IT-Sicherheit in NRW - Horst Görtz Institut für IT-Sicherheit - Ruhr ...

IT-Sicherheit in NRW
verantwortlich:
Dr. Philipp Klempt
Institut für Sicherheit im E-Business
Prof. Dr.-Ing. Christof Paar
Horst-Görtz Institut für IT-Sicherheit
HGI Technical Report 4/2007

Autoren
An der Erstellung des vorliegenden Berichtes zur IT-Sicherheit in NRW haben neben
den Verantwortlichen Dr. Philipp Klempt und Prof. Dr.-Ing. Christof Paar die
nachfolgenden Personen mitgewirkt:
• Dipl.-Ök. Klaus Rüdiger
• Dr. Christoph Wegener
• Dr. Christopher Wolf
• Pia Düsenberg
• Ralf Lindert

Inhaltsverzeichnis .................................................................................. I
Abbildungsverzeichnis...............................................................................................III
Tabellenverzeichnis...................................................................................................III
Abkürzungsverzeichnis............................................................................................. IV
1 Einleitung ..........................................................................................................1
1.1 Problemstellung und Ziele des Berichts .....................................................1
1.2 Gang der Untersuchung .............................................................................2
2 Grundlagen zur IT-Sicherheit ..........................................................................3
2.1 Definition u. Systematisierung des Sicherheitsbegriffs ...............................3
2.2 Schutzziele von Informationssystemen ......................................................5
2.3 IT-Sicherheit als Pflichtfach der Unternehmensführung gemäß KonTraG .7
2.4 IT-Sicherheitslage in Deutschland..............................................................9
2.4.1 IT-Sicherheitslage im privaten Umfeld...............................................9
2.4.2 IT-Sicherheitslage im Unternehmensbereich...................................11
3 Hochschul- und Forschungseinrichtungen .................................................14
3.1 Übersicht der identifizierten Einrichtungen ...............................................14
3.2 Hochschul- und Forschungseinrichtungen in NRW ..................................16
3.2.1 Übersicht der Einrichtungen...........................................................16
3.2.2 Horst Görtz Institut für IT-Sicherheit ..............................................17
4 Markt für IT-Sicherheitsleistungen................................................................20
4.1 Ausgaben für IT-Sicherheitsleistungen.....................................................20
4.2 Anbieter von IT-Sicherheitsleistungen in NRW.........................................23
4.2.1 Übersicht der Anbieter von IT-Sicherheitsleistungen .....................23
4.2.2 Hersteller von IT-Sicherheitshardware...........................................26
4.2.3 Hersteller von IT-Sicherheitssoftware ............................................27
4.2.4 Anbieter von IT-Sicherheitsdienstleistungen..................................28
4.3 IT-Sicherheit als Wettbewerbsfaktor...........................................................29
4.3.1 Gesundheitswesen ........................................................................29
4.3.2 Bankensektor.................................................................................31
4.3.3 Automobilsektor .............................................................................34
I

5 Institutionen aus dem IT-Sicherheitsbereich ...............................................39
5.1 Übersicht der identifizierten Institutionen..................................................39
5.2 Institutionen mit Sitz in NRW ....................................................................41
5.2.1 Bundesamt für Sicherheit in der Informationstechnik.....................41
5.2.2 Europäisches Kompetenzzentrum für IT-Sicherheit.......................41
5.2.3 Industrie und Handelskammer .......................................................43
5.2.4 Networker NRW e.V. .....................................................................43
5.2.5 Landesinitiative secure-it.nrw.........................................................44
5.3 Institutionen mit Sitz außerhalb von NRW (und bundesweiten Aktivitäten) 46
5.3.1 Bundesverband Informationswirtschaft, Telekommunikation ........46
und neue Medien e.V.
5.3.2 Deutschland sicher im Netz e.V.....................................................47
5.3.3 Darmstädter Zentrum für IT-Sicherheit ..........................................47
5.3.4 Initiative D21 e.V............................................................................49
5.3.5 Nationale Initiative für Informations- und Internet-Sicherheit e.V. ..49
5.3.6 Teletrust Deutschland e.V..............................................................50
6 Fazit und Zusammenfassung .............................................................................51
Literaturverzeichnis ..................................................................................................54
Anhang 1: Hochschulen und Forschungseinrichtungen ...........................................59
Anhang 2: Anbieter von IT-Sicherheitsleistungen.....................................................72
II

Abbildungsverzeichnis
Abb. 2.1: Zusammenhang von Safety, Security und Computer Security
Abb. 2.2: Einsatz von Virenscanner und Firewall bei Privatnutzern
Abb. 2.3: Entwicklung des gesamten IT-Budgets im Vergleich zum Budget von
2006
Abb. 2.4: Anteil der jährlichen IT-Sicherheitsausgaben am gesamten IT-Budget
Abb. 3.1: Verteilung der Hochschul- und Forschungseinrichtungen
Abb. 3.2: Standorte der Universitäten, Fachhochschulen und Forschungsinstitute
Abb. 3.3: IT-Sicherheitsforschung in NRW
Abb. 3.4: Aufbau des HGI
Abb. 4.1: Die Top-Geschäftsbereiche nach Schulnoten in den kommenden Jahren
Abb. 4.2: Weltweite Ausgaben für IT-Sicherheit in Milliarden Euro, 2002-2007
Abb. 4.3: Deutsche Ausgaben für IT-Sicherheitsleistungen
Abb. 4.4: Markt für IT-Sicherheitsleistungen in NRW
Abb. 4.5: Anzahl Städte mit Mindestanzahl an Unternehmen
Abb. 4.6: Städte mit mindestens 5 IT-Sicherheitsunternehmen
Abb. 4.7: Regionale Verteilung der IT-Sicherheitsunternehmen
Abb. 4.8: Überblick IT-Sicherheitshardware
Abb. 4.9: Überblick IT-Sicherheitssoftware
Abb. 4.10: Überblick IT-Sicherheitsdienstleistungen
Abb. 4.11: IT Ausgaben im Gesundheitswesen 2006 – 2008
Abb. 4.12: IT Ausgaben im Bankensektor 2006 – 2008
Abb. 4.13 IT Ausgaben in der Automobilbranche 2006 – 2008.
Abb. 5.1: Übersicht und Lage der identifizierten Institutionen.
Abb. 5.2: Aufbau von eurobits e.V.
Tabellenverzeichnis
Tab. 5.1: Institutionen mit IT-Sicherheitsaktivitäten
III

Abkürzungsverzeichnis
B2B Business to Business
B2C Business to Consumer
B2G Business to Government
B2E Business to Employee
BIP Bruttoinlandsprodukt
BITKOM Bundesverband Informationswirtschaft, Telekommunikation und
neue Medien e.V.
BSI Bundesamt für Sicherheit in der Informationstechnik
BT-Dr.s Bundestag-Drucksache
CRM Customer Relationship Management
DZI Darmstädter Zentrum für IT-Sicherheit
EAI Enterprise Application Integration
EDI Electronic Data Interchange
ERP Enterprise Ressource Planning
HGI Horst Görtz Institut für IT-Sicherheit
IHK Industrie- und Handelskammer
IIE Institute for Information Economics
ISEB Institut für Sicherheit im E-Business
IT Informationstechnik
IuK Informations- und Kommunikationstechnik
IFIS Institut für Internet-Sicherheit
NIFIS Nationale Initiative für Internetsicherheit
NoE Network of Excellence
NRW Nordrhein-Westfalen
RFID Radio Frequency Identification
SOX Sarbanes Oxley Act
IV

1 Einleitung
1.1 Problemstellung und Ziele des Berichts
Die rasante Entwicklung der Informations- und Kommunikationstechniken, auf der
der Wandel zur Informationsgesellschaft fußt, hat zu einem bedeutenden
Innovations- und Wachstumsschub innerhalb der Wirtschaft und der öffentlichen
Verwaltung geführt. So erwirtschaftete die IT-Branche nach Angaben des
Bundesverbandes BITKOM im Jahre 2005 mit fast 75 Milliarden Euro die höchste
Wertschöpfung aller klassischen Industriezweige. Die Ausschöpfung der Potentiale,
die der Wandel zur Informationsgesellschaft eröffnet, schien anfänglich allein durch
den technischen Fortschritt im Bereich der Informations- und Kommunikationstechniken
bestimmt zu werden (z. B. durch höhere Übertragungsraten bei Internetund
Mobilfunkkommunikation (Stichwort: Breitband), gestiegene Leistungsfähigkeit
von Prozessoren und Speichermedien oder RFID-Tags mit verbesserten
Funktionalitäten). Mittlerweile rückt aber zunehmend ein weiterer Aspekt in der
Blickwinkel: die IT-Sicherheit. Mit der zunehmenden Verbreitung von Informationsund
Kommunikationstechniken haben natürlich auch die Abhängigkeiten und Risiken
durch ihren Einsatz zugenommen. IT-Sicherheitsrisiken gefährden und
beeinträchtigen dabei nicht nur bereits bestehende Anwendungen, sondern sie
verhindern auch, dass sich Innovationen und darauf basierende Geschäftsmodelle
und neuartige Leistungsangebote nachhaltig durchsetzen können. Das Ausmaß der
Wohlfahrtseffekte, die durch den Wandel zur Informationsgesellschaft erzielt werden
können, wird folglich maßgeblich durch das Know-how im Bereich der IT-Sicherheit
mitbestimmt und IT-Sicherheit ist somit zu einem bedeutsamen Standortfaktor
geworden – auf nationaler, aber auch auf regionaler Ebene. Darüber hinaus erzielt
der Bereich IT-Sicherheit aber auch indirekt Wohlfahrtseffekte, die vor allem aus dem
Schutz von sensiblen Informationen in Unternehmen und öffentlichen Institutionen,
dem Schutz kritischer Infrastrukturen, dem Aufbau von Vertrauen bei Transaktionen
über elektronische Netze und auch durch die Verhinderung von Kriminalität
resultieren.
Die Analyse verfolgt die zwei Hauptziele, (1) die nordrhein-westfälische IT-Sicherheitslandschaft
darzustellen, um darauf aufbauend (2) die Bedeutung und möglichen
Entwicklungsperspektiven des Bereichs IT-Sicherheit in NRW zu ermitteln.
Ergänzend sollen erste konkrete Vorschläge benannt werden, die die IT-
Sicherheitslandschaft in NRW stärken und weiter ausbauen könnten.
1

1.2 Gang der Untersuchung
Im zweiten Kapitel erfolgt zunächst eine Abgrenzung zentraler Begriffe aus dem
Themenbereich der IT-Sicherheit. Im Anschluss wird die IT-Sicherheitslage in
Deutschland anhand verschiedener Studien und Statistiken dargestellt, um die
Aktualität und Entwicklungsperspektiven des IT-Sicherheitssektors zu verdeutlichen.
Im dritten Kapitel wird untersucht, welche Forschungseinrichtungen sich bundesweit
und speziell in NRW mit Fragestellungen der IT-Sicherheit befassen und worin die
einzelnen Forschungsschwerpunkte liegen. Darüber hinaus werden potentiell
vorhandene Forschungsnetzwerke und Kooperationen mit der Wirtschaft aufgezeigt.
Das vierte Kapitel widmet sich zunächst den Unternehmen, die sich originär mit IT-
Sicherheit beschäftigen. Es wird analysiert, welche Unternehmen in NRW IT-
Sicherheitssoftware und/oder IT-Sicherheitshardware herstellen bzw. IT-
Sicherheitsdienstleistungen anbieten. Zudem wird untersucht, wie sich die regionale
Verteilung der Unternehmen darstellt und ob lokale Konzentrationen von
Unternehmen erkennbar sind. Außerdem werden im Rahmen dieses Kapitels mit der
Automobilbranche, dem Bankensektor und dem Gesundheitswesen verschiedene
Branchen beleuchtet, für die IT-Sicherheit eine enabling technology darstellt.
Im fünften Kapitel wird analysiert, welche Behörden, Verbände, Einrichtungen etc.
sich bundesweit, regional und speziell in NRW mit dem Themenfeld der IT-Sicherheit
befassen. Neben der Darstellung der verfolgten Ziele und der entfalteten Aktivitäten
wird untersucht, inwieweit die Institutionen mit Unternehmen und
Forschungseinrichtungen kooperieren bzw. vernetzt sind.
Im abschließenden sechsten Kapitel werden die gewonnenen Erkenntnisse
zusammengefasst und konkrete Vorschläge gemacht, wie die IT-
Sicherheitslandschaft in NRW weiter gestärkt und ausgebaut werden kann.
Zur Erhebung der aufgeführten Informationen und Statistiken wurde im Rahmen
dieses Berichtes auf existierende empirische Untersuchungen, Fachliteratur,
Internetquellen sowie auf persönliche Kontakte zurückgegriffen. Zusätzlich wurden
im Untersuchungszeitraum stattfindende Messen und Fachtagungen besucht, um
den direkten Kontakt zu einer Vielzahl von Akteuren herstellen zu können. Durch
Expertengespräche wurden die erhobenen Informationen ergänzt und validiert.
2

2 Grundlagen zur IT-Sicherheit
2.1 Definition und Systematisierung des Sicherheitsbegriffs
In der Literatur finden sich verschiedene Ansätze, den Bereich der
Informationstechnik (IT) einzugrenzen. Nach dem Errichtungsgesetz des
Bundesamtes für Sicherheit in der Informationstechnik (BSI) umfasst IT alle
technischen Mittel, die der Verarbeitung oder Übertragung von Informationen dienen.
Zur Verarbeitung von Informationen zählt die Erhebung, Erfassung, Nutzung,
Speicherung, Übermittlung, programmgesteuerte Weiterverarbeitung, interne
Darstellung sowie die Ausgabe. 1
Die Begriffe Informationen und Daten werden in der IT häufig synonym gebraucht,
obgleich sie grundsätzlich verschiedene Bedeutungen haben. Daten sind Zeichen,
die zum Zweck der Verarbeitung zusammengefasst sind und aufgrund bekannter
oder unterstellter Abmachungen zu Informationen werden. 2 In der IT wird der Begriff
Information dann für Daten verwendet, wenn diesen bestimmte Attribute wie z.B. ein
Autor oder ein Zeitpunkt der Erstellung zugeordnet werden können. 3
Bislang existiert weder eine deutsche noch eine internationale Norm, die
grundlegende wesentliche Begriffe aus dem Bereich der Sicherheit der
Informationsverarbeitung definiert. 4 In der deutschen Literatur wird der Begriff
Sicherheit in Bezug auf Daten, Informationen, Informationstechnik,
Informationsverarbeitung, Informations- und Kommunikationstechnik (IuK)
uneinheitlich gebraucht. So existieren unterschiedliche Spezialisierungen des
Begriffs Sicherheit, z.B. in Form von Informationssicherheit, IuK-Sicherheit,
Datensicherheit, IT-Sicherheit oder auch Sicherheit in der Informationstechnik. 5
Hierbei werden die Begriffe häufig synonym verwendet, so dass eine klare Trennung
nicht möglich erscheint. 6 Klasen/Rosenbaum verstehen beispielsweise unter
IT-Sicherheit den Schutz gegen absichtliche Angriffe, durch die verarbeitete
Informationswerte bedroht sind. 7 Das BSI definiert IT-Sicherheit als den Zustand
eines IT-Systems, in dem sich die Risiken, die beim Einsatz dieses Systems
aufgrund von Gefährdungen vorhanden sind, durch angemessene Maßnahmen auf
1
Vgl. BSI (2005d), S. 41.
2
Vgl. Hoppe/Prieß (2003), S. 18.
3
Vgl. BSI (2006a), S. 8.
4
Vgl. Pohl (2004), S. 678.
5
Vgl. Hoppe/Prieß (2003), S. 22.
6
Vgl. BSI (2005a), S. 8.
7
Vgl. Klasen/Rosenbaum (1996), S. 16.
3

ein tragbares Maß beschränken lassen. 8 Begründet durch die Wortlänge der oben
aufgeführten Spezialisierungen des Sicherheitsbegriffs haben sich die jeweiligen
Abkürzungen eingebürgert, so dass in der deutschen Literatur vorwiegend von IT-
Sicherheit gesprochen wird. Da in nahezu allen Lebensbereichen eine Verarbeitung
von Informationen stattfindet, ist es nicht mehr zeitgemäß zu unterscheiden, ob
Informationen mit Informationstechnik, Kommunikationstechnik oder bspw. auf
Papier verarbeitet werden. Die Verwendung des Begriffes Informationssicherheit
anstelle von IT-Sicherheit wäre aus diesem Grund umfassender und nachvollziehbarer,
wenn es um den Schutz von Informationen geht, unabhängig davon, in
welcher Form sie verarbeitet oder gespeichert sind. 9 Da aber in der Literatur immer
noch überwiegend der Begriff IT-Sicherheit Verwendung findet, wird er auch im
Rahmen dieses Berichtes weiterhin benutzt, wobei der Schutz der Vertraulichkeit,
der Integrität und der Verfügbarkeit die Grundlage für die Sicherheit darstellen. 10
In der internationalen Literatur findet eine Unterscheidung zwischen security und
safety statt. Safety beschreibt den Zustand eines Systems, in dem Maßnahmen zum
Schutz vor Schäden wirksam sind. Safety ist ein übergreifender Begriff, der die
Umwelt beinhaltet und als Schutz der Rechnerumgebung vor unerwünschtem
Verhalten des Rechners (Output) verstanden werden kann. Security hingegen
bezeichnet den Zustand eines IT-Systems, in dem Maßnahmen zu dessen Schutz
wirksam sind, d.h. security bezeichnet den Schutz des Rechners vor unerwünschtem
Verhalten der Rechnerumgebung (Input). 11
Die folgende Abbildung stellt die Zusammenhänge und Auswirkungen der
IT-Systeme über die informationsverarbeitenden Systeme auf die Umwelt und
umgekehrt dar.
8 Vgl. BSI (2005d), S. 42.
9 Vgl. BSI (2005a), S. 8.
10 Auch das BSI verwendet in den BSI Standards und IT-Grundschutzkatalogen weiterhin den
Begriff IT-Sicherheit, unter anderem deshalb, weil der Begriff kürzer ist als
Informationssicherheit, vgl. BSI (2005a), S.8.
11 Vgl. Pohl (2004), S. 678f.
4

Safety
Security
Informationssicherheit
Computer Security
IT-Sicherheit
Umwelt
Abb. 2.1: Zusammenhang von Safety, Security und Computer Security
Quelle: in Anlehnung an Pohl (2004), S. 679.
2.2 Schutzziele von Informationssystemen
Obwohl in der Literatur bislang keine allgemein anerkannte Definition von
IT-Sicherheit existiert, besteht jedoch Einigkeit über die wichtigsten Schutzziele von
Informations- und Kommunikationssystemen. Diese sind: 12
• Vertraulichkeit: Informationen werden vor unberechtigter Kenntnisnahme
geschützt. Das System muss so aufgebaut sein, dass ein Zugriff nur für
befugte Personen oder Dienste möglich ist.
• Integrität: Informationen, Systeme und Netze können nicht unbemerkt
verändert werden. Das System muss so beschaffen sein, dass eine
Veränderung offensichtlich wird. Die Sicherstellung der Integrität beinhaltet die
Komponenten Übereinstimmung, Genauigkeit, Korrektheit und Vollständigkeit.
• Verfügbarkeit: Informationen, Systeme und Netze müssen verfügbar sein.
Das System muss bei einem Zugriff in einem definierten Zeitraum antworten
bzw. bestimmte Aktionen ausführen. Zum Schutzziel der Verfügbarkeit werden
die Komponenten Fehlertoleranz, Zuverlässigkeit, Robustheit und
Wiederherstellbarkeit gezählt.
Neben diesen drei Schutzzielen gibt es in der Literatur eine Vielzahl weiterer Begriffe
zur Charakterisierung von Zielsetzungen im Zusammenhang mit der sicheren
Gestaltung von IT-Systemen. Exemplarisch seien hier folgende genannt: 13
12
Vgl. z.B. BSI (2005d), S. 41ff.; BITKOM (2003), S.14; Klasen/Rosenbaum (1996), S. 17.;
Görtz/Stolp (1999), S. 35ff.
13
Vgl. z.B. Pohl (2004), S. 680ff.; BITKOM (2003), S.15; Klasen/Rosenbaum (1996), S. 17.
5

• Verbindlichkeit: Die Nachweisbarkeit des Sendens und Empfangens von
Informationen in Verbindung mit dem Identitätsnachweis des
Kommunikationspartners schafft eine Verbindlichkeit von Informationen, die
z.B. für elektronische Vertragsabschlüsse erforderlich ist. Die Verbindlichkeit
beinhaltet die Authentizität und die Beherrschbarkeit. 14
• Authentizität: Die Echtheit der Identität von Kommunikationspartnern und
deren Informationen ist nachgewiesen. Es muss beweisbar sein, dass
Informationen von der angegebenen Quelle stammen und die Identität korrekt
ist.
• Zurechenbarkeit: Aktionen und Informationen können einer auslösenden
Instanz (Person oder System) zugerechnet werden. Die Zurechenbarkeit folgt
mitunter aus der Authentizität.
• Rechtssicherheit und Revisionsfähigkeit: Alle für den Rechtsverkehr in
Systemen und Netzen verwendeten Informationen und Vorgänge gegenüber
Dritten sind nachweisbar.
Andere Autoren bezeichnen die oben genannten Schutzziele auch als
Sicherheitsaspekte, Schutzbedürfnisse, Grundwerte oder Bedrohungsklassen. 15 Die
aufgeführten Schutzziele zeigen, dass IT-Sicherheit nicht nur technische, sondern
auch juristische, organisatorische und nicht zuletzt personelle Aspekte umfasst. 16
14 In verschiedenen Publikationen wird das Schutzziel Verbindlichkeit neben den drei
erstgenannten Schutzzielen als vierte Säule anerkannt, vgl. z.B. Konrad (1998), S. 14 oder Pohl
(2004), S. 680. Eine detaillierte Beschreibung der aufgeführten Komponenten liefert Pohl
(2004), S. 679ff.
15 Vgl. Hoppe/Prieß (2003), S. 24.
16 Vgl. BITKOM (2003), S. 15.
6

2.3 IT-Sicherheit als Pflichtfach der Unternehmensführung gemäß KonTraG
Eine Reihe spektakulärer Unternehmenskrisen 17 und prominenter Betrugsfälle haben
zu massiver Kritik am Risikomanagement deutscher Unternehmen geführt. Nach
Auffassung des Gesetzgebers wurden diese Krisen insbesondere durch fehlendes
Risikobewusstsein und nicht ausreichende Kontroll- und Informationsmechanismen
in den Unternehmen herbeigeführt. 18 Der Gesetzgeber reagierte auf diese
Entwicklung mit dem Gesetz zur Kontrolle und Transparenz im
Unternehmensbereich, das am 6. März 1998 vom Deutschen Bundestag
verabschiedet wurde und am 1. Mai 1998 in Kraft trat. 19
Das KonTraG ist kein selbständiges Gesetz, sondern ein Artikelgesetz, das
verschiedene Gesetze ändert, ergänzt und präzisiert. Das KonTraG enthält nicht nur
Festlegungen für alle börsennotierten Aktiengesellschaften, sondern auch für alle
Kapitalgesellschaften bzw. Unternehmen, die den Vorschriften für
Kapitalgesellschaften unterliegen, und Gesellschaften, die einen Aufsichtsrat haben.
Obwohl die Verpflichtung des Vorstandes zur Einrichtung eines
Überwachungssystems zur Risikofrüherkennung nur im Aktiengesetz geregelt ist, hat
das KonTraG auch Ausstrahlungswirkung auf den Pflichtenrahmen der
Geschäftsleitung anderer Gesellschaftsformen, wie der entsprechenden
Regierungsbegründung entnommen werden kann. Demnach soll für GmbHs je nach
Größe, Komplexität und Struktur auch ohne entsprechende Neuregelung im GmbH-
Gesetz nichts anderes gelten. 20
Konkret werden die Vorstände durch § 91 Abs. 2 AktG verpflichtet, „geeignete
Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit
den Fortbestand der Gesellschaft gefährdende Entwicklungen frühzeitig erkannt
werden“. 21 Des Weiteren fordert der Gesetzgeber im Rahmen des KonTraG die
Einführung eines Risikomanagementsystems, das sich im Wesentlichen aus drei
Subsystemen zusammensetzt: einem Früherkennungssystem, einem
Controllingsystem und einem internen Überwachungssystem, wobei weder der
Gesetzestext noch die Gesetzesbegründung Auskunft über die konkrete
17 Spektakuläre Unternehmenszusammenbrüche waren bspw. die Konkurse der Balsam AG,
COOP AG, Südmilch AG, Metallgesellschaft und der Schneider-Gruppe, vgl. Picot (2001), S. 5.
18 Vgl. Kajüter (2004), S. 12ff.; Schöne (2003), S. 91.
19 Vgl. BGBI. I (1998), S. 786ff.
20 Vgl. BT-Drs. 13/9712, S. 15; von Hohnhorst (2002), S. 91ff..
21 Vgl. § 91 Abs. 2 AktG
7

Ausgestaltung der Systeme gibt. Die genaue Ausgestaltung richtet sich vielmehr
nach den individuellen Eigenschaften und konkreten Erfordernissen des betreffenden
Unternehmens. 22
Gemäß KonTraG müssen in einem Risikomanagementsystem sämtliche Risiken
vollständig erfasst und bewertet werden. 23 Hierunter fallen insbesondere die IT-
Risiken, da diese den Fortbestand der Gesellschaft ernsthaft gefährden können. So
haben einer amerikanischen Studie zufolge 68 % aller Unternehmen in den USA, die
einen IT-Ausfall von mehr als sieben Tagen zu beklagen hatten, den Betrieb nie
wieder aufnehmen können. 24 Angesichts dieser Zahlen ist es umso erstaunlicher,
dass in den Unternehmen massive Defizite bei der Wahrnehmung und Kontrolle der
IT-Risiken bestehen wie bspw. die /Microsoft-Sicherheitsstudie 2006 belegt. 25
Dabei liegt es auch im Eigeninteresse der IT-Verantwortlichen für ein angemessenes
IT-Sicherheitsniveau zu sorgen, da mit dem Inkrafttreten des KonTraG strafrechtlich
relevante Verstöße im Aufgabenkreis eines IT-Verantwortlichen neben der Haftung
mit dem Privatvermögen auch eine Haftstrafe nach sich ziehen können. 26
Oftmals ist den IT-Verantwortlichen jedoch nicht bewusst, wie weit ihre persönliche
Haftung tatsächlich geht. So haben 52 % der befragten IT-Entscheider im Rahmen
der /Microsoft Sicherheitsstudie 2004 angegeben, dass ihnen die Inhalte des
KonTraG bekannt seien aber nur 35 %, dass dieses Gesetz für ihren
Aufgabenbereich relevant ist. Bei der Sicherheitsstudie von 2006 waren es immerhin
schon 70 % bzw. 54 % der Befragten. 27
Um den Anforderungen des KonTraG zu genügen und die Gefahr der persönlichen
Haftung auszuschließen, ist es für die IT-Verantwortlichen unumgänglich, sich mit
der Gesetzeslage zu befassen, bei Defiziten im eigenen Zuständigkeitsbereich die
Vorgesetzten zu informieren und bezüglich erforderlicher Gegenmaßnahmen
umfassend zu beraten. 28
22
Vgl. Romeike (2003c), S. 79; Schöne (2003), S. 93.
23
Vgl. Schäffter (2002), S. 10ff.
24
Vgl. Công Bùi (2005), S. 12.
25
Vgl. /Microsoft (2006a), S. 24ff.
26
Vgl. Schäffter (2002), S. 10ff.
27
Vgl. /Microsoft (2004b), S. 6ff.; /Microsoft (2006b), S. 40ff.
28 Vgl. Schäffter (2002), S. 13.
8

2.4 IT-Sicherheitslage in Deutschland
Der schnelle Austausch von Informationen über eine wachsende Zahl von
Übertragungswegen, die Kommunikation mit dem Handy oder das mobile Arbeiten
mit dem Laptop sind im täglichen Leben zu einer Selbstverständlichkeit geworden.
Für Unternehmen ist die Gestaltung moderner Arbeits- und Geschäftsprozesse heute
ohne IT-Unterstützung nicht mehr realisier- und vorstellbar.
Durch die Verbreitung des Internets und den daraus resultierenden Möglichkeiten
des Informationsaustausches sind in den Bereichen B2C, B2B, B2G und B2E neue
Geschäftsmodelle entstanden, wie sie vor wenigen Jahren noch unvorstellbar
gewesen wären. 29 Mit der wachsenden Abhängigkeit der Unternehmen von
Informationssystemen gewinnt die Sicherheit dieser Systeme zunehmend an
Bedeutung. Somit stellen Schwachstellen bezüglich der Stabilität und Zuverlässigkeit
von Informationssystemen einen Risikofaktor dar, der für Unternehmen unter
Umständen existenzbedrohend sein kann. Im Folgenden wird auf verschiedene
Studien eingegangen, die einen Eindruck über die Präsenz des Themas IT-
Sicherheit bei Privatnutzern und in Unternehmen vermitteln.
2.4.1 IT-Sicherheitslage im privaten Umfeld
Nach einer repräsentativen Umfrage des BSI von 2004 zur IT-Sicherheit in der
deutschen Bevölkerung verfügte die Hälfte der Internetnutzer über gute bis sehr gute
IT-Fachkenntnisse. Neun von zehn Internetnutzern war damals bekannt, dass durch
die Verbindung mit dem Internet der eigene Computer von Fremden missbraucht
werden kann und 70 % der Nutzer war bewusst, dass die Absenderadressen von E-
Mails gefälscht sein können. Lediglich 10 % gaben an, wenige bis gar keine
IT-Fachkenntnisse zu besitzen. 30 Angesichts dieses vermeintlich positiven
Umfrageergebnisses ist es umso erstaunlicher, dass IT-Sicherheit in der Praxis eine
untergeordnete Rolle spielt. Während bei der Befragung 2004 ein knappes Viertel
29 B2C steht für Business to Consumer und bezeichnet das Geschäftsverhältnis zwischen einem
Unternehmen und einem Endkunden. B2B (Business to Business) beschreibt den Handel
zwischen Unternehmen, B2G (Business to Government) beschreibt die
Informationsbereitstellung, Abwicklung von Verwaltungsvorgängen etc. über elektronische
Medien. B2E (Business to Employee) steht für den Informationsaustausch über
Mitarbeiterportale etc., vgl. Romeike (2004a), S. 335.
30 Vgl. BSI (2005e). Der Schutz des Betriebssystems und der Anwendungen wird ebenfalls
vernachlässigt. Nur ein Drittel der Befragten führte regelmäßige Updates durch und 80 % der
Nutzer aktualisierten die Virensoftware nur einmal im Monat, vgl. BSI (2005f), S. 11f.
9

der Nutzer auf den Einsatz von Virenschutzprogrammen verzichtete und nur 46 %
der Befragten eine Firewall einsetzte und regelmäßige Datensicherungen
durchführte, verzichteten 2006 immerhin noch 10 % der Befragten auf den Einsatz
eines Virenscanners und 48% auf den Einsatz einer Firewall wie die folgende
Abbildung veranschaulicht.
100
80
60
40
20
76 %
+ 14 %
90 %
+ 6 %
46 %
52 %
2004 2006 2004 2006
Einsatz Virenscanner Einsatz Personal Firewall
Abb. 2.2: Einsatz von Virenscanner und Firewall bei Privatnutzern
Quelle: in Anlehnung an BSI (2007), S. 12.
Dieser positive Trend ist vermutlich darauf zurückzuführen, dass der Studie von 2006
zufolge 80 % der Nutzer schon einmal mit Gefährdungen wie Viren, Würmern und
Trojanischen Pferden in Kontakt gekommen sind. Zudem wird das Thema IT-
Sicherheit verstärkt in den Medien diskutiert und von verschiedenen Institutionen wie
bspw. dem BSI oder in NRW der secure-it.nrw.de Aufklärungsarbeit betrieben. 31 All
diese Faktoren haben dazu geführt, dass Privatnutzer ihre IT-Kompetenz im
Vergleich zu 2004 realistischer einschätzen und bei der Umfrage 2006 nur noch 17
% der Befragten angaben, über gute bis sehr gute Kenntnisse zu verfügen. 32
Die Hälfte der befragten Nutzer äußerte bei der BSI-Studie von 2006 eine erhöhte
Zahlungsbereitschaft für IT-Sicherheitsprodukte unter der Voraussetzung, dass
deren Qualität durch eine neutrale Institution bestätigt wird. Zusammenfassend lässt
sich feststellen, dass einerseits das Bewusstsein für IT-Sicherheit und die
Zahlungsbereitschaft für sichere Produkte bei den Privatnutzern vorhanden ist.
Andererseits besteht die Tendenz, die Lösung der Probleme insbesondere an
Internetanbieter und die Hersteller von IT-Sicherheitslösungen delegieren zu wollen
31 Vgl. hierzu auch Kapitel 5.
32 Vgl. BSI (2007), S. 12.
10

und IT-Sicherheit verstärkt als eine notwendige Produkteigenschaft von Systemen
und Diensten einzufordern. 33
2.4.2 IT-Sicherheitslage im Unternehmensbereich
In deutschen Unternehmen hat die IT-Sicherheit einen bedeutsamen Stellenwert.
Nach einer 2007 durchgeführten Studie von Capgemini unter IT-Verantwortlichen zur
Rangfolge von 8 verschiedenen IT-Themen nimmt die IT-Sicherheit mit 83 % den
ersten Platz ein. 34
Gefragt nach den Veränderungen für das gesamte IT-Budget geht ein Großteil der
befragten IT-Verantwortlichen zukünftig von Steigerungen im Vergleich zum Budget
von 2006 aus, wie Abbildung 2 verdeutlicht. Zudem scheint die Planungssicherheit
im Vergleich zum Vorjahr gestiegen zu sein, da nahezu alle Teilnehmer Angaben
zum Budget für 2007 machen konnten, was ein Indiz für bereits geplante Projekte
und verteilte Ressourcen darstellt.
steigt
bleibt gleich
sinkt
weiss nicht
keine Angabe
0
1
14
6
11
2007 2008 2009
21
32
35
41
39
3
7
8
13
Basis: Alle Befragten (n=83) - Prozentangaben
2007 2006
25
22
22
22
42
36
6
9
12
13
16
19
33
33
31
26
Abb. 2.3: Entwicklung des gesamten IT-Budgets im Vergleich zum Budget von 2006
Quelle: veränderte Darstellung nach Capgemini (2007), S. 10.
Gefragt nach den zukünftigen Budgetveränderungen in den einzelnen Bereichen
gaben 54 % der Befragten an, dass sich das Budget für IT-Sicherheitsinvestitionen in
den kommenden 5 Jahren erhöhen wird. Nur ein Prozent geht von sinkenden
33 Vgl. BSI (2007), S. 13.
34 Die Wichtigkeit folgender IT-Themen wurde analysiert: IT-Sicherheit, Enterprise Ressource
Planning (ERP), Customer Relationship Management (CRM), Business Intelligence, Portale, IT-
Infrastruktur, Mobility/Wireless, Enterprise Application Integration (EAI), vgl. Capgemini (2007),
S. 6. Bei der gleichen im Jahre 2006 durchgeführten Studie waren es 81 %, im Jahre 2005 83
%, vgl. Capgemini (2006), S. 7; Capgemini (2005), S. 6.
11

Budgets in diesem Bereich aus. 35 Trotz vermeintlich steigender
IT-Sicherheitsbudgets sahen einer BSI-Umfrage von 2004 zufolge 89 % der
IT-Verantwortlichen die Wirtschaftlichkeit der Unternehmen in Deutschland durch
mangelnde IT-Sicherheit gefährdet. Gebeten um eine Einschätzung der
IT-Sicherheitslage in der eigenen Organisation gab jedoch nur knapp ein Viertel der
Befragten an, aktuellen Gefährdungen ausgesetzt zu sein. 36
Bei einer Betrachtung der tatsächlichen Budgets für IT-Sicherheit wird jedoch
deutlich, dass nur knapp ein Fünftel der befragten Unternehmen im Jahre 2006 mehr
als 7,5 % des gesamten IT-Budgets in IT-Sicherheit investiert hat – 2004 waren das
mit 40 % noch mehr als doppelt so viele Unternehmen wie Abbildung 2.4 zeigt. 37
49 %
52 %
53 %
18 %
17 %
bis zu 7,5 % über 7,5 %
2006 2005 2004
40 %
12 %
Abb. 2.4: Anteil der jährlichen IT-Sicherheitsausgaben am gesamten IT-Budget
Quelle: veränderte Darstellung nach Capgemini (2006), S. 20.
9 %
7 %
21 %
22 %
0 %
weiss nicht keine Angabe %
Als Konsequenz eines Verlustes aller elektronisch gespeicherten Daten gaben 10 %
der /Microsoft-Studienteilnehmer von 2004 den Bankrott bzw. Geschäftsverlust
an. Der Sicherheitsstudie von 2006 zufolge liegt der geschätzte Datenwert bei
kleinen und mittelständischen Unternehmen im Durchschnitt bei 3,8 Mio. €, bei
Unternehmen mit mehr als 500 Mitarbeitern bei knapp 1,6 Mrd. €, was den
immensen Wert der gespeicherten Informationen verdeutlicht. Als wesentliche
Faktoren, die eine Verbesserung der Informationssicherheit behindern, wurden
sowohl in der Studie von 2004 als auch in der Studie von 2006 vor allem
Budgetrestriktionen und das fehlende Bewusstsein der Mitarbeiter und des Top-
35
45 % gehen von einem gleich bleibenden Budget aus und 1 % der Befragten konnten keine
Angabe machen, vgl. Capgemini (2007), S. 11.
36
Vgl. BSI (2004)
37 Vgl. BSI (2007), S. 14.
12

Managements ausgemacht. So ist auch zu erklären, warum in den befragten
Unternehmen nur gelegentlich Schulungen zu Fragen und Themen der IT-Sicherheit
stattfinden. 38 Insgesamt haben 94 % der deutschen Unternehmen im Jahre 2006
Vorkehrungen in die IT-Sicherheit getroffen, womit die deutschen Unternehmen im
Durchschnitt der EU25-Länder liegen und gemeinsam mit Belgien und Tschechien
den 6. Platz belegen. 39
38 Vgl. /Microsoft (2004a), S. 10ff.; /Microsoft (2006a), S. 29ff.
39 Vgl. TNS (2007a), S. 47.
13

3. Hochschul- und Forschungseinrichtungen
3.1 Übersicht der identifizierten Einrichtungen
Im Rahmen dieses Berichtes wurden die Hochschul- und Forschungseinrichtungen
erhoben, die sich mit dem Themengebiet IT-Sicherheit in Deutschland befassen. Um
eine möglichst vollständige Auflistung der Einrichtungen zu erhalten, wurde auf
verschiedene Quellen zurückgegriffen. Als Ausgangspunkt der Analyse diente die IT-
Sicherheits-Hochschul-Landkarte von BITKOM aus dem Jahre 2005. Hierauf
aufbauend konnten mittels Internetrecherche unter Nutzung verschiedener
Suchmaschinen und Schlagwörter weitere Einrichtungen identifiziert werden. Die so
erhobenen Informationen wurden durch das Studium entsprechender
Fachzeitschriften ergänzt und durch persönlich geführte Interviews und Gespräche
validiert.
Insgesamt wurden 54 Einrichtungen (Lehrstühle, Institute) an 39 Universitäten,
Fachhochschulen und Forschungseinrichtungen in 33 verschiedenen Städten
erhoben, die Lehr- und Forschungsaktivitäten im Bereich IT-Sicherheit entfalten. Bis
auf Mecklenburg-Vorpommern und Sachsen-Anhalt konnten in sämtlichen
Bundesländern die fokussierten Hochschul- und Forschungseinrichtungen
identifiziert werden. Die folgende Abbildung zeigt die Verteilung der Einrichtungen
auf die Bundesländer.
Anzahl
20
15
10
5
0
1
5
Hochschul- und Forschungseinrichtungen
6
Abb. 3.1: Verteilung der Hochschulen- und Forschungseinrichtungen
3
1
6
1
3
19
4
1
2
1 1
Brandenburg
Berlin
Baden W ürrtemberg
Bayern
Bremen
Hessen
Hamburg
Niedersachsen
Nodrhein-Westfalen
Rheinland-Pfalz
Schleswig-Holstein
Saarland
Sachsen
Thüringen
14

Wie aus Abbildung 3.1 ersichtlich, sind in NRW mit weitem Abstand die meisten
Lehrstühle und Institute zu finden, die sich mit IT-Sicherheit befassen. Die folgende
Abbildung zeigt die Standorte der Universitäten, Fachhochschulen und
Forschungseinrichtungen, an denen die Lehrstühle und Institute ansässig sind.
1
17 11
13 6
19
39
34 33
15
7
37
35 36
18
26
23
27
14
9 10
28
29
8
24
38
20
25
21 22
16
32
2 3
4
31
5
Abb. 3.2: Standorte der Universitäten, Fachhochschulen und Forschungsinstitute
30
12
1. RWTH Aachen
2. Freie Universität Berlin
3. Humboldt-Universität Berlin
4. Technische Fachhochschule Berlin
5. Technische Universität Berlin
6. Ruhr-Universität Bochum
7. Universität Bremen
8. International University in Germany
Bruchsal
9. Fraunhofer-Institut für Sichere
Informationstechnologie (SIT)
Darmstadt
10. Technische Universität Darmstadt
11. Universität Dortmund
12. TU Dresden
13. Universität Duisburg-Essen
14. Johann Wolfgang Goethe-Universität
Frankfurt
15. Albert-Ludwigs-Universität Freiburg
16. Technische Universität Garching
17. Fachhochschule Gelsenkirchen
18. Justus-Liebig-Universität Gießen
19. Fern-Universität Hagen
20. Technische Universität Hamburg-
Harburg
21. Fachhochschule Hannover
22. Leibniz Universität Hannover
23. Technische Universität Kaiserslautern
24. Universität Karlsruhe
25. Christian-Albrechts-Universität Kiel
26. Universität Koblenz Landau
27. Johannes Gutenberg-Universität
Mainz
28. Universität Mannheim
29. Universität Paderborn
30. Universität Passau
31. University Potsdam
32. Universität Regensburg
33. Hochschule für Technik und
Wirtschaft Saarbrücken
34. Saarland University
35. Fachhochschule Bonn-Rhein-Sieg
36. Fachhochschule Schmalkalden
37. Universität Siegen
38. Universität Stuttgart
39. Universität Trier
In Anhang 1 sind die identifizierten Lehrstühle und Institute alphabetisch nach
Städten aufgelistet. Neben den Kontaktdaten wurden (soweit verfügbar) die
speziellen Lehr- und Forschungsaktivitäten sowie die Kooperationspartner
zusammengetragen.
15

3.2 Hochschul- und Forschungseinrichtungen in NRW
3.2.1 Übersicht der Einrichtungen
Im Folgenden liegt der Fokus auf den Lehrstühlen und Instituten, die in NRW im IT-
Sicherheitsbereich forschen und lehren. Insgesamt wurden im Rahmen des
vorliegenden Berichtes 19 Lehrstühle und Institute ausgemacht, die sich auf die in
Abbildung 3.3 eingezeichneten Städte verteilen.
Aachen
Essen
Gelsenkirchen
Bochum
Bonn / Sankt
Augustin
Abb. 3.3: IT-Sicherheitsforschung in NRW
Dortmund
Hagen
Siegen
Paderborn
Wie aus Abbildung 3.3 ersichtlich, liegt der Schwerpunkt der IT-Sicherheitsforschung
in Bochum. Die Bochumer Forschungsaktivitäten werden im Horst Görtz Institut für
IT-Sicherheit gebündelt, das separat in Kapitel 3.2.2 vorgestellt wird.
16

Die anderen Lehrstühle und Institute in NRW verteilen sich auf die folgenden
Standorte (nach Städten sortiert):
• Prof. Dr. rer. nat. Dr. h. c. Otto Spaniol, (RWTH Aachen)
• Prof. Dr. Joachim von zur Gathen (Bonn-Aachen International Center
for Information Technology)
• Prof. Dr. Jens Franke (Universität Bonn)
• Prof. Dr. Joachim Biskup (Universität Dortmund)
• Prof. Dr. Dr. h. c. Gerhard Frey (Universität Duisburg-Essen)
• Prof. Dr. Norbert Pohlmann (Fachhochschule Gelsenkirchen)
• Prof. Dr. Dr. Wolfgang A. Halang (FernUniversität Hagen)
• Prof. Dr. rer.nat. Johannes Blömer (Universität Paderborn)
• Prof. Dr. Hartmut Pohl (Fachhochschule Bonn-Rhein-Sieg in Sankt Augustin)
• Prof. Dr. Manfred Grauer (Universität Siegen)
• Prof. Dr. Christoph Ruland (Universität Siegen)
3.2.2 Horst Görtz Institut für IT-Sicherheit
Das Horst-Görtz Institut (HGI) ist mit sechs Professoren - jeweils drei an der Fakultät
für Elektrotechnik und Informationstechnik und an der Fakultät für Mathematik - und
ca. 40 Wissenschaftlern die größte Hochschuleinrichtung dieser Fachrichtung in
Europa. Das HGI deckt nahezu alle Bereiche der modernen IT-Sicherheit ab,
insbesondere eingebettete Sicherheit, theoretische und angewandte Kryptographie,
Sicherheit in mobilen und festen Netzen und Schutz digitaler Inhalte (Trusted
Computing, Digital Rights Management).
Wie Abbildung 3.4 verdeutlicht, besteht das HGI im Einzelnen aus:
• Lehrstuhl für Kommunikationssicherheit (Prof. Dr.-Ing. Christof Paar),
• Lehrstuhl für Systemsicherheit (Prof. Dr.-Ing Ahmad-Reza Sadeghi),
• Lehrstuhl für Netz- und Datensicherheit (Prof. Dr. Jörg Schwenk),
• Mathematische und Algorithmische Aspekte der Angewandten Kryptologie
(Dr. Roberto Avanzi, Juniorprofessor),
• Lehrstuhl für Stochastik (Prof. Dr. Holger Dette),
• Lehrstuhl für Kryptologie und IT Sicherheit (Prof. Dr. Alexander May),
17

• Institut für Sicherheit im E-Business ((ISEB), Prof. Dr. Roland Gabriel
(Geschäftsführender Direktor), Prof. Dr. Brigitte Werners, Prof. Dr. Georg
Borges)
Horst Görtz Institut für IT Sicherheit
Elektro- und Informationstech.
Prof. Christof Paar
Prof. Ahmad-Reza Sadeghi
Prof. Jörg Schwenk
Wirtschaft (ISEB)
Prof. Roland Gabriel
Prof. Brigitte Werners
Abb. 3.4: Aufbau des HGI
Mathematik
Prof. Avanzi
Prof. Dette
Prof. May
Recht
Prof. Georg Borges
Die einzelnen Lehrstühle decken jeweils unterschiedliche Aspekte von IT-Sicherheit
ab. Dabei findet eine enge Kooperation zwischen den beteiligten Lehrstühlen statt,
so dass Fragestellungen aus verschiedenen, sich ergänzenden Blickwinkeln
behandelt werden können. Dies zeigt sich auch durch die zahlreichen nationalen und
internationalen Fachpublikationen auf Tagungen und in wissenschaftlichen
Journalen.
Darüber hinaus ist das HGI einer der drei Initiatoren von ECRYPT, dem European
Network of Excellence (NoE) in Kryptography. Die internationale Anerkennung, die
das HGI schon kurz nach seiner Gründung genoss, spiegelt sich auch in den
zahlreichen führenden Konferenzen wider, die das HGI organisiert hat. Hierzu
gehören u. a. die AES 4 (Advanced Encryption Standard), CHES 2003
(Cryptographic Hardware and Embedded Systems) und die ECC 2004 (Elliptic Curve
Cryptography) sowie 2009 die weltweit größte Kryptologie-Konferenz, die Eurocrypt.
Zentrale Aktivitäten des HGI werden durch den Geschäftsführenden Direktor (z.Zt.
Prof. Jörg Schwenk) koordiniert. Durch den eurobits-Verein sowie sein Kuratorium
hält das Horst-Görtz Institut den Kontakt zur Praxis.
18

Ergänzt wird die Forschung innerhalb des Horst-Görtz Instituts durch eine
grundständige sowie fortführende Ausbildung. Diese ist in folgenden Programmen
organisiert:
• den 6-semestriger Studiengang „Bachelor in IT-Sicherheit /
Informationstechnik“ als grundständiges Studium mit wissenschaftlichem
Hochschulabschluss,
• den 4-semestriger Studiengang „Master in IT Security / Informationstechnik“
als konsekutiven Masterstudiengang,
• den 4-semestriger Studiengang „Master in IT-Sicherheit / Netze und Systeme”
als Aufbaustudiengang für Personen mit Erstudium sowie
• den Fernstudiengang „Master in Applied IT Security“ (in Zusammenarbeit mit
der gits AG)
Damit ist das Programm sehr breit gefächert und erlaubt sowohl Studienanfängern
wie auch Seiteneinsteigern eine fundierte Ausbildung in der IT-Sicherheit. Dies zeigt
sich auch daran, dass inzwischen alle am und um das HGI angebotenen
Studiengänge akkreditiert sind. Dies erlaubt eine einfachere europäische und
internationale Vergleichbarkeit. Mit ca. 130 Studienanfängern pro Jahr wird das
Programm sehr gut angenommen. Die ersten Absolventen wurden bereits in den
Arbeitsmarkt entlassen und hatten keine Schwierigkeiten, interessante und
verantwortungsvolle Anstellungen zu finden.
19

4 Markt für IT-Sicherheitsleistungen
4.1 Ausgaben für IT-Sicherheitsleistungen
Wie die obigen Ausführungen gezeigt haben, kommt der IT-Sicherheit in
Privathaushalten und Unternehmen eine wachsende Bedeutung zu. Der damit
gestiegene Bedarf an IT-Sicherheitsleistungen spiegelt sich auch in der Umfrage des
Institute for Information Economics (IIE) wider. 40
IT-Sicherheit im Internet
IT-Sicherheit unternehmensintern
VoIP
Medienkonvergenz
RFID
E-Commerce (B2B)
Mobilkommunikation
E-Commerce (B2C)
E-Government
E-Business
Informationsdienste
Softw are
Abb. 4.1: Die Top-Geschäftsbereiche nach Schulnoten in den kommenden Jahren
Quelle: Institute for Information Economics (2006a), S. 58.
Nach Ansicht der insgesamt ca. 250 befragten Experten nimmt die IT-Sicherheit im
dritten Jahr in Folge die Spitzenposition unter den aussichtsreichen
informationswirtschaftlichen Geschäftsbereichen in den kommenden Jahren ein (vgl.
Abb. 4). 41 Diese Einschätzung wird durch eine aktuelle Umfrage der IHK im mittleren
Ruhrgebiet bestätigt. Gefragt nach den technologischen Trends, die die Branche in
den nächsten Jahren besonders beeinflussen werden, gaben 50 % der befragten
Unternehmen aus dem IT-Bereich an, dass die IT-Sicherheit in den kommenden
Jahren den entscheidenden Wirtschaftsfaktor darstellen wird. 42
Die weltweiten IT-Sicherheitsausgaben für 2007 werden Ergebnissen von IDC
zufolge auf insgesamt 41,8 Mrd. € prognostiziert. Davon entfallen 50 % auf IT-
40 Vgl. Institute for Information Economics (2006a), S. 58.
41 Vgl. Institute for Information Economics (2006b), S. 177. Insgesamt wurden mehr als 5.300
Bewertungen abgegeben. Das bedeutet, dass sich zwischen 222 und 264 Experten an der
Bewertung von Geschäftsbereichen beteiligten. Das sind zwischen 75 % und 89 % aller
Befragten.
42 Zur Auswahl standen die Bereiche Archivierung/DMS, e-commerce, e-government, e-Health,
embedded systems, IT-Sicherheit, mobile computing, Outsourcing, RFID und Server-Housing,
vgl. IHK (2007).
2,02
2,02
2,06
2,34
2,35
2,4
2,5
2,53
2,57
2,59
2,62
2,63
20

Sicherheitsdienstleistungen, 31 % auf IT-Sicherheitssoftware und 19 % auf IT-
Sicherheitshardware. Seit 2002 entspricht dies einem Anstieg der Gesamtausgaben
von mehr als 130 %. Die folgende Abbildung zeigt die Entwicklung der IT-
Sicherheitsausgaben getrennt nach Dienstleistungen, Soft- und Hardware.
Milliarden Euro
45
40
35
30
25
20
15
10
5
0
18,2
3,1
6,6
8,5
IT-Sicherheitsdienstleistungen IT-Sicherheitssoftw are IT-Sicherheitshardw are
21,7
3,9
7,7
10,1
25,9
4,8
8,9
12,1
30,5
5,7
10,2
14,5
35,8
6,8
11,6
17,5
41,8
8
12,9
20,9
2002 2003 2004 2005 2006 2007
Abb. 4.2: Weltweite Ausgaben für IT-Sicherheit in Milliarden Euro, 2002-2007
Quelle: tns (2007b), S. 326.
Dieser positive Markttrend für die Anbieter von IT-Sicherheitsprodukten und IT-
Sicherheitsdienstleistungen wird bestätigt durch eine Untersuchung von Ernst &
Young aus dem Jahre 2004. Demnach waren 70 % der 1233 befragten Unternehmen
bereit, mehr in die IT-Sicherheit zu investieren als im Vorjahr. 43
In Deutschland lag der Markt für IT-Sicherheitsleistungen im Jahr 2006 bei 3,5 Mrd.
€. Für das laufende Jahr 2007 wird laut aktuellster verfügbarer Studie der Experton
Group AG mit einem Anstieg der IT-Sicherheitsausgaben auf 3,94 Mrd. € gerechnet.
Den Schätzungen zufolge entfallen davon 47 % (1,86 Mrd. €) auf den Bereich der IT-
Dienstleistungen, während die restlichen 53 % (2,08 Mrd. €) des gesamten IT-
Sicherheitsumsatzes mit dem Verkauf von Hard- und Software erzielt werden (vgl.
43 Vgl. tns (2006), S. 473.
21

Abb. 4.3). Den Prognosen zufolge wird der Markt im Zeitraum von 2006 bis 2009 ein
jährliches durchschnittliches Wachstum von 12,7 % aufweisen. 44
Milliarden Euro
6
5
4
3
2
1
0
3,50
1,67
1,83
Hardw are und Softw are Dienstleistungen
3,94
1,86
2,08
4,45
2,1
2,35
5.02
2,37
2,65
2006 2007 2008 2009
Abb. 4.3: Deutsche Ausgaben für IT-Sicherheitsleistungen
Quelle: Experton Group AG (2007).
Die steigenden Umsätze wurden durch eine Befragung der Nationalen Initiative für
Internetsicherheit (NIFIS e.V.) bestätigt. Bei einer Befragung von 100 Personen, die
sich im Rahmen ihrer täglichen Arbeit im Unternehmen mit Internet- und IT-
Sicherheitsaspekten beschäftigen, gaben 31 % der Befragten an, dass die IT-
Sicherheitsausgaben in 2007 zunehmen werden. 93 % der Befragten beabsichtigen
zumindest höhere Investitionen in IT-Sicherheitsprodukte, während knapp ein fünftel
der Befragten davon ausgeht, dass ihre Unternehmen die Ausgaben verdoppeln
werden. 45
Auf separate Statistiken für den Umsatz von IT-Sicherheitsleistungen in Nordrhein-
Westfalen konnte im Rahmen dieser Analyse nicht zurückgegriffen werden. Um
jedoch einen Anhaltspunkt für den IT-Sicherheitsmarkt in Nordrhein-Westfalen zu
erlangen, wurde anders verfahren: Das Bruttoinlandsprodukt (BIP) Nordrhein-
Westfalens wurde auf das gesamte BIP der BRD umgerechnet und dieser Faktor auf
die deutschen Ausgaben für IT-Sicherheitsleistungen (vgl. Abb. 4.3) angewendet. So
44 Vgl. Experton Group (2007)
45 Vgl. tns (2007b), S. 327.
22

erhält man für Nordrhein-Westfalen als guten Näherungswert den in der Abbildung
4.4 dargestellten Umsatz von IT-Sicherheitsleistungen. 46
Milliarden Euro
1,2
1
0,8
0,6
0,4
0,2
0
0,76
0,36
0,40
Hardw are und Softw are Dienstleistungen
0,85
0,40
0,45
0,97
0,46
0,51
1,10
0,52
0,58
2006 2007 2008 2009
Abb. 4.4: Markt für IT-Sicherheitsleistungen in NRW
Quelle: Experton Group AG, 2007
Nach der Erhebung der welt-, bundes- und landesweiten (NRW) Umsätze für IT-
Sicherheitsleistungen, wird im Folgenden analysiert, welche Akteure in NRW diese
Leistungen erbringen.
4.2 Anbieter von IT-Sicherheitsleistungen in NRW
4.2.1 Übersicht der Anbieter von IT-Sicherheitsleistungen
Im Rahmen dieses Berichtes wurden die Hersteller von IT-Sicherheitshardware, IT-
Sicherheitssoftware und Anbieter von IT-Sicherheitsdienstleistungen erfasst. In den
folgenden Ausführungen wird ein Unternehmen als Anbieter einer IT-
Sicherheitsleistung verstanden, wenn es entweder Hard- oder Software herstellt oder
eine IT-Sicherheitsdienstleistung erbringt. Unternehmen, die IT-Sicherheitshardware
oder IT-Sicherheitssoftware nicht herstellen sondern nur anbieten - wie bspw. Media-
Markt (Antivirensoftware etc.) - wurden im Rahmen der Erhebung nicht
46 Zur Berechnung des Faktors wurde für die BRD ein BIP von 2207200 Mio. €, für NRW ein BIP
von 480171 Mio. € zugrunde gelegt, vgl. Eurostat (2007). Hieraus resultiert ein
Umrechnungsfaktor von 1: 4,60.
23

erücksichtigt. Um eine möglichst vollständige Liste der Anbieter von IT-
Sicherheitsleistungen in NRW zu erhalten, wurde auf verschiedene Quellen
zurückgegriffen:
• Branchenbuch IT-Sicherheit (vgl. dazu auch Kapitel 5.2.5)
• Branchen- und Businessleitfaden IT-Sicherheit NRW
• Branchenführer IT-Sicherheit
• Internetrecherche unter Gebrauch verschiedener Suchmaschinen und
Schlagwörter
• Teilnehmerlisten von Veranstaltungen, Kongressen, Konferenzen etc.
• Webseiten von Klicktel.de und Gelbeseiten.de
• Persönliche Interviews, Gespräche
Auf Grundlage dieser Quellen und gemäß obiger Festlegung konnten insgesamt 297
Unternehmen in 93 verschiedenen Städten bzw. Orten identifiziert werden, die IT-
Sicherheitsleistungen erbringen. Anhang 2 gibt einen vollständigen Überblick der
erhobenen Unternehmen. Die folgende Abbildung zeigt an, in wie vielen Städten
bzw. Orten eine variierende Mindestanzahl an Unternehmen ausgemacht werden
konnte.
Anzahl Städte/Orte
100
90
80
70
60
50
40
30
20
10
0
93
39
26
18 15
11 8 8 7 7 7 7 6 6 5 5 5 4 4 3 3 3 2 2 1 1 1
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27
Mindestanzahl an Unternehmen
Abb. 4.5: Anzahl Städte mit Mindestanzahl an Unternehmen
Wie obige Abbildung veranschaulicht, existieren 15 Städte, in denen mindestens 5
Unternehmen IT-Sicherheitsleistungen erbringen. In der folgenden Abbildung sind
diese Städte mit der jeweiligen Anzahl aufgeführt.
24

Anzahl Unternehmen
30
25
20
15
10
5
0
Aachen
12
Bielefeld
6
Bochum
19
17
Abb. 4.6: Städte mit mindestens 5 IT-Sicherheitsunternehmen
27
5
22
14
8
5
24
6
5 5
Bonn
Dortmund
Duisburg
Düsseldorf
Essen
Gelsenkirchen
Herne
Köln
Mönchengladbach
Paderborn
Siegen
Wuppertal
„Spitzenreiter“ ist demnach Dortmund mit insgesamt 27 Unternehmen, gefolgt von
Köln mit 24, Düsseldorf mit 22, Bochum mit 19 und Bonn mit 17 Unternehmen. Damit
ergibt sich im Ruhrgebiet und im Rheinland die größte Anhäufung und Dichte von
Unternehmen, die IT-Sicherheitsleistungen erbringen, wie Abb. 4.7 veranschaulicht.
Duisburg
Mönchengladbach
Aachen
Düsseldorf
Bochum
Wuppertal
Siegen
Bielefeld
Gelsen-
Herne Paderborn
Essen
krichen
Köln
Bonn
Dortmund
Abb. 4.7: Regionale Verteilung der IT-Sicherheitsunternehmen
6
25

Von den 297 identifizierten Unternehmen, die IT-Sicherheitsleistungen erbringen,
stellen 16 Hardware und 110 Software her. Zudem bieten 282 der 297 Unternehmen
IT-Sicherheitsdienstleistungen an. Dies ist insofern kein Widerspruch, da zahlreiche
Unternehmen mehr als eine der fokussierten IT-Sicherheitsleistungen erbringen. In
den folgenden Ausführungen werden die Unternehmen in Hersteller von IT-
Sicherheitshardware, IT-Sicherheitssoftware und Anbieter von IT-
Sicherheitsdienstleistungen differenziert.
4.2.2 Hersteller von IT-Sicherheitshardware
Insgesamt wurden 16 Unternehmen aus 14 verschiedenen Städten bzw. Orten in
NRW identifiziert, die IT-Sicherheitshardware herstellen.
Anzahl Unternehmen
2
1
0
Aachen
2
Bad Oeynhausen
1 1 1
Bielefeld
Bochum
IT-Sicherheitshardware
Bonn
2
Gladbeck
Abb. 4.8: Überblick IT-Sicherheitshardware
1 1 1 1 1 1 1 1 1
Herne
Köln
Mönchengladbach
Münster
Wie Abbildung 4.8 zeigt, wurden sowohl in Aachen als auch in Bonn jeweils zwei
Unternehmen ausgemacht, die IT-Sicherheitshardware herstellen. Die identifizierten
Unternehmen sind Anhang 2 zu entnehmen.
Rheine
Troisdorf
Waltrop
Warstein
26

4.2.3 Hersteller von IT-Sicherheitssoftware
Es wurden insgesamt 110 Unternehmen aus 52 verschiedenen Städten bzw. Orten
erhoben, die in NRW IT-Sicherheitssoftware zum Schutz der Vertraulichkeit,
Integrität und Verfügbarkeit von Informationen herstellen. In 34 der 52 Städte bzw.
Orte konnte jeweils nur ein Unternehmen ausgemacht werden. Die folgende
Abbildung zeigt die 18 Städte, in denen mindestens zwei Unternehmen IT-
Sicherheitssoftware herstellen.
Anzahl Unternehmen
12
10
8
6
4
2
0
5
3
6
9 9
Abb. 4.9: Überblick IT-Sicherheitssoftware
2
IT-Sicherheitssoftware
6
2
3 3
4
10
3
2 2
3
2 2
Aachen
Bielefeld
Bochum
Bonn
Dortmund
Duisburg
Düsseldorf
Essen
Gelsenkirchen
Gronau
Herne
Köln
Mönchengladbach
Münster
Neuss
Paderborn
Rheine
Wuppertal
Wie aus Abbildung 4.9 ersichtlich, sind die meisten Hersteller von IT-
Sicherheitssoftware in Köln, Bonn und Dortmund ansässig. Mit einigem Abstand
folgen Düsseldorf, Bochum und Aachen.
27

4.2.4 Anbieter von IT-Sicherheitsdienstleistungen
Insgesamt bieten 282 bzw. 95 % der 297 IT-Sicherheitsleistungen erbringenden
Unternehmen eine Dienstleistung im IT-Sicherheitsumfeld an. Die 282 Unternehmen
verteilen sich dabei auf insgesamt 91 verschiedene Städte bzw. Orte. Insgesamt
existieren 14 Städte, in denen mindestens 5 Unternehmen IT-Sicherheitsleistungen
erbringen. In der folgenden Abbildung sind diese Städte mit der jeweiligen Anzahl
aufgeführt.
Anzahl Städte/Orte
30
25
20
15
10
5
0
Aachen
12
Bielefeld
5
Bochum
18
Bonn
16
IT-Sicherheitsdienstleistungen
Dortmund
26
Duisburg
5
Düsseldorf
Abb. 4.10: Überblick IT-Sicherheitsdienstleistungen
21
Essen
12
Gelsenkirchen
8
23
6
Köln
Mönchengladbach
Paderborn
5 5
Siegen
Wuppertal
Die aufgeführten Städte sind identisch mit den Städten aus Abb. 4.6 mit der einzigen
Ausnahme, dass Herne nicht mit aufgeführt wird, da hier nur 4 IT-
Sicherheitsdienstleister ansässig sind.
6
28

4.3 IT-Sicherheit als Wettbewerbsfaktor
Neben den vorgestellten Unternehmen, deren Geschäftstätigkeit in der Herstellung
von IT-Sicherheitssoftware, IT-Sicherheitshardware oder im Erbringen von IT-
Sicherheitsdienstleistungen liegt, stellt die Gewährleistung der IT-Sicherheit für
nahezu alle Branchen eine zwingende Voraussetzung dar. Dies bedeutet, dass erst
durch die Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit von
Informationen und Systemen der Geschäftsbetrieb ermöglicht wird und neue
Geschäftsfelder und –bereiche ausgeschöpft werden können. In den folgenden
Kapiteln wird anhand der Gesundheitsbranche, dem Bankensektor und der
Automobilbranche gezeigt, dass die IT-Sicherheit einen entscheidenden
Wettbewerbsfaktor darstellt.
4.3.1 Gesundheitswesen
Das Gesundheitswesen ist mit 11 % des Bruttoinlandproduktes einer der größten
Bereiche der deutschen Volkswirtschaft, womit Deutschland im europäischen
Vergleich nach der Schweiz an zweiter Stelle liegt. Auch wenn in den vergangenen
zehn Jahren der Anteil der Gesundheitsausgaben am Bruttoinlandsprodukt
annähernd konstant geblieben ist, herrscht im Gesundheitswesen dennoch ein
starker Optimierungsdruck. Dieser resultiert aus der zunehmenden Überalterung der
Gesellschaft und durch strukturell bedingte Finanzierungsprobleme. 47
Durch den massiven Einsatz von innovativer Informations- und
Kommunikationstechnik können zum einen die medizinische Versorgung qualitativ
verbessert und zum anderen die Kosten weiter gesenkt werden. Die folgende
Auflistung gibt einen Überblick über die möglichen Einsatzbereiche der Informationsund
Kommunikationstechnik im Gesundheitswesen: 48
• Gesundheitskarte
• Gesundheitsmanagement
• Patienteninformationssysteme
• Patientenversorgung im Krankenhaus bzw. in der Arztpraxis
• Televisite
• Mobile Health (eHomecare)
• Medizinische Großgeräte
47 Vgl BITKOM/BERGER (2007), S. 6ff.
48 Vgl. BITKOM/BERGER (2007), S. 52.
29

• Medizinische Forschung
• eLearning
Die ab 2008 geplante Einführung der Gesundheitskarte stellt das wichtigste Projekt
für die Modernisierung des deutschen Gesundheitswesens dar. Mit der Karte
können die Kosten bei der Ausstellung und Abrechnung von Rezepten gesenkt, die
Gefahr von Falschbehandlungen verringert und der Missbrauch von
Versichertenkarten verhindert werden. Berechnungen von BITKOM zufolge können
mit der Karte jährliche Einsparungen von mehreren hundert Millionen Euro im
Gesundheitswesen erzielt werden. Zudem könnte Deutschland bei der Einführung
der Gesundheitskarte eine Vorreiterrolle in Europa einnehmen. Davon könnten
deutsche Unternehmen der IT-Branche profitieren, wenn andere Länder in Europa
ebenfalls beabsichtigen, die Effizienz ihrer Gesundheitssysteme durch den Einsatz
moderner Informations- und Telekommunikationstechnik zu erhöhen und hierzu auf
erfahrene deutsche Unternehmen zurückgreifen. 49
Die folgende Abbildung gibt einen Überblick über die ITK-Ausgaben im
Gesundheitswesen von 2006 und die Prognosen für
2008.
%
100,0
90,0
80,0
70,0
60,0
50,0
40,0
30,0
20,0
10,0
0,0
100 % = 3,7 Mrd € 100 % = 4,0 Mrd €
29,6 29,3
35,2 36,9
6,2 5,9
17,9 17,4
11,1 10,6
2006 2008
IT-Hardw are Softw are Kommunikationsausstattung und IT-Sicherheit IT-Services TK-Dienste
Abb. 4.11: IT Ausgaben im Gesundheitswesen 2006 – 2008
Quelle: veränderte Darstellung nach BITKOM/BERGER (2007), S. 52.
49 Vgl. BITKOM (2006), S. 12.
30

Auch wenn der Anteil der Ausgaben für Kommunikationsausstattung und IT-
Sicherheit den Prognosen zufolge von 6,2 % auf 5,9 % zurückgehen wird, kommt
der IT-Sicherheit insbesondere im Gesundheitswesen eine entscheidende
Bedeutung zu. So setzt die Einführung der Gesundheitskarte bspw. voraus, dass
sich Arztpraxen, Apotheken, Kliniken und Krankenversicherungen vernetzen und
ihre IT-Systeme und Prozesse entsprechend anpassen. Hierbei muss die
Vertraulichkeit, Integrität und Verfügbarkeit der ausgetauschten Informationen und
eingesetzten IT-Systeme sichergestellt sein. Ein Missbrauch sensibler
Patientendaten - hervorgerufen durch unzureichende IT-Sicherheitsmaßnahmen -
würde z.B. dazu führen, dass neben rechtlichen Konsequenzen für die
entsprechende Arztpraxis, Apotheke etc. die Gesundheitskarte in der Bevölkerung
nicht akzeptiert werden würde.
Neben diesen datenschutzrechtlichen Aspekten, bei denen das Schutzziel der
Vertraulichkeit im Fokus steht, muss insbesondere im Gesundheitswesen die
Verfügbarkeit und Integrität von Informationen und IT-Systemen gewährleistet sein,
da bspw. der Ausfall oder die Manipulation von medizinischem Gerät unter
Umständen lebensbedrohliche Konsequenzen nach sich ziehen kann.
4.3.2 Bankensektor
Banken und Unternehmen des Finanzdienstleistungssektors stellen aufgrund ihres
Umgangs mit sehr vertrauensempfindlichem Wissen und hohen
Transaktionssummen beim Leistungsobjekt „Geld“ ein attraktives Ziel für Angreifer
dar. Wie die folgende Auflistung zeigt, existieren für diese Branche zahlreiche
Spezifika des IT-Sicherheitsrisikos: 50
• Zunehmende IT-Abhängigkeit der Bankwirtschaft bspw. bei internen
Handels- und Abwicklungssystemen.
• Extreme Abhängigkeit von besonders kritischen Infrastrukturen wie
bankexternen Zahlungsverkehrssystemen.
• Zunehmende Komplexität der IT-Infrastruktur aufgrund heterogener
Systemlandschaften und proprietärer Alt-Systeme bedingt durch partielle
Neuentwicklungen (z.B. Online-Banking) oder Fusionen.
• Verstärkte Öffnung der IT-Systeme nach außen (Online-Banking) und damit
Gefährdung durch Hacker, Phisher, Viren, DDoS-Attacken etc.
50 Vgl. Einhaus (2006), S. 23; Einhaus (2004), S. 6.
31

• Erhöhte Komplexität der „gewöhnlichen“ Geschäftstätigkeit durch
komplizierte Finanzprodukte, verstärkten Wettbewerb, organisatorische
Umgestaltungen, Konzentrationsprozesse, gestiegene
Abwicklungsgeschwindigkeit etc.
• Besondere Vertrauensempfindlichkeit der Kunden gegenüber der
Bankdienstleistung.
Nicht nur aufgrund der aufgeführten bankspezifischen IT-Risiken, sondern ebenso
infolge von gesetzlichen Regulierungen wie der neuen Baseler
Eigenkapitalvereinbarung (Basel II) oder dem Sarbanes Oxley Act (SOX), investieren
insbesondere die Unternehmen dieser Branche verstärkt in Informationstechnik und
sichere IT-Produkte. 51 Während der Bankensektor nur gut 3 % zur
gesamtwirtschaftlichen Bruttowertschöpfung in Deutschland beiträgt und gerade mal
2 % der Erwerbstätigen beschäftigt, entfallen 8 % des gesamten IT-Umsatzes mit
Geschäftskunden auf diesen Sektor. Die folgende Abbildung zeigt die Ausgaben für
Informationstechnik im Bankensektor von 2006 und die Prognosen für 2008. 52
%
100,0
90,0
80,0
70,0
60,0
50,0
40,0
30,0
20,0
10,0
0,0
100 % = 7,2 Mrd. € 100 % = 7,7 Mrd. €
14,2 13,0
40,9 42,3
6,8 7,2
18,7 18,4
19,4 19,0
2006 2008
IT-Hardware Software Kommunikationsausstattung und IT-Sicherheit IT-Services TK-Dienste
Abb. 4.12: IT Ausgaben im Bankensektor 2006 – 2008
Quelle: veränderte Darstellung nach BITKOM/BERGER (2007), S. 38.
51 Vgl. www.cio.de
52 Vgl. BITKOM/BERGER (2007), S. 38.
32

Wie die Abbildung verdeutlicht, werden den Prognosen zufolge die Ausgaben für die
Bereiche Kommunikationsausstattung und IT-Sicherheit sowie für IT-Services
steigen, während sie in den übrigen Bereichen bis 2008 sinken werden.
Die im Vergleich zu anderen Branchen hohen Investitionen in moderne Informationsund
Kommunikationssysteme sind erforderlich, um neue Geschäftsbereich zu
erschließen bzw. die Produktivität im Bankensektor zu steigern. Als Beispiel seien
hier die nahezu vollständige Automatisierung des Zahlungsverkehrs, die Abwicklung
von Wertpapiertransaktionen ohne manuelle Eingriffe, automatisierte Prozesse im
Kreditgeschäft oder die Optimierung der Schnittstelle zum Kunden genannt. 53 Der IT-
Sicherheit kommt in diesem Zusammenhang ein besonderer Stellenwert zu, da diese
Effizienzsteigerungen nur möglich sind, wenn die Vertraulichkeit, Integrität und
Verfügbarkeit von Informationen und Systemen sichergestellt sind.
Zudem wird mit dem Inkrafttreten von Basel II die IT-Sicherheit zu einem
wettbewerbsbestimmenden Faktor. 54 Die seit Anfang 2007 in Kraft getretenen
Neuerungen nach Basel II (im Vergleich zu Basel I) stellen zwar zunächst nur
Vorschriften für Kreditinstitute dar, dennoch wird es erhebliche
Ausstrahlungswirkungen auf Unternehmen anderer Branchen geben, da jeder Kredit,
entsprechend der Bonität des Kreditnehmers, mit Eigenkapital unterlegt werden
muss. Dies wird zur Folge haben, dass sich mit Inkrafttreten von Basel II die
Fremdkapitalfinanzierung für Unternehmen mit einem guten Rating verbilligen und für
Unternehmen mit einem schlechten Rating verteuern wird. 55
In diesem Zusammenhang kommt den IT-Risiken bei der Kreditvergabe im
Ratingprozess nach Basel II eine besondere Bedeutung zu, da die IT-Infrastruktur in
der Wertschöpfungskette vieler Unternehmen einen überlebenswichtigen Faktor
darstellt. Die Gewichtung des IT-Sicherheitsaspekts im Rahmen des Ratings nach
Basel II hängt davon ab, wie abhängig ein Unternehmen von seiner IT ist. Bis zum
Inkrafttreten von Basel II hatte der Nachweis etablierter IT-Sicherheit nur marginale
Auswirkungen auf die Verbesserung der Kreditkonditionen, da der Stellenwert von
IT-Sicherheit innerhalb eines Gesamtratings nur eine untergeordnete Rolle einnahm.
Mit dem Inkrafttreten von Basel II haben die Banken individuelle Analyseinstrumente
für den Bereich IT-Sicherheit entwickelt, um diesen inzwischen anerkanntermaßen
53 Vgl. BITKOM/BERGER (2007), S. 39f.
54 Für eine ausführliche Beschreibung der Neuerungen nach Basel II und der Bedeutung der IT-
Sicherheit in diesem Kontext, vgl. Klempt (2007), S. 40 ff.
55 Vgl. Romeike (2004a), S. 336ff.; Reichling (2003b), S. 9.
33

zentralen Aspekt im Rahmen des Ratingprozesses angemessen zu
berücksichtigen. 56 Dies hat zur Folge, dass ein strukturiertes IT-
Sicherheitsmanagement in den Unternehmen einen wichtigen Faktor für günstige
Kreditkonditionen darstellt.
Nicht nur auf Seiten der Unternehmen setzt Basel II Anreize zur Implementierung
eines effizienten Risikomanagements und Schaffung eines angemessenen IT-
Sicherheitsniveaus, auch auf Seiten der Banken werden die Qualität des
Risikomanagements und das erreichte IT-Sicherheitsniveau zu
wettbewerbsbestimmenden Faktoren. Die Limitierung des operationellen Risikos mit
Hilfe der Eigenkapitalunterlegung hat nämlich zur Folge, dass die Bank mit dem
effektivsten Risikomanagement am wenigsten Kapital für operationelle Risiken
unterlegen muss und dieses freigewordene Kapital für andere Risikoarten verwendet
und ertragsbringend eingesetzt werden kann. 57 Vor diesem Hintergrund kommt den
IT-Risiken wie beim Kreditvergabeprozess eine besondere Bedeutung zu, da sie
einen zentralen Bestandteil der operationellen Risiken ausmachen. 58
4.3.3 Automobilsektor
Die Automobilbranche stellt von jeher einen bedeutenden Wirtschaftszweig in
Deutschland dar. Der weltweite intensive Wettbewerb zwingt die deutschen
Hersteller und Zulieferer zu laufenden Effizienzsteigerungen bei wachsender
Variantenvielfalt und verkürzten Produktlebenszyklen. 59
Der Informationstechnik kommt in diesem Zusammenhang in zweifacher Hinsicht ein
bedeutender Stellenwert zu. Zum einen als Treiber von Produktinnovationen – so
basieren 80 % aller Innovationen im Automobil auf IT-Hardware oder -Software. 60
Zum anderen können durch den Einsatz moderner IT-Systeme die Prozesse der
Hersteller und Zulieferer optimiert und die Produktionseffizienz gesteigert werden.
Die IT-Ausgaben der Automobilbranche beliefen sich im Jahre 2006 auf 4,6 Mrd. €
und werden für 2008 auf 5,0 Mrd. € prognostiziert wie die folgende Abbildung
veranschaulicht. 61
56
Vgl. Công Bùi (2005), S. 12.
57
Vgl. van den Brink (2003), S. 27f.
58
Für mögliche Schadensformen, die aus operationellen Risiken resultieren können, vgl. Einhaus
(2002), S. 489.
59
Vgl. BITKOM/BERGER (2007), S. 44.
60
Vgl. Bundesministerium für Bildung und Forschung (2007), S. 12; BITKOM (2005), S. 12.
61
Vgl. BITKOM/BERGER (2007), S. 44f.
34

%
100,0
90,0
80,0
70,0
60,0
50,0
40,0
30,0
20,0
10,0
0,0
100 % = 4,6 Mrd. € 100 % =5,0 Mrd. €
16,7 16,0
15,9
4,9
53,3
15,7
4,5
55,0
9,2 8,9
2006 2008
IT-Hardw are Softw are Kommunikationsausstattung und IT-Sicherheit IT-Serv ices TK-Dienste
Abb. 4.13: IT Ausgaben in der Automobilbranche 2006 – 2008
Quelle: veränderte Darstellung nach BITKOM/BERGER (2007), S. 44.
Produktinnovationen im Fahrzeug basieren heutzutage fast ausschließlich auf
elektronischen Komponenten. Funktionen, die früher mechanisch betrieben wurden,
werden in modernen Fahrzeugen in vielen Fällen elektronisch unterstützt - ein
Fahrzeug der Oberklasse enthält heute mehr als 70 Mikroprozessoren.
Mit dem gestiegenen Anteil der in modernen Autos eingebauten Informationstechnik,
nimmt der Bedarf nach deren Schutz vor systematischer Manipulation gravierend zu.
Der Großteil der IT-Komponenten, die in den Autos der heutigen Zeit verwendet
werden, ist gegen Manipulationen jedoch nicht geschützt. Dies liegt zum einen
daran, dass die in älteren Autos eingesetzten IT-Systeme keine Schutzfunktionen
benötigen, da nur geringer Anreiz für schädliche Manipulationen besteht (wer hätte
bspw. Interesse an der Manipulation einer elektronischen Einspritzpumpe?). Zudem
steht bei der Entwicklung eines Systems zunächst die Funktionalität im Vordergrund.
Sicherheitsvorkehrungen werden meist erst nachträglich implementiert und sind
dementsprechend fehleranfällig wie zum Beispiel die Sicherheitsschwächen des
Internets belegen. 62
62 Vgl. Wolf/Weimerskirch/Wollinger (2007), S. 1.
35

Die in modernen Autos eingebaute Informationstechnik liefert einen erhöhten Anreiz
zur Manipulation kritischer Komponenten. Das Umgehen der elektronischen
Wegfahrsperre bspw. kann zum Diebstahl eines Autos führen. Aus einer
Manipulation des Kilometerzählers kann ein erhöhter Erlös beim Verkauf eines
Wagens oder eine unberechtigte Steuerrückerstattung erzielt werden. Der Schutz der
Vertraulichkeit, Integrität und Verfügbarkeit der IT-Systeme wird zukünftig
insbesondere für die Automobilbranche eine immer bedeutendere Rolle spielen.
Zudem wird die IT-Sicherheit im Automobilbereich zur enabling technology, d.h.
zukünftige Anwendungen und neue Geschäftsmodelle (z.B. das Bereitstellen von
zeitlich begrenzten Funktionen im Auto oder pay-per-use von Infotainment-Inhalten)
werden erst durch die Gewährleistung von IT-Sicherheit ermöglicht. 63
Neben den aufgeführten Aspekten kommt der IT-Sicherheit im Rahmen des
Informationsaustausches und bei der Optimierung der Produktionsprozesse von
Herstellern und Zulieferern eine besondere Bedeutung zu. Der zeitnahe Austausch
von Informationen über die Unternehmensgrenzen hinweg stellt einen wesentlichen
Erfolgsfaktor einer Versorgungskette (Supply Chain) dar. Der internetbasierte
Informationsaustausch ermöglicht heute - im Gegensatz zu proprietären Electronic
Data Interchange (EDI) Beziehungen in der Vergangenheit - auch kleinen und
mittelständischen Unternehmen die kostengünstige Einbindung in die Supply Chain.
Durch den internetbasierten Informationsaustausch steigen für die beteiligten Unternehmen
jedoch auch die Risiken im Falle einer Verletzung der Vertraulichkeit,
Verfügbarkeit oder Integrität der Informationen und Systeme. 64
Das Supply Chain Management erschließt unternehmensübergreifend
Erfolgspotentiale durch die ganzheitliche Gestaltung der gesamten
Wertschöpfungskette mit den zugehörigen Güter-, Geld- und Informationsflüssen. 65
Gerade die frühzeitige, umfassende Information der Beteiligten ermöglicht den
Abbau von Lagerbeständen, eine verbesserte Kapazitätsausnutzung und eine
Erhöhung der Lieferbereitschaft, insbesondere abgeleitet aus der Vermeidung des
Bullwhip-Effektes, ebenfalls bekannt als Forrester- oder Peitschenschlageffekt. 66
63 Für einen Überblick zu zukünftigen Anwendungen und Schutzmechanismen vgl.
Wolf/Weimerskirch/Wollinger (2007), S. 6ff.
64 Vgl. Werners/Klempt (2007), S. 287.
65 Eine umfangreiche Übersicht über SCM-Definitionen gibt Freiwald 2005, S. 9.
66 Vgl. Göpfert 2002, S. 32 ff.
36

Zur Realisierung dieser Ziele ist ein medienbruchfreier und kontinuierlicher
Austausch von Informationen über die Unternehmensgrenzen hinweg notwendig,
wodurch sich - bezogen auf die zuvor genannten Schutzziele - exemplarisch die
folgenden Störfaktoren und Sicherheitsmaßnahmen in einer Supply Chain ergeben
könnten: 67
• Vertraulichkeit: Vertrauliche Point-of-Sale Informationen werden beim
Austausch zwischen zwei Partnern innerhalb der Supply Chain von
Unbefugten mitgelesen. Ein möglicher Ausweg zur Wahrung der
Vertraulichkeit der Informationen besteht in dem Einsatz von
Verschlüsselungstechniken.
• Integrität: Informationen werden innerhalb des Unternehmens oder
während der Übermittlung zu einem Supply Chain Partner unbefugt
verändert. Durch entsprechende Zugriffsberechtigungen kann erreicht
werden, dass nur autorisierte Benutzer Zugang zu schützenswerten
Informationen erlangen. Durch den Einsatz von Einweg-Hash-
Funktionen kann eine Veränderung der Daten aufgespürt werden.
• Verfügbarkeit: Der Zusammenbruch eines Servers kann infolge der
Überbeanspruchung durch einen Denial of Service Angriff verursacht
werden. Ein möglicher Ausweg ist der Einsatz einer Firewall zum
Schutz vor Angriffen, die ihren Ursprung außerhalb des eigenen
Netzwerks haben. Ebenso kann durch die Bereitstellung von
Ersatzsystemen und den Einsatz von redundanten
Kommunikationsverbindungen Angriffen auf die Verfügbarkeit
entgegengewirkt werden.
Jedes in die Supply Chain eingebundene Unternehmen hat dafür Sorge zu tragen,
dass niemand widerrechtlich in den Besitz der ausgetauschten Informationen
gelangen kann, dass eine Manipulation der Informationen ausgeschlossen ist und
dass die erforderlichen Informationen geeignet verfügbar sind. Weiterhin ist aus Sicht
jedes der beteiligten Unternehmen sicherzustellen, dass die Kooperationspartner nur
auf die freigegebenen Informationen, nicht jedoch auf vertrauliche
Unternehmensdaten zugreifen können. Beide Aspekte sind u. a. durch ein
67 Vgl. Steven/Tengler 2005, S. 345 ff.
37

geeignetes Rechtekonzept mit angepassten Authentifizierungs- und
Autorisierungsmechanismen sicherzustellen. 68
Das erreichte IT-Sicherheitsniveau von Partnerunternehmen entlang der Supply
Chain sollte für jedes Unternehmen von besonderem Interesse sein, da die
Verfügbarkeit und die Qualität von Informationen wesentliche Faktoren für ein
erfolgreiches Supply Chain Management darstellen. 69
Da der vertrauliche Austausch von Informationen und die Verfügbarkeit der IT-
Systeme entscheidende Erfolgsfaktoren für das Supply Chain Management
darstellen, sollte von den Verantwortlichen aller in eine Supply Chain eingebundenen
Unternehmen genügend Ressourcen bereitgestellt werden, um ein abgestimmtes,
akzeptables IT-Sicherheitsniveau zu erreichen und zu halten.
68 Vgl. Bon 2004, S. 54.
69 Vgl. Lackes 2004, S. 424.
38

5 Institutionen aus dem IT-Sicherheitsbereich
5.1 Übersicht der identifizierten Institutionen
Im Folgenden wird analysiert, welche Behörden, Verbände, Organisationen,
Einrichtungen etc. Aktivitäten im IT-Sicherheitsumfeld entfalten. Da der Fokus dieser
Analyse auf NRW liegt, werden zum einen die in NRW ansässigen Institutionen
erfasst. Zum anderen werden die Einrichtungen betrachtet, die ihren Sitz außerhalb
von NRW haben aber aufgrund ihrer bundesweiten Aktivitäten für NRW ebenfalls
relevant sind. Die nachfolgende Abbildung zeigt die identifizierten Institutionen, deren
IT-Sicherheitsaktivitäten in den Kapiteln 5.2 und 5.3 beleuchtet werden.
Abb. 5.1: Übersicht und Lage der identifizierten Institutionen
39

Bei den identifizierten Institutionen kann differenziert werden, ob die IT-Sicherheit
einen Schwerpunkt oder nur einen Teilbereich des Aufgabenspektrums darstellt und
ob die Aktivitäten bundesweit oder regional stattfinden. Die alphabetisch sortierte
Auflistung erhebt keinen Anspruch auf Vollständigkeit, enthält aber nach Meinung der
Verfasser die wichtigsten Institutionen, die für den vorliegenden Bericht relevant sind.
Name IT-Sicherheit als Aktivitäten
Sitz der
Institution
Schwerpunkt Teilbereich bundesweit regional
BITKOM e.V. X X Berlin http://www.BITKOM.de
BSI X X Bonn http://www.bsi.de
DZI X X Darmstadt
http://www.dzi.tudarmstadt.de
Deutschland sicher im
Netz e.V.
X X Berlin
https://www.sicher-imnetz.de
eurobits X X Bochum http://www.eurobits.de
Industrie- und
Handelskammer
X X z.B. Bochum http://www.bochum.ihk.de
Initiative D21 e.V. X X Berlin http://www.initiatived21.de
Networker NRW X X Dortmund
http://www.networkernrw.de
NIFIS e.V. X X Frankfurt http://www.nifis.de
secure-it.nrw.de X X Bonn
Teletrust Deutschland
e.V
Tab. 5.1: Institutionen mit IT-Sicherheitsaktivitäten
Link
http://www.secureit.nrw.de
X X Erfurt http://www.teletrust.de
Wie aus Tabelle 5.1 und der Abbildung 5.1 ersichtlich, sind 4 der 8 aufgeführten
Institutionen mit bundesweiten Aktivitäten in der neuen bzw. alten Bundeshauptstadt
ansässig. Dies ist insofern wenig überraschend, da die Institutionen mit
bundesweiten Aktivitäten häufig Verbindungen zur Politik aufweisen wie die
folgenden Kurzbeschreibungen verdeutlichen.
40

5.2 Institutionen mit Sitz in NRW
5.2.1 Bundesamt für Sicherheit in der Informationstechnik
Das in Bonn ansässige Bundesamt für Sicherheit in der Informationstechnik (BSI)
wurde am 1. Januar 1991 gegründet und gehört zum Geschäftsbereich des
Bundesministeriums des Innern. Das BSI ist eine unabhängige und neutrale Stelle
für Fragen zur IT-Sicherheit in der Informationsgesellschaft. Die Bundesbehörde
beschäftigt über 450 spezialisierte Informatiker, Physiker, Mathematiker und andere
Mitarbeiter und ist damit im Vergleich zu sonstigen europäischen Einrichtungen als
Behörde einzigartig. Das Aufgabenspektrum des BSI ist vielschichtig und komplex
und deckt nahezu alle Themen rund um die IT-Sicherheit ab - von A wie
Akkreditierung über E wie E-Government oder Elektronische Signatur bis hin zu Z
wie Zertifizierung.
Das BSI analysiert IT-Entwicklungen und IT-Trends, untersucht Sicherheitsrisiken bei
der Anwendung der Informationstechnik und entwickelt Sicherheitslösungen in
Kooperation mit der Industrie. Zudem bietet das BSI mit den Standards zur
Informationssicherheit und den IT-Grundschutzkatalogen Unternehmen jeder
Größenordnung eine einfache Methode, dem Stand der Technik entsprechende IT-
Sicherheitsmaßnahmen zu identifizieren und umzusetzen.
5.2.2 Europäisches Kompetenzzentrum für IT-Sicherheit
Das im Jahre 1999 gegründete, in Bochum angesiedelte Europäische
Kompetenzzentrum für IT-Sicherheit (eurobits e.V.) hat sich innerhalb weniger Jahre
zu einem europaweit herausragenden Standort für IT-Sicherheit entwickelt.
Eurobits zeichnet sich durch Interdisziplinarität und die enge Verzahnung von
Forschung und Anwendung aus. Durch die Anbindung an die Ruhr-Universität
Bochum fließen neueste wissenschaftliche Erkenntnisse direkt in die Praxis ein. Die
zentrale Idee von eurobits besteht darin, neben internationaler Spitzenforschung auf
der Universitätsseite eine Umsetzung und Kommerzialisierung des enormen Know-
Hows durch Spin-Off-Unternehmen zu bewerkstelligen.
41

Horst Görtz Institute
for IT Security
Institute for eBusiness
Security
Abb. 5.2: Aufbau von eurobits e.V.
eurobits
European Competence Centre for IT Security
gits AG
Continuing
Education
escrypt GmbH
Embedded
Security
GITS Projekt GmbH
„Zentrum für IT Sicherheit“
sirrix AG
Network, PC
Security
Wie die Abbildung verdeutlicht bildet das Horst Görtz Institut für IT-Sicherheit (HGI)
(siehe Kapitel 3.2.2) die tragende Säule auf der wissenschaftlichen Seite. Das Institut
für Sicherheit im E-Business ist in das HGI eingebettet und befasst sich im
Gegensatz zum HGI nicht mit technischen, kryptografischen und mathematischen
Aspekten der Informationssicherheit, sondern mit ökonomischen Fragestellungen.
Der wissenschaftlichen Säule stehen mit der Gesellschaft für IT-Sicherheit (gits AG),
der escrypt GmbH und der gits Projekt GmbH Unternehmen gegenüber, die im
Umfeld von eurobits neu entstanden sind. Die Vorteile dieser Kooperation wurden
auch von der sirrix AG erkannt, die sich inzwischen dem eurobits e.V. angeschlossen
hat. Die Unternehmen sind im Zentrum für IT Sicherheit angesiedelt, das auf 4.000
Quadratmetern Büro-, Konferenz- und Seminarräume zur Verfügung stellt. Neben
den eurobits-Partnern sind weitere Firmen aus dem Gebiet der IT-Sicherheit in dem
Gebäude tätig und nutzen die zahlreichen Synergien, die eurobits bietet.
42

5.2.3 Industrie- und Handelskammer
Mit der Aufnahme einer gewerblichen Tätigkeit werden Unternehmen nach
gesetzlicher Regelung automatisch Mitglied bei der Industrie und Handelskammer.
Der IHK gehören Unternehmen aller Größenordnungen aus den Bereichen Industrie,
Handel und Dienstleistungen mit unterschiedlichsten Tätigkeitsschwerpunkten an.
Die Aufgabe der IHK besteht darin, die Standortqualität des jeweiligen Bezirks zu
fördern und das Gesamtinteresse der ansässigen Unternehmen wahrzunehmen.
Exemplarisch für sämtliche Industrie- und Handelskammern (IHK) in NRW werden
die Aktivitäten im IT-Sicherheitsbereich der IHK im mittleren Ruhrgebiet zu Bochum
betrachtet.
Die IHK Bochum bietet ihren Mitgliedsunternehmen verschiedene Möglichkeiten, sich
über IT-sicherheitsrelevante Themen zu informieren. Zum einen werden auf den
Webseiten der IHK zahlreiche Informationen mit IT-Sicherheitsbezug bereitgestellt,
zum anderen werden unter Mitwirkung externer Partner Fachvorträge angeboten. So
hielten in der Vergangenheit bspw. Herr Pommer von der Landesinitiative secureit.nrw
(siehe Kapitel 5.2.5) im Rahmen des IHK-Branchentreff Multimedia sowie Frau
Dr. Neuber und Herr Dr. Klempt vom Institut für Sicherheit im E-Business (ISEB) im
Rahmen des IHK-Mittelstandsforum Fachvorträge zu praxisrelevanten IT-
Sicherheitsthemen in den IHK-Räumlichkeiten.
Neben diesen Aktivitäten ist die IHK im mittleren Ruhrgebiet zu Bochum
Mitveranstalter verschiedener IT-Sicherheitsveranstaltungen, wie z.B. der IT-Trends
Sicherheit oder des NRW-Forschungstages IT-Sicherheit (s.u.).
5.2.4 Networker NRW e.V.
Der Unternehmerverein networker NRW e.V. wurde im Juli 2004 von den Vereinen
networker westfalen e.V. und ruhr networker e.V. gegründet und stellt mit mehr als
300 Mitgliedsunternehmen landesweit den größten und bundesweit den drittgrößten
IT-Interessenverband dar.
Die Ziele dieses IT-Dachverbandes liegen in der nachhaltigen Förderung und
Stärkung der Wirtschafts- und Wissenschaftsentwicklung im Bereich der
Informations- und Kommunikationswirtschaft in Nordrhein-Westfalen sowie in der
Bündelung der Leistungsfähigkeit und Förderung gemeinschaftlicher Projekte.
Weitere Ziele sind die Sicherung und der Ausbau von Arbeitsplätzen, die
Unterstützung von Ausbildungsinitiativen sowie die Interessenvertretung der
43

Mitgliedsunternehmen bspw. gegenüber dem Land, den IHK´s und den
Wirtschaftsförderungen.
Der networker NRW e.V. arbeitet mit den Städten und Kreisen über die
Wirtschaftsförderungsverbände der Regionen, den Industrie- und Handelskammern,
den Hochschulen, den Universitäten und Verbänden eng zusammen und führt in
regelmäßigen Abständen regionale und überregionale Veranstaltungen durch.
Das Veranstaltungsformat IT-TRENDS wird zu unterschiedlichen
Schwerpunktthemen angeboten und hat sich im Ruhrgebiet zu einem Markenzeichen
für Lösungen in der Informationstechnik entwickelt. Eine dieser
Schwerpunktveranstaltungen – die IT-Trends Sicherheit – wird seit 2005 jährlich in
Zusammenarbeit mit der Stadt Bochum, der IHK im mittleren Ruhrgebiet und
Eurobits (siehe Kapitel 5.2.2) im Zentrum für IT-Sicherheit in Bochum durchgeführt.
Die Veranstaltung wendet sich an Geschäftsführer und IT-Verantwortliche kleiner
und mittelständischer Unternehmen, um Informationen und Lösungen für aktuelle
Problemstellungen im Bereich der IT-Sicherheit vorzustellen.
5.2.5 Landesinitiative secure.it-nrw.de
Die bei der IHK Bonn/Rhein-Sieg angesiedelte Landesinitiative secure-it.nrw wird seit
Ende des Jahres 2001 vom Ministerium für Innovation, Wirtschaft, Forschung und
Technologie des Landes Nordrhein-Westfalen mit der Zielsetzung gefördert,
Unternehmen, Bürgerinnen und Bürger, Schülerinnen und Schüler sowie Lehrkräfte
über das Thema Informationssicherheit und Datenschutz zu informieren und zu
qualifizieren. Zur Erreichung dieser Zielsetzung entfaltet secure-it.nrw zahlreiche
Aktivitäten, die im Folgenden näher beleuchtet werden.
Der im Jahre 2004 ins Leben berufene IT-Sicherheitspreis NRW zeichnet besonders
vorbildliche Lösungen und Anwendungen zur IT-Sicherheit und zum Datenschutz
aus. Dieser Wettbewerb, an dem seit dem Jahr 2006 Unternehmen aus dem
gesamten Bundesgebiet teilnehmen können, hat sich als Marke etabliert und trägt
damit zum Standortmarketing des Landes NRW bei. Die Preisverleihung wird seit
2006 auf dem IT-Sicherheitstag NRW durch den NRW-Innovationsminister Prof.
Pinkwart vorgenommen, was den Stellenwert dieses Wettbewerbs zusätzlich
unterstreicht.
Der IT-Sicherheitstag NRW wird im Jahr 2007 bereits zum sechsten Mal stattfinden
und hat sich mittlerweile als eine der größten IT-Sicherheitsveranstaltungen dieser
44

Art in Deutschland etabliert. Die jährliche Veranstaltung wird in Zusammenarbeit mit
regionalen Veranstaltungspartnern durchgeführt und fand bislang in Köln, Bochum,
Düsseldorf, Aachen und Hagen statt (2002-2006). Im Fokus der diesjährigen
Veranstaltung, die wiederum in Köln stattfinden wird, stehen Leitlinien und Faktoren
für ein erfolgreiches IT-Sicherheitsmanagement. Neben den Fachvorträgen runden
eine Begleitausstellung sowie Workshops zur Vertiefung der Konferenzthemen das
Informationsangebot des IT-Sicherheitskongresses ab.
Der NRW-Forschungstag IT-Sicherheit als zentrale Schnittstelle zwischen Wirtschaft
und Wissenschaft wird nach 2006 in Aachen in diesem Jahr in Bochum stattfinden.
Im Rahmen des Fachkongresses werden Best Practice-Beispiele und Erfolgsfaktoren
für die Entwicklung innovativer IT-Sicherheitslösungen und marktnaher
Forschungsprojekte gezeigt. Das Ziel dieser Veranstaltung mit
Begleitausstellung liegt darin, Entwickler und Anwender von IT-Sicherheitslösungen
in einen intensiven Dialog zu bringen und so neue Impulse für anwendungsorientierte
Projekte zu schaffen.
Neben diesen Großveranstaltungen organisiert die Landesinitiative in regelmäßigen
Abständen halbtägige Workshops zu IT-Sicherheitsthemen, die unter Mitwirkung
verschiedener Veranstaltungspartner an unterschiedlichen Orten in NRW
durchgeführt werden. Zudem bietet secure-it.nrw zusammen mit
Kreispolizeibehörden und/oder örtlichen Banken und Sparkassen die
Kompaktveranstaltung Online-aber sicher! an, in der Bürgerinnen und Bürgern
Basiswissen im sicheren Umgang mit dem Computer und dem Internet vermittelt
wird. Im Rahmen der Lehrerfortbildung IT-Sicherheit macht Schule in NRW wurden
bislang mehr als 500 Lehrern Grundlagen zur IT-Sicherheit vermittelt.
Neben diesen Aktivitäten wurden von secure-it.nrw zahlreiche Broschüren zu
unterschiedlichen IT-Sicherheitsthemen veröffentlicht. Allein im Jahr 2006 wurden
insgesamt mehr als 37.000 Exemplare verbreitet. Auf der Webseite www.secureit.nrw
werden den Nutzern umfangreiche, aktuelle Informationen zu IT-
Sicherheitsthemen und IT-Sicherheitsveranstaltungen präsentiert, wobei die Zahl der
monatlichen Seitenzugriffe im Jahr 2006 zwischen 35.000 und 43.000 lag.
Seit 2007 hat die Landesinitiative das Angebotsspektrum um die Basisprüfung IT-
Sicherheit und das Branchenbuch IT-Sicherheit erweitert. Im Rahmen der
Basisprüfung IT-Sicherheit besuchen fachmännische IT-Berater im Namen von
secure-it.nrw Unternehmen, um nach einem testierten Fragebogen eine erste
45

Bestandsaufnahme über die IT-Sicherheitssituation im Unternehmen zu leisten. Mit
der Internetplattform Branchenbuch IT-Sicherheit, die zusammen mit dem Institut für
Internet-Sicherheit (IFIS) an der Fachhochschule Gelsenkirchen konzipiert wurde,
können Unternehmen und Privatpersonen wie in einem klassischen Branchenbuch
nach Anbietern von IT-Sicherheitslösungen suchen.
Die Finanzierung der Projektarbeit mit Fördermitteln ist bis zum 31.12.2009 befristet.
Um darüber hinaus die genannten Zielgruppen über das Thema IT-Sicherheit
weiterhin zu informieren und qualifizieren, wird derzeit geprüft, ob ein tragfähiges
Konzept auf der Basis privater oder öffentlicher Finanzierung formuliert werden
kann. 70
5.3 Institutionen mit Sitz außerhalb von NRW (und bundesweiten Aktivitäten)
5.3.1 Bundesverband Informationswirtschaft, Telekommunikation und neue
Medien e.V.
Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien
e.V (BITKOM) vertritt mehr als 1000 Unternehmen und bezeichnet sich selbst als das
Sprachrohr der IT-, Telekommunikations- und Neue-Medien-Branche. Laut eigenen
Angaben erwirtschaften die BITKOM-Mitgleider im deutschen ITK-Markt 120 Mrd. €
Umsatz und exportieren Hightech im Wert von 50 Mrd. €.
BITKOM organisiert einen permanenten Austausch zwischen Fach- und
Führungskräften und setzt sich insbesondere für eine Stärkung des ITK-Mittelstands
und die Förderung von Innovationen ein. BITKOM verfolgt das Ziel, die politischen
und wirtschaftlichen Rahmenbedingungen der ITK-Branche zu verbessern und somit
Wachstum und Beschäftigung in Deutschland zu schaffen.
Neben den Bereichen E-Government, E-Health, Bürokratieabbau, Mittelstandspolitik,
Business Intelligence, moderne Softwareentwicklung, Nachhaltigkeit und neue
Rundfunk- und Medienordnung stellt die IT-Sicherheit ein weiteres
Schwerpunktthema der BITKOM-Aktivitäten dar. 71
70 Die vorangegangenen Ausführungen basieren größtenteils auf einem persönlichen Gespräch,
das mit Herrn Faber, dem Geschäftsführer von secure-it.nrw, im Rahmen dieser Studie geführt
wurde. Weitere Informationen wurden secure-it.nrw (2007), S. 4ff. und dem Webauftritt der
Landesinitiative unter www.secure-it.nrw.de entnommen.
71 Vgl. BITKOM/BERGER (2007).
46

5.3.2 Deutschland sicher im Netz e.V.
Die Initiative Deutschland sicher im Netz wurde unter der Schirmherrschaft des
Bundesministeriums des Innern am 31. Januar 2005 von 13 Vertretern aus
Gesellschaft, Politik und Wirtschaft gestartet. Die inzwischen zu einem Verein
umfirmierte Initiative richtet sich insbesondere an private Anwender, Kinder und
Jugendliche, Behörden und Institutionen sowie kleine und mittlere Unternehmen. Das
Ziel besteht darin, diese Zielgruppen für die potentiellen Gefahren des Internets zu
sensibilisieren und Möglichkeiten aufzuzeigen, wie sich der eigene Online-Schutz
schnell und wirksam verbessern lässt. In diesem Rahmen unterstützt der Verein
auch die Bundesregierung bei der Umsetzung des Nationalen Plans zum Schutz der
Informationsinfrastrukturen im Bereich der Zielgruppen Bürgerinnen und Bürger
sowie der kleinen und mittelständischen Unternehmen. 72
5.3.3 Darmstädter Zentrum für IT-Sicherheit
Das Darmstädter Zentrum für IT-Sicherheit (DZI) ist eine zentrale Einrichtung der
Technischen Universität Darmstadt. Hier werden die Forschungsaktivitäten in Bezug
auf IT-Sicherheit von verschiedenen Fachbereichen der TU Darmstadt
zusammengeführt. Das DZI übernimmt organisatorische und administrative
Aufgaben zur Bündelung dieser Forschungsaktivitäten und kommuniziert die IT-
Sicherheitskompetenz an interessierte Presse und Projektinteressierte aus Wirtschaft
und Wissenschaft. An der TU Darmstadt hat sich somit ein national und international
anerkanntes wissenschaftliches Exzellenzzentrum für IT-Sicherheit etabliert.
Das DZI arbeitet mit verschiedenen Einrichtungen eng zusammen, u. a. mit dem
CAST e.V., dem Fraunhofer Institut Sichere Informationstechnologie (SIT) und dem
Institut für Internet-Sicherheit (IFIS).
72 Vgl. Deutschland sicher im Netz (2007).
47

Neben der Bündelung der IT-Sicherheitsforschung an der TU Darmstadt liegen
weitere Kernaufgaben des DZI in der
• Leitung von IT-Sicherheitsprojekten,
• der Koordination der beruflichen Weiterbildung mit dem Expertenzertifikat IT-
Sicherheit und Organisation der Schwerpunktbildung IT-Sicherheit im
Studium,
• der organisatorischen Hilfestellung bei der interdisziplinären Zusammenarbeit
in der Erforschung von IT-Sicherheitsthemen,
• Bewusstseinsbildung über heutigen Stellenwert der IT-Sicherheit für alle
Bürger.
An der TU Darmstadt befassen sich drei Lehrstühle direkt mit IT-Sicherheit. Im
Einzelnen sind dies der Lehrstuhl für Theoretische Informatik (Cryptographie and
Computeralgebra), der Lehrstuhl für Sicherheit in der Informationstechnik sowie der
Lehrstuhl für Formal Methods and Information Security. Weitere IT-
Sicherheitskompetenzen der TU Darmstadt liegen in den Bereichen Integrierte
Schaltungen und Systeme, Telekooperation, Multimedia Kommunikation und
Dependable Embedded Systems & Software.
Im Folgenden werden die Forschungsprojekte des DZI kurz skizziert. Beim Projekt
SicAri (Sicherheitsarchitektur und deren Anwendungen für die ubiquitäre
Internetnutzung) wird die Entwicklung einer Sicherheitsplattform mit den
entsprechenden Werkzeugen erforscht, um Internetanwendungen zu jeder Zeit, an
jedem Ort und mit jedem Gerät sicher nutzen zu können.
Bei dem Projekt TUDcard und digitaler Campus wird die Entwicklung der
innovativsten Studierendenkarte Deutschlands fokussiert. Mit der TUDcard können
sich die Studierenden ortsunabhängig und sicher zu Veranstaltungen anmelden,
Prüfgungsnoten abrufen sowie Lernmodule und eBooks herunterladen.
Gebäudezugang rund um die Uhr, kostenlose Schließfächer sowie anonyme
Zahlungen in der Mensa und an Automaten sind weitere Beispiele, wie das Studieren
an der TU Darmstadt mit der innovativen Kartentechnologie vereinfacht werden soll.
Ein weiteres Projekt fokussiert die Erforschung, Entwicklung und Umsetzung
wesentlicher Teile der Sicherheitstechnologie für den elektronischen Reisepass. Die
in Zusammenarbeit mit dem Unternehmen FlexSecure entwickelte
Zertifizierungstechnologie für den elektronischen Reisepass ist von zahlreichen
Ländern der EU übernommen worden.
48

Zu den Außenaktivitäten des DZI zählen ein regelmäßiger Newsletter, die
Organisation von Konferenzen, Ringvorlesungen und Veranstaltungen, die
Vorbereitung und Durchführung von CAST-Workshops sowie Vorträge bei
Veranstaltungen und Kongressen zum Thema IT-Sicherheit
5.3.4 Initiative D21 e.V.
Die im Jahre 1999 gegründete Initiative D21 umfasst ein parteien- und
branchenübergreifendes Netzwerk von 200 Mitgliedsunternehmen und -institutionen
sowie politischen Partnern aus Bund, Ländern und Kommunen und ist damit Europas
größte Partnerschaft von Politik und Wirtschaft in der Informationsgesellschaft. Die
als gemeinnütziger Verein eingetragene Initiative verfolgt das Ziel, durch bessere
Bildung, Qualifikation und Innovationsfähigkeit wirtschaftliches Wachstum zu
stimulieren, zukunftsfähige Arbeitsplätze zu sichern und die Informationsgesellschaft
im Deutschland des 21. Jahrhunderts zu stärken. Die praxisorientierten
gemeinnützigen Projekte, die von mindestens zwei Mitgliedsunternehmen und einem
politischen Partner getragen werden, fokussieren dabei insbesondere die Digitale
Integration, Digitale Kompetenz und Digitale Exzellenz, wobei das Thema IT-
Sicherheit eine untergeordnete Rolle spielt. 73
5.3.5 Nationale Initiative für Informations- und Internet-Sicherheit e.V.
Die Nationale Initiative für Informations- und Internet-Sicherheit (NIFIS e.V.) wurde
im Jahr 2005 von den Unternehmen KPMG, Compuware, Interxion, Clara.net,
Controlware, IT Advisory Group, IT-Kanzlei dr-lapp.de, CERTCOM und
der Unternehmungsberatung Dripke gegründet. NIFIS verfolgt das Ziel, Unternehmen
im Kampf gegen die wachsenden Gefahren aus dem Internet technisch,
organisatorisch und rechtlich zu stärken und die Vertraulichkeit, Verfügbarkeit und
Integrität von Daten in digitalen Netzwerken zu fördern und sicherzustellen. NIFIS
positioniert sich als neutrale, unabhängige und erste nationale Initiative in
Deutschland, die das Thema Internetsicherheit interdisziplinär behandelt und als
Plattform für einen branchenübergreifenden und interdisziplinären
Erfahrungsaustausch zwischen Wirtschaft, Wissenschaft und Politik fungiert. 74
73 Vgl. Initiative D21 e.V. (2007).
74 Vgl. NIFIS e.V. (2007)
49

5.3.6 Teletrust Deutschland e.V.
Der in Bonn ansässige Verein TeleTrusT Deutschland e.V. wurde 1989 gegründet,
um die Vertrauenswürdigkeit von Informations- und Kommunikationstechnik in einer
offenen Systemumgebung zu fördern. Per Satzung hat der gemeinnützige Verein
sich zur Aufgabe gemacht
• wissenschaftliche Arbeiten und externe Studien zur Sicherung der öffentlichen
Informationsübertragung zwischen Institutionen und Privatpersonen zu
unterstützen,
• wissenschaftliche Ergebnisse durch Veröffentlichungen, Vorträge, Workshops
und der Mitarbeit in Normungsgremien - insbesondere auch im Hinblick auf
das vereinigte Europa - zu verbreiten,
• die gesellschaftliche und rechtliche Akzeptanz der Digitalen Unterschrift durch
Mitwirkung in interdisziplinären Arbeitskreisen zu fördern und
• mit internationalen Vereinigungen vergleichbarer Zielsetzung zur
Harmonisierung von Programmen für eine sichere Informations- und
Kommunikationstechnik in Europa zusammenzuarbeiten.
Derzeit zählt der Verein knappt 90 Mitglieder (u. a. auch das BSI) und unterhält
weitere 7 Kooperationen, so auch mit den Initiativen D21 und Deutschland sicher im
Netz (siehe Kapitel 5.3.2 und 5.3.4). 75
75 Vgl. Teletrust (2007)
50

6. Fazit und Zusammenfassung
IT-Sicherheit hat sich in der jüngsten Vergangenheit als wichtiger Wirtschaftsfaktor
etabliert: wie in 4.3 ausgeführt, ist IT-Sicherheit dabei ein wichtiger
Wettbewerbsfaktor und business-enabler, der innovative Dienstleistungen im Bereich
der Gesundheit, des Bank- und Automobilwesens erst möglich macht.
Erinnert seien in diesem Zusammenhang an die Gesundheitskarte (4.3.1), Basel II
(4.3.2) sowie IT-getriebene Innovationen im Automobilbereich (4.3.3). Dabei wird die
Gesundheitskarte neben Optimierungspotential auch eine bessere Betreuung der
Patienten erlauben. Dies ist allerdings nur möglich, wenn Datenschutzaspekte und
damit IT-Sicherheitsprobleme zufrieden stellend gelöst sind. Der im Bereich des
Bankwesens und der Liquiditätsversorgung von Unternehmen wichtige Aspekt
Basel II macht die Verfügbarkeit von IT zu einem Faktor für die Kreditvergabe.
„IT-sichere“ Unternehmen haben damit einen in Euro und Cent ausdrückbaren Vorteil
vor anderen Firmen bei der Refinanzierung ihrer innovativen Geschäftstätigkeit.
Bekannter Weise sind in Deutschland auf Grund ihrer dünnen Eigenkapitaldecke
besonders KMU von Bankkrediten abhängig. Damit haben Regionen, in denen alle
Unternehmen von einer Sicherheitskultur durchdrungen sind, einen
Wettbewerbsvorteil durch geringere Kapitalkosten. Abschließend sei noch der
Automobilbereich angesprochen. Hier erwarten die großen Autohersteller vor allem
IT-getriebene Innovationen. Auf Grund der inhärent größeren Auswirkung von
Software-Fehlern in diesem Umfeld wird IT-Sicherheit hier wortwörtlich
„lebenswichtig“.
Wie in 3.2 (Hochschul- und Forschungseinrichtungen in NRW), 4.2 (Anbieter von IT-
Sicherheitsleistungen in NRW) sowie 5.2 (Institutionen mit Sitz in NRW) dargestellt,
ist Nordrhein-Westfalen im Bereich der IT-Sicherheit im Vergleich mit dem übrigen
Bundesgebiet bereits sehr gut aufgestellt. Die positiven Aspekte für
Strukturentwicklung und -wandel sowie auf den Arbeitsmarkt seien hier nur der
Vollständigkeit halber nochmals erwähnt.
51

Allerdings hat sich im Rahmen dieser Analyse auch gezeigt, dass für eine
funktionierende IT-Sicherheitslandschaft ein möglichst breites Vorkommen an den
hier genannten Akteuren jedoch nur die hinreichende Bedingung ist. Notwendig ist
darüber hinaus die Vernetzung der Akteure. Hierbei geht es um vielfältige
Beziehungen, dazu gehören unter anderem:
• der Wissenstransfer von Hochschulen und weiteren Forschungseinrichtungen zu
den Unternehmen sowie umgekehrt die Aufnahme von Anforderungen aus der
Industrie seitens der Hochschulen,
• der Austausch zwischen Anbietern von IT-Sicherheitsleistungen und
nachfragenden Unternehmen (potentiellen Kunden),
• die Identifikation und Schließung von Wissens- und Vernetzungsdefiziten bei
Unternehmen durch Verbände, Kammern und Initiativen,
• die Abstimmung der Verbände und Initiativen untereinander sowie mit den
Hochschulen und Forschungseinrichtungen.
Prof. Claudia Eckert, Leiterin des Fraunhofer-Instituts für sichere Informationstechnik
(SIT) hat dies in ihrem Urteil „stark zersplittert“ über die deutsche IT-Sicherheitsszene
plakativ auf den Punkt gebracht. Als Hauptproblem wird von ihr identifiziert, dass die
unterschiedlichen Akteure nicht „an einem Strang ziehen“, wodurch eine Bündelung
der Kräfte derzeit „nicht stattfindet“. 76
Dies kann als Fazit des vorliegenden Berichtes nur unterstrichen werden.
Insbesondere bei kleineren und mittleren Unternehmen (KMU) zeigten auch andere
Untersuchungen in der Vergangenheit immer wieder, dass eine Vernetzung nicht in
ausreichendem Maße stattfindet. Grund ist hier die geringe Kapital- und
Personalausstattung der KMU, der für strategische Projekte leider zu wenig Raum
lässt. Volkswirtschaftlich bedenklich ist, dass darunter sowohl der Wissenstransfer
leidet wie auch der Schutz vor IT-Sicherheitsbedrohungen. Durch die Förderung des
Auf- und Ausbaus einer breiten und vernetzten IT-Sicherheitslandschaft von Seiten
der Regierung oder auch durch andere Institutionen können so ganze Regionen oder
einzelne Länder den Wandel der Informationsgesellschaft beschleunigen und
dadurch in höherem Maße an den potentiellen Wohlfahrtseffekten partizipieren.
76 Vgl. Seiler (2006).
52

Hauptaugenmerk muss hierbei auf der Vernetzung bestehender Akteure liegen, am
besten im Rahmen einer Kooperation zwischen KMU auf der einen und Universitäten
auf der anderen Seite.
Es wäre daher zu überlegen, ob man das in 5.2.2 dargestellte Europäische
Kompetenzzentrum für IT-Sicherheit mit Sitz in Bochum im Sinne eines „best
practice“ Ansatzes nicht entsprechend unterstützen sollte. Dies würde auch
Synergien mit der derzeit ausgeschriebenen Initiative „Bochum 2015“ erzeugen, die
sich u.a. im Bereich Informationstechnik / IT-Sicherheit aufstellt.
53

Literatur
/Microsoft (2004a): /Microsoft-Sicherheitsstudie 2004 – Lagebericht zur
Informationssicherheit (1), in: – Die Zeitschrift für Informationssicherheit, Heft
4/2004, S. 6-13.
/Microsoft (2004b): /Microsoft-Sicherheitsstudie 2004 – Lagebericht zur
Informationssicherheit (2), in: – Die Zeitschrift für Informationssicherheit, Heft
5/2004, S. 6-17.
/Microsoft (2006a): /Microsoft-Sicherheitsstudie 2006 – Lagebericht zur
Informationssicherheit (1), in: – Die Zeitschrift für Informationssicherheit, Heft
4/2006, S. 24-31.
/Microsoft (2006b): /Microsoft-Sicherheitsstudie 2006 – Lagebericht zur
Informationssicherheit (2), in: – Die Zeitschrift für Informationssicherheit, Heft
5/2006, S. 40-51.
BGBl I vom 27. April 1998, S786-794, Gesetz zur Kontrolle und Transparenz im
Unternehmensbereich (KonTraG).
BITKOM (2003): Sicherheit für Systeme und Netze in Unternehmen, 2. überarb.
Aufl., http://BITKOM.org/files/documents/ACF897.pdf, abgerufen Dezember 2003.
BITKOM (2005): IT, Telekommunikation und neue Medien in Deutschland – Lage
und Perspektiven der Branche, Handlungsempfehlungen für die Politik, Berlin, 2005.
BITKOM (2006): Daten zur Informationsgesellschaft – Status Quo und Perspektiven
Deutschlands im internationalen Vergleich, Berlin, 2006.
BITKOM; Roland Berger Strategy Consultants (2007): Zukunft digitale Wirtschaft
– Volkswirtschaftliche Bedeutung der ITK-Wirtschaft, Strategische Wachstumsfelder,
Empfehlungen an Politik und Unternehmen in Deutschland, Berlin 2007.
Bon, Markus (2004): Modellierung und Abwicklung von Datenflüssen in
unternehmens-übergreifenden Geschäftsprozessen, zugl. Dissertation an der TU
Kaiserslautern, Berlin 2004.
BSI (2004): BSI-Monitoring - Repräsentative Umfrage unter IT-Beauftragten,
Datenschutzbeauftragten und Journalisten zur Evaluierung der Öffentlichkeitsarbeit
des BSI. Februar 2004.
BSI (2005a): BSI-Standard 100-1: Managementsysteme für Informationssicherheit
(ISMS), Version 1.0, Stand Dezember 2005.
BSI (2005d): IT-Grundschutzkataloge, Stand November 2005.
54

BSI (2005e): BSI-Studie: Bürger zu sorglos im Internet,
http://www.bsi.bund.de/presse/pressinf/270105ohn_Virensch.htm#inhaltabgerufen
Juli 2006.
BSI (2005f): Die Lage der IT-Sicherheit in Deutschland 2005,
http://www.bsi.bund.de/literat/lagebericht/lagebericht2005.pdf, abgerufen Juli 2006.
BSI (2006a): Leitfaden IT-Sicherheit – IT-Grundschutz kompakt,
http://www.bsi.de/gshb/Leitfaden/GS-Leitfaden.pdf, abgerufen Juli 2006.
BSI (2007): Die Lage der IT-Sicherheit in Deutschland 2007,
http://www.bsi.de/literat/lagebericht/index.htm, abgerufen Juli 2007.
BT-Drs. 13/9712 vom 28. Januar 1998, in: Verhandlungen des Deutschen
Bundestages, 13. Wahlperiode.
Bundesministerium für Bildung und Forschung (2007): IKT 2020 – Forschung für
Innovationen, Bonn, Berlin, 2007
Capgemini (2005): Studie IT-Trends 2005 – Paradigmenwechsel in Sicht,
http://www.de.capgemini.com/m/de/tl/IT-Trends_2005.pdf, abgerufen Juli 2007.
Capgemini (2006): Studie IT-Trends 2006, www.de.capgemini.com/m/de/tl/IT-
Trends_2006.pdf, abgerufen August 2007.
Capgemini (2007): Studie IT-Trends 2007 – IT ermöglicht neue Freiheitsgrade,
www.de.capgemini.com/m/de/tl/IT-Trends_2007.pdf abgerufen August 2007.
CIO (2007): Gesetzliche Anforderungen bringen Investitionsschub,
http://www.cio.de/financeit/strategien/830252/index1.html, abgerufen August 2007.
Công Bùi, Franz (2005): IT-Sicherheit spielt wichtige Rolle bei Basel II, in:
Börsenzeitung vom 07.05.05, Nr. 87, S. 12.
Einhaus, Christian (2002): Operationelle Risiken in Kreditinstituten, in: Sparkasse,
Heft 12/2002, S. 566-569.
Einhaus (2004): IT-Sicherheit als operationelles Risiko, Vortrag im Rahmen des
ISEB XChange-Seminars vom 3. November 2004 in Bochum.
Einhaus, Christian (2006): Potenziale des Wissensmanagements zur Behandlung
operationeller Risiken in der Kreditwirtschaft, zugl. Dissertation an der Ruhr-
Universität Bochum 2005, Frankfurt am Main, 2006.
Eurostat (2007): Regionales BIP je Einwohner in der EU27, Pressemitteilung
23/2007 vom 19. Februar 2007.
55

Experton Group AG (2007): Neue Studie der Experton Group zur IT-Sicherheit: Der
Wettlauf zwischen Hase und Igel geht weiter, http://www.expertongroup.de/press/releases/pressrelease/article/neue-studie-der-experton-group-zur-itsicherheit-der-wettlauf-zwischen-hase-und-igel-geht-weiter.html,
abgerufen August
2007.
Freiwald, Stephanie (2005): Supply Chain Design: Robuste Planung mit
differenzierter Auswahl der Zulieferer, zugl. Dissertation an der Ruhr-Universität
Bochum 2005, Frankfurt am Main 2005.
Göpfert, Ingrid (2004): Einführung, Abgrenzung und Weiterentwicklung des Supply
Chain Managements, in: Busch, A.; Dangelmaier, W. (Hrsg.): Integriertes Supply
Chain Management – Theorie und Praxis unternehmensübergreifender
Geschäftsprozesse, 2. Aufl., Wiesbaden 2004, S. 25 – 44.
Görtz, Horst; Stolp, Jutta (1999): Informationssicherheit in Unternehmen –
Sicherheitskonzepte und -lösungen in der Praxis, Bonn, 1999.
Hoppe, Gabriela; Prieß, Andreas (2003): Sicherheit von Informationssystemen, 1.
Aufl., Herne u. a., 2003.
Industrie und Handelskammer im mittleren Ruhrgebiet zu Bochum (2007): IHK-
Branchenuntersuchung „Informations- und Telekommunikationstechnologie (ITK)“,
Bochum, 2007.
Initiative D21 (2001): IT-Sicherheitskriterien im Vergleich – Ein Leitfaden der
Projektgruppe IT-Sicherheitskriterien und IT-Grundschutz-Zertifikat / Qualifizierung,
Stand: 20.12.2001,
Institute for Information Economics (IIE) (2006a): Monitoring
Informationswirtschaft, 6. Trendbericht und Trendbarometer 2006, Band I, Hattingen,
April 2006.
Institute for Information Economics (IIE) (2006b): Monitoring
Informationswirtschaft, 6. Trendbericht und Trendbarometer 2006, Band II, Hattingen,
April 2006.
Kajüter, Peter (2004): Die Regulierung des Risikomanagements im internationalen
Vergleich, in: Hachmeister, Dirk (Hrsg.): Risikomanagement und Controlling,
Sonderheft 3, 2004, S. 12-25, in: Weber, Jürgen; Hess, Thomas (Hrsg.): ZfCM –
Zeitschrift für Controlling & Management, 48. Jg, 2004.
56

Klasen, Wolfgang; Rosenbaum, Ute (1996): Informationssicherheit in IT-
Anwendungen, in: HMD – Praxis der Wirtschaftsinformatik, Heft 190, Juli 1996, S.
15-30.
Klempt, Philipp (2007): Effiziente Reduktion von IT-Risiken im Rahmen des
Risikomanagementprozesses, zugl. Dissertation an der Ruhr-Universität Bochum,
Bochum, 2007.
Konrad, Peter (1998): Geschäftsprozess-orientierte Simulation der
Informationssicherheit: Entwicklung und empirische Evaluierung eines Systems zur
Unterstützung des Sicherheitsmanagements, zugl. Dissertation an der Universität
Köln, Lohmar, 1998.
Lackes, Richard (2004): Information system for supporting supply chain
management, in: Dyckhoff, Harald (Hrsg.): Supply Chain management and reverse
logistics, Berlin 2004, S. 405 - 426.
Picot, Gerhard (2001): Überblick über die Kontrollmechanismen im Unternehmen
nach KonTraG, in: Lange, Knut Werner; Wall, Friederike (Hrsg.): Risikomanagement
nach dem KonTraG, München, 2001, S. 5-37.
Pohl, Hartmut (2004): Taxonomie und Modellbildung in der Informationssicherheit,
in: DuD – Datenschutz und Datensicherheit, Jg. 28, Heft 11/2004, S. 678-685.
Reichling, Peter (2003b): Basel II: Rating und Kreditkonditionen, in: Reichling, Peter
(Hrsg.): Risikomanagement und Rating, Wiesbaden, 2003, S. 5-19.
Romeike, Frank (2003c): Gesetzliche Grundlagen, Einordnung und Trends, in:
Romeike, Frank; Finke, Robert B. (Hrsg.): Erfolgsfaktor Risiko-Management,
Wiesbaden, 2003, S. 65-80.
Romeike, Frank (2004a): IT Risk Management vor dem Hintergrund von Basel II
und Solvency II , in: DuD – Datenschutz und Datensicherheit, Jg. 28, Heft 6/2004, S.
335-339.
Schäffter, Markus (2002): IT-Entscheider in der Verantwortung, in: – Die
Zeitschrift für Informationssicherheit, Heft 4/2002, S. 10-16.
Schöne, Franziska (2003): Erfordernis von Risikomanagement und Rating, in:
Reichling, Peter (Hrsg.): Risikomanagement und Rating, Wiesbaden, 2003, S. 90-
106.
Seiler, Martin (2006): Die deutsche Security-Szene birgt noch Potential, in:
Computerwoche.de vom 18.10.2006.
57

secure-it.nrw (2007): Jahresbericht 2006 der Initiative secure-it.nrw, Bonn, 2007.
Steven, Marion; Tengler, Sebastian (2005): Informationssicherheit im Supply Chain
Management, in: WiSt – Wirtschaftswissenschaftliches Studium, Heft 6/2005, S. 345
- 348.
TNS Infratest Forschung GmbH (2006): Monitoring Informations- und
Kommunikationswirtschaft – 9. Faktenbericht 2006, München, April 2006.
TNS Infratest Forschung GmbH (2007a): Monitoring Informations- und
Kommunikationswirtschaft – 1. ePerformance Report – Deutschland im Vergleich,
München, Juli 2007.
TNS Infratest Forschung GmbH (2007b): Monitoring Informations- und
Kommunikationswirtschaft – 10. Faktenbericht 2007, München, Juli 2007.
van den Brink, Gerrit Jan (2003): Quantifizierung operationeller Risiken – Ein Weg
zur Einbettung in den Management-Zyklus, in: risknews, Ausgabe 01/2003, S. 26-36.
von Hohnhorst, Georg (2002):Anforderungen an das Risikomanagement nach
KonTraG, in: Hölscher, Reinhold; Elfgen, Ralph (Hrsg.): Herausforderungen
Risikomanagement – Identifikation, Bewertung und Steuerung industrieller Risiken,
Wiesbaden 2002, S. 91-109.
Werners, Brigitte; Klempt, Philipp (2007): Management von IT-Risiken in Supply
Chains, in: Vahrenkamp, Richard; Siepermann, Christoph (Hrsg.):
Risikomanagement in der Supply Chain, S. 287 – 300, Berlin 2007.
Wolf, Marko; Weimerskirch, André; Wollinger, Thomas (2007): State of the Art:
Embedding Security in Vehicles, in: EURASIP Journal on Embedded Systems,
Volume 2007, article ID 74706, 2007.
58