Zwischenruf Nr. 5

--- 07.09.2021 ---

Erst Avira, dann Sophos und Avast: Warum die Übernahmewelle bei den Virenschützern unsere IT-Sicherheit untergräbt

In den Tageszeitungen ist es nur eine Randnotiz. „Norton übernimmt Avast“ tickerten die Nachrichtenagenturen Anfang August. Das US-amerikanisches IT-Sicherheitsunternehmen NortonLifeLock kauft für acht Milliarden US-Dollar den größten Konkurrenten in Tschechien. Ein Deal nach bekanntem Strickmuster: Das US-Unternehmen will Know-How und Marktanteile in Europa dazu kaufen.

Das ist erlaubt und normalerweise kein Grund zur Sorge. Bei Branchenkennern läuten trotzdem die Alarmglocken. NortonLifeLock, besser bekannt unter seinem früheren Namen Symantec, schluckte bereits Ende 2020 den deutschen Virenschutz-Spezialisten Avira. Experten sehen darin den Vorboten einer Konsolidierungswelle, die auch in Europa weitere Unternehmen erfassen und wegspülen wird. Vor knapp einem Jahr, im Oktober 2020, hatte der US-Finanzinvestor Thoma Bravo bereits die Sophos AG - den größten britischen Anbieter von Virenschutzprogrammen - geschluckt.

Die Shoppingtour der US-Sicherheitsunternehmen trifft Europa an einer empfindlichen Stelle. Sicherheitssoftware ist zunehmend Cloud-basiert. Sonst könnte sie auf aktuelle Bedrohungen nicht so schnell reagieren. Mit dem Anschluss an solch eine Cloud gehen die Kunden allerdings zusätzliche Risiken ein. Ein vergleichsweise schwer einsehbarer Datenkanal zwischen den IT-Systemen der Kunden und dem Rechenzentrum des IT-Sicherheitsanbieters schöpft permanent verdächtige und weniger verdächtige Daten ab - und kann deshalb leicht missbraucht werden. Wie bei dem von der Bundesregierung ins Leben gerufenen europäischen Cloud-Projekt Gaia-X wird plötzlich die Herkunft des Anbieters sowie die Standorte der Rechenzentren zum entscheidenden Kriterium: Welche Unternehmen sind vertrauenswürdig genug, um ihnen den Zugriff auf diese Datenschätze zu gewähren? Deutschen und europäischen Anbietern eilt zumindest nicht der Ruf voraus, enge Verbindungen zu den Geheimdiensten in den USA und Russland zu pflegen.

Eigentlich hatte die Bundesregierung im Frühjahr 2021 einen Schutzwall gebaut, mit dem sie solche Übernahmen verhindern kann. Bei der Novelle des Außenwirtschaftsgesetzes setzte die Bundesregierung die Cybersicherheit auf die Liste der sicherheitskritischen Branchen, bei denen sie Veränderungen im Gesellschafterkreis ab einem Schwellwert von über 20 Prozent prüfen und untersagen kann. Das Problem ist nur: Der Bundeswirtschaftsminister will davon nur in Ausnahmefällen Gebrauch machen und hat dies bis jetzt auch noch nicht getan.

Die Bundesregierung sollte genauer hinschauen, welche ausländischen Unternehmen sich deutsche und europäische Cybersecurity-Technologien aneignen. Im Gegensatz zu anderen IT-Märkten gibt es noch keinen Monopolisten wie Google, Microsoft, Amazon oder Facebook, der die Spielregeln auf diesem sensiblen Markt bestimmt. Das Segment Cybersecurity wächst mit intakten Marktstrukturen und einer kaum noch zu überschauenden Zahl von Spezialisten, von denen keiner einen Marktanteil von mehr als zehn Prozent hat. Selbst der US-Riese Microsoft hat es trotz Investitionen in Milliardenhöhe bisher nicht geschafft, den im Betriebssystem Windows vorinstallierten Defender zum bevorzugten Schutz gegen Cyberangriffe auf den PC auszubauen.

Wenn Europa diese Marktstruktur erhalten will, sollten die hiesigen Unternehmen genauso so schnell wachsen wie die US-amerikanische Konkurrenz. Bisher hinken sie allerdings weit hinterher. Von den Top 500 der IT-Security-Branche, so eine Analyse des Marktforschers Securityventures, kommen nur 67 aus Europa. Deutschland fällt mit sechs Security-Unternehmen sogar hinter Großbritannien, Frankreich und Schweden zurück. Besonders schlimm ist: Keines der deutschen Top-Unternehmen schafft den Sprung unter die Top 100.

Das zu ändern, könnte eine ganz wichtige Aufgabe der neuen Bundesregierung sein. Sonst geraten die Wahlversprechen für mehr digitale Souveränität schnell zur inhaltsleeren Floskel. Bund, Länder und Gemeinden sollten ihre digitale Aufholjagd so gestalten, das Deutschland sein Schicksal bei der Abwehr von schweren Cyberangriffen in die eigene Hand nehmen kann.

 

„Der Glaube an das Gute der Digitalisierung geht verloren, wenn wir durch zu viele Sicherheitsrisiken die Kontrolle über diese Technologie verlieren.“

Über mich

Was mich bewegt

Digitalisierung, datenschutz, IT-Sicherheit

Die Diskussionen über die Digitalwelt in Europa sind gespickt mit Halbwissen und Widersprüchen. Weite Teile von Politik und Wirtschaft erkennen zwar, dass die Wettbewerbsfähigkeit unseres Landes von einer möglichst schnellen Digitalisierung abhängt. Nur getan haben die Verantwortlichen dafür viel zu wenig. Die meisten schauen zu, wie die digitalen Supermächte USA und China ihren Vorsprung ausbauen. Und klammern sich dabei an ein Gottvertrauen in alles Gute dieser technologischen Revolution. Die vielen Sicherheitsrisiken aber werden ignoriert und ausgeblendet — weit mehr als in jedem anderen gesellschaftlichen Bereich.

Über das Ergebnis ärgern wir uns jeden Tag: Ein eher stümperhaft zusammengestückeltes Internet, das — wäre es ein Auto oder ein Wohnhaus — wegen gravierender Mängel überhaupt keine Zulassung der Aufsichtsbehörden bekommen würde. Dabei braucht die jetzt entstehende Gigabit-Gesellschaft ein stabiles Fundament aus hochwertigen Netzen, Software und Hardware ohne Qualitätsmängel und Schwachstellen. Nur verlaufen bisher die meisten Initiativen im Sande. Die politisch Verantwortlichen vertrauen lieber der Selbsthilfe und wälzen die Lösung des Problems auf eher schlecht ausgebildete Computernutzer ab.

Dass diese Strategie nicht die erhofften Erfolge bringt, beweisen die Zahlen: Jedes Jahr wachsen die Bedrohung und die Schäden durch von Geheimdiensten gesteuerte Hacker-Banden, die unsere IT-Systeme lahmlegen und ausspionieren. Mehr noch: Sogar IT-Konzerne schrecken nicht davor zurück, unsere Privatsphäre zu verletzen. Als eines von 60 Opfern der Spitzelaffäre bei der Deutschen Telekom habe ich es selbst erlebt und Lehren daraus gezogen: Ich will weiter über das Thema Cybersecurity aufklären und in Zukunft Spannendes und Erhellendes auf dieser Website berichten. Deswegen publiziere ich hier auch unter meinem Spitznamen CyberBerke, der mir aufgrund meiner umfangreichen journalistischen Arbeit zu diesen Themen schon vor einigen Jahren zugeschrieben wurde.

Wer ich bin

Journalist, Volkswirt, Boulespieler

Mein Name ist Jürgen Berke. Ich bin 63 Jahre alt und schreibe seit mehr als 30 Jahren für die WirtschaftsWoche über alle Themen rund um Digitalisierung. Inzwischen gleite ich in den Ruhestand und schaffe mir mit dieser Web-Seite meine eigene Plattform, auf der ich Ergebnisse meiner Recherchen und meine Einschätzungen zu aktuellen Entwicklungen publizieren werde. Als Volkswirt sozialwissenschaftlicher Richtung schaue ich mir gerne die technologischen und gesellschaftlichen Auswirkungen einer zunehmenden Vernetzung aller Lebensbereiche an.

Privat geht es bei mir noch sehr analog zu. Ich radele meist abseits viel befahrener Straßen ohne Elektromotor durchs Land und freue mich über jede alte Bahntrasse, die zu einem Radschnellweg umgebaut wird. Viel Zeit verbringe ich auf den Boule-Plätzen in Köln und Umgebung. Der französische Nationalsport ist meine zweite große Leidenschaft.

 

Kurzvita

Geboren 1958 in Bochum. Journalistische Ausbildung ab 1979 an der Kölner Schule — Institut für Publizistik. Parallel — ab 1980 — Studium der Volkswirtschaftslehre und Soziologie an der Universität in Köln. Abschluss als Diplom-Volkswirt sozialwissenschaftlicher Richtung. Danach 32 Jahre lang Redakteur für die „WirtschaftsWoche“. Seit 2020 ehrenamtlich tätig im Europäischen Kompetenzzentrum für Sicherheit in der Informationstechnologie (Eurobits e.V.) in Bochum.

Mehr auf Wikipedia

„Wäre das Internet ein Auto oder Wohnhaus, dann würde es wegen gravierender Mängel keine Zulassung der Aufsichtsbehörden bekommen.“