Marktkommentar #27: Microsoft vs. Reseller + Netskope IPO

Marktkommentar /

Hallo zusammen,

die goldene Regel in der Wirtschaft lautet: Wer das Gold hat, macht die Regeln. Gut zu sehen bei der Schweizer SoftwareOne, die bestimmt viele als Reseller kennen. Bei SoftwareOne ist der Umsatz in den letzten Quartalen geschrumpft. Warum?

Microsoft hat die “Rebates” auf die Listenpreise, also de facto Margen beim Wiederverkauf, abgesenkt und stellt die Enterprise Agreement Verträge (EA) zunehmend auf Direktvertrieb um. Davor konnten sogenannte Licensing Solution Provider (LSP) mit einer Marge von ~1,5% auf das EA Volumen rechnen.

Obwohl der Außenumsatz (Gross Billings) mit Microsoft-Produkten um mehr als 10% stieg, blieb davon also weniger beim Reseller hängen. SoftwareOne macht mit Microsoft ca. 1/3 des Geschäfts und ist nach eigenen Angaben einer der weltweit größten MS Channel Partner. Der UK Wettbewerber Bytes Technology Group hat genau das gleiche Problem.

Während die Reseller in die Röhre schauen, gehen Marktbeobachter davon aus, dass der zusätzliche Gewinn bei Microsoft durch die Umstellung der Lizenzierungen und den zunehmenden Direktvertrieb ab 2026 ~2,5 Mrd. USD beträgt.

Sicher schauen sich die Crowdstrike Manager dieses Drehbuch gut an und testen das vereinzelt auch schon. Unter den reinen Security-Playern hat Crowdstrike mit Abstand die stärkste Marke, gepaart mit einem guten Produkt. CS muss bei Großkunden nicht mehr vom Channel zum Kunden gepusht werden – der Kunde fragt von sich aus. Somit verlieren die Crowdstrike-Reseller zunehmend ihre Marktmacht und die Margen wandern vom Systemhaus/Integrator zum Hersteller (nicht zum Kunden, ist ja klar). Crowdstrike ist auch auf dem MDR/MSOC Markt die einzige Alternative zu MS Defender, bei der man mehr als eine Handvoll unabhängiger MSSP-Anbieter hat, die sich damit auskennen.

Sorgen machen muss sich trotzdem keiner um unsere Systemhäuser: Die meisten Anbieter sind etwas kleiner als MS oder CS (oder haben wie Fortinet einen Hardware-Anteil) und bezahlen zwangsläufig immer noch Provisionen dafür, dass die Channel Partner die Kärrnerarbeit beim Kunden machen. Aber es bleibt Fakt, dass wir in Europa stetig steigende Zwangsabgaben in die USA überweisen werden, solange wir uns nicht aus der selbstverschuldeten Erpressbarkeit befreien.

Wer sich schonmal mit Microsoft-Vertragstypen beschäftigt hat, weiß natürlich, dass das nicht einfach nur ein Vollzeitjob ist. EA, EAS, MCA, MCA-E, NCE, MPSA etc. bieten trotz abgeschaffter Volumenrabatte (A-D) auf Online Services mehr Substanz für eine Habilitation als die meisten Sozialwissenschaften. Falls also jemand mehr Insights oder andere Erfahrungen hat: Immer gerne. Die aktuellen Featuresets findet man bei den genialen M365Maps von Aaron Dinnage.

Netskope (CASB / SASE) plant den IPO, angestrebt wird eine Bewertung von ~5 Mrd. USD – da spicken wir doch mal in den Börsenprospekt (SEC Filing S1):

  • 13 Jahre nach Gründung ~4300 B2B Kunden

  • Wachstum :

    • Umsatz ist in den letzten 12 Monaten um ~32% auf ca. 540 Mio. USD gestiegen, die Anzahl Kunden um ~20%.

    • Realistische Einschätzung bei den Risikofaktoren: „We expect our revenue growth rate to decline in the future“
    • EMEA macht ein Viertel des Umsatzkuchens aus und ist die am schnellsten wachsende Region

  • Gewinn:

    • “ We have experienced net losses in each period since inception”, wie man zu Recht schreibt. Und zwar ist der Verlust trotz des höheren Umsatzes sogar leicht gestiegen, auf 350 Mio. USD. Fairerweise muss man sagen: Die Bruttomarge steigt. Dafür wird eben bei den Gemeinkosten zugeschlagen.
    • Gemeinkosten? Für Marketing und Vertrieb wurden ~52% des Umsatzes ausgegeben. Für Entwicklung immerhin fast genau so viel.

  • Free Cash Flow: Als Symbol angebracht wären hier nicht nur red flags 🚩🚩🚩, sondern ein Scheiterhaufen, auf dem Geldscheine verbrannt werden.
  • Laufende Verwässerung: Im letzten Jahr sind 11% neue Aktien dazugekommen. Das wird erfahrungsgemäß nicht weniger, wenn die Company dann mal börsennotiert ist. Caveat emptor.
  • Der Gesamtmarkt für Netzwerk und Cloud Security wird aktuell auf ca. 100 Mrd. USD eingeschätzt (das ist weniger als die Marktkapitalisierung von PAN). Der Markt inkl. KI-Booster soll pro Jahr um ~20% wachsen. Das zeigt schon, dass der Markt selbst in 5 Jahren nicht groß genug ist, um der aktuellen Bewertung aller Player darin gerecht zu werden. Egal.
  • “The market is intensively competitive. … Our primary competitors include companies such as Broadcom, Cisco, Fortinet, Palo Alto Networks, and Zscaler”. Fehlt Microsoft hier absichtlich?
  • An dieser Stelle ein Projektbeispiel aus Deutschland als weiteres Indiz für den brutalen Wettbewerb (Danke, Mark!): ~8.500 User SASE Projekt, Ablösung des Bestandsanbieters, Listenpreis ca. 9 Mio EUR, Abschluss zum FY-Ende: 900 TEUR Kundenpreis (also 90% Abschlag)
  • Technische Herausforderungen:

    • DLP ist bei Video, Bild- und Audiodaten viel schwieriger als bei Text (und selbst Text funktioniert in der Praxis schon nicht besonders gut)
    • Gen AI ermöglicht leicht abgeänderte Kopien von realen Daten, die von DLP-Inspektionsmechanismen nicht erkannt werden
    • Agentic AI ermöglicht über die API-Schnittstellen und Logs neue Methoden unbeabsichtigter und vorsätzlicher Datenleckage
    • Verschlüsselte Skripte via HTTPs, dynamisches Javascript, copy/paste Datenexfiltration kann effektiv nur im Browser erkannt werden, nicht über Proxies/SWG/CASB. Netskope hat hier eine Alternative zu LayerX / Island / PaloAlto Prisma/Talon etc. im Portfolio

  • Sehr cool: Mehr als 220 Patente zugelassen. Zum Vergleich: Crowdstrike liegt in der Größenordnung von ca. 350, Palo Alto bei ca. 1300. Bei diesen Zahlen werden Anmeldungen der gleichen Erfindung in unterschiedlichen Ländern oder Varianten auch mehrfach gezählt

  • Unter dem Strich Hammerleistung, so ein Unternehmen aufzubauen. Große Anerkennung für den Gründer / CEO Sanjay Beri und sein Team

  • Mit 100% Wahrscheinlichkeit wird mir wieder auf die Füße fallen, dass ich aufgrund meiner unheilbaren Value-Disposition nicht beim IPO dabei bin, und mir Leute dann spöttisch ihre neongrün strahlenden Depotauszüge schicken.

Endlich mal eine gemeinsame Cybersecurity-Richtlinie von BSI, CISA/FBI und 4 anderen Ländern, und zwar zum Thema OT Asset Inventarisierung. Ich liebe ja, wenn konkrete Empfehlungen zu „how does good look like“ gegeben werden. Die gibt es hier tatsächlich, z.B. zur Frage, welche Datenfelder eigentlich erfasst werden sollten (immer wieder Diskussionsthema), oder wie granular das Netzwerkschema mit Zonen und Conduits sein sollte. Experten regen sich zwar schon wieder über irgendwelche philosophischen Detailfragen auf, aber ich finde, die Richtlinie geht in die richtige Richtung.

M&A Corner:

    • Okta kauft Axiom (PAM für alles in der Cloud aus Israel)
    • Accenture kauft CyberCX (Australischer MSSP, ca. 1400 MA)
    • In den ersten 8 Monaten dieses Jahres gab es schon mehr Funding für Security-Firmen (> 14. Mrd. $$$) als 2024 insgesamt, vermeldet ReturnonSecurity. Nochmal der Aufruf in eigener Sache: Wer ein gutes europäisches Team kennt, das mit mehr Funding schneller wachsen könnte, dann freuen wir uns über den Kontakt.

Notizen aus Vendor Briefings:

Adva Network Security:

  • Deutscher Anbieter für Verschlüsselungsmodule („Connect Guard“, u.a. bei Genua im Einsatz) und Security-Dienstleistungen (Ursprünglich Ausgründung von Adva Optical / Adtran), ca. 80 MA
  • Entwicklung und Fertigung in D. Vom BSI zugelassen für Verschlüsselungsprozesse Layer 1 (optisch) bis VS-Vertraulich, L2 und L3 dann bis VS-NfD
  • Kunden insb. aus kritischer Infrastruktur und Verteidigung
  • Natürlich auch Kompetenz für quantensichere Verschlüsselung
  • NOC (für die eigenen Geräte) und SOC Services (15 Min garantierte Reaktionszeit bei kritischen Alarmen) werden zusammen mit Dacoso aus D erbracht. Alle Analysten (~40) sind dabei Ü2 sicherheitsüberprüft + deutschsprachig. Bevorzugter Tech Stack:
    • SIEM: MS Sentinel oder Logpoint
    • EDR: Crowdstrike oder MS Defender
    • NDR: Darktrace oder Corelight
    • SOAR: D3
    • Schwachstellenscan: Qualys
    • Threat Intel: SOCRadar

  • IT- und OT-Pen Tests mit Expertise bei der Prüfung von Zonen-Übergängen u. Demilitarisierten Zone

Conducttr (Update):

  • Anbieter einer Krisensimulationsplattform (nicht nur Cyber), Wettbewerb zu z.B. Immersive Labs. Also die digitale Version einer Table Top Übung. Besonderheit: Deutsche Tochter ist ein JV mit der britischen Muttergesellschaft, mehrheitlich aber in deutscher Hand.
  • Ca. 45 Kunden, u.a. NATO, Vodafone, UEFA, Coca-Cola, einige der Big 4
  • SaaS oder on prem Installation möglich
  • Kann nicht nur Shitstorms auf verschiedenen Social Media Kanälen simulieren (da hat die KI wohl auch genug Trainingsdaten), sondern auch versteckte Signale in hohem Rauschvolumen => Das kann man dann als Übung analysieren, um Muster zu erkennen
  • Daneben sind natürlich coole Features die Webseitenverunzierung, Messenger-App für Kommunikation im Krisenstab und dynamische  Anpassung der Szenarien je nachdem, wie die Rollenspieler Entscheidungen treffen

Databee:

  • Gehören zu Comcast (große US Telco)
  • Security Data Pipeline Management, also gleiches Spielfeld wie Cribl, Tenzir oder Databahn
  • Ca. 10 externe Kunden, bisher alle aus USA, wollen jetzt nach EU expandieren (gehostet auf AWS in Frankfurt)
  • Zielsetzung: SIEM Kosten reduzieren, daneben aber auch Daten vorstrukturieren für KI-Anwendungen
  • Suchen noch nach Channel Partner

Oligo:

  • Application Security / Cloud Detection & Response Startup aus Israel
  • Ca. 50 zahlende Kunden, u.a. Security-Anbieter wie Armis oder Cato Networks
  • Für jeden Endpunkt wird für jede überwachte Anwendung in der Einschwingphase ein Profil der normalen Ausführungen und Aufrufe erstellt
  • eBPF-Sensoren für die Erkennung von Anomalien wie ungewöhnliche Netzwerkverbindungen während Runtime => Für Hochsicherheitsanwendungen nochmal eine Verteidigungslinie mehr
  • Dazu Filterung der Schwachstellen nach Abhängigkeiten und Funktionen, die tatsächlich geladen/ausgeführt werden. Damit angeblich Reduzierung ggü. in SCA gefundener Schwachstellen um 99% möglich (wäre mal interessant, hierzu Beispiele aus der Praxis von Anwendern zu hören)

Wie immer gilt: Fragen, Anregungen, Kommentare, Erfahrungsberichte, Themenwünsche und auch gegenläufige Meinungen oder Richtigstellungen gerne per Email. Dito für Abmeldungen vom Verteiler.

Für die Leute, die den Marktkommentar zum ersten Mal weitergeleitet bekommen haben: Hier kann man sich bei Interesse anmelden oder im Archiv nach den Kollegen suchen, die wir dorthin strafversetzt haben (schöne Grüße an Hrn. Pelkmann! 😉).

Viele Grüße

Jannis Stemmann

Sind Sie bereit, Ihr Security Sourcing auf die nächste Stufe zu bringen?

CyberCompare ist Ihr unabhängiger Partner, um IT-, OT- und IoT-Sicherheit einfacher, klarer und erschwinglicher zu machen.

Mit unserem etablierten Cybersecurity-Ökosystem erreichen Sie Cybersecurity-Exzellenz und erhöhen Ihre Widerstandsfähigkeit: Mit uns sparen Sie Zeit und Geld, ohne den Fokus zu verlieren.

Jetzt anfragen

Jetzt anfragen

Associations and industry collaboration

Nach oben scrollen