IT-Seal, Anbieter von Security-Awareness-Schulungen, wurde im vergangenen Jahr von Hornetsecurity übernommen, einem globalen Anbieter von E-Mail-Cloud-Security- und Back-up-Lösungen. Die Transaktion ist die jüngste in einer Reihe von Akquisitionen, durch die Hornetsecurity in den letzten Jahren sein Wachstum vorangetrieben hat. Dahinter steht ein globaler Trend: Cybersecurity-Transaktionen zeigen eine hohe Wachstumsdynamik.
Mit der Unterstützung von Verdane, einem auf Wachstumskapital spezialisierten nordeuropäischen Investor, und PSG Equity, einem Growth-Investor im Bereich Software und Technologiedienstleistungen, wuchs Hornetsecurity in den letzten Jahren auf 400 Mitarbeiter und ein starkes internationales Netzwerk von über 5.000 Vertriebspartnern an. Mittlerweile hat sich mit TA Associates ein weiterer Private-Equity-Investor hinzugesellt. Jede der strategischen Akquisitionen diente dem Unternehmen nach eigenen Angaben dazu, seine Position als führender Anbieter von Security-, Data-Loss-Prevention- und Compliance-Lösungen zu stärken und auszubauen. Im Jahr 2019 erwarb Hornetsecurity Spamina, den spanischen Marktführer für Cloud-E-Mail-Sicherheitslösungen; 2020 folgte der britische Marktpartner EveryCloud; anno 2021 kamen Altaro hinzu, weltweiter Anbieter von Back-up-Lösungen, sowie Zerospam, ein kanadischer Marktführer für E-Mail-Security. Mit der Übernahme von IT-Seal im vergangenen Jahr konnte nun ein weiterer Wachstumsschritt getätigt und eine Lücke im Portfolio geschlossen werden.
„Mit IT-Seal an Bord bieten wir nun auch IT-Sicherheitsschulungen als Teil unseres Leistungspakets an“, erläutert Daniel Hofmann, CEO von Hornetsecurity. „Damit können wir alle Aspekte des Awareness-Zyklus abdecken, zusätzlich zu unseren bewährten Lösungen für E-Mail-Security sowie Back-up und Recovery.“ Hornetsecurity deckt mit seinem Portfolio bereits alle wichtigen Bereiche der E-Mail-Sicherheit ab, darunter Spam- und Virenfilter, Schutz vor Phishing und Ransomware sowie rechtssichere Archivierung und Verschlüsselung. Hinzu kommen Back-up, Replikation und Wiederherstellung von E-Mails, Endpoints und virtuellen Maschinen. Das Flaggschiffprodukt ist die marktweit umfangreichste Cloudsicherheitslösung für Microsoft 365.
„Die Zugehörigkeit zur Hornetsecurity Group wird die Reichweite unserer Dienstleistungen in der globalen B2B-Community erweitern und unsere Sicherheitsschulungen für Unternehmen und Organisationen aller Größen und Branchen zugänglich machen“, sagt David Kelm, Ideengeber und Mitgründer von IT-Seal. Die drei Gründer, neben David Kelm noch Alex Wyllie und Yannic Ambach, sind nach dem Zusammenschluss weiter an Bord geblieben, um das Produkt- und Serviceangebot weiterzuentwickeln.
Lange Dealhistorie bei Hornetsecurity
Dass ein strategischer Investor wie Hornetsecurity bei diesem Deal den Zuschlag bekommen hat, ist kein Zufall. Die M&A-Beratung Oaklins Germany hat den Prozess begleitet und ihr Netzwerk dafür ausgerollt. „IT-Seal hatte schon einige Finanzierungsrunden hinter sich und eine kritische Größe erreicht, sodass ein Exit an einen Strategen eine gute Alternative für die weitere Entwicklung des Unternehmens war“, erläutert Jan P. Hatje, Vorstandsmitglied von Oaklins. Hornetsecurity habe als Käufer ebenfalls bereits eine längere Historie an Zukäufen, um das eigene Leistungsportfolio zu erweitern. „Hornetsecurity hat selbst mehrere Finanzinvestoren als Gesellschafter“, betont Hatje. Diese habe in Hornetsecurity investiert, um es als Plattforminvestment aufzubauen und Add-ons hinzuzufügen – und bei diesen Add-ons gehe es im Techbereich nicht nur darum, neue Umsätze zu generieren, sondern auch Technologien hinzuzukaufen, die zur Erweiterung des Portfolios und somit zur Verbesserung der Dienstleistung genutzt werden können. „Wenn ich der Cybersecurityexperte für Tausende von Kunden bin, kann ich leichter ein neues Produkt verkaufen, da ich die Kundenbeziehung schon habe“, erläutert Hatje.
Größte Schwachstelle in der IT-Security: der Mensch
Die Lösungen von IT-Seal zielen auf die größte Schwachstelle innerhalb der IT-Security ab, nämlich den Menschen. „Nicht alle Angriffe erfolgen dadurch, dass sich jemand durch irgendwelche Firewalls hackt, sondern viele sind Folge dessen, dass ein Mitarbeiter falsch auf eine E-Mail reagiert“, so Hatje. Ein entsprechendes Awareness-Training bietet IT-Seal. Das 2016 gegründete Technologieunternehmen analysiert das menschliche IT-Sicherheitsverhalten. Zur Messung nutzt es einen wissenschaftlichen, patentierten Indikator (Employee Security Index – ESI®). Zu den mehr als 800 Kunden zählen etwa die Deutsche Bundesbank, BMW und der FC Bayern München.
Mitarbeiter werden darauf trainiert, aufmerksam für das Thema zu werden und Spam- oder gefährliche E-Mails zu erkennen und entsprechende Links nicht anzuklicken, sondern vorher beim vermeintlichen Adressaten nachzufragen, ob dieser die E-Mail wirklich geschrieben hat. Dafür werden sie zunächst per Video trainiert, worauf man achten sollte, und erhalten dann Test-E-Mails, um zu prüfen, ob sie darauf reinfallen oder nicht. „Und das ist ein Angebot, das Hornetsecurity bisher nicht hatte“, so Hatje weiter. „Sie sind führend im Bereich Cloudsecurity- und Back-up-Lösungen, bieten aber kein Awareness-Training an, das sich auf den User und die Gefahr durch Phishing-E-Mails konzentriert.“ Insofern sei durch die Übernahme eine klare Lücke geschlossen worden.
„Durch KI wird das Problem noch größer“
Interview mit Jan P. Hatje, Vorstandsmitglied von Oaklins
Unternehmeredition: Herr Hatje, wie beurteilen Sie die Transaktion? Ist der Erweiterungsprozess von Hornetsecurity damit abgeschlossen?
Jan P. Hatje: Ich glaube, nein – letztendlich gibt es immer noch weitere Produkte, die zu dem bisherigen Serviceportfolio passen. Cybersecurity umfasst ein breites Spektrum. Da ist man wahrscheinlich nie so richtig am Ende, sondern kann das immer noch fortführen, was man an weiteren Produkten der eigenen Lösung hinzufügen kann. Und Hornetsecurity ist, wie ich denke, weiter daran interessiert, neue Opportunitäten zu prüfen.
Welche Rolle spielt dieses Themenfeld in Ihrem Portfolio?
Software und Services sind bei uns sehr wichtige Bereiche, und ich würde sagen, dass sie etwa ein Viertel unserer Transaktionen ausmachen. Davon sind wiederum ein guter Teil securityrelevante Themen, wobei das Feld natürlich ein bisschen breiter ist. Es gibt den Softwareanbieter für Sicherheit, es gibt den Awareness-Anbieter und es gibt das IT-Service-Unternehmen, das sich um die Wartung oder Implementierung kümmert – deswegen ist die Abgrenzung etwas schwierig. Für uns bildet aber die digitale Transformation der Unternehmen einen der Megatrends und als daraus abgeleitetes Folgethema Cybersecurity.
Was sind aus Ihrer Sicht die nächsten Steps?
Ich glaube, dass das Heranreifen von Tools wie ChatGPT und Konsorten noch einen Boost bringen wird. Deswegen wird auch das Thema, wie der Kunde oder der User vor dem Bildschirm agiert, noch wichtiger. Die Gefahr durch Phishing-E-Mails wird durch KI noch größer, weil diese die personalisierten E-Mails noch professioneller macht. Die modernen Spamfilter filtern ja schon etwa 95% aus – aber je besser und echter so eine E-Mail aussieht, umso schwieriger wird es für den Filter oder den Menschen, diese zu erkennen. Es gibt also immer Schlupflöcher, und deswegen kommt dem Awareness-Training, also den User zu trainieren, eine noch größere Bedeutung zu. Das wird also ein gigantischer Markt für die Zukunft sein.
Cybersecurity ist ein riesiger Wachstumsmarkt, 2020 bis 2027 soll sich das Volumen verdoppeln. Wir beurteilen Sie die Marktentwicklung?
Die Betroffenheit nimmt auf jeden Fall dramatisch zu, daraus resultiert auch dieses ungeheure Marktwachstum. Unseren Analysen zufolge steigt die Zahl der durch Cyberattacken verursachten Kosten um jährlich 15%. So wie ich beim Kfz gezwungen bin, meine Haftpflichtversicherung abzuschließen, bin ich folglich auch gezwungen, an meiner IT-Sicherheit zu arbeiten. Früher haben die Leute das immer nur auf Viren bezogen und haben sich mit einer Firewall und einem guten Virenscanner zufriedengegeben – aber mittlerweile verstehen sie, dass es da draußen Menschen gibt, die aktiv damit ihr Geld verdienen, in Systeme einzudringen. Damit entsteht ein riesiger Markt, und tatsächlich gibt es in dem Bereich immer mehr große Player, die auf der Suche nach weiteren Technologien, weiteren Märkten und Zugängen sind. Das befeuert auch das M&A-Thema und macht Cybersecurity auch für uns sehr spannend.
Wie groß ist die Nachfrage und Awareness im deutschen Mittelstand hier bereits?
Die Nachfrage wächst kontinuierlich. Zwar ist der Mittelstand immer noch ein bisschen zurückhaltend. IT ist im Mittelstand häufig noch ein ungeliebter Pain Point, bei dem man nicht unbedingt groß zu investieren und zu modernisieren bereit ist. Aber die Awareness steigt durch die zunehmende Berichterstattung darüber, dass jemand gehackt wurde und dass dabei Daten verloren gegangen sind – und das sind ja immer nur die großen Themen, die man so hört. Ich glaube, damit wird für die Leute immer klarer, wo das Problem liegt, und deswegen nimmt die Offenheit für das Thema immer stärker zu.
Zurzeit sind die Unternehmen auf Anbieterseite eher im Start-up-Segment verankert. Welche Rolle spielen hier Venture-Capital-(VC-) beziehungsweise Finanzinvestoren?
Es gibt auch eine ganze Reihe etablierter Unternehmen im Bereich Sicherheit; Microsoft zum Beispiel hat ja auch eigene Securitylösungen. Das Thema Sicherheit ist für die großen etablierten Unternehmen auch sehr wichtig. Auf der anderen Seite gibt es in diesem Bereich etliche kleinteilige Themen, um die man sich kümmern muss. Da komme ich dann wieder zu IT-Seal: Die Gründer wollten ein vollkommen neue Lösung entwickeln und haben sich die Frage gestellt, wo das eigentliche Problem ist. Und wie bereits erwähnt: Das Problem sitzt häufig vor dem Monitor und es ist wichtig, sich auch darum zu kümmern. Das ist ein anderer Markt als die eher technologiegetriebenen Lösungen. Es gibt also große, tradierte Unternehmen, aber auch zahlreiche neue Technologien, bei denen man auch sehr gut unterwegs sein muss, und deswegen wächst das Interesse von großen Unternehmen an der Übernahme von kleineren Start-ups. Hier geht es nicht um den Kauf von neuen Umsätzen, sondern um den Kauf von Unternehmen, die über Technologien verfügen, die benötigt und genutzt werden.
Also konsolidiert sich der Markt dahin gehend, dass diese Kleinteiligkeit immer mehr verloren geht oder dass sich immer mehr Unternehmen zusammenschließen und es irgendwann nur noch wenige große Player gibt, die alles integriert anbieten?
Ja, aber da sind wir noch am Anfang. Es ist für mich auch als Konsument sinnvoll: Ich will doch eigentlich nicht mit zehn verschiedenen Dienstleistern zusammenarbeiten, um meine Cybersecurity zu gewährleisten. Wenn ich einen Anbieter habe, der sagt, ich kann schon mal 80%, 90% oder 100% des Bedarfs abdecken, dann gehe ich natürlich zu dem. Deswegen sind die großen Unternehmen wie Microsoft so erfolgreich, weil ich neben Microsoft eigentlich nur wenig anderes brauche, zum Teil auch das Thema Sicherheit. Aber es deckt ja alles erst einmal grundsätzlich ab – das ist natürlich attraktiv. Da wird sich der Markt sicherlich hin entwickeln, dass die Großen weiterhin konsolidieren werden. Ob sie nachher tatsächlich One-Stop-Shops werden, die alles aus einer Hand anbieten, oder ob es noch ein paar Unterschiede geben wird, sodass einige sich auf den Bereich Absicherung, Daten und Firewall spezialisieren und andere etwa auf den E-Mail-Bereich − da bin ich mir unsicher. Einige Dinge sind technologisch sehr ähnlich, andere sind etwas unterschiedlich, sodass es dann wahrscheinlich auch Grenzen der Zusammenführung gibt.
Zu den Märkten: USA ist mit einem Marktanteil von 44% vorne, gefolgt von UK, Frankreich, Deutschland und Dänemark. Auch China und Israel spielen eine immer größere Rolle. Wie kann sich Deutschland hier positionieren und behaupten?
China sollte etwas isoliert betrachtet werden. Europa oder die westliche Welt tut sich zunehmend schwer mit chinesischer Technologie. Beispielsweise schaut man beim 5G-Netzausbau, wer als Dienstleister Komponenten liefern darf und wer nicht. Das ist bei Cybersecurity natürlich nichts anderes. Insofern ist die Frage zu stellen, ob ein chinesisches Cybersecurityunternehmen hier momentan als Anbieter Erfolg haben würde. Daran würde ich ein Fragezeichen setzen. Allerdings zeigen auch die Marktvolumina, dass der chinesische/asiatische Markt natürlich schon jetzt gigantisch ist. China braucht dann auch zunächst keinen anderen Markt anzusprechen, sondern hat selbst ein gutes Potenzial.
Am US-amerikanischen Markt kommt beim Thema IT schlichtweg niemand vorbei. Da hat Europa leider ein bisschen was verschlafen. Google, Amazon, Microsoft und Konsorten – sie kommen nun mal aus den USA und wir werden es auch gar nicht mehr schaffen, an der Stelle irgendwie anzuknüpfen. Deswegen wird dieser Markt immer Vorreiter sein, was IT-Themen angeht. Ich glaube jedoch, dass wir andere deutsche/ europäische Kernkompetenz haben, so zum Beispiel der gesamte Bereich Industrie 4.0, Internet of Things und Automatisierung im Maschinen- und Anlagenbau. Hier ist die Vernetzung auch zunehmend wichtiger, um die Effizienz weiter zu erhöhen, und das läuft dann auch wieder auf ein Sicherheitsthema hinaus. So eine Fabrik muss dann auch gut abgesichert sein; dafür gibt es dann wiederum einen sehr großen Markt. Bei Themen wie industrieller Automatisierung haben wir eine beträchtliche Kompetenz, gerade auch im Vergleich mit den USA. Die verschiedenen Märkte sind unterschiedlich, aber der amerikanische Markt wird weiterhin gigantisch bleiben. Israel hingegen ist ein Spezialthema. Cybersecurity ist in Israel hervorragend besetzt, es gibt da eine ausgezeichnete Industrie für das Thema. Daher kommen zahlreiche erfolgreiche Unternehmen aus Israel.
Auch wenn das ein bisschen makaber klingt: Könnte man kriegerische Auseinandersetzungen wie den Konflikt zwischen Israel und Palästina, aber auch den aktuellen Ukrainekrieg, als Treiber für diese Industrie sehen? Cyberangriffe als Kriegswaffe – und Cybersecurity als Verteidigung?
Ja, wobei man der Fairness halber sagen muss, dass sich Kriege aus technologischer Sicht allgemein verändert haben und Cyberwar dabei nur ein Aspekt ist. Allerdings sind Kriege extreme Situationen und der direkte Konflikt treibt natürlich die Weiterentwicklung entsprechender Technologien. Auf Deutschland bezogen überwiegen tendenziell die kurzfristigen Nöte wie Inflation, Energiekosten et cetera. Sie überschatten solche Themen wie Cybersicherheit, weil für Unternehmer eher die Frage im Vordergrund steht, wie man etwa inflationsbedingte Lohnkostenerhöhung bewerkstelligt. Das ist mit der Sicherheit immer so ein Problem. Es gibt immer Themen, die akut wichtig sind und die bevorzugt behandelt werden. Cybersecurity gewinnt oft immer erst an Bedeutung, nachdem das Kind in den Brunnen gefallen ist. Trotzdem ist dieses Thema zunehmend auf der Agenda. Jeder weiß, wie relevant und wie wichtig es ist – aber deswegen tut nicht automatisch jeder etwas.
Wo sehen Sie derzeit noch entsprechende Megatrends und Wachstumsfelder?
Alles, was mit Software und Services zu tun hat, ist derzeit im Trend, aber auch alles rund um ESG, also Environmental, Social and Governance. Der ökologische und soziale Aspekt wird immer wichtiger. Die Unternehmen schauen immer stärker auf diese Themen und bemühen sich, die Sozialindizes zu erfüllen. Last but not least der Bereich Healthcare, der auch einen starken Treiber hat, weil da − ähnlich wie im Softwarebereich − Innovationen von kleinen, flexiblen, dynamischen Playern getätigt werden. Diese werden irgendwann von großen Strategen aufgekauft, um sie ins eigene Portfolio zu integrieren. KI wird in diesem Bereich auch noch einmal viel bewirken. Zum Schluss wird sich der Bereich Automotive beziehungsweise Maschinen- und Anlagenbau verändern. Man sieht es gerade in Deutschland: Es ist nicht mehr so wichtig, das Getriebe für irgendeine Kupplung für ein Automobil zu bauen. Im Elektrobereich brauche ich andere Themen. Aber wir brauchen die Kompetenz, hochqualitative mechanische Teile zu bauen, die auf den Millimeter oder auf den Milliardstel Millimeter toleranzgenau sein müssen. Das wird auch immer noch ein Riesenthema bleiben.
Herr Hatje, wir danken Ihnen für das interessante Gespräch!
Dieser Beitrag erscheint in der nächsten Magazinausgabe der Unternehmeredition 3/2023 mit Schwerpunkt “Unternehmensverkauf” (Erscheinungsdatum: 22. September 2023).
Als Chefredakteurin der Unternehmeredition berichtet Eva Rathgeber regelmäßig über Unternehmen und das Wirtschaftsgeschehen. Sie verfügt über langjährige Erfahrung im Wirtschaftsjournalismus und in der PR.
