Secunet-Chef Rainer Baumgart "Wie früher im Wilden Westen"

Rainer Baumgart beliefert mit dem IT-Dienstleister Secunet die Bundesregierung. Im Interview fordert er strengere Vorschriften gegen Cyberangriffe und erklärt, warum die Maßnahmen der Digitalen Agenda nicht ausreichen.

  • Teilen per:
  • Teilen per:
Rainer Baumgart Quelle: Ingo Rappers für WirtschaftsWoche

WirtschaftsWoche: Herr Baumgart, das Bundeskabinett will am Mittwoch mit der Digitalen Agenda so etwas wie einen Masterplan beschließen, um den Rückstand von Deutschland im Internet aufzuholen. Reichen die geplanten Maßnahmen auch, um Unternehmen vor Cyberattacken zu schützen?

Baumgart: Die Maßnahmen können nur ein Anfang sein. Noch gibt es in Deutschland eine starke IT-Sicherheitsindustrie. Die Digitale Agenda der Bundesregierung muss aber dazu führen, dass diese Technologien auch eingesetzt werden. Und zwar nicht nur bei Behörden, sondern besonders auch in den Unternehmen bis hin zu Privathaushalten.

Fast täglich werden inzwischen Attacken von Geheimdiensten und Cyberkriminellen bekannt, die Unternehmen ausspionieren. Woran fehlt es konkret?

Viele Angriffe ließen sich abwehren, wenn die Betroffenen die vorhandenen Sicherheitstechniken konsequent installieren würden. Es gibt Unternehmen, die einen hohen Sicherheitsstandard erreicht haben. Aber die Mehrheit setzt IT-Sicherheitsprodukte, wenn überhaupt, nur als Feigenblatt ein. Die Verantwortlichen kaufen Firewalls und Virenschutzprogramme und meinen dann, ihre Aufgabe erfüllt zu haben.

Haben die Enthüllungen des ehemaligen NSA-Agenten Edward Snowden die Verantwortlichen in den Firmen nicht wachgerüttelt?

Das sehe ich bisher nur in Einzelfällen. Ein Sicherheitsverantwortlicher gibt ja kaum zu, dass er in der Vergangenheit schlechte Arbeit abgeliefert hat. Deshalb wird keiner ankündigen: Jetzt muss ich etwas tun. Die meisten sagen, sie hätten schon alles getan, und werden in Zukunft so weitermachen wie bisher. Aber das ist definitiv zu wenig. Auch in den Unternehmen gibt es nachweislich noch viele Sicherheitslücken, die schnell geschlossen werden müssen.

Zur Person

Das klingt doch sehr nach Eigenwerbung. Warum kaufen so wenig Unternehmen Ihre IT-Sicherheitslösungen, obwohl Sie mit der Bundesregierung eine hervorragende Referenz vorweisen können?

Ganz einfach, weil hohe Sicherheit immer etwas Mehraufwand bedeutet. Das fängt beim profanen Feuermelder und bei der Sicherheit der Aufzüge an und gilt erst recht für die IT-Systeme. Die Unternehmen müssen Regeln aufstellen und durchsetzen und gelegentlich auch hinterfragen, ob sie überhaupt noch vernünftig sind. Bei der IT-Sicherheit spielt nach wie vor die Funktionalität und der Komfort eine ganz wichtige Rolle.

Das heißt?

Jeder will mobil überall unter allen Umständen erreichbar sein. Natürlich soll es auch sicher sein. Aber schon bei den geringsten Einschränkungen – dass ich mich zum Beispiel ausweisen oder eine Chipkarte einlegen muss – heißt es sofort: Das geht ja gar nicht. Dann bin ich ja nicht mehr so schnell und flexibel wie vorher. Manager und Mitarbeiter gehen dann zu ihren IT-Verantwortlichen und weigern sich, das sichere Gerät zu nutzen. Die IT-Verantwortlichen sitzen dann zwischen Baum und Borke.

Welche Sicherheitsmaßnahmen die Unternehmen verstärken

Wollen Sie damit sagen, die deutschen Manager sind nicht auf der Höhe der Zeit?

Sagen wir’s mal so: Wir sind in Deutschland noch immer in der Phase des Missionierens. Und die wird so lange andauern, wie Unternehmen IT-Sicherheit auf freiwilliger Basis einrichten. Bei der IT-Sicherheit gelten heute so wenig Regeln wie früher im Wilden Westen. Sobald man etwas in die Sicherheit investiert, glauben manche Verantwortliche, es sei schon ausreichend, auch wenn sie ahnen, dass sie Sicherheit oft nur vorgaukeln und an der falschen Stelle sparen.

Die Bundesregierung hält in ihrer Digitalen Agenda am Selbstschutz als oberste Maxime für die Unternehmen fest. Auch künftig soll es nur ganz wenige Vorschriften geben. Und selbst die stoßen – wie die Meldepflicht bei Cyberangriffen – auf laute Proteste aus der Industrie. Kämpfen Sie gegen Windmühlen?

Ich bin davon überzeugt: Ohne Regulierung mit strengen Vorschriften und ihrer konsequenten Überwachung, dass sie auch eingehalten werden, wird es keinen Schutz vor Cyberangriffen geben. Schauen Sie sich andere gesellschaftliche Bereiche wie zum Beispiel das Gesundheitswesen an. Hält sich niemand an die Hygienevorschriften, würden sich sofort gefährliche Erreger ausbreiten. Bricht doch eine Epidemie aus wie jetzt bei Ebola, gibt es exakte Notfallpläne. Für das Internet und die IT-Techniken gibt es das alles nicht. Jeder kann machen, was er will. Der Anwender wird lediglich aufgerufen, Vorsicht walten zu lassen. Das ist so, als würden Sie ein Auto ohne Bremsen verkaufen und den Fahrer ermahnen, gut aufzupassen.

Firmen fördern

Die Bundesregierung will die deutschen IT-Sicherheitsfirmen fördern, um Abhängigkeit von den Internet-Giganten in den USA und Asien zu reduzieren. Trotzdem wurde Ihr Konkurrent Secusmart in Düsseldorf gerade an den kanadischen Smartphone-Hersteller Blackberry verkauft. Droht ein Ausverkauf der deutschen IT-Sicherheitsindustrie?

Dieser Ausverkauf findet ja schon seit einigen Jahren statt. Wenn sich hiesige Unternehmen mit einem zertifizierten Produkt am Markt etabliert haben, werden sie plötzlich auch interessant für ausländische Investoren. Um einen Know-how-Abfluss ins Ausland zu verhindern, hat die Bundesregierung schon vor über zehn Jahren das Außenwirtschaftsgesetz geändert und auch für Verschlüsselungstechnologien einen Genehmigungsvorbehalt eingeführt. Das heißt aber nicht, dass jedes Unternehmen, das eine Verschlüsselungslösung entwickelt hat, systemrelevant ist und sich ausländische Investoren dort nicht engagieren dürfen. Es gibt aber einen harten Kern von Unternehmen, deren Verkauf große Lücken in die IT-sicherheitstechnischen Fähigkeiten reißen würden. Die angestrebte digitale Souveränität Deutschlands oder Europas wäre dann in der Tat gefährdet.

Ist diese gefährdet, wenn Secusmart bei Blackberry bleiben darf?

Nein. Den Verkauf sehe ich nicht als so kritisch an, weil hier sicherheitsrelevante Komponenten nicht ausschließlich von Secusmart kommen. Verschlüsselungen für Smartphone-Telefonate bieten auch andere Unternehmen an.

Welche Konsequenzen dt. Unternehmen aus dem Abhörskandal ziehen

Bei vielen der hiesigen IT-Sicherheitsfirmen flattern gerade verstärkt Übernahmeangebote auf die Schreibtische der Eigentümer. Warum schauen sich ausländische Investoren gerade in Deutschland so intensiv um?

Das Thema Cybersecurity ist gerade in aller Munde. Wenn sich Investoren umschauen, stellen sie schnell fest, dass Deutschland einer der größten IT-Sicherheitsmärkte in Europa ist. Die nehmen die Suche nach einem Unternehmen mit hohem Marktanteil auf, stellen dann aber fest, dass nur wenige eine wirklich dominante Position haben. Der Markt ist von vielen Spezialisten geprägt und in viele Nischen zersplittert. Den Investoren bleibt nur übrig, die Rosinen herauszupicken. Für manch einen Mittelständler ist es dann durchaus attraktiv, in der aktuellen Hype-Phase zu verkaufen.

Wie deutsche Unternehmen ausspioniert werden

Sollte die Bundesregierung einen Schutzwall um diese Unternehmen bauen?

Jemand hat mal die Idee aufgebracht, eine Art Airbus für die europäische IT-Sicherheitsindustrie zu bauen. Doch das halte ich für einen Irrweg. Im deutschen IT-Sicherheitsverband TeleTrust sind über 200 vorwiegend mittelständische Unternehmen organisiert, die alle eine besondere Rolle auf diesem Markt spielen wollen. Auch die Großen unter ihnen sind kaum in der Lage, den Markt zu konsolidieren und die kleinen Anbieter zusammenzuführen. Secunet zum Beispiel ist mit einem Jahresumsatz zwischen 60 und 70 Millionen Euro einer der größten Anbieter in seinem Segment. Es ist aber zu erwarten, dass sich einige Kristallisationspunkte herausbilden, an denen sich viele ausrichten werden. Dabei könnte sich eine verstärkte Exportförderung deutscher IT-Sicherheitstechnik positiv auf die Stabilität und Entwicklung der Branche auswirken.

Warum füllen Sie das Vakuum nicht, indem Sie Konkurrenten aufkaufen?

Wir sind durchaus interessiert, aber es muss passen. Viele Technologien haben wir schon im eigenen Haus. Und viele Nischen sind so klein, dass sie für uns nicht attraktiv sind.

Die Deutsche Telekom hält ebenfalls nach Übernahmekandidaten Ausschau. Könnte sie eine Art Schutzpatron für die kleinen deutschen Anbieter werden?

Bislang nicht. Da lohnt ein Rückblick in unsere Firmenhistorie. Die Deutsche Telekom war schon mal an Secunet beteiligt, stieg dann aber aus und entwickelte wieder eigene Sicherheitstechnologien. Den Beweis, dass sie ein langfristig verlässlicher Partner für die deutsche IT-Sicherheitsbranche sein kann, hat sie daher bislang noch nicht erbracht. Die Entwicklungen im deutschen IT-Sicherheitsmarkt bleiben spannend.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%