Security-Markt transparenter machen

Ein Besuch der it-sa in Nürnberg reicht, um zu ahnen, wie schwierig es für Unternehmen sein muss, die passenden Lösungen für mehr IT-Sicherheit zu finden. Wie soll ein Unternehmen ohne qualifizierte eigene Security-Abteilung bei der Vielzahl an angeblich besten Lösungen noch durchblicken? Was braucht man tatsächlich? Gibt es nicht längst genug ungenutzte Lösungen im Keller, die man teuer bezahlt? Bosch CyberCompare will Unternehmen dabei unterstützen, die für sie passenden Security-Lösungen zu finden. Ein Interview mit Jannis Stemmann, VP des Bosch-Tochterunternehmens.

Herr Stemmann, mit Bosch verbinde ich nicht unbedingt Cybersecurity. Warum hat Bosch ein Tochterunternehmen zu diesem Thema gegründet? Ist ein Grund, dass OT-Security eine immer größere Rolle spielt?

Jannis Stemmann: Zum einen hat Bosch erkannt, dass es in diesem Markt keine Interessenvertretung von Kunden gab. Es gibt Interessenvertretungen für die mehreren 1.000 Anbieter, zu denen auch die Systemhäuser, Systemintegratoren oder Beratungen gehören. Der Grundgedanke von CyberCompare war daher eine Form von Einkaufsgenossenschaft zu gründen, weil wir gesehen haben, dass der Markt aus unserer Sicht sehr ineffizient ist und auch in die falsche Richtung geht. Er ist sowohl von der Anbieterseite als auch von der Kundenseite ineffizient. Und das heißt, in erster Linie ging es darum, dass Bosch erkannt hat, dass das Problem weniger die Technik im Bereich Security ist, sondern der Einsatz von Ressourcen. Der größte Kostenblock bei den Anbietern ist Marketing und Sales und nicht die Entwicklung technischer Lösungen. Daraus entstand die Überlegung, den Markt etwas transparenter zu gestalten. Daher rührt auch unser Anspruch, Security bezahlbar zu machen.

Welche Rolle spielt Bosch selbst in Ihrem Unternehmen?

Wir sind komplett unabhängig vom Kerngeschäft von Bosch, auch wenn wir einige Grundfunktionen eines Unternehmens wie Rechnungslegung oder HR von Bosch nutzen. Aber Bosch hat uns natürlich am Anfang sehr stark unterstützt, sowohl was das Funding als auch das Know-how angeht. Wir haben jetzt mehr als 300 externe Kunden aus allen Branchen inklusive öffentlicher Sektor, Flughäfen oder Krankenhäuser.

Sie starten bei den Kunden mit einer grundsätzlichen Bestand- und Risikoanalyse. Mit welchen Mitarbeitern machen sie das?

Bei uns steckt mit Compare das Thema „Vergleichen“ im Unternehmensnamen drin. Und der erste Schritt ist in der Regel, dass wir Security-Maßnahmen vergleichen. Das geschieht über ein Assessment, Diagnostik, Bestandsaufnahme oder eine 360-Grad-Security-Analyse. Auf dieser Basis sprechen wir dann Handlungsempfehlungen aus. Das ist dann erst einmal nicht das neueste technische Tool, sondern es sind oft organisatorisch, prozessuale Empfehlungen. Dafür haben wir eigene, sehr erfahrene Security-Fachleute, die aus der Praxis kommen. Und im Bereich OT-Security greifen wir vor allem auf das Know-how der Bosch Gruppe zurück. Auch unser Beirat besteht aus sehr erfahrenen IT-Security-Leuten.

Stellen Sie fest, dass insbesondere der Mittelstand mit der Situation überfordert ist? Auf der einen Seite steigen die Bedrohungen nahezu täglich an und auf der anderen Seite wissen viele nicht mehr, was man denn wirklich braucht. Herrscht bei den Unternehmen ein bisschen Verzweiflung?

Ich weiß nicht, ob ich das so unterschreiben würde. Unser Kundenspektrum ist sehr breit von vielleicht 200 Mitarbeitern bis über 50.000 aus dem DAX-Bereich. Dazu kommen öffentliche Stellen oder Betreiber kritischer Infrastrukturen, die regulatorische Vorgaben erfüllen müssen und daher oft schon gut aufgestellt sind. Deswegen ist es nicht immer Verzweiflung.

Aber unser Modell kommt gut an. Wir haben seit unserem Start 2021 sicher mehr als 1.000 Kundengespräche geführt. Ich kann mich nicht daran entsinnen, dass auch nur einer gesagt hätte, dass unsere Idee schlecht ist, auch wenn nicht alle sofort ein Projekt mit CyberCompare machen. Was uns freut ist, dass die Kunden wiederkommen. Zudem sind wir mit dem Modell einer fixen Projektpauschale ohne Vergütung durch Security-Anbieter derzeit noch allein auf dem Markt.

Solche neutralen Vergleichsmöglichkeiten gibt es in anderen Märkten längst. Ist CyberCompare sowas wie der TÜV der IT-Security?

Ich versuche mal einen Vergleich mit dem Arzt. Wenn Sie sich einen Virus eingefangen haben, gehen sie zum Arzt. Zum Glück ist es in Deutschland so, dass der Arzt nicht mehr verdient, wenn sie länger da sind oder wenn sie eine teure Impfung brauchen. Im Bereich Cyber-Security ist es aber leider so, dass jeder eigentlich ein verstecktes Interesse daran hat, dass Sie mehr für Security ausgeben, da alle daran mitverdienen. Sie kennen das Spiel mit den Discounts auf Listenpreisen, Deal-Registrierung, Early-Bird-Channelpartner, Rückvergütungen, Beratungen, die ein Interesse haben, dass die Projekte sich ewig in die Länge ziehen. Mit unserem Modell bezahlen Kunden ein Fixum, und wir vertreten die Interessen des Kunden nach bestem Wissen und Gewissen.

Wenn sie ihre Vorschläge gemacht haben, wie geht’s denn dann weiter? In die Umsetzung gehen sie dann nicht? Dafür haben sie dann Dienstleister, beziehungsweise ihre Kunden beauftragen die eigenen IT-Dienstleister?

Wir treten nicht in den Wettbewerb zu den Dienstleistern, die beispielsweise beim Deployment, der Umsetzung oder dem Pen-Testing helfen. Sonst könnten wir das nicht mehr unabhängig einschätzen. Uns geht es darum, dass unsere Kunden ein gutes Preis-Leistungs-Verhältnis bekommen. Daher sprechen wir nicht von Anbietervergleichen, sondern von Angebotsvergleichen. Kunden haben uns aber auch schon damit beauftragt, die Umsetzung zu begleiten, um die Qualität sicherzustellen.

Konnten sie durch die Beschaffung bereits bei Unternehmen die Kosten für IT-Security senken?

Unsere Sicht ist, dass die Kunden zum einen Arbeitszeit sparen. Je nach Projektgröße sind das 10 bis 30 Tage. Und die externen Kosten sinken durchschnittlich um 20 Prozent, sodass sich die Projekte mit uns mehrfach selbst bezahlen. Diese Einsparung an externen Kosten erklären sich einen über eine systematische Spezifikation, also Requirements-Engeneering, oder über Anforderungskataloge. Wir achten auch darauf, keine führenden Anbieter auszuschließen, aber auch keine teuren Optionen irgendwie reinzudefinieren, die vielleicht eher unnötig sind. Und es geht um einen echten Wettbewerbsvergleich. Bei der Preisbildung herrscht oft eine besonders große Intransparenz. Zum Teil werden auf den letzten Metern plötzlich 25 Prozent Preisnachlass angeboten. Das ist doch verrückt, wenn ich das mit anderen Kategorien vergleiche.

Ich habe nie verstanden, warum Unternehmen da mitmachen. Es ist doch unseriös, wenn ich einen Preis mache, der am Ende vielleicht 30, 40 Prozent unter meinem Anfangspreis ist. Da würde ich doch als Käufer denken, dass mir irgendwelche zusammengewürfelten Preise angeboten werden.

Dies ist der Punkt, den wir über mehr Transparenz und über Benchmarking angehen wollen. Unsere Vision ist es, dass wir wegkommen von diesem angebotsgetriebenen Push-Ansatz im Sales. Es gibt einen Anbieter, bei dem man beim Börsengang nachlesen konnte, dass von 1.000 Mitarbeitern 800 im Marketing und Sales gearbeitet haben. Ich kenne keinen einzigen Anbieter, der für die Entwicklung mehr ausgibt als für Marketing und Sales. Mehr muss man dazu nicht sagen.

Was ist der Mehrwert einer anonymen Ausschreibung? Sie schreiben, es sei ein Vorteil, da Unternehmen aktuelle Schwachstellen und eingesetzte Lösungen nicht breit im Markt streuen müssen. Was heißt das?

Wenn Sie als Kunde eine Lösung oder einen Service suchen, dann müssen Sie relativ viel über sich preisgeben, damit der Anbieter überhaupt ein qualifiziertes Angebot abgeben kann. Und wenn wir das jetzt einmal aufnehmen und anonymisiert unter Bosch an Hunderte von Anbietern schicken, dann brauchen Sie keine NDAs und Sie müssen auch nicht jedem erzählen, dass Sie ein Problem haben, weil irgendwelche Lizenzen auslaufen oder Sie noch keine 24/7-Überwachung haben. Das bringt die Unternehmen in eine andere Verhandlungsposition.

Haben ihre Kunden schon Aussagen dazu getroffen, dass sich die Zusammenarbeit mit CyberCompare nicht nur finanziell gelohnt hat?

Wir wollen eine klare Entscheidungsgrundlage liefern, dass es mehr Security für das Budget gibt. Aber uns geht es um mehr Qualität. In den Unternehmen sind die IT-Abteilungen oft völlig überlastet. Sie können heute in keinem Unternehmen ein Projekt machen, das keine Schnittstellen zur IT hat. Dann gibt es also Mitarbeiter, die schon jetzt sehr viele Aufgaben und Projekte gleichzeitig managen müssen und die nun zusätzlich zum Tagesgeschäft und typischerweise zum ersten Mal in ihrem Leben ein Security-System beschaffen sollen. Auf Google schauen sie sich dann Reviews an und laden sich sein Systemhaus ein. Dieses hat dann Vertriebsverträge mit typischerweise zwei Partnern pro Kategorie. Das sind oft führende Anbieter, aber ob es im speziellen Fall die Richtigen sind, wird nicht aufgezeigt. Und hinterher wird nie mit irgendjemandem darüber gesprochen, weil die Prozesse strenger Geheimhaltung unterliegen. So entsteht ein Markt, der von beiden Seiten ineffizient ist.