße für die Wettbewerbsfähigkeit einer
Volkswirtschaft. Die Arbeitsproduktivität wird ermittelt aus dem Quotienten des monetären Leistungs
ergebnisses (Bruttowertschöpfung) und des dafür notwendigen Arbeitseinsatzes (Erwerbstätige).
Das Pro-Kopf-Arbeitnehmerentgelt im Jahr 2012 belief
sich auf 65.000 EUR. Das ist im Betrachtungszeitraum
eine Steigerung von 21,5 Prozent und entspricht einer
jährlichen Steigerung von durchschnittlich 2,8 Prozent
(siehe Abbildung 20).47 Die positive Entwicklung des
Arbeitsmarkts von sozialversicherungspflichtig
Beschäftigten hat folglich auch einen positiven Ein-
In den Jahren 2005 bis 2012 ist die Arbeitsproduktivität
der IT-Sicherheitswirtschaft unterm Strich angestiegen,
wenn auch nur in geringem Umfang. Lag die Arbeitsproduktivität im Jahr 2005 noch bei 54.688 Euro je
Erwerbstätigem, so wurde im Jahr 2012 eine Arbeitsproduktivität von 56.244 Euro je Erwerbstätigem erzielt
(siehe Abbildung 21). Das ist ein Plus von 2,8 Prozent.
46
Für diesen Hinweis danken wir Herrn Dr. Stephan Pfisterer, Leiter Bildungspolitik und Arbeitsmarkt beim BITKOM. Der BITKOM geht von
80.000 bis 90.000 IT-Sicherheitsexperten in sämtlichen Wirtschaftszweigen aus. Vor dem Hintergrund dieser Information scheint es angeraten,
mittels einer branchenspezifischen Fachkräfteanalyse für die IT-Sicherheitswirtschaft und andere Branchen mögliche Engpässe bei qualifiziertem Personal zu prognostizieren und frühzeitig geeignete arbeitsmarkt- und bildungspolitische Maßnahmen zu ergreifen.
47
Die Arbeitnehmerentgelte pro Kopf fallen in der Regel höher aus, als die Pro-Kopf-Einkommen. Neben den Bruttolöhnen sind in den Arbeitsentgelten auch die Arbeitgeberanteile der Sozialversicherungsbeiträge enthalten.
28
Abbildung 20: Entwicklung der Arbeitnehmerentgelte pro Kopf in Tausend Euro
70
60
53,4
53,5
54,8
56,6
57,2
2005
2006
2007
2008
2009
65,0
62,8
60,6
50
40
30
20
10
0
2010
2011*
2012*
*Fortschreibung
Abbildung 21: Entwicklung der Arbeitsproduktivität in der IT-Sicherheitswirtschaft
65.000
60.000
55.000
50.000
45.000
2005
2006
IT-Wirtschaft
2007
2008
2009
2010
2011*
2012*
Gesamtwirtschaft
*Fortschreibung
Über den gesamten Betrachtungszeitraum weist die ITSicherheitswirtschaft eine höhere Arbeitsproduktivität
auf als die Informationstechnologie. Ähnliches gilt für
den Vergleich mit der Gesamtwirtschaft. Auch hier
schneidet die IT-Sicherheitswirtschaft überdurch-
schnittlich gut ab, bis auf eine Ausnahme: Im Jahr 2012
verzeichnete die Gesamtwirtschaft mit einem Wert
von 56.821 Euro je Erwerbstätigem eine höhere Arbeits
produktivität als die IT-Sicherheitswirtschaft.
3.7 Die bedeutendsten Abnehmer von
IT-Sicherheitsgütern
Die bedeutendsten Abnehmer von Gütern der ITSicherheit finden sich in technologieintensiven Branchen (siehe Abbildung 22). Die IT-Branche selbst ist mit
einem Anteil von ca. 20,7 Prozent der größte Abnehmer von IT-Sicherheitsgütern mit deutlichem Abstand
zu anderen Wirtschaftszweigen. Während jeder fünfte
Euro für IT-Sicherheitsgüter aus der IT-Branche kommt,
steuert der Wirtschaftszweig zur Herstellung von Daten
verarbeitungsgeräten, elektronischen Bauelementen
und Erzeugnissen der Telekommunikation und Unterhaltung nur noch lediglich 11,9 Prozent zum Konsum
von IT-Sicherheitsgütern bei. Die im Ranking nachfolgenden Wirtschaftszweige weisen nur mehr einen einstelligen Konsumanteil am IT-Sicherheitsmarkt auf.
Bei Branchen wie den Telekommunikations- (Platz 3)
oder Finanzdienstleistungen (Platz 5) erscheint der
recht hohe Anteil am Konsum von IT-Sicherheitsgütern plausibel. Die Bedeutung digitaler Technologien
für ihr Geschäftsmodell macht sie von sensiblen Informationen und deren verlässlicher Weitergabe über
Datennetze abhängig und bedingt ihren hohen Sicherheitsbedarf.
Bei der in Abbildung 22 aufgegliederten Verwendung
von IT-Sicherheitsgütern in den einzelnen Abnehmerbranchen muss jedoch berücksichtigt werden, dass
große Branchen auch viel konsumieren. So handelt es
sich beispielsweise beim Maschinenbau (Platz 4) um
29
einen großen Wirtschaftszweig mit hoher Produkti
vität, der entsprechend viele Vorleistungen benötigt,
auch aus der IT-Sicherheitswirtschaft. Das Ranking
erlaubt somit zwar eine Aussage über die wichtigsten
Kunden der IT-Sicherheitswirtschaft, vermag jedoch
keine Vorstellung davon zu vermitteln, in welcher
Relation der Verbrauch von IT-Sicherheitsgütern zur
wirtschaftlichen Stärke der jeweiligen Branche steht,
viel weniger lassen sich valide Erkenntnisse über das
erlangte IT-Sicherheitsniveau erzielen.
Wird der Bezug von IT-Sicherheitsgütern am Produk
tionswert einer Branche gemessen, ergeben sich be
merkenswerte Unterschiede zum vorangegangen Ranking: Wie in Abbildung 22 dargestellt verschiebt sich
die Gewichtung der Branchen deutlich. Die Messung
des Konsums von IT-Sicherheitsgütern am Produktions
wert der jeweiligen Branche gibt Aufschluss darüber,
wie groß der Anteil der IT-Sicherheit an der jeweiligen
Branchenproduktion ist. Die Verhältniszahl wird für
die Zwecke der vorliegenden Studie als IT-Sicherheitsintensität bezeichnet.
Der Wirtschaftszweig mit der höchsten IT-Sicherheitsintensität sind die IT- und Informationsdienstleistungen (1,15 Prozent). Jedem in der IT-Branche erwirtschafteten Euro stehen 1,15 Cent gegenüber, die von
der Branche in IT-Sicherheitsgüter investiert wurden.
An zweiter Stelle steht der Wirtschaftszweig Herstellung von Datenverarbeitungsgeräten, elektronischen
Bauelementen und Erzeugnissen der Telekommunikation
Abbildung 22: Bedeutendste Abnehmer von IT-Sicherheitsgütern
Wirtschaftszweige
Anteil
1.
IT- und Informationsdienstleistungen
20,7%
2.
Herst. von DV-Geräten, elektron. Bauelementen und Erzeugnisse für TK und Unterhaltung
11,9%
3.
Telekommunikationsdienstleistungen
7,2%
4.
Herstellung von Maschinen
5,7%
5.
Finanzdienstleister
4,1%
6.
Verlagswesen
3,8%
7.
Herstellung von elektrischen Ausrüstungen
3,7%
8.
Herstellung von Kraftwagen und Kraftwagenteilen
2,6%
9.
Forschung und Entwicklung
2,1%
10.
Großhandel (ohne Handel mit Kfz)
2,0%
11.
Restliche Wirtschaft
36,2%
30
Abbildung 23: Branchen mit der höchsten IT-Sicherheitsintensität
IT-Sicherheitsintensität
Wirtschaftszweige
1.
IT- und Informationsdienstleistungen
1,15%
2.
DV-Geräte, elektron. Bauelemente und Erzeugung für Telekommunikation und Unterhaltung
0,47%
3.
Forschungs- und Entwicklungsleistungen
0,35%
4.
Dienstleistungen des Verlagswesen
0,33%
5.
Telekommunikationsdienstleistungen
0,30%
6.
Dienstleistungen der Sozialversicherung
0,19%
7.
Mess-, Kontroll- u.ä. Instrumente und Einrichtungen, elektromed. Geräte, Datenträger
0,15%
8.
Post-, Kurier- und Expressdienstleistungen
0,13%
9.
Finanzdienstleistungen
0,12%
10.
Dienstleistungen der Abwasser-, Abfallentsorg. und Rückgewinnung
0,12%
und Unterhaltung. Jedem Euro an produziertem Wert
in der Branche stehen 0,47 Cent an Ausgaben für Güter
der IT-Sicherheitswirtschaft gegenüber. An dritter
Stelle stehen Forschungs- und Entwicklungsleistungen,
die gemessen an ihrem Produktionswert eine hohe
IT-Sicherheitsintensität aufweisen. Jedem Euro an produziertem Wert stehen 0,35 Cent an Ausgaben für ITSicherheitsgüter gegenüber (siehe Abbildung 23). Zum
Vergleich: Bei Betrachtung des absoluten Werts an
IT-Sicherheitsausgaben kommt dieser Wirtschaftszweig lediglich auf Platz 9 (Abbildung 22). Der Maschinenbau hingegen erscheint bei der Betrachtung der
IT-Sicherheitsintensität nicht mehr unter den ersten
zehn, die Finanzdienstleistungen rutschen auf den
neunten Platz ab.
48
Die IT-Sicherheitsintensität kann als ein erstes Indiz
dafür gewertet werden, welchen Stellenwert einzelne
Wirtschaftszweige der IT-Sicherheit einräumen. Für
die Messung des tatsächlichen IT-Sicherheitsniveaus
bedarf es weiterer Untersuchungen, wie sie beispielsweise in Arbeiten des Fraunhofer SIT bereits skizziert
wurden.48
Siehe hierzu den Praxisbericht von Mechtild Stöwer zur Ermittlung des IT-Sicherheitsniveaus aus dem Jahr 2013 (siehe Literaturliste).
31
4. Entwicklungsprognosen bis ins Jahr 2020
4.1 Möglichkeiten der Fortschreibung und
ihre Aussagekraft
Exakte Vorhersagen über die Entwicklung der IT-Sicher
heitswirtschaft bis in das Jahr 2020 lassen sich trotz der
guten Datenlage und den Möglichkeiten der Fortschrei
bung nicht treffen. Das hat mehrere Gründe:
→→ Zum einen ist die Entwicklung der IT-Sicherheitswirtschaft von der Dynamik zahlreicher anderer
Branchen abhängig. Hier ist zu bedenken, dass der
Markt für IT-Sicherheitsprodukte ein Folgemarkt
des IT-Marktes ist. Dies lässt sich vereinfachend in
die Faustformel bringen: Je besser die wirtschaftliche
Entwicklung in IT-konsumierenden Branchen, des
to höher der Bedarf an Gütern der IT-Sicherheit.
→→ Zum anderen wird das Gedeihen der IT-Sicherheits
wirtschaft hochgradig von unvorhersehbaren, singu
lären Ereignissen, von technologischen Innovationen in den Vorleistungsbranchen, schließlich von
breitenwirksamen Trends in der digitalen Wirtschaft
sowie von regulatorischen Maßnahmen bestimmt.
Um dennoch (wirtschafts-)politische Handlungsempfehlungen im Kontext zukünftiger wirtschaftlicher,
rechtlicher und technologischer Entwicklungsmöglichkeiten formulieren zu können, werden im Folgenden mögliche Entwicklungspfade skizziert und der
Entwicklungskorridor für verschiedene Kennzahlen
der IT-Sicherheitswirtschaft definiert.
49
4.2 Entwicklungsprognose Produktionswert
Für den Produktionswert ergeben sich auf Basis von
Annahmen49 ab dem Jahr 2012 drei mögliche Entwicklungspfade für die IT-Sicherheitswirtschaft:
→→ Vor dem Hintergrund pessimistischer Annahmen
(worst case) wird sich der Produktionswert der
Branche mit einer durchschnittlichen Wachstumsrate von ca. 2,1 Prozent entwickeln. Ausgehend
von einem Wert im Jahr 2012 von 6,3 Milliarden
Euro würde der Produktionswert im Jahr 2020 ca.
7,4 Milliarden Euro erreichen. In den acht Jahren
des Prognosezeitraums wüchse der Produktionswert damit um insgesamt 18,4 Prozent.
→→ Bei einer reinen Fortschreibung des Wachstums
trends der Jahre 2005 bis 2012 bis ins Jahr 2020
(average case) wüchse der Produktionswert um
durchschnittlich 4,0 Prozent pro Jahr auf einen
Wert von 8,5 Milliarden Euro.
→→ Optimistische Annahmen (best case) modellieren
einen Entwicklungspfad, bei dem das durchschnittliche jährliche Wachstum des Produktionswerts
9,2 Prozent erreicht. In diesem Fall würde sich der
Produktionswert bis ins Jahr 2020 auf insgesamt
12,6 Milliarden Euro verdoppeln.
Abbildung 24 verdeutlicht, dass die Trendfortschreibung
näher am worst case liegt als am best case. Die hohen
Wachstumsraten in der Vergangenheit, die der optimistischen Entwicklungsalternative zugrunde liegen,
können als Ausnahmeerscheinungen bezeichnet werden. Aufgrund der Unsicherheit der Entwicklung wird
die Spreizung annahmemodellierter Zukünfte im Verlauf der Zeit breiter und öffnet sich zu einem Korridor
möglicher Entwicklungspfade. Im Jahr 2020 weist dieser
seine größte Öffnung auf, die zwischen best und worst
case eine Differenz von 5,2 Milliarden Euro umspannt.
Die Annahmen beruhen auf der Beobachtung der zwei niedrigsten, der durchschnittlichen sowie der zwei höchsten Wachstumsraten aus der
Vergangenheit. Näheres zur Methodik wird in Kapitel 7.6 erläutert.
32
Abbildung 24: Entwicklungskorridor des Produktionswerts in Mrd. Euro
14
12
10
8
6
4
2
0
2005
worst case
2006
2007
average case
2008
2009
2010
2011
2012
2013
2014
2015
2016
2017
2018
2019
2020
best case
4.3 Entwicklungsprognose
Die möglichen Entwicklungspfade der Bruttowertschöp
fung eröffnen bis ins Jahr 2020 einen ähnlich breiten
Korridor wie die Entwicklungsalternativen des Produktionswerts.
→→ Unter pessimistischen Annahmen sänke die Brutto
wertschöpfung im Gegensatz zum Produktionswert
über die Jahre mit einer durchschnittlichen Rate
von -0,6 Prozent. Träten die pessimistischen An
nahmen ein, verlöre die Bruttowertschöpfung bis
in das Jahr 2020 um 4,8 Prozent an Wert.
→→ Die Trendfortschreibung ergibt im average case
einen Verlauf mit einer durchschnittlichen Wachstumsrate von 2,2 Prozent pro Jahr. Ausgehend von
einer Wertschöpfung von 3,6 Milliarden Euro im
Jahr 2012 wüchse diese Kennzahl bis 2020 um
18,7 Prozent auf einen Wert von ca. 4,2 Milliarden
Euro.
→→ Ein optimistischer Ausblick unterstellt eine mögliche
Entwicklung wie jene der Jahre 2006/2007 und legt
somit ein kräftiges Durchschnittswachstum der
Bruttowertschöpfung von 7,9 Prozent zugrunde. In
diesem Szenario wächst die Bruttowertschöpfung
vom Jahr 2012 bis 2020 um insgesamt 84,0 Prozent
auf einen Wert von nahezu 6,6 Milliarden Euro.
Auch für die Bruttowertschöpfung gilt: die Trendfortschreibung liegt näher an den pessimistischen Annahmen des worst case als an der optimistischen Entwicklungsalternative (siehe Abbildung 25). Wie auch bei der
Prognose des Produktionswerts liegen bei der Bruttowertschöpfung in der Vergangenheit singulär hohe
Wachstumsraten vor. In Abbildung 25 sind diese im
Jahr 2007 erkennbar. Das Vorkommen dieses einmalig
hohen Wachstumssprungs zeigt, dass diese Wachstumsraten möglich sind. Im Jahr 2020 besteht zwischen dem best case (6,6 Milliarden Euro) und dem
worst case (3,4 Milliarden Euro) eine Differenz von 3,2
Milliarden Euro. Im average case erreicht die Bruttowertschöpfung im Jahr 2020 einen Wert von 4,2 Milliarden Euro.
33
Abbildung 25: Entwicklungskorridor der Bruttowertschöpfung in Mrd. Euro
14
12
10
8
6
4
2
0
2005
worst case
2006
2007
average case
2008
2009
2010
2011
2012
2013
2014
2015
2016
2017
2018
2019
2020
best case
4.4 Entwicklungsprognose Marktvolumen
Zur Erinnerung: Das Marktvolumen ist die Summe aus
inländischem Produktionswert und importierten
Sicherheitsgütern abzüglich der Exporte. Eine annahme
getriebene Prognose möglicher Entwicklungspfade des
IT-Sicherheitsmarkts in Deutschland stellt sich als
schwieriger dar als die Vorhersage der Kennzahlen der
Bruttowertschöpfung und des Produktionswerts. Dies
ist der Tatsache geschuldet, dass die Außenhandelsbilanz (als Differenz zwischen Exporten und Importen)
eine höhere Volatilität aufweist als die produktionsrelevanten Kennzahlen (siehe Kapitel 3.5). Diese Schwankungen sind auf unterschiedliche konjunkturelle Entwicklungen in den im- und exportierenden Ländern
zurückzuführen. Zudem ist die Entwicklung des
Außenhandels von kaum vorhersagbaren Wechselkursschwankungen abhängig.
Für das Aggregat des IT-Sicherheitsmarktes als Addition
von Produktionswert und Exporten abzüglich der
Importe, kann jedoch trotzdem eine Aussage getroffen
werden. In Abbildung 25 wird ersichtlich, dass die
möglichen Entwicklungspfade aufgrund der unsicheren Entwicklungen im Außenhandel zu einem breiten
Entwicklungskorridor im Jahr 2020 führen.
→→ Der worst case-Prognose liegt die negative Wachstumsrate des Marktes aus dem Jahr 2008 von -7,3
Prozent zugrunde. Unter diesen Voraussetzungen
schlösse der IT-Sicherheitsmarkt bis zum Jahr 2020
mit einem Volumen von lediglich 4,4 Milliarden Euro,
was ausgehend vom Jahr 2012 einer Schrumpfung
von 2,2 Milliarden Euro entspräche.
→→ Wird die durchschnittliche Entwicklung der vergangenen Jahre für den Prognosezeitraum bis ins
Jahr 2020 von 0,8 Prozent angenommen, so würde
der IT-Sicherheitsmarkt im letzten Jahr der Be
trachtung ein Volumen von 7,1 Milliarden Euro
erreichen. Insgesamt wüchse der Markt somit in
den acht Prognosejahren um 7,0 Prozent.
→→ Im besten Fall nähme der Markt für IT-Sicherheitsgüter in Deutschland pro Jahr um 8,4 Prozent zu
und würde damit im Jahr 2020 ein Volumen von
11,6 Milliarden Euro erreichen. Dies liefe auf ein
Gesamtwachstum des Marktes von 76,0 Prozent im
Prognosezeitraum hinaus.
Während sich die Marktgröße im Jahr 2012 auf 6,6 Milliarden Euro beläuft, liegt die annahmegetriebene
Streubreite des Marktvolumens im Jahr 2020 zwischen
4,4 Milliarden Euro und 11,6 Milliarden Euro. Die Differenz von 7,2 Milliarden Euro zwischen diesen beiden
extremen Entwicklungspfaden übersteigt gar die Markt
größe des Jahres 2012, eine beträchtliche Spreizung
(siehe Abbildung 26), die auf die konjunkturelle Ausnah
mesituation des Krisenjahres 2008 zurückzuführen ist.
34
Abbildung 26: Entwicklungskorridor des Marktvolumens in Mrd. Euro
14
12
10
8
6
4
2
0
2005
2006
worst case
2007
2008
average case
2009
2010
2011
2012
2013
2014
2015
2016
2017
2018
2019
2020
best case
4.5 Entwicklungsprognose Beschäftigung
gen, womit im Jahr 2020 mit einer Erwerbstätigenzahl von lediglich 70.320 Personen zu rechnen wäre.
Im Gegensatz zur Entwicklung des Marktvolumens
weist die Beschäftigung in der IT-Sicherheitswirtschaft
eine geringere Volatilität auf. Dies wirkt sich auf die
Breite des Entwicklungskorridors aus, der, wie in
Abbildung 27 ersichtlich, eine Spreizung von nur
knapp 13.000 Erwerbstätigen umfasst.
→→ Die Trendfortschreibung mit 2,0 Prozent durchschnittlichem Jahreswachstum endet im Jahr 2020
bei einer Anzahl von ca. 74.230 Erwerbstätigen.
→→ Unter der optimistischen Annahme (best case), dass
sich wie im Jahr 2006 eine Zuwachsrate bei der
Beschäftigung von 3,5 Prozent pro Jahr verwirklicht, beliefe sich die Zahl der Erwerbstätigen im
Jahr 2020 auf 83.260 Personen.
→→ Im pessimistischen Fall (worst case) wird von einem
Durchschnittswachstum von 1,3 Prozent ausgegan-
Abbildung 27: Entwicklungskorridor der Anzahl Erwerbstätiger in Tausend
90
80
70
60
50
40
30
20
10
0
2005
worst case
2006
2007
average case
2008
2009
best case
2010
2011
2012
2013
2014
2015
2016
2017
2018
2019
2020
35
5. Markttreiber der IT-Sicherheit
5.1 Technologische Trends als Markttreiber50
Der Markt für IT-Sicherheit folgt nicht nur volumenmäßig der Entwicklung des IT-Marktes. Eine analoge
Dynamik zeigt sich bei IT-Sicherheitslösungen, die
stets den technologischen Trends in der Informationstechnik folgen. IT-Sicherheitsexperten müssen daher
neue technologische Entwicklungen im Blick behalten
und resultierende IT-Sicherheitsbedarfe antizipieren.
In dem Maße wie eine Technologie, ein neues Medium
oder smartes Gerät breite Akzeptanz findet, eröffnet
sich IT-Sicherheitsunternehmen die Marktchance,
adäquate Sicherheitsprodukte und -dienstleistungen
zu entwickeln und bereitzustellen. Nur mit flankierenden IT-Sicherheitstechnologien lässt sich informationstechnischer Fortschritt dauerhaft bewerkstelligen.
Der Markt für IT-Sicherheit ist daher zugleich ein Folgemarkt der IT und ihr economic enabler. So ergeben
sich künftige Sicherheitsbedarfe im Gefolge technischer Innovationen beispielsweise im Bereich von
→→ eHealth (Telemedizin, Altersgerechte Assistenz
systeme, mobiles Gesundheitsmonitoring),
→→ der Verkehrstelematik (Car-to-Car-Kommunikation,
Flottenmanagement, neue Mobilitätskonzepte),
→→ intelligenten Stromnetzen (Smart Grids und Smart
Metering).
Die Entwicklung in den oben genannten Bereichen ist
gut dokumentiert und erfährt eine umfassende (wirtschafts-)politische Förderung.51 Stets spielen bei der
Bewertung neuer digitaler Technologien in den einschlägigen Projekten flankierende Aspekte der IT-Sicher
heit und des Datenschutzes eine Rolle. Die praktische
Umsetzung der von Expertengremien entwickelten
IT-Sicherheitsempfehlungen sollte jedoch im Auge
behalten werden: denkbar ist eine Monitoringplattform für neue digitale Technologien, auf der die Einhaltung von Sicherheitsstandards überwacht werden
könnte. Im Folgenden werden drei weitere Trends
skizziert, die neue Anforderungen an die IT-Sicherheit
in Unternehmen stellen.
5.1.1 Sicherheitserfordernisse durch das Internet
der Dinge
Was mit der automatischen Erkennung von Gegenständen durch die RFID-Technologie begann, hat sich
zu einer immer stärker werdenden Verwobenheit von
Internet und physischer Welt gesteigert. Das Internet
der Dinge scheint am Horizont technologischer Möglichkeiten auf und kommt dem Anspruch der digital
natives nach ubiquitärem Computing entgegen. Es sind
nicht mehr nur Computer und mobile Rechner, die
untereinander verschaltet sind und miteinander kommunizieren, sondern eine stets größer werdende Anzahl
an smarten, weil vernetzungsfähigen Gegenständen.
Dies bringt ganz neue Erfordernisse an die IT-Sicherheit mit sich.52 In der Qualität sind es zwar die gleichen
Sicherheitsaspekte, die seit Jahren im Internet der
Computer gelten, nämlich Aspekte der Vertraulichkeit
und Authentizität persönlicher Daten, die auch im
Internet der Dinge eine Rolle spielen werden. Angesichts einer komplexer werdenden, oftmals unbemerkten Verwobenheit kleinster Gegenstände ist jedoch die
Wahrscheinlichkeit gegeben, dass eine immer größere
Menge an sensiblen Daten in unsicherer Umgebung
gespeichert werden wird.53 Dies ist zunächst der Tatsache geschuldet, dass die Sicherheit auf Objektebene
technologisch noch nicht zu bewerkstelligen ist. Die
künftigen Herausforderungen an die IT-Sicherheitswirtschaft liegen darin,
→→ Webdienste zu entwickeln, die smarte Gegenstände
sicher verbinden und vor missbräuchlichem Datenzugriff schützen,
→→ gemeinsame Infrastrukturen der smarten Gegenstände bzw. gemeinsam genutzte Infrastrukturen
50
Die treibenden Marktkräfte wurden ermittelt in einer Online-Umfrage unter IT-Sicherheitsexperten, an der sich 48 Personen beteiligt haben.
51
Die Europäische Kommission hat in ihrem eHealth action plan 2012-2020 einen Fahrplan für die personalisierte Medizin der Zukunft erstellt.
Das „CoCarX“-Projekt des BMBF hat die technologischen Möglichkeiten einer vernetzten Mobilität ausgelotet. ITK-optimierte Energiesysteme
der Zukunft werden im Gemeinschaftsprojekt „E-Energy“ des BMWi und des BMU gefördert und ressortübergreifend bewertet.
52
Der TAB-Arbeitsbericht Nr. 131 „Ubiquitäres Computing“ analysiert eingehend die mit RFID-Systemen verbundenen Sicherheitsrisiken, die
sich komprimiert mit Ausspähen, Täuschen (Man-in-the-Middle-Attacken), Denial of Service sowie RFID-Malware umreißen lassen, S. 88ff.
53
Vgl. Rose, Andrew (2013). Der gesamte Abschnitt folgt der Argumentation des zitierten Artikels.
36
wie im hybriden Cloud Computing sicherer zu
machen (z. B. durch Identifikations- und Authen
tifizierungslösungen und Produkte für die
Zugangskontrolle),
→→ in einem nächsten Schritt für Kapazitäten auf
Objektebene zu sorgen, die eingebettete Sicherheitskomponenten ermöglichen sowie
→→ Forschung und Entwicklung rund um vertrauenswürdige IT-Umgebungen voranzutreiben.
5.1.2 Sicherheitserfordernisse industrieller Netzwerke
Dienstleistungsorientierte Unternehmen, zumal jene,
deren Geschäftsmodell auf dem Internet als Transak
tionsmedium beruht, haben sich seit Jahren intensiv
mit den Erfordernissen der IT-Sicherheit auseinander
gesetzt. Industrielle Netzwerke hingegen rücken erst
allmählich als potenziell gefährdete Bereiche ins Be
wusstsein ihrer Betreiber, und zwar in dem Maß, in
dem zielgerichtete schadensträchtige Angriffe erfolgt
sind und in der Presse breite Aufmerksamkeit erfahren
haben. Die so genannten Advanced Persistent Threats54
wie Stuxnet, Duqu oder Operation Roter Oktober stellen ein größeres Übel als herkömmliche Malware dar,
da sie gezielt und klandestin Industrieunternehmen
oder staatliche Stellen ausspionieren.
Industrielle IT-Systeme sind auf eine lange Lebensdauer angelegt und verfügen oftmals über keinerlei
Sicherheitsfunktionalitäten. Das Schadensrisiko für
industrielle Unternehmen ist in den vergangenen Jahren beträchtlich gestiegen, da die Netzwerke in der
Prozess- und Fertigungsautomation zunehmend durch
Ethernet miteinander sowie mit Verwaltungsnetzwerken verbunden sind, beispielsweise um Effizienzgewinne durch die Einbindung von Produktionsdaten in
Enterprise Ressource Planning-Prozesse zu realisieren
oder um die Wartung und Fehleranalyse industrieller
Anlagen per Fernzugriff zu ermöglichen. Der steigende
Vernetzungs- und Verteilungsgrad industrieller Leit-
und Regelsysteme lässt jedoch ganz neue Sicherheitsrisiken entstehen, die das wirtschaftliche Überleben des
Industrieunternehmens gefährden können: Hier sind
„der Verlust oder das Abfließen von kritischem Verfahrens- und Produktions-Knowhow und die (absichtliche)
Störung von Automatisierungs- und Produktionsan
lagen“ 55 als oft unterschätzte Gefährdung für informationelle Unternehmenswerte der Industrie zu nennen.
Resultierende Produktionsausfälle oder Qualitätseinbußen können Unternehmen großen wirtschaftlichen
Schaden zufügen, ebenso wie der Verlust von Wettbewerbsvorteilen durch Wirtschaftsspionage. Gerade die
so genannten hidden champions des deutschen Mittelstands verfügen oftmals nur über eine unzureichende
organisatorische IT-Sicherheit, was schlimmstenfalls
die Aufhebung ihres Innovationsvorsprungs zur Folge
haben kann. Eine stärkere Bewusstmachung der Risiken
beispielsweise in branchenspezifischen Arbeitskreisen
könnte Abhilfe schaffen.
Die IT-Sicherheitswirtschaft wird künftig verstärkt
folgende Bedarfe erfüllen müssen:
→→ Es gilt, von der „one-fits-all-Strategie“ Abschied zu
nehmen und vermehrt branchenspezifische Sicherheitslösungen zu entwickeln und anzubieten, die
der Tatsache Rechnung tragen, dass beispielsweise
Finanzdienstleister, Energieversorger und Industrie
unternehmen unterschiedliche IT-Sicherheits
bedürfnisse haben.
→→ Für die spezielle Situation von Industrieunternehmen
sind gestaffelte Sicherheitskonzepte („defence-indepth“) geeignet, die mehrere Hürden für Angreifer
errichten, indem das Netzwerk segmentiert und die
einzelnen Segmente separat gesichert werden.
→→ Zu einem ganzheitlichen Sicherheitsansatz gehört
auch die Bewusstmachung realer Risiken, die sich
aus Wirtschaftsspionage und -sabotage ergeben.
Diese Aufgabe setzt konkret an den Mitarbeitern und
deren Verhalten an. Unternehmen der IT-Sicherheitswirtschaft können gezielt durch Trainings und
54
Den Begriff APT als reine Marketingfloskel abzutun, wird der realen Bedrohung nicht gerecht. Die Kampagnen laufen über mehrere Monate
bis Jahre, die Entwickler der Software sind mit finanziellen Mitteln gut ausgestattet, was eine Beteiligung von Regierungen zumindest nahelegt.
55
Eine vom BMWi empfohlene Veranstaltung von it.emsland zur IT-Sicherheit in produzierenden Unternehmen im Juni 2013 widmet sich
der Thematik. Zitiert nach der Veranstaltungsbeschreibung, abrufbar unter:
http://www.it-emsland.de/itsicherheit_in_produzierenden_unternehmen__18062013-106-1-488.html
Kurse der Bewusstseinsbildung („awareness“) die
Industrie bei der Einhegung der genannten Risiken
unterstützen.
→→ Aspekte der physischen Sicherheit von Anlagen
und/oder Devices müssen dabei ebenfalls berücksichtigt werden. Am Beispiel der Industrie wird
augenfällig, dass Maßnahmen der IT-Sicherheit
stets nur einen, wen auch wichtigen Aspekt der
Unternehmenssicherheit darstellen, die in einem
ganzheitlichen Ansatz konzipiert werden müssen.
5.1.3 Sicherheitserfordernisse von eGovernment und
ePartizipation
Die Angebote der elektronischen Verwaltung machen
Bürger und Unternehmen zeitlich und räumlich unabhängig von Öffnungszeiten der Behörden und sorgen
für eine Beschleunigung der Verwaltungsvorgänge.
Behördengänge und lange Wartezeiten werden überflüssig, dem Bürokratieabbau wird somit Vorschub
geleistet. Das im März 2012 verabschiedete eGovernment-Gesetz soll es der öffentlichen Verwaltung
ermöglichen, weitere Effizienzgewinne durch die digitalisierte Interaktion mit den Bürgern zu erzielen. In
dem Maß wie mobiles Computing zum festen Bestandteil des täglichen Lebens und Kommunizierens geworden ist, rückt auch die mobile Erledigung von Behördengängen ins Zentrum des Interesses und mit ihr
sämtliche verbundenen Sicherheitsbelange.
In Abgrenzung zum Begriff des eGovernments als
Optimierung und Modernisierung von Verwaltungsprozessen durch IKT wurde der Begriff der ePartizipation geprägt, um Möglichkeiten der Bürgerbeteiligung
über elektronische Plattformen zu beschreiben. Diese
Angebote sollen die gestaltende Teilnahme der Bürger
am politischen Prozess fördern und so die Legitimation der politischen Entscheidungsfindung erhöhen.
So lautet auch das dezidierte Ziel des eGovernmentAktionsplans der EU, bottom-up-Ansätze für mehr
ePartizipation der Bürger zuzulassen und zu fördern.56
Mit dieser Richtungsentscheidung für elektronische
Beteiligungsformen sind hohe Ansprüche an die IT-
37
Sicherheit verbunden. Die EU unterstützt daher die
fokussierte Forschung zu den genannten Themen und
Fragestellungen:
→→ Wie lässt sich Vertrauen in unterschiedliche Formen
der ePartizipation aufbauen? Zuverlässige Datenschutzverfahren, ein dialogfähiges Identitätsmana
gement, fehlerresistente Authentifizierungssysteme
auf der Grundlage leistungsfähiger Trustcenter nach
dem deutschen Signaturgesetz, neutrale Unter
stützung der Bürger im Beteiligungsprozess sowie
nachprüfbare Monitoringverfahren stellen die conditiones sine quibus non für vertrauenswürdige Prozesse der elektronischen Bürgerbeteiligung dar.
→→ Damit die neuen, digitalen Formen der Bürgerbeteiligung zu einer wichtigen Stütze der politischen
Willensbildung und Willensbekundung werden, ist
es jedoch nicht mit IT-sicherheitstechnischen Vorkehrungen getan: Die Prozesse müssen sich darüber
hinaus durch Offenheit für alle Bürger und hohe
Transparenz in der Erfassung des Bürgerwillens
auszeichnen. Darüber hinaus müssen die Verfahren
in der Lage sein, kulturelle sowie Altersunterschiede
auszugleichen. Nur mit einem Ansatz, der Vertrauensbildung nicht auf sicherheitstechnische Aspekte
beschränkt, lässt sich ein umfassendes systemisches
Vertrauen zwischen allen Interessengruppen im
politischen Beteiligungsprozess erlangen.
→→ Verfahren der ePartizipation können als Vorstufe
des eVoting aufgefasst werden. Um das Vertrauen
der Bürger in künftige eVoting-Prozesse zu stärken,
ist es wichtig, best practices bereits in der Phase der
ePartizipation zu entwickeln. Es ist von hoher politischer Bedeutung, dass der elektronische Urnengang als Basis der repräsentativen Demokratie
nicht manipuliert oder korrumpiert wird. Die
oberste Prämisse muss lauten, dass der Einsatz von
Informationstechnologien das Vertrauen in die
staatlichen Stellen sowie in den demokratischen
Prozess befördert und nicht behindert.57 Auch
hierzu kann die IT-Sicherheitswirtschaft mit ihren
Gütern beitragen.
56
Goossens, B. (2009). Dort, heißt es, S. 28: „Identity management, data privacy and security are the sine qua non of successful eParticipation,
especially in the context of Web 2.0 personalised tools and social networking and the highly interactive and participative processes involved.“
57
Vgl. hierzu Moynihan, D.P. (2004).
38
5.2 Politik und Wirtschaft als Markttreiber
Zu einer Betrachtung von Markttreibern, die Einfluss
auf die Entwicklung des IT-Sicherheitsmarktes in
Deutschland nehmen, gehört auch die Analyse von
politischen Initiativen des Staates sowie der Privatwirtschaft.
Das Interesse des Staates an einem hohen Sicherheitsniveau von IT-Infrastrukturen ist bidirektional: Zum
einen ist es genuine Staatsaufgabe, für die Sicherheit
der Bürger zu sorgen, die Rechte von Privaten zu
schützen, Eigentumsverluste zu verhindern oder Vergehen gegen Rechtsgüter zu ahnden. Zum anderen
macht sich der Staat selbst Informationstechnologien
umfassend zu Nutze und partizipiert wie Bürger und
Unternehmen am Cyberraum, und zwar mit Angeboten der eAdministration (elektronisierte Verwaltung).
Wie im vorangegangenen Kapitel skizziert, könnten
künftig in Deutschland ePartizipation und eVoting
weiter steigende Ansprüche staatlicher Institutionen
an IT-Sicherheit begründen.58
Insofern ist es für den Schutz staatlicherseits erhobener und verwalteter Daten wichtig, dass mit geeigneten IT-Sicherheitslösungen für die Integrität der Daten
und die Resilienz der informationstechnischen Infrastrukturen in Deutschland gesorgt ist. Dass dies nicht
auf nationaler Ebene geschehen kann, versteht sich
angesichts der schrankenlosen, internationalen Ausdehnung des Cyberspace von selbst. Bedingt durch die
Komplexität der Bedrohungen sowie die Interdependenz von Daten organisierenden Systemen kann der
Staat nicht alleine für umfassende IT-Sicherheit sorgen, sondern ist auf die gestaltende Mitwirkung privater Unternehmen an dieser Daueraufgabe angewiesen.
Die Kooperation von Staat und Privatwirtschaft in
Sachen IT-Sicherheit ist in Abbildung 28 mit einigen
beispielhaften Initiativen veranschaulicht. Der Staat
tritt zugleich als aktivierender, vor Gefahren schützender und regulierender Akteur auf. Dem stehen die
Bemühungen privater Unternehmen gegenüber, die
sich in Aktionen einer initiativen, einer sich selbst
schützenden und einer sicher selbst verpflichtenden
Abbildung 28: Facetten des Engagements für IT-Sicherheit
Der IT-Sicherheitsmarkt in Deutschland
Der
aktivierende
Staat
Facetten
des Engagements
für IT-Sicherheit
Die initiative Wirtschaft
Task Force IT-Sicherheit in der Wirtschaft,
Allianz für Cybersicherheit, UP KRITIS
Allianz für Cybersicherheit, ASW,
European Bridge CA
Der Gefahren abwehrende Staat
Internetwachen der Länderpolizeien,
LKA Computerdienste, MCERT, NCAZ
Kooperation
für
IT-Sicherheit
Die sich selbst schützende Wirtschaft
Konsum von IT-Sicherheitsgütern,
Eigenleistungen der Unternehmen
Der regulierende Staat
Die sich selbst verpflichtendeWirtschaft
National: BDSG, KonTraG, TKG,
SigG, TransPuG, BilMoG, EnWG, KWG,
Entwurf IT-Sicherheitsgesetz, u.a.
International: EU-Richtlinie Cybersicherheit
ISO 17799, BS 7799, ISO 27001,
IT-Grundschutz BSI, T.I.S.P,
T.E.S.S., u.a.
58
Vgl. hierzu Schmid, V. (2004), S. 82. Die Autorin verwendet den Begriff eDemocracy (elektronisierte Legislative) und zeichnet ein Bild
kommender eJustice (elektronisierte Judikative).
Wirtschaft differenzieren lassen. Im Folgenden werden
einige Aspekte dieser Kooperation näher beleuchtet.
39
→→ Sicherheit in unsicheren Umgebungen,
→→ Schutz von Internet-Infrastrukturen,
5.2.1 Der aktivierende Staat und die initiative Wirtschaft
→→ eingebaute Sicherheit sowie
Das komplexe Thema der IT-Sicherheit erfordert eine
enge Kooperation des Staates und privater Unternehmen. Deshalb werden die Akteure „aktivierender Staat“
und „initiative Wirtschaft“ in diesem Abschnitt synoptisch betrachtet. Der Grad der Zusammenarbeit drückt
sich in zahlreichen gemeinsamen Initiativen aus.
→→ neue Herausforderungen zum Schutz von IT-Systemen und zur Identifikation von Schwachstellen.60
Die Bundesregierung bezeichnet die IT-Sicherheit als
eines ihrer prioritären Anliegen. Da überregionale, gar
deutschlandweite IT-Ausfälle das Wohl der Bürgerinnen und die innere Sicherheit beeinträchtigen würden,
fällt die Thematik unter die Zuständigkeit des Bundesinnenministeriums. Mit dem genannten Szenario
wären jedoch auch immense Schäden für die Volkswirtschaft verbunden. Bereits graduelle und partielle
Beeinträchtigungen der IT-Funktionsfähigkeit haben
konjunkturschädliche Wirkungen. Im Umkehrschluss
lässt sich IT-Sicherheit in Unternehmen immer stärker
als Erfolgsfaktor, als economic enabler definieren, der
dazu beiträgt, Unternehmenswerte zu schützen und
Wertschöpfung zu sichern. Darüber hinaus gilt es, die
Bedrohungen und mögliche Abwehrstrategien immer
besser zu verstehen, zu erforschen und weiterzuentwickeln. Insofern ist die Sorge für die IT-Sicherheit in
Unternehmen auch wirtschaftspolitisch und forschungs
politisch relevant; die Thematik wird daher ressortüber
greifend sowohl im Bundesministerium für Wirtschaft
und Technologie als auch im Bundesministerium für
Bildung und Forschung behandelt.59 Das Sicherheitsforschungsprogramm des Bundesministeriums für Bildung und Forschung 2012–2017 hat folgende Themenfelder der IT-Sicherheit aufgegriffen und unterstützt
ihre intensive Erforschung:
Zu den wichtigsten (wirtschaftspolitischen) Initiativen
des Staates gehört beispielsweise Deutschland sicher
im Netz e. V., ein Verein, der kleine und mittlere Unternehmen sowie Bürger über alle Belange der IT-Sicherheit informiert und Tools zur Verfügung stellt, die
einen vertrauensvollen Umgang mit digitalen Infrastrukturen ermöglicht.
Die Allianz für Cybersicherheit ist ein Bündnis des
Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e. V.
(BITKOM). Die Allianz setzt auf den Informationsund Erfahrungsaustausch zwischen IT-Sicherheits
experten sowie auf die Verbreitung der Thematik über
Multiplikatoren wie Verbände, Gremien oder Medien.
Neben der Allianz für Cybersicherheit existiert der Um
setzungsplan Kritische Infrastrukturen (UP KRITIS61),
der auf eine langfristige Zusammenarbeit zwischen Wirt
schaft und Staat setzt: Der UP KRITIS wurde entwickelt,
um die nationalen Ziele zum Schutz der Informationsinfrastrukturen62 in KRITIS-Branchen planvoll zu verwirklichen. Es geht darum, die IT-Sicherheit in Kritischen
Infrastrukturen mittels Prävention, Reaktion und Nach
haltigkeit spürbar zu verbessern. Neu bei der Heran
gehensweise ist die intensive branchenübergreifende
Kommunikation, die durch ein Netz von Single Points
of Contact die Kommunikation auch während IT-Krisen sicherstellen soll. Der UP KRITIS, auf dessen Ziele
59
Unter den zahlreichen Ansätzen auf politischer Ebene, die IT-Sicherheit in Deutschland voranzubringen, leidet mitunter die Übersichtlichkeit und Effizienz der Aktionen. Diese Kritik wurde in Intensivinterviews von Branchenvertretern geäußert. Dabei wurde eine ressortübergreifende Bündelung der Maßnahmen angeregt.
60
BMBF (2012), S. 27ff.
61
BMI (o.J.): Umsetzungsplan KRITIS des Nationalen Plans zum Schutz der Informationsinfrastrukturen. Berlin. Online verfügbar unter:
http://www.bmi.bund.de/SharedDocs/Downloads/DE/Broschueren/2007/Kritis.pdf;jsessionid=40E8CD0D4183DF89BF41ED1C2231B00C.2_
cid364?__blob=publicationFile (Zugriff am 12.07.2013).
62
Dargelegt im „Nationalen Plan zum Schutz der Informationsinfrastrukturen (NPSI)“. Online verfügbar unter: http://www.bmi.bund.de/
SharedDocs/Downloads/DE/Themen/OED_Verwaltung/Informationsgesellschaft/Nationaler_Plan_Schutz_Informationsinfrastrukturen.
pdf?__blob=publicationFile (Zugriff am 12.07.2013).
40
sich mittlerweile etwa 40 Betreiber Kritischer Infra
strukturen freiwillig verpflichtet haben, fällt unter den
Verantwortungsbereich des Bundesamtes für Sicherheit
in der Informationstechnik (BSI).
Die Initiative S ist eine Aktion des eco-Verbandes der
deutschen Internetwirtschaft e. V., die vom Bundesministerium für Wirtschaft und Technologie gefördert
wird. Das Prüfprogramm der Initiative S zielt darauf
ab, infizierte Unternehmenswebseiten aufzuspüren
und die dort entdeckten Schadprogramme zu eliminieren. Damit soll die IT-Sicherheit von Unternehmen
und ihren Kunden und Geschäftspartnern verbessert
und das Vertrauen in digitales Wirtschaften erhöht
werden.
Darüber hinaus existieren zahlreiche weitere Initiativen
und Projekte, die auf dem Engagement unterschiedlicher
Branchen und Wirtschaftsakteure in Zusammenarbeit
mit dem Bundesministerium für Wirtschaft und Technologie basieren und von den Industrie- und Handelskammern über den Zentralverband des Deutschen
Handwerks bis zum Bundesverband der mittelständischen Wirtschaft reichen.
5.2.2 Der regulierende Staat
Der Staat hat in der Vergangenheit seine Rolle als Ge
setzgeber mehrfach genutzt, um Rechtsgebiete zu
regeln, die auch IT-sicherheitsrelevant sind. Eine
gezielte Regulierung von Unternehmenspflichten im
Hinblick auf IT-Sicherheitsmaßnamen hat es bislang
nicht gegeben. Folgende Rechtspflichten für Unter
nehmen und Organisationen wurden formuliert:
→→ die Pflicht zum Schutz personenbezogener Daten
→→ die Pflicht zum Risikomanagement
→→ die Pflicht zur Rechtssicherheit
Dieser groben Kategorisierung entsprechend stellt der
folgende Abriss die wichtigsten gesetzlichen Maßnahmen kompakt dar und versucht die Frage zu beantworten, welche Auswirkungen auf den IT-Sicherheitsmarkt
mit diesen Verordnungen verbunden sind.
Bundesdatenschutzgesetz (BDSG)
Das BDSG regelt einen Aspekt des Persönlichkeitsrechts, nämlich den Umgang mit personenbezogenen
Daten. Das Gesetz geht vom Recht des Bürgers auf
informationelle Selbstbestimmung aus. Ursprünglich
nur auf den analogen Umgang mit sensiblen Daten
bezogen, ergab sich die Notwendigkeit, das Gesetz an
die informationstechnische Entwicklung und neue
Formen der Datenerhebung anzupassen, daher wurde
das Gesetz im Jahr 2009 novelliert. Inwieweit das
Gesetz Auswirkungen auf den IT-Sicherheitsmarkt hat,
lässt sich nicht mit Bestimmtheit sagen. Sicherlich ist
durch spektakuläre Fälle von Datenmissbrauch das
Bewusstsein von Datenhaltern für den Datenschutz
geschärft worden und somit auch die Bereitschaft
gestiegen, in IT-Sicherheitsgüter zu investieren.
Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)
Das KonTraG aus dem Jahr 1998 präzisiert und
modifiziert Bestimmungen des Handels- und Gesellschaftsrechts und bezweckt eine Verbesserung der
Unternehmensführung. Das KontraG nimmt Unternehmensführer, Vorstände, Aufsichtsräte, aber auch
Wirtschaftsprüfer stärker in die Verantwortung für
Fehlentwicklungen in Unternehmen und zwingt sie
zur Einführung von Risikomanagementsystemen,
jedoch ausschließlich in großen Aktiengesellschaften,
Kommanditgesellschaften auf Aktien sowie Gesellschaften mit beschränkter Haftung, sofern diese über
einen Aufsichtsrat verfügen. Des Weiteren müssen
Geschäftsrisiken frühzeitig transparent gemacht werden. Dies betrifft prinzipiell auch Geschäftsrisiken, die
aus dem Einsatz von IT-Systemen erwachsen können.
Für deren Sicherheit müssen Unternehmensführer
künftig nachweisbar Sorge tragen. Bis heute zieht das
Gesetz eine dauerhafte Nachfrage der betroffenen
Unternehmen nach Gütern der IT-Sicherheit nach sich,
wenn sich dieser Effekt auch nicht quantifizieren lässt.
Gesetz über Rahmenbedingungen für elektronische
Signaturen (SigG)
Das SigG aus dem Jahr 2001 regelt die Rahmenbedingungen für elektronische Signaturen und zielt auf eine
höhere Rechtssicherheit im elektronischen Geschäftsverkehr sowie bei elektronischen Verwaltungsvorgängen ab. Die Verordnung regelt, nach welchen Kriterien
Zertifizierungsdienste ihre qualifizierten Zertifikate
auszustellen haben.
Telekommunikationsgesetz (TKG)
Das Telekommunikationsgesetz aus dem Jahr 1996
reguliert zum einen den Wettbewerb im Bereich der
Telekommunikation und zielt zum anderen darauf ab,
flächendeckend in Deutschland leistungsfähige Telekommunikationsinfrastrukturen sowie -dienstleistungen zu gewährleisten. In seiner Novellierung von 2012
setzt das Gesetz die strengen Vorgaben der so genannten
Telekommunikations-Rahmen-Richtlinie 2009/140/EG
um. Abschnitt 3 greift Aspekte der öffentlichen Sicherheit auf; insbesondere Paragraph 109 und 109a des TKG
verpflichten Anbieter von Telekommunikationsdiensten63 zu umfassenden technischen Vorkehrungen, die
dem Schutz des Fernmeldegeheimnisses sowie personenbezogener Daten dienen und die Systeme gegen
unerlaubte Zugriffe und andere Störungen sichern
sollen. Darüber hinaus wird Unternehmen auferlegt,
einen IT-Sicherheitsbeauftragten zu benennen sowie
ein IT-Sicherheitskonzept auszuarbeiten.
Neben den genannten Gesetzen gibt es weitere Ver
ordnungen, die zwar nicht primär auf die IT-Sicherheit
abzielen, deren Regulierungsfokus aber dennoch
IT-sicherheitsrelevant ist, und die daher Nachfrage
impulse in der IT-Sicherheitswirtschaft auslösen
können: Dazu gehört das im Jahr 2008 novellierte
Energiewirtschaftsgesetz (EnWG). Es stellt neue ITSicherheitsanforderungen an Energieversorgungsunternehmen und Netzbetreiber, indem es strenge Vor
gaben für ein sicheres Messwesen (Smart Metering)
macht. § 21c Abs. 1 EnWG verpflichtet Letztverbraucher ab bestimmten Schwellenwerten dazu, intelligente
Messsysteme zu installieren, sofern die technische
63
41
Machbarkeit gegeben ist. Die Messsysteme müssen
Anforderungen an Datenschutz, Datensicherheit und
Interoperabilität erfüllen, die in der Messsystemverordnung (MsysV) geregelt werden sollen. Der Entwurf
zu dieser Verordnung wird derzeit im Bundesministerium für Wirtschaft und Technologie revidiert.
Daneben formuliert auch das Kreditwesengesetz
(KWG) Prinzipien, die IT-sicherheitsrelevante Aspekte
beinhalten. Das Gesetz dient der Sicherung und Erhaltung der Funktionsfähigkeit der Kreditwirtschaft sowie
dem Schutz der Gläubiger von Kreditinstituten vor
Verlust ihrer Einlagen. Paragraph 25 regelt die organisatorischen Pflichten von Geldhäusern, zu denen auch
die Sorge für ein angemessenes und leistungsfähiges
Risikomanagement gehört. Das Risikomanagement
schließt die Festlegung eines Notfallkonzepts, insbesondere für IT-Systeme, ein. Die MaRisk, die Mindestanforderungen an das Risikomanagement in deutschen Kreditinstituten, konkretisieren Paragraph 25
des KWG, auch im Hinblick auf das IT-Outsourcing.
Entwurf zum IT-Sicherheitsgesetz
Der im März 2013 vom Bundesinnenminister vorgestellte Entwurf zum IT-Sicherheitsgesetz setzt nun auf
eine stärkere und gesetzlich verankerte Verpflichtung
der Wirtschaft für die Belange der IT-Sicherheit. Es sollen Mindeststandards für die IT-Sicherheit in Unternehmen umgesetzt werden. Schwerpunktmäßig sollen
die folgenden Faktoren zu einer Verbesserung des
Sicherheitsniveaus im digitalen Raum sorgen:
→→ Schwerpunkt KRITIS: Betreiber kritischer Infrastrukturen sollen nach den Vorstellungen des Bundesinnenministeriums verpflichtet sein, ihre ITInfrastrukturen besser zu schützen. Gegenüber
staatlichen Stellen soll künftig eine Berichtspflicht
für IT-Sicherheitsvorfälle bestehen.
→→ Schwerpunkt Anbieter von Diensten im Internet:
Auch hier plant das Ministerium, Provider und
andere Internetdienstleister stärker in die Pflicht
für die IT-Sicherheit zu nehmen.
Der Kreis potenziell betroffener Unternehmen ist sehr weit gefasst, da nach der Definition des TKG jeder als Diensteanbieter zu gelten hat,
der ganz oder teilweise geschäftsmäßig Telekommunikationsdienste erbringt und der an der Erbringung solcher Dienste mitwirkt.
42
→→ Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll erweiterte Kompetenzen erhalten,
um in die Lage versetzt zu werden, die Verbesserung
der IT-Sicherheit mit mehr Nachdruck zu verfolgen.
Der Gesetzesentwurf wird von Wirtschaftsverbänden
und Unternehmen kritisch gesehen. Vor allem werden
Wirksamkeit und Praxistauglichkeit des Gesetzes in
Zweifel gezogen, auch vor dem Hintergrund bereits
angedachter Regulierungsansätze auf EU-Ebene (siehe
unten, EU-Cybersicherheitsstrategie). Im Hinblick auf
die Trendwirkung für den Markt für IT-Sicherheitsgüter lässt sich keine valide Aussage darüber treffen, ob
die regulatorischen Maßnahmen eine absatzsteigernde
Wirkung auf IT-Sicherheitsgüter entfalten könnten. Da
höhere Ausgaben für die IT-Sicherheit in erster Konsequenz die Wertschöpfungsleistung von Unternehmen
senken, müsste eine komparative Analyse klären, welche Einbußen höher ausfallen würden: jene die durch
Mehraufwand für IT-Sicherheit unvermeidlich entstehen oder solche, die durch Datenverluste eventuell
hervorgerufen werden.64
Der Erkenntnis entsprechend, dass durch die globale
Ausdehnung der Netze IT-Sicherheitsvorfälle in entfernten Regionen der Welt auch Auswirkungen auf die
Datensicherheit in Deutschland haben können, arbeitet die Bundesregierung mit anderen Staaten an grenzüberschreitenden Lösungen von IT-Sicherheitsfragen,
so beispielsweise mit der OECD, den G8-Staaten und
vorrangig mit der EU. Letztere Zusammenarbeit sei
exemplarisch herausgegriffen.
EU-Richtlinie Cybersicherheitsstrategie
Der oben beschriebene Gesetzesentwurf des Bundesministeriums des Innern zur Internetsicherheit nimmt
Aspekte einer EU-Richtlinie auf, die die verpflichtende
Erarbeitung einer Cybersicherheitsstrategie in allen
Ländern der EU vorsieht. In ihrer im Februar 2013 veröffentlichten Richtlinie zur Netz- und Informationssicherheit (NIS) plädiert die EU für einen „offenen, sicheren und geschützten Cyberraum“ und skizziert Wege,
wie sich Angriffe und Gefährdungen auf die digitale
Infrastruktur am besten abwehren lassen. Dabei steht
die Cybersicherheitsstrategie der EU ganz im Zeichen
einer Förderung der europäischen Werte von Freiheit
und Demokratie: nur auf diesen Grundlagen könne, so
das Rechtsdokument, für eine gedeihliche Entwicklung
der Wirtschaft im Cyberraum gesorgt werden. Wie
bereits in der Vergangenheit unterstreicht die EUKommission die Konvergenz von zivilen und militärischen Sicherheitsbelangen65, die in der Verschmelzung
von Cyberkriminalität, Cyberterrorismus und Cyber
Warfare ihren sinnfälligsten Ausdruck gefunden
haben. Die Direktive regt daher die gemeinsame Entwicklung von Cyberverteidigungspolitik- und -verteidigungskapazitäten an, Aspekte, die im Zuge der Diskussion um die (IT-)Sicherheit in Deutschland von
politischer Seite bislang eher verhalten kommuniziert
werden.66 In diesem Zusammenhang sieht die Richtlinie vor, die Entwicklung und den Austausch von Best
Practices der IT-Sicherheit zwischen militärischen und
zivilen Einrichtungen zu fördern. Als übergeordnetes
Ziel visiert die Direktive eine einheitliche Cyberraumstrategie der EU auf internationaler Ebene an. Um dieses zu erreichen müssten die industriellen und technischen Ressourcen für Cybersicherheit stärker vorangetrieben werden.
64
Eine makroökonomische Analyse beider Sachverhalte könnte für Klarheit sorgen.
65
In der Richtlinie heißt es, S. 11: „Da die Bedrohungen vielfältige Aspekte aufweisen, sind Synergien zwischen dem Vorgehen auf ziviler und
auf militärischer Ebene beim Schutz kritischer Cyberanlagen und -daten (cyber assets) verstärkt zu nutzen. Diese Bemühungen sollten durch
Forschungs- und Entwicklungsmaßnahmen sowie durch eine engere Zusammenarbeit zwischen Behörden, Privatsektor und Hochschulen in
der EU gestützt werden.“ Vgl. EU-Kommission – Kommission der Europäischen Union (2013).
66
Die Verteidigungspolitischen Richtlinien der Bundesregierung nennen ausdrücklich Bedrohungen aus dem Cyberraum als wichtige Risiken
für Deutschland. Vgl. BMVg (2011), S. 3. Der Aufbau eigener „Cyber“-Verteidigungskapazitäten wird jedoch nicht thematisiert.
43
6. Gesamtfazit: Ableitung von Handlungsfeldern
6.1 Handlungsfelder von Politik und
Als wichtige Wachstumshemmnisse hat bereits die
Studie von Booz & Company die wenig ausgeprägte
Kooperation zwischen den Unternehmen, eine zu
starre Nischenbildung und den schweren Zugang zu
Wagniskapital identifiziert, so dass die kleinen und
mittleren Unternehmen nicht über eine kritische
Unternehmensgröße hinaus wachsen können, die
ihnen eine Marktdurchdringung auch im internationalen Kontext erlauben würde. Wenn diese Wachstumshemmnisse beseitigt würden, so der Umkehrschluss,
stehe der internationalen Expansion von kleinen und
mittleren Unternehmen der IT-Sicherheitswirtschaft
nichts mehr im Wege. Dem widersprechen jedoch Aussagen mittelständischer Unternehmensvertreter, eine
internationale Marktdurchdringung werde keinesfalls
angestrebt. Eine komfortable Nischenexistenz sei einträglicher als die risikobehaftete Eroberung ausländischer Märkte und der kostspielige Aufbau einer Vertriebsorganisation im Ausland.67 Damit Aktivitäten zur
Förderung der Branche Schlagkraft entwickeln können, muss Einigkeit über die Ziele der wirtschaftlichen
und der politischen Akteure herrschen.
6.2 Forschung und Innovationskraft
steuerlich fördern
Im internationalen Vergleich ist der deutsche Markt
für IT-Sicherheit von einem hohen Anteil kleiner und
mittlerer Unternehmen geprägt, die im globalen Markt
zumeist Nischen besetzen. Die kleinen und mittleren
Unternehmen besitzen dabei gegenüber den großen
Global Playern den Vorteil, flexibel auf Änderungen
des Marktumfelds reagieren zu können. Ihre Fähigkeit
zur Innovation ist dabei ein Schlüssel für den Erhalt
ihrer internationalen Wettbewerbsfähigkeit.
Viele kleine und mittlere Unternehmen besitzen nicht
die Mittel, Forschung und Entwicklung (FuE) aus eige-
nem Kapitel zu finanzieren und sind daher auf Fördermaßnahmen angewiesen. Die Teilnahme an direkten
Förderprogrammen stellt für kleine und mittlere
Unternehmen jedoch einen unverhältnismäßigen
bürokratischen Aufwand dar; die korrekte Antragstellung ist eine Hürde, die von ihrem eigentlichen Kerngeschäft zu abgelegen erscheint. Zudem sind die
Zuschnitte der Projektförderungsangebote selbst
bereits eine thematische Vorauswahl, zu der die sehr
fokussierten Forschungsvorhaben von kleinen und
mittleren Unternehmen oft nicht passen.
Eine Alternative der Forschungsförderung liegt in der
steuerlichen Begünstigung von FuE-Ausgaben. Die
Einführung einer steuerlichen Forschungsförderung
bietet den Unternehmen die Möglichkeit, ihre Forschungsaufwendungen steuerlich geltend zu machen.
Dies ist im Gegensatz zu den direkten Förderprogrammen mit weitaus geringerem bürokratischem Aufwand
durchführbar. Bisher haben drei Viertel der OECDStaaten und 15 der 27 EU-Mitgliedstaaten eine steuerliche Forschungsförderung eingeführt. In einigen
OECD-Staaten übersteigt der Anteil der steuerlichen
Forschungsförderung gar den Anteil der direkten projektbezogenen Förderung.68 In Deutschland steht die
Einführung dieses bewährten Instruments der Forschungsunterstützung noch aus. Diverse Studien und
Gutachten haben den Wert dieser Förderungsmaßnahme evaluiert und sind zu positiven Ergebnissen
gekommen: Laut einer britischen Studie zieht die steuerliche Forschungsförderung nachgewiesenermaßen
eine Ausweitung der privatwirtschaftlichen Ausgaben
für Forschung und Entwicklung nach sich.69 Dem ka
nadischen Industrial Research and Innovation Council
(IRIC) zufolge profitieren vor allem kleine und mittlere
Unternehmen von dieser Förderung.70
Im Koalitionsvertrag verständigten sich CDU/CSU und
FDP darauf, eine steuerliche Forschungsförderung
auch in Deutschland einzuführen, „die zusätzliche Forschungsimpulse insbesondere für kleine und mittlere
Unternehmen auslöst.“ 71 Auch die von der Bundes-
67
Diese Meinungsäußerungen wurden im Rahmen der Intensivinterviews mit Branchenvertretern am Rande der CeBIT 2013 aufgefangen.
68
Expertenkommission Forschung und Innovation (2012), S. 97.
69
Bond, S. R./Guceri, I. (2012) Hall, B. H./Mairesse, J./Mohnen, P. A. (2009).
70
Industrial Research and Innovation Council (2011).
71
Koalitionsvertrag der 17. Legislaturperiode zwischen CDU, CSU und FDP, S.15. Online verfügbar unter:
http://www.bmi.bund.de/SharedDocs/Downloads/DE/Ministerium/koalitionsvertrag.pdf?__blob=publicationFile (Zugriff am 12.07.2013).
44
kanzlerin Angela Merkel eingeführte Expertenkommission Forschung und Innovation (EFI) spricht sich
für die steuerliche Forschungsförderung zusätzlich zu
den direkten Fördermitteln aus.72 Die Empfehlung für
ein gemischtes System trifft auch die OECD.73
Die Möglichkeiten, steuerliche Forschungsförderung
auszugestalten, sind vielfältig. So ist es denkbar, die auf
Forschung und Entwicklung entfallenden Aufwendungen für Personal mit anderen Steuerarten zu verrechnen.
Alternativ dazu ist es möglich, die gesamten Forschungsund Entwicklungsaufwendungen anteilig mit einem
Fördersatz zu verrechnen. Dabei könnte der Fördersatz
für kleine und mittlere Unternehmen höher angesetzt
werden, um Innovationsimpulse insbesondere im Mittelstand zu begünstigen.
Auch wenn es sich bei der steuerlichen Forschungsförderung um ein branchenübergreifendendes Instrument
handelt, würde gerade die IT-Sicherheitswirtschaft von
dieser wirtschaftspolitischen Maßnahme besonders pro
fitieren. Mit ihrem hohen Anteil an kleinen und mittleren Unternehmen sowie der Entwicklung von z. T.
hochspezialisierten Produkten könnte die steuerliche
Begünstigung von Innovationsleistungen gerade hier
hohe Wirksamkeit entfalten. Zugleich würde die Liquidität kleiner oder neu gegründeter Unternehmen
geschont, was die Innovationsbereitschaft einzelner
Wirtschaftseinheiten erhöhen und im Branchenkontext die Vorteile des Wirtschaftsstandorts Deutschland
verbessern könnte.
6.3 Vernetzung von Forschung und
Wirtschaft verdichten
Wie bereits im vorigen Abschnitt festgestellt, ist die
Fähigkeit zur Innovation ein Schlüssel der IT-Sicherheitswirtschaft für den Erhalt ihrer internationalen
Wettbewerbsfähigkeit. Häufig werden Innovationen
in der Grundlagenforschung der steuerfinanzierten
Forschungslandschaft, also z. B. von öffentlichen Hochschulen und öffentlich finanzierten Forschungseinrichtungen, auf den Weg gebracht. Damit die Ergebnisse
dieser Grundlagenforschung in innovative Produkte
einfließen können wird empfohlen, die Netzwerke
72
Expertenkommission Forschung und Innovation (2012), S. 94ff.
73
OECD (2012), S. 128.
zwischen akademischer Forschungsgemeinde und Un
ternehmen der IT-Sicherheitswirtschaft zu verdichten.
Eine enge Vernetzung von Forschung und Unternehmen der IT-Sicherheitswirtschaft birgt Vorteile mit
hohem Potenzial:
→→ Die gezielte Vermittlung von im Forschungsprozess
generiertem Wissen an die Industrie beschleunigt
die Umwandlung von Forschungsergebnissen in
Produkte.
→→ Durch das Feedback der Industrie können Forschungsprojekte zielgerichtet auf die praktischen
Bedürfnisse der Wirtschaft ausgerichtet werden.
→→ Auch die nicht anwendungsorientierte Grundlagen
forschung könnte von einem Austausch mit der
IT-Sicherheitswirtschaft profitieren. Für eine engere
Verzahnung könnten von der Branche gestiftete
Forschungsstipendien, die Ausschreibung von Forschungswettbewerben oder die finanzielle Unterstützung von Hochschulen und Forschungseinrichtungen sorgen.
Um eine bessere Vernetzung von Forschung und In
dustrie im Bereich der IT-Sicherheit zu erreichen, wäre
eine Bündelung der Aktivitäten der Bundesregierung
sinnvoll. Die Wirkkraft der zahlreichen, in Kapitelab
schnitt 5.2 beschriebenen Initiativen ließe sich womög
lich potenzieren, indem sie um einige im Folgenden
näher beschriebene Unterprojekte ergänzt würden:
→→ Etablierung einer internetgestützten Technologieund Innovationsplattform, die die Branchenakteure über Forschungs- und Entwicklungsergebnisse informiert: In einer Art digitalem „Marktplatz
der Ideen“ könnten Interessierte einen Überblick
über den technologischen state-of-the-art bekommen. Außerdem könnten Branchenakteure erfolgreiche Produktumsetzungen und Problemlösungen
skizzieren. Dies setzt jedoch die Bereitschaft der
Unternehmensvertreter zur intensiveren Zusammenarbeit im vorwettbewerblichen Umfeld voraus.
Die Fragmentierung der deutschen IT-Sicherheitswirtschaft stellt derzeit das größte Hemmnis für
ihre internationale Wettbewerbsfähigkeit dar und
sollte in einem Kooperationswettbewerb („coope
tition“) überwunden werden.
→→ Durchführung einer jährlichen Konferenz, die sich
gezielt des aktuellen Forschungsstands einerseits
sowie der Markttrends andererseits annimmt. Die
Kooperation mit einer geeigneten Einrichtung74
bzw. Hochschule wird empfohlen.
→→ Förderung von Ausgründungen IT-sicherheitsbezogener Unternehmungen aus Hochschulen und
Forschungseinrichtungen. Hierzu stehen bereits
Förderprogramme wie EXIST des Bundesministeriums für Wirtschaft und Technologie oder der
Gründungskredit und das Coaching der KfW zur
Verfügung. Es wäre jedoch sinnvoll, diesen Förderprogrammen einen Schwerpunkt IT-Sicherheit zu
geben und Start-ups weitere Unterstützung in
Form wirtschaftsnaher Coachings durch Business
Angels anzubieten.
6.4 Fachkräfteangebot und -bedarf
kontinuierlich im Blick behalten
Eine der größten Herausforderungen für die deutsche
Wirtschaft ist seit jeher der Zugang zu Rohstoffen und
Energie. Zu diesen wichtigen Voraussetzungen für den
wirtschaftlichen Erfolg ist – quasi als ebenbürtige Aufgabe – die Versorgung der in Deutschland ansässigen
Unternehmen mit qualifizierten Fachkräften getreten.75 Von dieser Bedingung hängt auch das Gedeihen
der IT-Sicherheitswirtschaft ab und zeichnet den Weg
für eine vorausschauende Weichenstellung durch die
Politik vor.
45
Tatsache ist: „Der sich abzeichnende demografische
Wandel wird – neben konjunkturellen Entwicklungen
und dem strukturellen Wandel – den deutschen Arbeits
markt in den kommenden Jahren prägen und beeinflussen.“ 76 Auch die IT-Sicherheitswirtschaft wird
davon betroffen sein. Laut Aussagen von Branchen
experten ist die Suchdauer nach IT-Sicherheitsexperten
am Arbeitsmarkt am längsten.77 Untersuchungen, die
zumindest in Ansätzen das relevante Themenfeld
„Fachkräfte in der IT“ anschneiden, sind beispielsweise
die periodisch erscheinenden Analysen des IW Köln,
die den Arbeitsmarkt für Ingenieure78 sowie für MINTFachkräfte79 untersuchen. Die Analysen fassen dabei
die aktuelle Arbeitsmarkt- sowie die Ausbildungssituation in diesen Bereichen ins Auge. Eine ebenso auf den
Fachkräftemangel in naturwissenschaftlich-technischen
Berufsgruppen80 fokussierende Untersuchungsreihe
des DIW legt die Situation der Ingenieure dar und diskutiert darüber hinaus den Einfluss der Lohnkomponente auf Arbeitsangebot und -nachfrage.81 Die ge
nannten Forschungsarbeiten greifen jedoch lediglich
Einzelaspekte der Fachkräftethematik auf und zwar die
Dimensionen „Berufe“, „Regionen“, „Wirtschaftszweige“
und „Betrachtungszeitraum“. Für ein ganzheitliches
Verständnis der Fachkräfteentwicklung wäre hingegen
eine integrierende Betrachtungsweise aller genannten
Aspekte wünschenswert. Eine detaillierte Analyse des
Angebots- und Nachfragepotenzials von IT-Fachkräften über sämtliche Wirtschaftszweige hinweg ist bislang noch gar nicht geleistet worden, viel weniger eine
Bestandsaufnahme von Fachkräften mit spezifischen
IT-Sicherheitskenntnissen. Hier besteht dringender
Forschungsbedarf.
Damit Unternehmen der IT-Sicherheitswirtschaft
jedoch Wachstumspotenziale optimal nutzen können,
brauchen sie eine adäquate Ausstattung mit Fachkräften. Fachkräfteengpässe bei IT-Sicherheitsexperten
74
So beispielsweise dem Center for Advanced Security Research Darmstadt (CASED), www.cased.de
75
Vgl. u.a. DIHK (2011), S. 5f.; BMAS (2011).
76
Ostwald, D.A./Hofmann, S. (2013) Das Fachkräftemonitoring als regionaler und branchenspezifischer Modellansatz zur Analyse aktueller
und künftiger Fachkräfteentwicklungen in Deutschland. In Veröffentlichung.
77
Gemäß einer Aussage von Dirk Kretzschmar, Rohde und Schwarz SIT, geäußert während eines Podiumsgesprächs auf der Potsdamer
Konferenz für Nationale CyberSicherheit im Juni 2013.
78
Vgl. VDI/ IW-Ingenieurmonitor (2013).
79
Vgl. Demary, V., Koppel, O. (2013).
80
Vgl. Brenke, K. (2010).
81
Vgl. Brenke, K. (2012).
46
können sich als Wachstumsbremse erweisen, sofern die
mittel- und langfristigen berufsspezifischen Personalbedarfe nicht antizipiert und geeignete bildungs- und
arbeitsmarktpolitische Maßnahmen ergriffen werden.
Diese Steuerung erfordert einen jahrelangen Vorlauf,
für den differenzierte und qualifizierungssensitive
Prognoseinstrumente auf Basis amtlicher Daten der
Bundesagentur für Arbeit sowie des Statistischen Bundesamtes heranzuziehen sind. Zunächst ist die Frage
nach dem Status Quo überzeugend zu klären: Über
wie viele IT-Sicherheitsexperten verfügt der deutsche
Arbeitsmarkt de facto zurzeit? Dem hohen Anteil von
Selbständigen muss dabei Rechnung getragen werden.82 Sodann müssen die mittel- und langfristigen
Entwicklungspfade des Arbeitsangebots prognostiziert
werden: Wie viele IT-Sicherheitsexperten stehen in
fünf, in zehn und in fünfzehn Jahren zur Verfügung?
Mit einem klaren Lage- und Prognosebild hätte die
Politik eine geeignete Entscheidungsgrundlage, um
frühzeitig gestaltend einzugreifen und beispielsweise
die Anwerbung von ausländischen Fachkräften
bedarfsadäquat auf den Weg zu bringen oder das Werben für IT-sicherheitsrelevante Studiengänge und Ausbildungsberufe weiter zu intensivieren. Nur mit einer
sicheren Fachkräfteausstattung können auch kleine
und mittlere Unternehmen der IT-Sicherheitswirtschaft ihre Chancen im beschleunigten und globalen
Wettbewerb tatsächlich nutzen.
6.5 Exportfähigkeit von kleinen und mittleren
Unternehmen dauerhaft fördern
Um die Perspektiven für kleine und mittlere Unternehmen der IT-Sicherheitswirtschaft auf ausländischen
Märkten zu verbessern, bedarf es einer gezielten
Exportförderung durch die Bundesregierung. Erste
vielversprechende Ansätze hierzu waren in der Exportinitiative des Bundesministeriums für Wirtschaft und
Technologie für die Sicherheitswirtschaft zu erkennen,
wenngleich der Fokus weiter ausgelegt war und das
Segment der IT-Sicherheit nur ein Aspekt unter vielen
war. In aufstrebenden emerging markets ist mit einem
steigenden Bedarf an Lösungen und Dienstleistungen
für die Sicherheit von IT-Infrastrukturen zu rechnen
und mit langfristig kräftigen Wachstumsraten. Vielfach
82
stellen die bürokratischen Erfordernisse der Dual-UseVerordnung für Spezialanbieter der IT-Sicherheits
wirtschaft eine wettbewerbsverzerrende Hürde bei der
Entfaltung ihrer Außenhandelsaktivitäten dar. Eine
Unterstützung von kleinen und mittleren Unternehmen bei der Erfüllung dieser Pflichten, beispielsweise
durch die Beschleunigung der Bearbeitungsdauer, sollte
ein wichtiger Agendapunkt der Politik werden. Eine
reibungslosere Erfüllung der administrativen Pflichten
ließe sich aber auch durch eine gemeinsame Initiative
der IT-Sicherheitswirtschaft bewerkstelligen, beispielsweise in branchenspezifischen Export-Workshops.
Vorhandene Instrumente der politischen Außenwirtschaftsförderung sollten gebündelt und auf die spezifischen Bedürfnisse der IT-Sicherheitswirtschaft abgestimmt werden. Womöglich ist im Rahmen einer
Erneuerung der Exportinitiative für die zivile Sicherheitswirtschaft künftig ein Fokus auf die Belange der
IT-Sicherheitswirtschaft denkbar. Zum Exporterfolg
deutscher Güter der IT-Sicherheitswirtschaft gehört
auch, deutsche Unternehmen in die Entwicklung
internationaler Normungs- und Standardisierungsprozesse einzubinden und ihnen einen aktiven Einfluss
auf europäische und internationale Normungsbestrebungen zuzugestehen. Mit der Schaffung der Koordinierungsstelle Sicherheitswirtschaft beim Deutschen
Institut für Normung DIN sind bereits die notwendigen
institutionellen Infrastrukturen geschaffen worden,
um Fortschritte in Sachen Standardisierung in der
IT-Sicherheitswirtschaft voranzutreiben. Darüber sollten mittels einer Informationsagenda Unternehmen
kleiner und mittlerer Größe die Unterstützungsangebote des Bundesministeriums für Wirtschaft und Technologie und seiner nachgeordneten Einrichtungen
transparent vermittelt werden. Der Schritt aus der
komfortablen nationalen Nische heraus fällt leichter,
wenn die vielfältigen Module einer systematischen
Auslandsmarkterschließung genutzt werden: von
Informationsveranstaltungen zu neuen, vielversprechenden Zielmärkten über die Unterstützung bei
Markterkundungs- und -erschließungsprojekten oder
Reisen mit Vertretern der Wirtschaft bis zur politischen Flankierung bei öffentlichen Ausschreibungen
ausländischer Staaten. Auch die Möglichkeiten der
kreditbewehrten Absicherung von Transaktionen (von
In einem Qualitätsmonitoring ließe sich die Dienstleistungsgüte der zahlreichen Selbständigen überprüfen und für Kunden transparent
machen, beispielsweise durch regelmäßige Befähigungsnachweise mit Unterstützung der BITKOM-Akademie.
Ausfuhrkreditbürgschaften über Investitionsbürgschaften bis zu ungebundenen Finanzkrediten) sollte
kleinen und mittleren Unternehmen der IT-Sicherheitswirtschaft nahe gebracht werden. In der Branche
selbst muss gerade im Hinblick auf die Auslandsmarkterschließung vorbehaltlos über vorwettbewerbliche
Kooperationen nachgedacht werden.
47
48
7. Methodensteckbrief
7.1 Allgemeine Charakterisierung der
Methodik
verdeutlicht die Vielfalt der mit IT-Sicherheit ver
bundenen Aspekte.
In dieser Studie wurde die IT-Sicherheitswirtschaft
erstmals anhand von makroökonomischen Kennzahlen beschrieben. Dazu wurde die Branche zunächst
in die Kategorien der Volkswirtschaftlichen Gesamtrechnungen überführt und auf Grundlage dieser
Abgrenzung quantifiziert. Durch dieses Vorgehen ist
den daraus resultierenden Daten ein hoher Grad an
Objektivität beizumessen.
In einem zweiten Schritt wurde die qualitative Branchenabgrenzung in eine quantitative überführt. Die
Abgrenzung stellt die amtliche Definition der IKTBranche dar, die ohne Berücksichtigung des Aspekts
Kommunikation folglich die IT-Branche abbildet.
Dieser Abgrenzung liegt die Klassifikation der Wirtschaftszweige des Statistischen Bundesamtes in der
Ausgabe 2008 zugrunde (WZ 2008).84 In dieser Klassi
fikation wird jede Wirtschaftseinheit (im folgenden
Unternehmen genannt) dem seiner Haupttätigkeit
entsprechenden Wirtschaftszweig zugeordnet. Als
Haupttätigkeit wird die Wirtschaftsaktivität definiert,
die prozentual den größten Beitrag zur Wertschöpfung
des Unternehmens leistet.85 Die amtliche Klassifikation
ermöglicht es, die branchenzugehörigen Unternehmen
anhand ihrer Einteilung in die Wirtschaftszweige zu
identifizieren. Die Klassifikation basiert auf der statistischen Systematik der Wirtschaftszweige der Europäischen Gemeinschaft (NACE Rev. 2)86, die wiederum
auf der internationalen Systematik der Wirtschaftszweige der Vereinten Nationen (ISIC Rev. 4)87 beruht.
Die makroökonomische Abgrenzung weist die gängigen
Vorteile statistischer Klassifikationen auf: zum einen
Transparenz und Eindeutigkeit der Zuordnung von
Produktionstätigkeiten, zum anderen internationale
Vergleichbarkeit und Reproduzierbarkeit der in dieser
Studie durchgeführten Berechnungen. Durch die Analogie mit der internationalen Wirtschaftszweigsystema
tik der Vereinten Nationen würden sich die vorgestellten Berechnungen auch auf die IT-Sicherheitsbranchen
anderer Länder projizieren lassen.
Die generierten Untersuchungsergebnisse verschaffen
eine methodisch anerkannte Informationsgrundlage
zur IT-Sicherheitswirtschaft, die sich als Basis für wirtschaftspolitische Weichenstellungen eignet und künftig zu einem Branchensatellitenkonto ausgebaut werden kann. Im Folgenden werden die Methoden und
Definitionen erläutert, auf denen die qualitative und
quantitative Abgrenzung der Branche basiert.
7.2 Branchenabgrenzung
In einem ersten Schritt wurden vorhandene Studienergebnisse83 mit der Expertise von WifOR und der
amtlichen und internationalen Definition der IKTBranche der Statistischen Ämter verknüpft. Die iden
tifizierten Teilmärkte wurden den drei Segmenten
Software, Hardware und Dienstleistungen der
IT-Sicherheit zugeordnet. Abbildung 3 (auf Seite 15)
Nach der amtlichen Definition umfasst die IKT-Branche
größtenteils die Bereiche
→→ der Telekommunikationsdienstleistungen (WZ 61),
→→ der IT-Beratungen (WZ 62),
→→ der Datenbank- und Web-Dienstleistungen
(WZ 63.1),
→→ des Verlegens von Software (WZ 58.2) sowie
→→ der Reparaturen von Geräten der IKT (WZ 95.1).
Weiterhin ist Hardware mit der Herstellung von Daten
verarbeitungsgeräten (wie etwa Computer), elektronischen Bauelementen sowie von Gütern der Telekom-
83
Die Literaturliste verzeichnet sämtliche kritisch rezipierten Studien, die sich der IT-Sicherheitswirtschaft analytisch genähert haben.
84
Vgl. Statistisches Bundesamt (2008).
85
Vgl. Statistisches Bundesamt (2008), S.28.
86
Vgl. Eurostat (2008).
87
Vgl. United Nations (2008).
49
munikationstechnik und der Unterhaltungselektronik
inbegriffen (WZ 26.1 – 26.4, 26.8). Auch der Großhandel
mit IKT (WZ 46.51, 46.52) wird der IKT-Branche zugerechnet. Der Einzelhandel bleibt hingegen unberücksichtigt.88
Die im ersten Schritt identifizierten Marktsegmente
wurden den tiefsten Gliederungsebenen der „amtlichen“ IKT-Branchenabgrenzung zugeordnet. Die aktuelle Branchenabgrenzung des Statistischen Bundesamtes stammt aus dem Jahr 2008 und fußt ihrerseits auf
einem klassifikatorischen Ansatz der OECD aus dem
Jahr 2007. Der Wirtschaftszweig 61 „Telekommunikationsdienstleistungen“ wurde bei der Definition der
IT-Sicherheitswirtschaft ausgespart. Beim Abgleich der
IT-Sicherheitsgüter mit der ausgedehnten IT-Klassifikation wird deutlich, dass nicht alle IT-relevanten
Wirtschaftszweige zugleich IT-sicherheitsrelevante
Aspekte aufweisen. So ist beispielsweise der WZ 95.1
„Reparatur von Datenverarbeitungs- und Telekommunikationsgeräten“ für die Abgrenzung der IT-Sicher-
heitswirtschaft ohne Relevanz. Als Ergebnis dieses
Arbeitsschritts erhält man somit eine tiefgegliederte
Abgrenzung der IT-Sicherheitswirtschaft auf Basis der
amtlichen Wirtschaftszweigklassifikation:
Aus Tabelle 3 wird ersichtlich, dass sich die wirtschaftlichen Tätigkeiten zur Herstellung von IT-Sicherheitsgütern auf mehrere Wirtschaftsklassen (so genannte
4-Steller) sowie eine Wirtschaftsunterklasse (5-Steller)
verteilen. Die IT-Sicherheitswirtschaft stellt sich somit
als ein Aggregat der oben aufgeführten Wirtschafts
(unter-)klassen dar mit einer weiteren Besonderheit:
Die relevanten Wirtschafts(unter-)klassen können nicht
vollumfänglich der IT-Sicherheitswirtschaft zugeordnet werden, was die Ableitung bzw. Ermittlung eines
Koeffizienten notwendig macht, der den prozentualen
Anteil der IT-sicherheitsrelevanten Produktionstätig
keit am jeweiligen Wirtschaftszweig angibt (detaillierte
Erläuterungen zur Ermittlung der IT-Sicherheitskoeffizienten finden sich in Kapitel 7.5).
Tabelle 3: Branchenabgrenzung der IT-Sicherheit
WZ-Bezeichnung
26/CI
58
Hardware
Software
Dienstleistungen
Herstellung von Datenverarbeitungs
geräten, elektronischen und optischen
Erzeugnissen
26.2
Herstellung von Datenverarbeitungsgeräten und peripheren Geräten
58.29
Verlegen von sonstiger Software
62.01
Programmierungstätigkeiten
62.01.9
Sonstige Softwareentwicklung
62.02
Erbringung von Beratungsleistungen auf
dem Gebiet der Informationstechnologie
X
62.03
Betrieb von Datenverarbeitungs
einrichtungen für Dritte
X
62.09
Erbringung von sonstigen Dienstleistungen
der Informationstechnologie
X
63.11
Datenverarbeitung, Hosting und damit
verbundene Tätigkeiten
X
X
Verlagswesen
X
JC
62
63
Erbringung von Dienstleistungen der
Informationstechnologie
Informationsdienstleistungen
88
X
Vgl. Statistisches Bundesamt (2013a), S. 8.
50
7.3 Wertschöpfungsansatz
Für die Quantifizierung der IT-Sicherheitswirtschaft
werden die Kennzahlen (zur Definition siehe Kapitel
2.3) der im vorherigen Abschnitt dargestellten Branchenabgrenzung berechnet. Allerdings werden nicht in
allen Veröffentlichungen des Statistischen Bundesamtes Wirtschaftsdaten auf tiefer Gliederungsebene dargestellt. So stehen in den Volkswirtschaftlichen
Gesamtrechnungen die Bruttowertschöpfung und die
Anzahl der Beschäftigten lediglich auf Ebene der Wirtschaftsabteilungen (so genannte 2-Steller) zur Verfügung (siehe Abbildung 29).
Um die Kennzahlen der benötigten tieferen Gliederungsebenen zu erhalten, wurde der von Ostwald
und Ranscht entwickelte Wertschöpfungsansatz angewendet.89 Dieser Berechnungsansatz erlaubt es, die
Kennzahlenwerte der tiefen Gliederungen durch die
Ermittlung sogenannter Disaggregationsfaktoren aus
Basisstatistiken zu ermitteln. Zur Anteilswertberechnung werden Basisstatistiken verwendet, die Werte für
tiefere Gliederungsebenen ausweisen, ein Procedere,
das dem Berechnungsprinzip der Volkswirtschaftlichen
Gesamtrechnung entspricht. Aus den Werten der tieferen Ebenen wird anschließend berechnet, welchen
(prozentualen) Anteil sie an der jeweils übergeordneten
Ebene besitzen. Diese Anteilswerte werden mit den
absoluten Zahlen der Bruttowertschöpfung und der
Anzahl der Erwerbstätigen multipliziert, um Werte für
die tieferen Ebenen zu erhalten.90 „Um die Übereinstimmung mit den Angaben der Volkswirtschaftlichen
Gesamtrechnungen zu gewährleisten, werden die verschiedenen Basisstatistiken lediglich zur Anteilswertberechnung der veröffentlichten Daten benutzt, wobei
die Summe der Disaggregationsfaktoren einer Abteilung, Gruppe, Klasse bzw. Unterklasse immer genau
eins ergeben muss.“ 91
Für die Berechnung der Disaggregationsfaktoren ergibt
sich folgender mathematischer Zusammenhang, demon
striert an der Berechnung der Bruttowertschöpfung:
BWSk,j=BWSA,j*Dk,A,j
wobei BWSk,j die Bruttowertschöpfung der Wirtschafts
(unter-)klasse k des Wirtschaftsjahres j bezeichnet,
BWSA,j die Bruttowertschöpfung der Wirtschaftsabteilung A des Wirtschaftsjahres j und Dk,A,j den Disaggregationsfaktor der Wirtschafts(unter-)klasse k an der
Wirtschaftsabteilung A im Jahr j benennt. Analog dazu
lassen sich Produktionswerte oder Beschäftigungszahlen berechnen.
Im Folgenden ist beispielhaft die Berechnung der Bruttowertschöpfung der Sonstigen Softwareentwicklung
für das Jahr 2010 unter Verwendung der Umsatzsteuerstatistik als Berechnungsgrundlage dargestellt:
Abbildung 29: Datenverfügbarkeit der Volkswirtschaftlichen Gesamtrechnung nach Gliederungstiefe
Abschnitt (21)
J – INFORMATION UND KOMMUNIKATION
62 Erbringung von Dienstleistungen der Informationstechnologie
Abteilung (88)
Daten aus regulärer Berichterstattung verfügbar
62.0 Erbringung von Dienstleistungen der Informationstechnologie
62.01 Programmierungstätigkeiten
62.01.9 Sonstige Softwareentwicklung
89
Ostwald, D.A./Ranscht A. (2007), S. 284-291.
90
Vgl. Ostwald, D.A. (2009), S.84f.
91
Ostwald (2009), S. 85, 86.
Gruppe (272)
Klasse (615)
Unterkl. (839)
51
BWS von 62.01 Programmierungstätigkeiten des Jahres 2010
14,94 Milliarden Euro
Umsatz von 62.01 Programmierungstätigkeiten des Jahres 2010
Umsatz von 62.01.9 Programmierungstätigkeiten des Jahres 2010
D 62.01.9, 62.01., 2010 =
19,82 Mrd. Euro
22,55 Mrd. Euro
= 87,89 %
Die Berechnung sämtlicher anderen Kennzahlen (wie
etwa der Erwerbstätigenzahl) erfolgt nach dem gleichen Muster, jedoch unter Verwendung anderer Basisstatistiken. Diese werden im folgenden Abschnitt
benannt und erläutert. Für die Ermittlung der Vorleistungen muss kein eigener Disaggregationsfaktor gebildet werden, ihr Wert errechnet sich aus der Differenz
zwischen Produktionswert und Bruttowertschöpfung.
7.4 Verwendete Datenbasis
Die vorgestellten Kennzahlen der deutschen Volkswirtschaft stammen ausnahmslos aus öffentlich zugänglichen Quellen. Sie können über die Internetpräsenz des
Statistischen Bundesamtes und über dessen Datenbank
system GENESIS-Online92 abgerufen werden. Dies gilt
ebenfalls für die verwendeten Sekundärstatistiken zur
Disaggregation der höheren Gliederungsebenen. Die
Daten der Wirtschaftsabteilungen aus den Jahren 2005
bis 2012 wurden den Detaillierten Jahresergebnissen
der Inlandsproduktsberechnung entnommen.93 Die
Disaggregationsfaktoren der IT-sicherheitsrelevanten
Wirtschaftszweige werden anhand folgender Erhebungen ermittelt:
→→ Kostenstruktur der Unternehmen des Verarbeitenden Gewerbes (Fachserie 4 Reihe 4.3)
→→ Strukturerhebung im Dienstleistungsbereich –
Information und Kommunikation – (Fachserie 9
Reihe 4.2)
BWS 62.01.9, 2010 = 14,94 Mrd. Euro*87,89 % = 13,13 Mrd. Euro
Für die Disaggregation der Wirtschaftsunterklasse
62.01.9 „Sonstige Softwareentwicklung“ wurden weitere statistische Erhebungen verwendet, die die strukturelle Zusammensetzung einer Klasse aus Unterklassen in Zahlen abbilden. Für die weitere Disaggregation
der Bruttowertschöpfung wurde die Umsatzsteuerstatistik herangezogen (siehe Berechnungsbeispiel in
Kapitel 7.3).94 Für die Berechnung der Anzahl Erwerbstätiger wurde die Beschäftigungsstatistik der sozialversicherungspflichtig Beschäftigten der Bundesagentur
für Arbeit herangezogen.95
Weiterhin fand die Input-Output-Rechnung des Statistischen Bundesamtes Eingang in die Berechnungen,
und zwar für die Analyse der Verwendung von ITSicherheitsgütern. Input‑Output‑Tabellen (IOT) zeigen
die Güterströme und Produktionsverflechtungen
innerhalb der Volkswirtschaft auf und machen strukturelle Besonderheiten einer Wirtschaft sowie konjunkturelle Entwicklungstendenzen deutlich. Sie können daher nicht nur für Strukturuntersuchungen
herangezogen werden, sondern ermöglichen auch
detaillierte Analysen der direkten und indirekten
Effekte branchenspezifischer Geschäftstätigkeiten. Da
die IOT auf internationalen statistischen Klassifikationen beruhen, eignen sie sich für die Gegenüberstellung
von Produktionsstrukturen verschiedener Länder. Die
Input-Output-Rechnung fasst die erstellten Güter und
Dienstleistungen unabhängig vom Wirtschaftszweig in
73 Produktionsbereiche zusammen.
92
https://www-genesis.destatis.de/genesis/online
93
Statistisches Bundesamt (2013b).
94
Dies geschah eingedenk der Tatsache, dass die Umsatzsteuerstatistik gegenüber den Produktionswerten einschlägiger Statistiken abweichende Werte ausweist, und zwar aufgrund von Bestandsveränderungen einerseits und umsatzsteuerminderndem Vorsteuerabzug. Gleichwohl können die aus der Umsatzsteuerstatistik ermittelten Verhältniszahlen von 4- und 5-Stellern mit Erkenntnisgewinn auf die anderen
eingesetzten Statistiken wie Produktions- und Strukturerhebung übertragen werden.
95
Vgl. Bundesagentur für Arbeit (o. J.).
52
7.5 Bestimmung der
IT-Sicherheitskoeffizienten
Wie bereits in Kapitel 7.2 ausführlich erläutert, lassen
sich die als IT-sicherheitsrelevant identifizierten Wirt
schafts(unter-)klassen nicht zu 100 Prozent der ITSicherheitswirtschaft zuordnen. Dies macht die rechnerische Ableitung eines IT-sicherheitsrelevanten
Koeffizienten notwendig; wo dies nicht möglich ist,
wurden weitere Quellen zur Ermittlung des IT-Sicherheitsanteils ausgewertet.
Um den Beitrag der einzelnen IT-sicherheitsrelevanten
Wirtschaftszweige gewichten zu können, wurde eine
repräsentative Stichprobe von 402 Unternehmen der
IT-Sicherheitswirtschaft analysiert und deren Umsatzanteile an den relevanten Wirtschaftszweigen ermittelt.
Die Stichprobe stammt aus der über zwei Millionen
Unternehmen umfassenden Datenbank von Creditreform96. In dieser Datengrundgesamtheit wurden 402
Unternehmen identifiziert, die sich nach eigener Tätigkeitsbeschreibung der IT-Sicherheitswirtschaft zuordnen lassen.97 Neben dem Unternehmensnamen und
dem Tätigkeitsschwerpunkt verzeichnet die Aufstellung
die Kennnummer des zugehörigen Wirtschaftszweigs98
und erlaubt somit die Zuordnung zur Gliederungssystematik der Volkswirtschaftlichen Gesamtrechungen.
Darüber hinaus wurden die letzten drei gemeldeten
Jahresumsätze zur Auswertung herangezogen. Für
einige Unternehmen konnte zudem auf eine Umsatzschätzung für das aktuelle Jahr zurückgegriffen werden. Für ein Teil der Unternehmen liegen Jahresumsätze für die Jahre 2010, 2011 und 2012 vor. Für andere
Unternehmen waren hingegen lediglich die Jahresumsätze für die Jahre 2008, 2009 und 2010 im Datensatz
erfasst.
Um eine konsistente Ermittlung der Umsatzanteile an
den einzelnen Wirtschafts(unter-)klassen zu gewährleisten, fokussierte die Betrachtung auf das Jahr, in
dem für alle Unternehmen ein Jahresumsatz im Datensatz erfasst ist. Dabei handelt es sich um das Jahr 2010.
In einem nächsten Schritt wurden die Umsätze des
Jahres 2010 von Unternehmen mit gleicher Wirtschafts
zweigzugehörigkeit summiert und sodann eine Anteils
wertberechnung am Gesamtdatensatz durchgeführt:
Der Anteil dieser Summen am Gesamtumsatz aller
402 Unternehmen ergibt den jeweiligen IT-Sicherheits-
Tabelle 4: Entwicklung der IT-Sicherheitskoeffizienten am Beispiel des PW
WZ
26/CI
26.2
58
WZ-Bezeichnung
Anteil am 2-Steller*
2005
2006
2007
2008
2009
2010
2011
2012
1,10 %
1,10 %
1,10 %
1,10 %
0,66 %
0,60 %
0,60 %
0,60 %
0,15 %
0,15 %
0,15 %
0,15 %
0,14 %
0,17 %
0,17 %
0,17 %
Herstellung von Datenverarbeitungsgeräten, elektronischen
und optischen Erzeugnissen
Herstellung von Datenverarbeitungsgeräten und
peripheren Geräten
Verlagswesen
58.29
62
Verlegen von sonstiger Software
Erbringung von Dienstleistungen der Informationstechnologie
62.01.9
Sonstige Softwareentwicklung
3,40 %
3,40 %
3,40 %
3,40 %
4,07 %
4,21 %
4,21 %
4,21 %
62.02
Erbringung von Beratungsleistungen auf dem Gebiet
3,85 %
3,85 %
3,85 %
3,85 %
3,84 %
3,81 %
3,81 %
3,81 %
62.03
Betrieb von Datenverarbeitungseinrichtungen für Dritte
0,29 %
0,29 %
0,29 %
0,29 %
0,36 %
0,30 %
0,30 %
0,30 %
62.09
Erbringung von sonstigen Dienstleistungen
0,49 %
0,49 %
0,49 %
0,49 %
0,52 %
0,51 %
0,51 %
0,51 %
Datenverarbeitung, Hosting und damit verbundene Tätigkeiten 0,07 %
0,07 %
0,07 %
0,07 %
0,10 %
0,09 %
0,09 %
0,09 %
63
Informationsdienstleistungen
63.11
96
www.creditreform.de
97
Die Identifikation erfolgte anhand der Tätigkeitsbeschreibung der Unternehmen. Es wurden Firmen ausgewählt, die die Begriffe „IT-Sicherheit“, „Datensicherheit“ und „Kryptografie“ angegeben hatten. Insgesamt ergab sich daraus eine Trefferanzahl von 402 Unternehmen.
98
Die Einordnung erfolgt in Wirtschaftszweigunterklassen (5-Steller) der Wirtschaftszweigklassifikation, Ausgabe 2008.
koeffizienten der relevanten Wirtschafts(unter-)klassen. Zur Bestimmung des IT-Sicherheitskoeffizienten
der Wirtschaftsklasse 58.29 („Verlegen von sonstiger
Software“) wurde der Anteil der IT-Sicherheitssoftware
an der gesamten Software99 ermittelt und auf den
Wirtschaftszweig 58.29 übertragen.
Die Tabelle 4 liest sich folgendermaßen: Der Anteil der
IT-sicherheitsrelevanten Produktion im WZ 62.01.9,
Sonstige Softwareentwicklung, am übergeordneten
2-Steller, „Erbringung von Dienstleistungen der Informationstechnologie“, belief sich im Jahr 2005 auf 3,40
Prozent. Bis ins Jahr 2012 ist der Wert allmählich angestiegen und erreichte zuletzt 4,21 Prozent.
Zur Ergänzung: Der IT-Sicherheitsmarkt wird zu Recht
als Folgemarkt des IT-Marktes bezeichnet. Die Studie
von Booz & Company des Jahres 2009 spricht von einem
Anteil der IT-Sicherheitsgüter an der IT-Branche von
10 Prozent100, den nämlichen Wert kommuniziert der
BITKOM zum Anteil der IT-Sicherheitsexperten an den
IT-Experten insgesamt101. Eine Studie zur IT-Sicherheit
in kleinen und mittleren Unternehmen für das Bundesministerium für Wirtschaft und Technologie ermittelt einen Anteilswert von 12,3 bis 14,1 Prozent am
gesamten IT-Budget je nach Unternehmensgröße.102
Die flankierende Umfrage unter IT-Sicherheitsexperten zur vorliegenden Studie ergab einen Anteilswert
des IT-Sicherheitsmarktes an der IT von 10 Prozent
(Medianwert).103 Das bedeutet, dass die IT-Sicherheitswirtschaft in Deutschland in ihrer Entwicklung eng an
den Absatz von IT-Gütern gebunden ist. Dies entspricht einer gewissen „physischen“ Logik: Je mehr
Server verkauft werden, desto mehr IT-Sicherheitssuiten werden im Nachgang dazu gebraucht, je mehr PCs,
desto mehr Virenschutzlösungen und Firewalls werden
benötigt. Hier schließt sich die kritische Frage an, ob
die Verbesserung des IT-Sicherheitsniveaus bereits
durch eine bloße Erhöhung des Anteils von IT-Sicherheitsgütern am IT-Budget erreicht werden kann.
99
53
7.6 Fortschreibung und Prognose
Den aktuellen Rand der Datenverfügbarkeit stellt das
Jahr 2010 dar. Bis zu diesem Jahr weist das Statistische
Bundesamt die benötigten Werte für die Wirtschaftszweige teilweise in tiefer Gliederung aus (bis zur 5-Steller-Ebene). Für die Jahre 2011 und 2012 reicht die Tiefe
der amtlichen statistischen Werte nur bis zu der Ebene
der Wirtschaftsabschnitte (2-Steller-Ebene). Um die
Werte auf Abteilungsebene fortzuschreiben wurde
angenommen, dass diese ein ähnliches Wachstumsverhalten wie die Wirtschaftsabschnitte aufweisen.
Im Betrachtungszeitraum 2005 bis 2010 ist die Entwicklung der IT-Sicherheitswirtschaft mit Daten des
Statistischen Bundesamtes durchgeführt worden. In
dieser Zeit haben auf die IT-Sicherheitswirtschaft
sowohl wachstumsfördernde, als auch wachstumshemmende Faktoren eingewirkt. Für die Bestimmung
der Entwicklungskorridore wurden die Wachstumsraten des Betrachtungszeitraums für eine Prognose der
künftigen Entwicklung verwendet. Dabei wurde folgendermaßen vorgegangen: Der obere Rand der möglichen Entwicklung (best case) unterliegt der Annahme,
dass sich die IT-Sicherheitswirtschaft gemäß dem Mittelwert der beiden höchsten Wachstumsraten der
Branche im Betrachtungszeitraum entwickeln wird.
Für die Bestimmung des unteren Rands (worst case)
wurde analog dazu eine Entwicklung angenommen,
die dem Mittelwert der beiden niedrigsten Wachstums
raten folgt. Zwischen diesen äußeren Entwicklungsrändern ergibt sich ein Korridor möglicher Zukünfte
der IT-Sicherheitswirtschaft. Innerhalb dieses Korridors wurde ein Mittelweg identifiziert, der auf einer
Trendfortschreibung durchschnittlicher Wachstumswerte beruht. Anhand dieses Entwicklungskorridors
lässt sich beschreiben, welche Tendenz die künftige
Entwicklung der IT-Sicherheitswirtschaft aufzeigen
kann.
Wirtschaftsklasse 62.01 Programmierungstätigkeiten.
100 Bernnat, R./Bauer, M./Zink, W./Bieber, N./Jost, D. (2010), S. 36. Die Autoren zitieren eine Studie von Forrester Research zum IT-Sicherheitsmarkt.
101 In einer E-Mail-Nachricht an die Autoren dieser Studie.
102 Büllingen, F./Hillebrand, A. (2012), S. 33.
103 An der nicht-repräsentativen Umfrage nahmen 48 Personen teil, die sich thematisch mit IT-Sicherheit befassten. Die Umfrage war als Validierungsinstrument für die vorliegende Untersuchung gedacht. Angesichts der geringen Beteiligung können die Ergebnisse nicht als belastbar bezeichnet werden, wenngleich der Anteil der IT-Sicherheit an der gesamten IT von 10 Prozent plausibel ist. Die eingeschränkte Aussagefähigkeit von Branchenumfragen kann als ein weiteres Argument für die Verwendung statistischer Daten gewertet werden.
54
Anhang, Tabellen
Produktionswert
2005
2006
2007
2008
2009
2010
2011*
2012*
Wachstum
PW
PW Wachs- PW Wachs- PW Wachs- PW Wachs- PW Wachs- PW Wachs- PW Wachs- 2005– Durch(Mrd. (Mrd. tum (Mrd. tum (Mrd. tum (Mrd. tum (Mrd. tum (Mrd. tum (Mrd. tum 2012 schnitt
Euro) Euro) ggü. Euro) ggü. Euro) ggü. Euro) ggü. Euro) ggü. Euro) ggü. Euro) ggü.
2005
2006
2007
2008
2009
2010
2011
Hardware
0,7
0,8
8,7 %
0,9
17,6 %
0,8
-11,3 %
0,4
-56,6 %
0,4
5,2 %
0,4
12,7 %
0,4
0,2 % -41,6 % -7,4 %
Software
1,6
1,6
2,6 %
1,8
10,4 %
1,9
6,9 %
2,5
28,2 %
2,7
7,5 %
2,7
1,2 %
2,8
2,5 % 73,1 % 8,2 %
Dienstleistungen
2,2
2,2
2,5 %
2,4
10,4 %
2,6
6,8 %
2,9
10,9 %
2,9
1,3 %
3,0
1,2 %
3,0
2,5 % 41,0 % 5,0 %
IT-Sicherheits
wirtschaft
4,5
4,7
3,6 %
5,2
11,7 %
5,4
3,5 %
5,8
6,7 %
6,0
4,2 %
6,1
2,0 %
6,3
2,3 % 38,9 % 4,8 %
Quelle: Eigene Berechnung, Statistisches Bundesamt
Vorleistungen
2005
2006
2007
2008
2009
2010
2011*
2012*
Wachstum
VL
VL Wachs- VL Wachs- VL Wachs- VL Wachs- VL Wachs- VL Wachs- VL Wachs- 2005– Durch(Mrd. (Mrd. tum (Mrd. tum (Mrd. tum (Mrd. tum (Mrd. tum (Mrd. tum (Mrd. tum 2012 schnitt
2005
2006
2007
2008
2009
2010
2011
IT-Sicherheits
wirtschaft
1,6
1,6
2,7 %
1,8
11,4 %
2,0
9,2 %
2,3
17,4 %
2,6
12,9 %
2,6
0,8 %
2,7
1,9 % 70,0 % 7,9 %
2005
2006
2007
2008
2009
2010
2011*
2012*
Wachstum
BWS BWS Wachs- BWS Wachs- BWS Wachs- BWS Wachs- BWS Wachs- BWS Wachs- BWS Wachs- 2005– Durch(Mrd. (Mrd. tum (Mrd. tum (Mrd. tum (Mrd. tum (Mrd. tum (Mrd. tum (Mrd. tum 2012 schnitt
2005
2006
2007
2008
2009
2010
2011
Hardware
0,2
0,2
4,7 %
0,3
16,9 %
0,2
-11,3 %
0,1
-56,7 %
0,1
10,2 %
0,1
8,9 %
0,1
0,6 % -43,2 % -7,8 %
Software
1,2
1,3
4,0 %
1,4
11,4 %
1,4
1,6 %
1,6
10,2 %
1,6
-0,7 %
1,6
2,6 %
1,6
2,7 % 35,9 % 4,5 %
Dienstleistungen
1,5
1,6
4,0 %
1,7
11,4 %
1,8
1,4 %
1,8
0,0 %
1,7
-3,3 %
1,7
2,7 %
1,8
2,7 % 20,0 % 2,6 %
IT-Sicherheits
wirtschaft
2,9
3,0
4,0 %
3,4
11,8 %
3,4
0,5 %
3,4
0,4 %
3,4
-1,7 %
3,5
2,9 %
3,6
2,7 % 22,0 % 2,9 %
Arbeitsproduktivität
2005
2006
2007
2008
2009
2010
2011*
2012*
Wachstum
AP
AP Wachs- AP Wachs- AP Wachs- AP Wachs- AP Wachs- AP Wachs- AP Wachs- 2005– Durch(Mrd. (Mrd. tum (Mrd. tum (Mrd. tum (Mrd. tum (Mrd. tum (Mrd. tum (Mrd. tum 2012 schnitt
2005
2006
2007
2008
2009
2010
2011
IT-Sicherheits
wirtschaft
54,7
55,0
0,5 %
59,5
8,2 %
57,8
-2,9 %
57,2
-1,0 %
55,5
-2,9 %
56,4
1,5 %
56,2
-0,3 % 2,8 %
0,4 %
Anhang, Tabellen
55
Exporte
2005
2006
2007
2008
2009
2010
2011*
2012*
Wachstum
Exp. Exp. Wachs- Exp. Wachs- Exp. Wachs- Exp. Wachs- Exp. Wachs- Exp. Wachs- Exp. Wachs- 2005– Durch(Mrd. (Mrd. tum (Mrd. tum (Mrd. tum (Mrd. tum (Mrd. tum (Mrd. tum (Mrd. tum 2012 schnitt
2005
2006
2007
2008
2009
2010
2011
Hardware
0,3
0,5
63,5 %
0,6
11,4 %
0,5
-11,5 %
0,2
-56,6 %
0,2
5,2 %
0,3
12,7 %
0,3
0,2 % -17,0 % -2,6 %
Software
0,3
0,3
16,3 %
0,4
15,9 %
0,3
-12,6 %
0,4
28,0 %
0,5
7,5 %
0,5
1,2 %
0,5
2,5 % 68,1 % 7,7 %
Dienstleistungen
0,4
0,4
16,3 %
0,5
15,9 %
0,4
-13,3 %
0,5
10,9 %
0,5
1,3 %
0,5
1,2 %
0,5
2,5 % 36,1 % 4,5 %
IT-Sicherheits
wirtschaft
1,0
1,3
31,2 %
1,4
14,1 %
1,3
-12,5 %
1,1
-10,9 %
1,2
4,4 %
1,2
3,4 %
1,2
2,0 % 28,6 % 3,7 %
Importe
2005
2006
2007
2008
2009
2010
2011*
2012*
Wachstum
Imp. Imp. Wachs- Imp. Wachs- Imp. Wachs- Imp. Wachs- Imp. Wachs- Imp. Wachs- Imp. Wachs- 2005– Durch(Mrd. (Mrd. tum (Mrd. tum (Mrd. tum (Mrd. tum (Mrd. tum (Mrd. tum (Mrd. tum 2012 schnitt
2005
2006
2007
2008
2009
2010
2011
Hardware
1,8
2,2
28,4 %
2,3
1,0 %
1,4
-39,9 %
0,6
-56,6 %
0,6
5,2 %
0,7
12,7 %
0,7
0,2 % -59,8 % -12,2 %
Software
0,2
0,3
6,9 %
0,3
17,9 %
0,3
10,2 %
0,4
17,5 %
0,4
4,5 %
0,4
1,2 %
0,4
2,5 % 77,0 % 8,5 %
Dienstleistungen
0,3
0,3
6,9 %
0,3
17,9 %
0,4
8,7 %
0,4
18,6 %
0,4
4,0 %
0,4
1,2 %
0,5
2,5 % 75,3 % 8,3 %
IT-Sicherheits
wirtschaft
2,2
2,8
23,7 %
2,9
4,3 %
2,0
-29,3 %
1,4
-31,7 %
1,5
4,6 %
1,6
6,1 %
1,6
1,4 % -29,9 % -4,9 %
Erwerbstätige
2005
2006
2007
2008
2009
2010
2011*
2012*
Wachstum
ET
ET Wachs- ET Wachs- ET Wachs- ET Wachs- ET Wachs- ET Wachs- ET Wachs- 2005– Durch(Tsd.) (Tsd.) tum (Tsd.) tum (Tsd.) tum (Tsd.) tum (Tsd.) tum (Tsd.) tum (Tsd.) tum 2012 schnitt
ggü.
ggü.
ggü.
ggü.
ggü.
ggü.
ggü.
2005
2006
2007
2008
2009
2010
2011
IT-Sicherheits
wirtschaft
53,4
55,2
3,5 %
57,1
3,3 %
59,1
3,5 %
59,9
1,5 %
60,7
1,3 %
61,5
1,4 %
63,3
2,9 % 18,7 % 2,5 %
Pro-Kopf-Einkommen
2005
2006
2007
2008
2009
2010
2011*
2012*
Wachstum
Eink. Eink. Wachs- Eink. Wachs- Eink. Wachs- Eink. Wachs- Eink. Wachs- Eink. Wachs- Eink. Wachs- 2005– Durch(Tsd.) (Tsd.) tum (Tsd.) tum (Tsd.) tum (Tsd.) tum (Tsd.) tum (Tsd.) tum (Tsd.) tum 2012 schnitt
ggü.
ggü.
ggü.
ggü.
ggü.
ggü.
ggü.
2005
2006
2007
2008
2009
2010
2011
IT-Sicherheits
wirtschaft
36,8
37,0
0,5 %
38,2
3,3 %
40,0
4,6 %
40,7
1,9 %
41,7
2,4 %
43,3
3,9 %
44,8
3,4 % 21,7 % 2,8 %
56
Anhang, Tabellen
Arbeitnehmer
2005
2006
2007
2008
2009
2010
2011*
2012*
Wachstum
AN
AN Wachs- AN Wachs- AN Wachs- AN Wachs- AN Wachs- AN Wachs- AN Wachs- 2005– Durch(Tsd.) (Tsd.) tum (Tsd.) tum (Tsd.) tum (Tsd.) tum (Tsd.) tum (Tsd.) tum (Tsd.) tum 2012 schnitt
ggü.
ggü.
ggü.
ggü.
ggü.
ggü.
ggü.
2005
2006
2007
2008
2009
2010
2011
IT-Sicherheits
wirtschaft
43,8
45,1
2,9 %
47,1
4,5 %
49,1
4,4 %
50,5
2,8 %
49,6
-1,9 %
50,2
1,3 %
51,6
2,8 % 17,8 % 2,4 %
Arbeitnehmerentgelt pro Kopf
2005
2006
2007
2008
2009
2010
2011*
2012*
Wachstum
Entg. Entg. Wachs- Entg. Wachs- Entg. Wachs- Entg. Wachs- Entg. Wachs- Entg. Wachs- Entg. Wachs- 2005– Durch(Tsd.) (Tsd.) tum (Tsd.) tum (Tsd.) tum (Tsd.) tum (Tsd.) tum (Tsd.) tum (Tsd.) tum 2012 schnitt
ggü.
ggü.
ggü.
ggü.
ggü.
ggü.
ggü.
2005
2006
2007
2008
2009
2010
2011
IT-Sicherheits
branche
53,4
53,5
0,1 %
54,8
2,5 %
56,6
3,1 %
57,2
1,1 %
60,6
6,0 %
62,8
3,6 %
65,0
3,4 % 21,5 % 2,8 %
57
Literaturverzeichnis
Sämtliche grundlegenden Studien, die sich mit der IT-Sicherheitswirtschaft, den Treibern des Marktes und/oder zukünftigen Trends beschäftigen und für die qualitative Marktabgrenzung herangezogen wurden, sind mit einem * bezeichnet.
BA – Bundesagentur für Arbeit (o. J.): Sozialversicherungspflichtig Beschäftigte nach Wirtschaftsunterklassen
(jeweils zum Stichtag 30.06. des Jahres). Reihe: Arbeitsmarkt in Zahlen – Beschäftigungsstatistik. Nürnberg, Bundesagentur für Arbeit.
Bendiek, Annegret. Europäische Cybersicherheitspolitik. Stiftung Wissenschaft und Politik (SWP) – Deutsches Institut für Internationale Politik und Sicherheit: Europäische Cybersicherheitspolitik. Berlin. Online verfügbar unter:
http://www.swp-berlin.org/fileadmin/contents/products/studien/2012_S15_bdk.pdf (Zugriff am 17.04.2013).
*Bernnat, R./Bauer, M./Zink, W./Bieber, N./Jost, D. (2010): Die IT-Sicherheitsbranche in Deutschland. Aktuelle Lage
und ordnungspolitische Handlungsempfehlungen. Studie im Auftrag des Bundesministeriums für Wirtschaft und
Technologie. Berlin. Online verfügbar unter: http://www.bmwi.de/BMWi/Redaktion/PDF/Publikationen/Studien/
it-sicherheitsbranche-de-aktuelle-lage,property=pdf,bereich=bmwi2012,sprache=de,rwb=true.pdf (Zugriff am
17.04.2013).
BITKOM – Bundesverband Informationswirtschaft, Telekommunikation und neue Medien
(2011a Kompass der IT-Sicherheitsstandards. Online verfügbar unter:
http://www.bitkom.org/files/documents/Kompass_der_IT-Sicherheitsstandards_web.pdf (Zugriff am 14.11.2012).
BITKOM – Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (2011b):
Zu wenige IT-Sicherheitsexperten in Deutschland. Expertenumfrage zu Cybersecurity.
Online verfügbar unter: http://www.bitkom.org/de/presse/70864_68856.aspx (Zugriff am 14.11.2012).
BMAS – Bundesministerium für Arbeit und Soziales (2011): Fachkräftesicherung – Ziele und Maßnahmen der
Bundesregierung. Berlin. Online verfügbar unter: http://www.bmas.de/SharedDocs/Downloads/DE/
fachkraeftesicherung-ziele-massnahmen.pdf?__blob=publicationFile (Zugriff am 07.06.2013).
BMBF – Bundesministerium für Bildung und Forschung (2012): Forschung für die zivile Sicherheit 2012–2017.
Rahmenprogramm der Bundesregierung. Berlin. Online verfügbar unter:
http://www.bmbf.de/pub/rahmenprogramm_sicherheitsforschung_2012.pdf (Zugriff am 29.05.2013).
BMBF – Bundesministerium für Bildung und Forschung (2013): Zukunftsprojekt Industrie 4.0. Online abrufbar
unter: http://www.bmbf.de/de/19955.php (Zugriff am 12.07.2013).
BMI – Bundesministerium des Innern (o. J.): Umsetzungsplan KRITIS des Nationalen Plans zum Schutz der Informationsinfrastrukturen. Berlin. Online verfügbar unter: http://www.bmi.bund.de/SharedDocs/Downloads/DE/
Broschueren/2007/Kritis.pdf;jsessionid=40E8CD0D4183DF89BF41ED1C2231B00C.2_cid364?__blob=publicationFile
(Zugriff am 12.07.2013).
BMI – Bundesministerium des Innern (2011): Cyber-Sicherheitsstrategie für Deutschland. Berlin. Online verfügbar
unter: http://www.bmi.bund.de/SharedDocs/Downloads/DE/Themen/OED_Verwaltung/Informationsgesellschaft/
cyber.pdf?__blob=publicationFile (Zugriff am 03.06.2013).
BMI – Bundesministerium des Innern (2013): Friedrich stellt Wirtschaft IT-Sicherheitsgesetz vor. Pressemeldung
des BMI zum Entwurf des IT-Sicherheitsgesetzes vom 12.03.2013. Berlin. Online verfügbar unter:
http://www.bmi.bund.de/SharedDocs/Kurzmeldungen/DE/2013/03/eco_mmr_itsicherheitsgesetz.html
(Zugriff am 07.06.2013).
58
BMVg – Bundesministerium der Verteidigung (2011): Verteidigungspolitische Richtlinien: Nationale Interessen
wahren – Internationale Verantwortung übernehmen – Sicherheit gemeinsam gestalten. Berlin. Online verfügbar
unter: http://www.bmvg.de/resource/resource/MzEzNTM4MmUzMzMyMmUzMTM1MzMyZTM2MzEzMDMwMzAzMDMwMzAzMDY3NmY2ODMyNzU3OTY4NjIyMDIwMjAyMDIw/Verteidigungspolitische%20Richtlinien%20
(27.05.11).pdf (Zugriff am 03.06.2013).
Bond, S. R./Guceri, I. (2012): Trends in UK BERD after the introduction of R&D tax credits.
In: Working paper / Oxford University Centre for Business Taxation. Jg. 12, Bd. 01. Oxford. Online verfügbar unter:
http://www.sbs.ox.ac.uk/centres/tax/papers/Documents/WP1201.pdf (Zugriff am 29.05.2013).
Boston Consulting Group (2012): The Internet economy in the G-20, Pressemitteilung zur gleichnamigen Studie.
Online abrufbar unter: https://www.bcgperspectives.com/content/articles/media_entertainment_strategic_
planning_4_2_trillion_opportunity_internet_economy_g20/ (Zugriff am 02.06.2013).
*Botezatu, B. (2012): Bitdefender H1 2012 E-Threat Landscape Report. Online verfügbar unter:
http://www.bitdefender.com/media/materials/e-threats/de/H1_2012_E_Threat_Landscape_Report_Aug_6.pdf
(Zugriff am 11.03.2013).
Brenke, K. (2010): Fachkräftemangel kurzfristig noch nicht in Sicht. DIW Wochenbericht 46/2010, Berlin.
Online verfügbar unter: http://www.diw.de/documents/publikationen/73/diw_01.c.363686.de/10-46-1.pdf
(Zugriff am 07.06.2013).
Brenke, K. (2012): Ingenieure in Deutschland: Keine Knappheit anzusehen. DIW Wochenbericht 11/2012, Berlin.
Online verfügbar unter: http://www.diw.de/documents/publikationen/73/diw_01.c.394837.de/12-11-1.pdf
(Zugriff am 07.06.2013).
*BSI – Bundesamt für Sicherheit in der Informationstechnik (2011): Die Lage der IT-Sicherheit in Deutschland.
Bonn. Online verfügbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/
Lageberichte/Lagebericht2011_nbf.pdf?__blob=publicationFile (Zugriff am 03.06.2013).
Büllingen, F./Hillebrand, A. (2012): IT-Sicherheitsniveau in kleinen und mittleren Unternehmen. Studie im Auftrag
des Bundesministeriums für Wirtschaft und Technologie. Berlin. Online verfügbar unter:
http://www.bmwi.de/BMWi/Redaktion/PDF/S-T/studie-it-sicherheit,property=pdf,bereich=bmwi2012,sprache=de,
rwb=true.pdf (Zugriff am 29.05.2013).
Calafato, A./Markantonakis K. (2012): Smart cards are getting smarter. An analysis of the vulnerabilities introduced
with Java Card 3 Connected Edition. (Royal Holloway Information Security Thesis Series). Online verfügbar unter:
http://docs.media.bitpipe.com/io_10x/io_102267/item_674000/RH Prozent20article Prozent206 Prozent20smart
Prozent20cards.pdf (Zugriff am 26.04.2013).
Demary, V./Koppel, O. (2013): Die Abgrenzung des mittel- und hochqualifizierten MINT-Segments. Methodenbericht. Köln. Online verfügbar unter: www.etracker.de/lnkcnt.php?et=lKbSM9&url=http%3A%2F%2Fwww.iwkoeln.
de%2F_storage%2Fasset%2F111758%2Fstorage%2Fmaster%2Ffile%2F2790425%2Fdownload%2FMINT-Methodenbe
richt.pdf&lnkname=MINT-Methodenbericht.pdf (Zugriff am 03.06.2013).
*Deutsche Telekom (Hg.) (2012): Sicherheitsreport 2012. Eine repräsentative Studie zum Thema Sicherheit in
Deutschland im Auftrag von T-Systems. Online verfügbar unter: http://www.t-systems.com/servlet/contentblob/
ContentPool-Online2012/de/umn/uti/982726_1/blobBinary/Sicherheitsreport-2012-ps.pdf?ts_layoutId=378
(Zugriff am 03.06.2013).
59
DIHK – Deutscher Industrie- und Handelskammertag (2011): Der Arbeitsmarkt im Zeichen der Fachkräftesicherung – DIHK Arbeitsmarktreport 2011. Berlin. Online verfügbar unter:
www.dihk.de/ressourcen/downloads/arbeitsmarkt-herbst-11.pdf* (Zugriff am 03.06.2013).
*Eckert, Claudia (82012): IT-Sicherheit – Konzepte, Verfahren, Protokolle. München: Oldenbourg Wissenschaftsverlag.
*Ernst & Young (2011): Datenklau: Neue Herausforderungen für deutsche Unternehmen. Ergebnisse einer Befragung
von 400 deutschen Unternehmen. Online verfügbar unter: http://www.netzwerk.de/de/pdf/E+Y%20Datenklau.pdf
(Zugriff am 03.06.2013).
EU-Kommission – Kommission der Europäischen Union (2013a): Pressemeldung zur EU-Cybersicherheitsstrategie.
Online verfügbar unter: http://ec.europa.eu/deutschland/press/pr_releases/11150_de.htm (Zugriff am 29.05.2013).
EU-Kommission – Kommission der Europäischen Union (2013b): Cybersicherheitsstrategie der Europäischen
Union – ein offener, sicherer und geschützter Cyberraum. Gemeinsame Mitteilung an das europäische Parlament,
den Rat, den europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen. Brüssel, am
07.02.2013. Online verfügbar unter: http://eeas.europa.eu/policies/eu-cyber-security/cybsec_comm_de.pdf (Zugriff
am 29.05.2013).
Eurostat (2008): NACE Rev. 2. Statistische Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft.
Luxemburg, Amt für amtliche Veröffentlichungen der Europäischen Gemeinschaften, 2008. Online verfügbar unter:
http://epp.eurostat.ec.europa.eu/cache/ITY_OFFPUB/KS-RA-07-015/DE/KS-RA-07-015-DE.PDF (Zugriff am
29.05.2013).
EFI – Expertenkommission Forschung und Innovation (2012): Gutachten zu Forschung, Innovation und
technologischer Leistungsfähigkeit Deutschlands – Gutachten 2012. Online verfügbar unter:
http://www.e-fi.de/fileadmin/Gutachten/EFI_Gutachten_2012_deutsch.pdf (Zugriff am 29.05.2013).
*FBI (2013): Internet Crime Report 2012. Online verfügbar unter:
http://www.ic3.gov/media/annualreport/2012_IC3Report.pdf (Zugriff am 03.06.2013).
Fenn, B./Metz, D. (2012): Smart Grids 2020 – eine Vision der Chancen und Risiken für Verteilnetze. EW Medien
und Kongresse/Rolf Rüdiger Cichowski, November 2011. Online abrufbar unter: https://www.web2energy.com/de/
news-downloads/publikationen/?tx_drblob_pi1%5BdownloadUid%5D=750 (Zugriff am 03.06.2013).
Friedewald, M. et al. (2009): Ubiquitäres Computing. Zukunftsreport. Arbeitsbereicht Nr. 131 des
Büros für Technikfolgenabschätzung am Deutschen Bundestag. Berlin. Online verfügbar unter:
http://www.tab-beim-bundestag.de/de/pdf/publikationen/berichte/TAB-Arbeitsbericht-ab131.pdf
(Zugriff am 03.06.2013).
Goossens, B. (2009): Study and Supply of Services on the Development of eParticipation in the EU. Summary
Report. Online verfügbar unter:
http://islab.uom.gr/eP/index.php?option=com_docman&task=doc_download&gid=106&&Itemid=82
(Zugriff am 31.05.2013).
*Graumann S./Speich A. (2009): 5. ePerformance Report 2009 – IKT-Standort Deutschland im europäischen
Vergleich. Bericht im Auftrag des Bundesministeriums für Wirtschaft und Technologie. Berlin.
Online verfügbar unter: http://www.bmwi.de/BMWi/Redaktion/PDF/M-O/monitoring-iuk-5-performance-report,
property=pdf,bereich=bmwi2012,sprache=de,rwb=true.pdf (Zugriff am 03.06.2013).
60
Hall, B. H./Mairesse, J./Mohnen, P. A. (2009): Measuring the Returns to R&D. In: Working paper series/
National Bureau of Economic Research. Cambridge Mass. Online verfügbar unter:
http://www.nber.org/papers/w15622.pdf?new_window=1 (Zugriff am 29.05.2013).
Hilbert, M. (2007): Digital Processes and Democratic Theory: Dynamics, risk and opportunities that arise when
democratic institutions meet digital information and communication technologies. Peer-reviewed online publication. Online verfügbar unter: http://www.martinhilbert.net/DigitalDemocracy-eBook.pdf (Zugriff am 03.06.2013).
Holub, H.-W./Schnabl, H. (1994): Input-Output-Rechnung: Input-Output-Analyse. Einführung. München u. a,
Oldenburg.
Industrial Research and Innovation Council (2011): Innovation Canada – A call to action. Review of Federal Support
to Research and Development – Expert Panel Report. Ottawa, Publishing and Depository Services, Public Works
and Government Services Canada. Online verfügbar unter: http://rd-review.ca/eic/site/033.nsf/vwapj/R-D_
InnovationCanada_Final-eng.pdf/$FILE/R-D_InnovationCanada_Final-eng.pdf (Zugriff am 29.05.2013).
Kaspersky Lab (2013): Keine Entwarnung bei Cybergefahren: Bedrohungslage bleibt auch in Deutschland
besorgniserregend. Pressemitteilung zum Kaspersky-Malware-Report, 1. Quartal 2013. Online verfügbar unter:
http://www.kaspersky.com/de/news?id=207566687 (Zugriff am 10.06.2013).
*Künzel, M. et al. (2008): Marktpotenzial von Sicherheitstechnologien und Sicherheitsdienstleistungen. Studie des
VDI/VDE-IT mit ASW im Auftrag des BMWi. Online verfügbar unter: http://www.vdivde-it.de/publikationen/studien/
marktpotenzial-von-sicherheitstechnologien-und-sicherheitsdienstleistungen/at_download/pdf (Zugriff am
10.10.2012).
*Microsoft Security Intelligence Report 14 (2013): Online verfügbar unter:
http://download.microsoft.com/download/E/0/F/E0F59BE7-E553-4888-9220-1C79CBD14B4F/Microsoft_Security_
Intelligence_Report_Volume_14_English.pdf (Zugriff am 06.06.2013).
Moynihan, D.P. (2004): Building Secure Elections: E-Voting, Security, and Systems Theory. In: Public Administration
Review, September/Oktober 2004, Band 64, Nr. 5, S. 515-528. Online verfügbar unter: http://catedras.fsoc.uba.ar/
rusailh/Unidad%204/Moynihan%202004%20Building%20secure%20elections%20y%20e%20voting.pdf (Zugriff am
03.06.2013).
*Münchner Kreis e.V. (Hrsg.) (2010): Offen für die Zukunft – Offen in die Zukunft. Kompetenz, Sicherheit und neue
Geschäftsfelder. Online verfügbar unter: http://www.muenchner-kreis.de/pdfs/Delphi/Offen_fuer_die_Zukunft_
Offen_in_die_Zukunft.pdf (Zugriff am 03.06.2013).
OECD – Organisation for Economic Co-operation and Development (2011): OECD Guide to Measuring the Information Society 2011. Paris. Online verfügbar unter: http://browse.oecdbookshop.org/oecd/pdfs/free/9311021e.pdf
(Zugriff am 03.06.2013).
OECD – Organisation for Economic Co-operation and Development (2012a): Deutschland 2012 – OECD-Wirtschaftsberichte. Online verfügbar unter: http://www.diw.de/documents/dokumentenarchiv/17/diw_01.c.393445.de/
wirtschaftsbericht_oecd.pdf (Zugriff am 29.05.2013).
OECD – Organisation for Economic Co-operation and Development (2012b): Terms of Reference for the Review of
the OECD Guidelines for the Security of Information Systems and Networks, OECD Digital Economy Papers, No. 210,
OECD Publishing. Online verfügbar unter: http://dx.doi.org/10.1787/5k8zq92zhqhl-en (Zugriff am 17.04.2013).
61
Ostwald, D.A. (2009): Wachstums- und Beschäftigungseffekte der Gesundheitswirtschaft in Deutschland.
Zugl.: Darmstadt, Techn. Univ., Diss. Berlin: Med.-Wiss. Verl.-Ges (HealthCapital papers).
Ostwald, D.A./Ranscht A. (2007): Der Wertschöpfungsansatz – Eine kritische Betrachtung der deutschen Gesundheitswirtschaft. In: Sozialer Fortschritt 56.11 (2007), S. 284–291.
Ostwald, D.A./Hofmann, S. (2013) Das Fachkräftemonitoring als regionaler und branchenspezifischer Modellansatz
zur Analyse aktueller und künftiger Fachkräfteentwicklungen in Deutschland. In Veröffentlichung.
Ranscht, A. (2009): Quantifizierung regionaler Wachstums- und Beschäftigungseffekte der Gesundheitswirtschaft –
am Beispiel ausgewählter Metropolregionen. Zugl.: Darmstadt, Techn. Univ., Diss. Berlin: Med. Wiss. Verl.-Ges
(HealthCapital papers).
Ripperger, T. (2003): Ökonomik des Vertrauens: Analyse eines Organisationsprinzips. Tübingen, Mohr Siebeck.
Rose, A. (2013): The internet of things is set to change security priorities. Online verfügbar unter:
http://www.computerweekly.com/feature/The-internet-of-things-is-set-to-change-security-priorities
(Zugriff am 26.04.2013).
Schmid, V. (2004): (IT-)Sicherheit durch Cyberlaw? In: Thema Forschung, 1/2004, S. 80–85. Online verfügbar unter:
http://www.cylaw.tu-darmstadt.de/media/jus4/publikationen/zeitschriftenaufsaetze/thema_forschung_schmid.pdf
(Zugriff am 09.04.2013).
Stahmer, C./Bleses, P./Meyer, B. (2000): Input-Output-Rechnung: Instrumente zur Politikberatung. Hrsg. v. Statistischen
Bundesamt, Wiesbaden 2000. Verfügbar unter: https://www.destatis.de/DE/Publikationen/Thematisch/
VolkswirtschaftlicheGesamtrechnungen/InputOutputRechnung/InstrumentPolitikberatungPDF.pdf?__
blob=publicationFile (Zugriff am 22.05.2013).
Statistisches Bundesamt (o. J.): Begriffserläuterungen für den Bereich Volkswirtschaftliche Gesamtrechnungen.
Online verfügbar unter: https://www.destatis.de/DE/ZahlenFakten/GesamtwirtschaftUmwelt/VGR/
Begriffserlaeuterungen/Vorleistungen.html (Zugriff am 03.06.2013).
Statistisches Bundesamt (2008): Klassifikation der Wirtschaftszweige. Mit Erläuterungen. Wiesbaden. Online
verfügbar unter: https://www.destatis.de/DE/Methoden/Klassifikationen/GueterWirtschaftklassifikationen/
klassifikationwz2008_erl.pdf?__blob=publicationFile (Zugriff am 03.06.2013).
Statistisches Bundesamt (2009): Games Convention Online: Preise für Computer-Hardware von 2005 bis 2009 stark
gesunken. Pressemitteilung Nr. 287 des Statistischen Bundesamtes vom 30.07.2009. Online verfügbar unter:
https://www.destatis.de/DE/PresseService/Presse/Pressemitteilungen/2009/07/PD09_287_614.html
(Zugriff am 03.06.2013).
Statistisches Bundesamt (2010a): Input-Output-Rechnung im Überblick. Wiesbaden. Online verfügbar unter:
https://www.destatis.de/DE/Publikationen/Thematisch/VolkswirtschaftlicheGesamtrechnungen/
InputOutputRechnung/InputOutputRechnungUeberblick5815116099004.pdf?__blob=publicationFile
(Zugriff am 10.10.2012).
Statistisches Bundesamt (2010b): Statistisches Jahrbuch für die Bundesrepublik Deutschland 2010. Wiesbaden.
Online verfügbar unter: https://www.destatis.de/DE/Publikationen/StatistischesJahrbuch/StatistischesJahrbuch2010.
62
Statistisches Bundesamt (2011): Volkswirtschaftliche Gesamtrechnungen. Qualitätsbericht. Wiesbaden. Online verfügbar unter: https://www.destatis.de/DE/Publikationen/Qualitaetsberichte/VolkswirtschaftlicheGesamtrechnungen/
QualitaetsberichtVGR.pdf?__blob=publicationFile (Zugriff am 12.10.2012).
Statistisches Bundesamt (2012a). Warenverzeichnis für die Außenhandelsstatistik. Wiesbaden. Online verfügbar
unter: https://www.destatis.de/DE/Methoden/Klassifikationen/Aussenhandel/warenverzeichnis_downloads.html
(Zugriff am 12.10.2012).
Statistisches Bundesamt (2012b): Investitionserhebung bei Unternehmen und Betrieben des Verarbeitenden
Gewerbes sowie des Bergbaus und der Gewinnung von Steinen und Erden, Qualitätsbericht. Wiesbaden.
Verfügbar unter: https://www.destatis.de/DE/Publikationen/Qualitaetsberichte/VerarbeitendesGewerbeIndustrie/
Investsteineerden.pdf?__blob=publicationFile (Zugriff am 10.10.2012).
Statistisches Bundesamt (2012c): Produktionserhebungen, Qualitätsbericht. Wiesbaden. Online verfügbar unter:
https://www.destatis.de/DE/Publikationen/Qualitaetsberichte/VerarbeitendesGewerbeIndustrie/Proderhebungen.
Statistisches Bundesamt (2012d): Strukturerhebungen im Dienstleistungsbereich. Qualitätsbericht. Berichtsjahr
2010. Wiesbaden. Online verfügbar unter: https://www.destatis.de/DE/Publikationen/Qualitaetsberichte/
Dienstleistungen/JaehrlicheStrukturerhebung.pdf?__blob=publicationFile (Zugriff am 12.10.2012).
Statistisches Bundesamt (2013a): IKT-Branche in Deutschland. Bericht zur wirtschaftlichen Entwicklung. Wiesbaden.
Online verfügbar unter: https://www.destatis.de/DE/Publikationen/Thematisch/UnternehmenHandwerk/
Unternehmen/IKT_BrancheDeutschland5529104139004.pdf?__blob=publicationFile (Zugriff am 03.06.2013).
Statistisches Bundesamt (2013b): Volkswirtschaftliche Gesamtrechnung: Inlandsproduktberechnung –
Detaillierte Jahresergebnisse 2012. Fachserie 18 Reihe 1.4. Wiesbaden. Online verfügbar unter:
https://www.destatis.de/DE/Publikationen/Thematisch/VolkswirtschaftlicheGesamtrechnungen/Inlandsprodukt/
InlandsproduktsberechnungVorlaeufigPDF_2180140.pdf?__blob=publicationFile (Zugriff am 25.04.2013).
Stöwer, M. (2011): Werte schützen, Kosten senken, Erträge steigern. Beispiele für die Wirtschaftlichkeit von
Informationssicherheit. White Paper des Fraunhofer SIT. Darmstadt/St. Augustin. Online verfügbar unter:
https://www.sit.fraunhofer.de/fileadmin/dokumente/studien_und_technical_reports/IT-Security-Whitepaperaktuell.pdf (Zugriff am 03.06.2013).
Stöwer, M. (2013): Informationssicherheit messen. Praxisbericht zur Entwicklung von Kennzahlen für das Informationssicherheitsmanagement. Vortrag auf dem 13. Deutscher IT-Sicherheitskongress in Bonn, 16. Mai 2013.
Online verfügbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Veranstaltungen/ITSiKongress/2013/
Mechthild_Stoewer_16052013.pdf?__blob=publicationFile (Zugriff am 03.06.2013).
*Symantec (2013): Internet Security Threat Report, Band 18. Online verfügbar unter: http://www.symantec.com/
content/en/us/enterprise/other_resources/b-istr_main_report_v18_2012_21291018.en-us.pdf (Zugriff am 13.03.2013).
*United Nations (2008): International Standard industrial classification of all economic activities (ISIC), Rev. 4.
New York, United Nations Publication, Statistical papers. Series M. Online verfügbar unter:
http://unstats.un.org/unsd/cr/registry/regdntransfer.asp?f=135 (Zugriff am 29.05.2013).
VDI/ IW-Ingenieuremonitor (2013): Der Arbeitsmarkt für Ingenieure im März 2013. Online verfügbar unter:
http://www.vdi.de/fileadmin/intranet/redakteur/downloads/Ingenieurmonitor_2013-04.pdf (Zugriff am 02.06.2013).
www.bmwi.de

PDF: 1 MB

Transcrição

Documentos relacionados

Prof. Dr. Kristina Reiss, Technische Universität München OStD Peter

IT-Sicherheit

Eine positive Herausforderung - neue

Mathematik-Export nach Südostasien

IT-Sicherheit Das müssen Sie wissen!

IT-Sicherheit in der Praxis

IT-Grundschutz Teil I: Einführung in das Konzept IT

Bevölkerungsentwicklung und generatives Verhalten in Deutschland.

tuev_siegel_pi - Technische Universität München

STATmagazin Verdienstabstand zwischen Frauen und Männern