Marktkommentar #22: Was verdient man im Vertrieb, Verhandungstricks beim Security-Kauf und Souveränität mit Microsoft

Marktkommentar /

Hallo zusammen,

let’s talk about money: Mit einer (gewohnt informellen und statistisch nicht belastbaren) Umfrage habe ich mich mal der Frage genähert, wie gut man eigentlich im Cybersecurity-Vertrieb verdient. Ein paar Snippets:

  • Ja, bei amerikanischen oder israelischen Anbietern (insb., solange sie in der Expansionsphase sind) verdient man auch im DACH-Raum am Besten. Genannt wurden für Einsteiger ~130-150 TEUR/a „On Target Earnings“ (OTE) bis dann zu 250-300 TEUR/a für Veteranen bei 100% Quotenerfüllung und bis zu 450 TEUR/a bei Vertriebsleitung über mehrere Länder. Dazu kommen dann noch Aktienoptionen (Restricted Stock Units o.ä.).
  • Ähnliche Summen sind inzwischen wohl auch bei (eher kleineren) Systemhäusern möglich, wenn man gut verkauft
  • Bei deutschen Herstellen liegt die Total Compensation dann eher bei 90-120 TEUR bei Einstieg und auch in der Endausbaustufe niedriger. Die Finanzierung durch VCs ist natürlich i.A. auch weniger generös, in der Kasse schlummern keine Megabucks. Aktienoptionen: Fehlanzeige.
  • Variabler Anteil bei US-Anbietern eher 50% der Gesamtvergütung, bei deutschen 10-20%. Dieser bemisst sich bei den meisten Anbietern wohl tatsächlich rein am Umsatz, bei den Channel Partnern an der Marge.
  • „Wir sind Lead-Maschinen“: In einem Gespräch wurde von der Forderung erzählt, 3 Gespräche mit Neukunden auf C-Level pro Woche in den Kalender zu legen. Die Ziele werden nach 2-3 Jahren oft unerreichbar hoch, damit sinkt die tatsächliche Vergütung und die Accelerator-Klauseln sind spätestens dann eher theoretischer Natur.
  • Und: Die Zeiten werden schlechter. Für Anbieter aus der EU ist Trump der beste Verkäufer, für US-Hersteller, die in der Vergangenheit eher Overhiring betrieben haben, ist die Digitale Souveränität immer öfter ein Showstopper bei Ausschreibungen. Die großen Kunden sind schon alle um- und versorgt mit Lösungen, bei kleineren Organisationen lohnt sich der hohe Vertriebsaufwand nicht. Das führt zu insgesamt mehr Druck und weniger Personalbedarf. Inzwischen ist bei Trennung von Personal der Anwalt Standard. Leute, die gehen, finden kaum noch gleich gut dotierte Jobs (gilt natürlich nicht für die Rainmaker mit belastbarem Kundennetzwerk).

Dazu passt auch eine Blitzlichtaufnahme zum State of the German-speaking Security Market in ein paar Zahlen:

  • Managed SOC Vergabe für einen öffentlichen Auftraggeber. Tech Stack nicht vorgegeben, Abdeckung von IT und OT, weniger als 3k Endpunkte. 78 Anbieter laden sich die Ausschreibungsunterlagen runter, 14 Bieter sind beim Teilnahmewettbewerb dabei
  • Ausschreibung einer Security Awareness Trainingsplattform + Phishing Simulation, weniger als 5k Nutzer. 75% Preisreduktion zwischen Erstangebot (nicht dem Listenpreis, wohl gemerkt) und finalem Preis bei gleichem Leistungsumfang.

Für alle, die durch regelmäßige Kontakte mit Vertriebspersonal traumatisiert worden sind, holt Jonathan Price in Security is a Negotiation Problem zum Gegenschlag aus: „I have a maturity model of subscriber cohorts, lower being less mature: 1. My wife 2. My parents 3. Sales reps trying to sell me things 4. Actual people, bless you all.“

  • Er bestätigt eingangs das Phänomen, dass Preise für Security-Lösungen wie auf einem Basar verhandelbar sind, mit Beispielen von Preisreduktionen > 90% zwischen Erstangebot und finalem Preis. Offenkundig ist das also nicht nur im DACH Raum ein für B2B-Branchen bemerkenswerter Zustand.
  • Natürlich ermöglicht durch geringe variable Kosten für Softwarelösungen. Aber auch getrieben durch unfassbaren Wettbewerb und die Tatsache, dass Kaufentscheidungen in großen Organisationen stark dadurch beeinflusst werden, wie verbreitet die Security-Lösung ist, während die technische Leistungsfähigkeit nur schwer beurteilt werden kann (im Gegensatz zu klar anhand Normen spezifizierter Automatisierungstechnik zum Beispiel).
  • Schließlich ist es als CISO ein Karriererisiko, eine unbekannte Lösung zu nehmen, falls man dann Opfer eines Cyberangriffs werden sollte. Anbieter ohne starke Marken haben somit einen Riesenanreiz, große Enterprise Kunden als „Logos“ zu gewinnen – koste es, was es wolle. Ansonsten wird es nämlich auch schwer, bei Gartner oder Forrester überhaupt erwähnt zu werden => selbstverstärkender Effekt.
  • Der Artikel enthält viele gute und auch ein paar ethisch grenzwertige Verhandlungstricks, ruhig mal anschauen und dann selbst überlegen, wie weit man in welcher Situation gehen will.

Microsoft versucht den Spagat zwischen amerikanischen und europäischen Interessen und hilft uns natürlich gerne bei der Souveränität (Danke für den Hinweis, Frank!):

  • Partnerschaften (Zukünftige Joint Ventures?) u.a. in Deutschland mit Delos/SAP und Arvato, um Azure Services in europäisch kontrollierten Rechenzentren anzubieten. Interessant dabei sind technische Maßnahmen, die auch bei Abschaltung von Microsoft-Services eine Fortführung erlauben sollen. Das wäre dann tatsächlich Souveränität nach meinem Verständnis: Keine einseitige Abhängigkeit, keine Erpressbarkeit. Big if true. Auch kommerziell sollen attraktive Konditionen angeboten werden => Das wird sich zeigen.
  • Versprechen, bei Anweisungen der US-Regierung, kontrahierte Services in Europa abzuschalten oder EU-Daten freizugeben, dagegen gerichtlich vorzugehen. In die Waagschale geworfen wird dabei, dass Microsoft mehrere Klagen gegen US-Regierungen initiiert (u.a. gegen die erste Trump-Administration) und sich auch schon vor Gericht erfolgreich gegen Zugriffe von US-Behörden auf EU-Daten gewehrt hat.
  • Ausbau der RZ-Kapazität in 16 europäischen Ländern um ca. 20% / Jahr (nach den gängigen Schätzungen also deutlich weniger als in den USA)
  • Benennung eines Europa-CISOs (der aber an den globalen CISO berichtet)

Deep Instinct hingegen befindet sich in der Restrukturierung – wenig überraschend:

    • Das Thema KI-basierte Malware-Erkennung ist 10 Jahre nach Gründung nichts Neues mehr. Der technische Vorsprung ggü. dem ubiquitären AV ist immer weiter abgeschmolzen
    • Die meisten Kunden wollen keinen zusätzlichen Agenten zum vorhandenen AV/EDR auf den Systemen
    • In der MITRE ATT&CK Auswertung Turla (2023) hat sich gezeigt, dass die Schutzfunktion von Deep Instinct nicht besser als die von SentinelOne, Crowdstrike o.ä. ist. Erkennung von nachgelagerten Schritten (insb. Exfiltration) natürlich deutlich schlechter. Deep Instinct hat danach auch nicht mehr an den Tests teilgenommen.

Im Gegensatz zur angeblich weitverbreiteten Angst vor drohenden Jobverlusten durch KI vermute ich übrigens vielmehr, dass der eine oder andere Kollege in Wirklichkeit sehnsüchtig darauf wartet, dass ihm endlich ein KI Agent seinen Job wegnimmt und er dann mit einer dicken Abfindung seinen exzentrischen Hobbies nachgehen kann, ohne dafür immer kranknehmen zu müssen 😉.

Aber was können KI Agenten eigentlich in der Realität aktuell schon eigenständig erledigen? Brij Pandey hat sich an einer Pyramide der „Agentic AI“ Fähigkeiten und Zuordnung von Tools versucht. Natürlich sind die Abgrenzungen etwas schwammig, aber die Fragen sind schonmal klar: Wo hören die durch Menschen vorzugebenden Instruktionen auf, wo fangen die selbständigen Entscheidungen und Handlungen an, wie verästelt ist der Entscheidungsbaum, wie groß ist das „Team“ von koordinierten Agenten, wie rekursiv können Schleifen durchlaufen und der Prozess optimiert werden?

 

Wenn das halbwegs so stimmt, dann ist das Höchste der Gefühle im Moment die selbständige Programmierung eines funktionierenden Pong-Spiels oder von Webseiten in ein paar Minuten, angewiesen über natürliche Sprache. Ein Tool der Wahl dafür ist z.B. DevinAI. Also, es kann sich nur noch um wenige Tage handeln, bis das Ding dann auch mal mit den Kollegen verhandelt, wann der Server gepatcht werden darf und das dann am Wochenende auch selbständig erledigt.

M&A Corner:

  • Sicher der spektakulärste Deal in dieser Liste: Hornetsecurity (Email-/Workspace-Security aus Deutschland, die mit den Lautsprechern auf der it-sa) wird vom Wettbewerber Proofpoint gekauft. Klassische Konsolidierung – Hornet bringt ca. 150 Mio. Umsatz mit, der über >100k Firmenkunden generiert wird, in erster Linie natürlich KMU. Bewertung soll um 1 Mrd. EUR liegen.
  • Palo Alto kauft ProtectAI (Security für… KI)
  • Orca kauft Opus (Schwachstellenaggregation, -deduplizierung und -behebung, selbstverständlich mit KI-Agenten, Fokus auf Cloudinfrastruktur)
  • Upwind (CNAPP) kauft Nyx (Runtime Detection & Response). Komisch, eigentlich hätte man beim Marketing von Upwind denken können, dass die Lösung das schon vorher konnte.
  • Allurity verstärkt sich weiter, diesmal mit dem kroatischen MSOC-/PenTest-Anbieter Infigo IS
  • Die Recruiting- und Projektvermittlungsplattform CyberR kauft die französische CyberTee (ähnliches Geschäftsmodell, Vermittlung von Freelancern an suchende Unternehmen)

Notizen aus Anbietergesprächen:

Axiad:

  • Amerikanischer Anbieter für das Management von FIDO Tokens und/oder PKI as a Service – alles, was man für die Umsetzung von phishing-resistenter Authentifizierung benötigt. Kommt mit einer eigenen Software für die Workflows
  • Natürlich nur interessant für komplexe Umgebungen, d.h., wo man nicht einfach alles über Windows Hello for Business abdecken kann
  • Ca. 80 Unternehmenskunden, alles dicke Fische mit US Headquarter, u.a. Boeing, Visa, Shell, Raytheon, NASA
  • Natürlich mit Integrationen für alle gängigen Hardware-Tokens, Identity Provider + Verzeichnisse, IAM/PAM-Lösungen. Und natürlich auch mit einem Risiko-Assessment von Nutzer- und Maschinenidentitäten (wie Überprivilegierung oder Kompromittierung via Darkweb-Checks).
  • Die Axiadlösung ist nie im direkten Pfad der Authentifizierung => Bei Ausfällen ist der Zugriff weiterhin möglich (aber eben z.B. nicht mehr die Ausgabe eines Ersatz-Ubikeys)
  • In Europa z.B. via Accenture verfügbar

Scanner.dev:

  • US SIEM Startup. Fokus: Kunden, die schon Splunk, Azure Sentinel o.ä. haben, aber eine kostengünstige und schnelle Ergänzung für hohe Logvolumina suchen
  • Ca. 25 Firmenkunden (erschienen mir alle sehr techaffin / cloud-native, u.a. Lemonade, Ramp)
  • Hochvolumige Log- und Eventquellen (Firewalls, DNS, WAF, Cloudtrail, VPC Flow) werden dabei an S3 Buckets weitergeleitet
  • Der Kostenvorteil wird mit ca. 80% ggü. der reinen Splunklösung angegeben. Der Gründer hat bei einem seiner letzten Arbeitgeber miterlebt, wie sich die Splunk-Kosten verhundertfacht haben, und da wohl eine Business Opportunity gesehen
  • Gleichzeitig sind die Threat Hunting Queries über Serverlose Funktionen um ein Vielfaches schneller als AWS Athena oder Cribl (die Cribl Gründer sind auch Investoren in Scanner)

Cyberhaven:

  • US Scale-Up für DLP / DSPM / DDR, auch für unstrukturierte Daten wie CAD-Daten, Prozessdaten, Source Code. Also Wettbewerb zu Cyera, Varonis, Microsoft Purview, Proofpoint etc.
  • Ca. 250 Kunden, u.a. Mattel, SpaceX, ConocoPhillips
  • Natürlich basierend auf Graphdatenbank, um Klassifizierungen und Ereignisse wie Datenzugriffe auch über copy+paste und unterschiedliche Dateiformate zu speichern (Gründer waren davor u.a. bei Crowdstrike, Palo Alto und Wiz)
  • Erlaubt darüber eine einfache Darstellung der Historie von jedem Informationssatz
  • Architektur: Zentrales Policy Management (GCP Tenant) + Endpoint Agents, die dann auch das Blockieren von Nutzeraktionen ermöglichen
  • Ausbaufähig sind wohl noch die API Konnektoren für IaaS-/SaaS-Anwendungen
  • In der EU Vertrieb bisher über Orange, weitere Channel Partner werden gesucht (im Bedarfsfall Bescheid geben)

Compass Security:

  • Schweizer Anbieter (mit deutscher Niederlassung) von Pen Tests und MDR/Incident Response, ca. 70 MA, die meisten davon Pen Tester
  • Betreiben eigene Cyberrange, die auch für Trainings, Labortests und internationale Wettbewerbe (u.a. European Cybersecurity Challenge) genutzt wird
  • Organisieren Bug Bounty Programme für Kunden und übernehmen dabei Vertragsabwicklung sowie Qualitätssicherung
  • MDR: Bisher noch kleiner Umfang. Zielgruppe KMU, auf Microsoft-Umgebungen und Defender/Sentinel spezialisiert. 10 MA, die in Schichten Rufbereitschaft außerhalb der Bürozeiten abbilden

Wie immer: Fragen, Anregungen, Kommentare, Erfahrungsberichte und auch gegenläufige Meinungen oder Richtigstellungen gerne per Email. Dito für Abmeldungen vom Verteiler.

Für die Leute, die den Marktkommentar zum ersten Mal weitergeleitet bekommen haben: Hier kann man sich bei Interesse anmelden oder das Archiv bewundern.

Viele Grüße

Jannis Stemmann

Sind Sie bereit, Ihr Security Sourcing auf die nächste Stufe zu bringen?

CyberCompare ist Ihr unabhängiger Partner, um IT-, OT- und IoT-Sicherheit einfacher, klarer und erschwinglicher zu machen.

Mit unserem etablierten Cybersecurity-Ökosystem erreichen Sie Cybersecurity-Exzellenz und erhöhen Ihre Widerstandsfähigkeit: Mit uns sparen Sie Zeit und Geld, ohne den Fokus zu verlieren.

Jetzt anfragen

Jetzt anfragen

Associations and industry collaboration

Nach oben scrollen