Cybersecurity ist bisher ein ineffizienter und intransparenter Markt: Mehr als 7000 Anbieter, Distributoren, Reseller, Managed Security Service Provider und Beratungsfirmen gehen mit einer ähnlichen Aussage auf IT-Leiter zu: „Kauf mein Produkt oder meinen Service (und zwar jetzt), sonst bist Du nicht sicher!“. Dabei sollte eine wesentliche Tatsache nicht vernachlässigt werden, denn im Durchschnitt wird zwischen einem Drittel und der Hälfte der externen Ausgaben für Cybersecurity in Wirklichkeit für Marketing und Vertrieb ausgegeben – Geld, das besser in die Produktentwicklung investiert werden könnte. Denn wer bezahlt diese Vertriebs – und Marketingmannschaften? Sie als Kunde. Selbstverständlich über Umwege und verschachtelte Provisions- und Bonusregelungen.
Auf Kunden-/ Betreiberseite zeigt sich, dass oft überlastete IT -Teams von der Absicherung bestehender Infrastruktur im Nachhinein bis hin zu dem Fakt, dass jedes neue Projekt im Unternehmen Schnittstelle zur IT hat, mitbetreut werden muss. Angreifer lernen dazu, und regulatorische Anforderungen steigen. Hinzukommt der „War of Talent“ über alle Bereiche und Industrien hinweg. Stark betroffen auch der IT- Bereich, schaut man genauer hin, mangelt es dabei aber an technischen Talenten und eher weniger an Verkaufstalenten.
Neuanschaffungen oder Ausschreibungen von Security-Projekten müssen also zusätzlich zum schon sehr fordernden Tagesgeschäft erledigt werden.
Im Folgenden werden 5 Ansätze aufgezeigt, um ein möglichst gutes Preis-/Leistungsverhältnis bei reduziertem Risiko für die Beschaffung von Cybersecurity Projekten zu erzielen. Die Einsparpotenziale sind beachtlich und liegen im Durchschnitt weit über dem, was in anderen Kategorien üblich ist.
Schritt 1: Priorisierung
In vielen Fällen wird der Lösungsraum auf die Frage „Anbieter A oder B“ eingeengt. Aber wurden auch die Opportunitätskosten betrachtet? Wäre es vielleicht sinnvoller, für das Budget einen Mitarbeiter einzustellen, der sich dediziert um das Thema Security kümmern könnte? Gibt es vielleicht Maßnahmen, die für deutlich weniger Geld einen ähnlich hohen Zugewinn im Security-Niveau ermöglichen?
Eine unabhängige Bestandsaufnahme hilft hier.
Schritt 2: Beschreibung der Anforderungen
Egal, ob Spezifikation, Lastenheft oder Leistungsbeschreibung: Achten Sie darauf, keine führenden Anbieter unnötig durch „KO-Kriterien“ auszuschließen. Systemhäuser haben Vertriebspartnerschaften mit bestimmten Anbietern – je mehr das Systemhaus verkauft, desto höher die Margen darauf. Systemhäuser sind daher i.A. nicht unabhängig in ihren Empfehlungen. Gleichzeitig sollten natürlich keine unnötigen Features oder Optionen definiert werden – auch hier gilt wieder: Für was könnte das Budget anderweitig eingesetzt werden, z.B. für zusätzliche Teamressourcen?
Oft ist es sinnvoller, eine neue Lösung Schritt für Schritt auszubauen, um stetig dazuzulernen und das eigene Team nicht zu überfrachten. Auch bei Managed Services bestehen besonders am Anfang intensive Mitwirkungspflichten, die Ihre KollegInnen belasten werden.
Schritt 3: Anfrage bei Anbietern
Hier wird oft der Fehler gemacht, beim gleichen Systemhaus oder Reseller mehrere Angebote von alternativen Herstellern anzufragen. Das Problem dabei: Das Systemhaus hat den Wettbewerb dann über die Dealregistrierung bei mehreren Herstellern de facto ausgeschlossen. Sie als Kunde können zwar beim Hersteller ein Alternativangebot über einen anderen Channel-Partner anfragen. Dieser wird aber deutlich schlechtere Konditionen (Nachlässe auf Listenpreise sowie Boni/Kickbacks) erhalten, als der Partner, der den Deal als Erstes registriert hat. Margen der Reseller von 20 – 30% (und in Einzelfällen sogar nochmal deutlich höhere Gewinnspannen) auf die Lizenzen sind damit zementiert. Der Lock-In erstreckt sich dann typischerweise auch auf Supportleistungen, den Sie ebenfalls nur noch teurer über einen anderen Reseller beziehen können.
In eine bessere Verhandlungsposition gelangen Sie daher, wenn Sie jeden Hersteller über einen anderen Vertriebspartner anfragen – und zwar über einen Partner mit dem jeweils höchsten Status („Gold“, „Preferred“ etc.), damit Sie von möglichst guten Konditionen profitieren können.
Empfehlenswert ist auch immer, Beratung, Umsetzung und Betrieb (d.h., Einkauf der Dienstleistungen) vom reinen Lizenzeinkauf bei Standardsoftware wie AV, EDR, NDR, SIEM-Lizenzen o.ä. zu trennen. Aus dem aktuellen Geschäftsbericht eines der größten Systemhäuser: „A customer who knows which contract model would be suitable and exactly how many standard software licences he or she needs would not gain any added value from the pre-sales consulting.”
Natürlich gibt es Fälle, in denen intensive Beratung notwendig ist – z.B. bei der Ausarbeitung individueller Backup-Konzepte. Aber in vielen anderen Projekten geht es nur um die Weiterreichung von Angeboten. Der Hersteller bezahlt das Systemhaus allein für den Kundenzugang. Als Kunde können Sie den Unterschied direkt feststellen: Wer erklärt Ihnen das Produkt in der technischen Tiefe – der Pre-Sales-Engineer des Herstellers oder der Berater des Systemhauses? Bei vielen MDR-Services ist es inzwischen auch der Hersteller, der für Tausende von Kunden die Überwachung und den Betrieb vornimmt, und damit natürlich einen enormen KnowHow-Vorsprung vor den MSSPs hat.
Schritt 4: Technischer und kommerzieller Angebotsvergleich
Sind die Angebote wirklich im Leistungsumfang vergleichbar?
Teilweise sind drastische Unterschiede in den Lizenzierungsbedingungen feststellbar, die zu erheblichen Einsparmöglichkeiten führen können: Beispielsweise gibt es Anbieter von Endpoint Protection Lösungen, bei denen Kunden nicht für Thin Clients mit Virtual Desktop Umgebungen bezahlen müssen, sondern nur eine einzelne Lizenz für den Terminal Server. Bei Fernzugriffslösungen wird von einigen führenden Anbietern keine jährliche Lizenzgebühr aufgerufen (ja, gibt es tatsächlich noch) – andere verlangen Zusatzlizenzen pro Nutzer. Bei Plattformen für Schwachstellenmanagement kann die Anzahl der Entwicklungsprojekte oder Scans entscheidend sein. Und bei SIEM-Systemen war und ist üblich, Kosten nach dem Logvolumen in Rechnung zu stellen. Inzwischen gibt es aber Anbieter, die (auch unter dem Druck von XDR-Lösungen) nach Anzahl Endpunkte lizenzieren.
Als Zwischenschritt von Auswertung auf Papierlage zu Proof of Concept/Value hat sich oft eine strukturierte „Test Case Demo“ bewährt. Dabei werden mit den Herstellern Testfälle vereinbart, die in einer Demo (2-3 Stunden) per Videokonferenz vorgestellt und durch den Kunden bewertet werden. Hiermit ist bei geringem Aufwand eine deutlich höhere Vergleichbarkeit und Aussagekraft möglich, als bei üblichen Marketing-Präsentationen.
Schritt 5: Verhandlung
An diesem Punkt sollte man sowohl Hersteller (über Vendor Manager, Account Manager o.ä.) und Reseller/Systemhaus nochmal darüber in Kenntnis setzen, dass sie sich in einer Wettbewerbssituation befinden. Wichtig ist natürlich, bis zur endgültigen Entscheidung mindestens 2 gute Kandidaten im Rennen zu behalten. Hört sich nach einer Binsenweisheit an, wird aber oft missachtet.
Listenpreise der Hersteller sind nur Schall und Rauch, aber auch die ersten Angebote (mit „Projektpreisen“) bieten oft Verhandlungspotenzial im deutlich zweistelligen Prozentbereich – obwohl auf einigen Angeboten Listenpreise und bereits Nachlässe von 30-50% schriftlich genannt werden.
Warum ist das so? Ein Hinweis findet sich z.B. auch im Geschäftsbericht des bereits erwähnten Systemhauses: „This cooperation [between vendor and reseller] involves the yearly determination of individual targets in the business with the respective vendor’s products and services. The vendor incentivises the achievement of the target by granting bonus payments, refunds or marketing grants.”
Das Systemhaus erhält zum einen offenkundig höhere Nachlässe, als an den Kunden weitergereicht werden, d.h., eine Marge auf den Einkaufspreis. Die Hersteller können dazu nach Willkür weitere Nachlässe gewähren. Zudem erhalten große Reseller regelmäßig Rückvergütungen und Boni auf das vermittelte Gesamtvolumen (zum Quartals- oder Jahresende).
Selbst wenn Sie also einkaufsseitig eine Open Book Policy für das Projekt vom Systemhaus einfordern, werden Sie aller Voraussicht nach niemals die Gesamtvergütung des Herstellers an das Systemhaus erfahren. IT-Security-Vertrieb ist in Hinsicht versteckter Gebühren und Kosten ungefähr auf dem Niveau von Finanz- und Versicherungsvertrieben vor 20 Jahren.
Es hilft daher nur, konsequent eine Wettbewerbssituation aufrecht zu erhalten, im Idealfall gepaart mit einem unabhängigen Benchmarking der Angebotspreise. Falls das nicht möglich sein sollte (z.B., weil es tatsächlich nur einen Hersteller gibt, der die zwingenden Anforderungen erfüllen kann), sollte eine Gleichstellung eines Channelpartners beim Hersteller in Betracht gezogen werden. Hersteller lassen dies nur ungern zu (aus verständlichen Gründen – schließlich wollen sie ihre Vertriebskanäle nicht verärgern). Unmöglich ist es aber nicht. Bei den hohen Kosten vieler Security-Projekte lohnt sich die zusätzliche Anstrengung schnell.
Fazit
Während oft versucht wird, Tagessätze nachzuverhandeln, sind die signifikanten Einsparmöglichkeiten bei der Beschaffung von Cybersecurity-Lösungen noch häufig unterschätzt. Im Zusammenspiel aus Fachabteilung und Einkauf, ggf. unterstützt durch externe Spezialisten, kann gleichzeitig Zeit und Geld gespart, sowie das Risiko bei der Auswahl reduziert werden. Gerade in Zeiten von flächendeckend steigenden Kosten bietet sich hier ein Ansatz, das Sicherheitsniveau zielgerichtet zu steigern und Budgets zu schonen.
Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.
Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.
