{"id":4570,"date":"2022-12-15T08:12:00","date_gmt":"2022-12-15T08:12:00","guid":{"rendered":"https:\/\/cybercompare.com\/?p=4570"},"modified":"2023-09-13T10:00:25","modified_gmt":"2023-09-13T10:00:25","slug":"mehr-security-fuers-budget-einsparpotenziale-bei-der-beschaffung-von-it-security","status":"publish","type":"post","link":"https:\/\/cybercompare.com\/de\/mehr-security-fuers-budget-einsparpotenziale-bei-der-beschaffung-von-it-security\/","title":{"rendered":"Mehr Security f\u00fcr\u2019s Budget: Einsparpotenziale bei der Beschaffung von IT-Security"},"content":{"rendered":"\n

Cybersecurity ist bisher ein ineffizienter und intransparenter Markt: Mehr als 7000 Anbieter, Distributoren, Reseller, Managed Security Service Provider und Beratungsfirmen gehen mit einer \u00e4hnlichen Aussage auf IT-Leiter zu: \u201eKauf mein Produkt oder meinen Service (und zwar jetzt), sonst bist Du nicht sicher!\u201c. Dabei sollte eine wesentliche Tatsache nicht vernachl\u00e4ssigt werden, denn im Durchschnitt wird zwischen einem Drittel und der H\u00e4lfte der externen Ausgaben f\u00fcr Cybersecurity in Wirklichkeit f\u00fcr Marketing und Vertrieb ausgegeben \u2013 Geld, das besser in die Produktentwicklung investiert werden k\u00f6nnte. Denn wer bezahlt diese Vertriebs \u2013 und Marketingmannschaften? Sie als Kunde. Selbstverst\u00e4ndlich \u00fcber Umwege und verschachtelte Provisions- und Bonusregelungen. <\/p>\n\n\n\n

\"\"
Quelle: Optiv Security, Inc.<\/figcaption><\/figure>\n\n\n\n

Auf Kunden-\/ Betreiberseite zeigt sich, dass oft \u00fcberlastete IT -Teams von der Absicherung bestehender Infrastruktur im Nachhinein bis hin zu dem Fakt, dass jedes neue Projekt im Unternehmen Schnittstelle zur IT hat, mitbetreut werden muss. Angreifer lernen dazu, und regulatorische Anforderungen steigen. Hinzukommt der \u201eWar of Talent\u201c \u00fcber alle Bereiche und Industrien hinweg. Stark betroffen auch der IT- Bereich, schaut man genauer hin, mangelt es dabei aber an technischen Talenten und eher weniger an Verkaufstalenten.<\/p>\n\n\n\n

\"\"
Quelle: ICS<\/figcaption><\/figure>\n\n\n\n

Neuanschaffungen oder Ausschreibungen von Security-Projekten m\u00fcssen also zus\u00e4tzlich zum schon sehr fordernden Tagesgesch\u00e4ft erledigt werden.<\/p>\n\n\n\n

Im Folgenden werden 5 Ans\u00e4tze aufgezeigt<\/strong>, um ein m\u00f6glichst gutes Preis-\/Leistungsverh\u00e4ltnis bei reduziertem Risiko f\u00fcr die Beschaffung von Cybersecurity Projekten zu erzielen<\/strong>. Die Einsparpotenziale sind beachtlich und liegen im Durchschnitt weit \u00fcber dem, was in anderen Kategorien \u00fcblich ist.<\/p>\n\n\n\n

Schritt 1: Priorisierung<\/strong><\/h2>\n\n\n\n

In vielen F\u00e4llen wird der L\u00f6sungsraum auf die Frage \u201eAnbieter A oder B\u201c eingeengt. Aber wurden auch die Opportunit\u00e4tskosten betrachtet? W\u00e4re es vielleicht sinnvoller, f\u00fcr das Budget einen Mitarbeiter einzustellen, der sich dediziert um das Thema Security k\u00fcmmern k\u00f6nnte? Gibt es vielleicht Ma\u00dfnahmen, die f\u00fcr deutlich weniger Geld einen \u00e4hnlich hohen Zugewinn im Security-Niveau erm\u00f6glichen?<\/p>\n\n\n\n

Eine unabh\u00e4ngige Bestandsaufnahme hilft hier.<\/p>\n\n\n\n

Schritt 2: Beschreibung der Anforderungen<\/strong><\/h2>\n\n\n\n

Egal, ob Spezifikation, Lastenheft oder Leistungsbeschreibung: Achten Sie darauf, keine f\u00fchrenden Anbieter unn\u00f6tig durch \u201eKO-Kriterien\u201c auszuschlie\u00dfen. Systemh\u00e4user haben Vertriebspartnerschaften mit bestimmten Anbietern \u2013 je mehr das Systemhaus verkauft, desto h\u00f6her die Margen darauf. Systemh\u00e4user sind daher i.A. nicht unabh\u00e4ngig in ihren Empfehlungen. Gleichzeitig sollten nat\u00fcrlich keine unn\u00f6tigen Features oder Optionen definiert werden \u2013 auch hier gilt wieder: F\u00fcr was k\u00f6nnte das Budget anderweitig eingesetzt werden, z.B. f\u00fcr zus\u00e4tzliche Teamressourcen?<\/p>\n\n\n\n

Oft ist es sinnvoller, eine neue L\u00f6sung Schritt f\u00fcr Schritt auszubauen, um stetig dazuzulernen und das eigene Team nicht zu \u00fcberfrachten. Auch bei Managed Services bestehen besonders am Anfang intensive Mitwirkungspflichten, die Ihre KollegInnen belasten werden.<\/p>\n\n\n\n

Schritt 3: Anfrage bei Anbietern<\/strong><\/h2>\n\n\n\n

Hier wird oft der Fehler gemacht, beim gleichen Systemhaus oder Reseller mehrere Angebote von alternativen Herstellern anzufragen. Das Problem dabei: Das Systemhaus hat den Wettbewerb dann \u00fcber die Dealregistrierung bei mehreren Herstellern de facto ausgeschlossen. Sie als Kunde k\u00f6nnen zwar beim Hersteller ein Alternativangebot \u00fcber einen anderen Channel-Partner anfragen. Dieser wird aber deutlich schlechtere Konditionen (Nachl\u00e4sse auf Listenpreise sowie Boni\/Kickbacks) erhalten, als der Partner, der den Deal als Erstes registriert hat. Margen der Reseller von 20 \u2013 30% (und in Einzelf\u00e4llen sogar nochmal deutlich h\u00f6here Gewinnspannen) auf die Lizenzen sind damit zementiert. Der Lock-In erstreckt sich dann typischerweise auch auf Supportleistungen, den Sie ebenfalls nur noch teurer \u00fcber einen anderen Reseller beziehen k\u00f6nnen.<\/p>\n\n\n\n

In eine bessere Verhandlungsposition gelangen Sie daher, wenn Sie jeden Hersteller \u00fcber einen anderen Vertriebspartner anfragen \u2013 und zwar \u00fcber einen Partner mit dem jeweils h\u00f6chsten Status (\u201eGold\u201c, \u201ePreferred\u201c etc.), damit Sie von m\u00f6glichst guten Konditionen profitieren k\u00f6nnen.<\/p>\n\n\n\n

Empfehlenswert ist auch immer, Beratung, Umsetzung und Betrieb (d.h., Einkauf der Dienstleistungen) vom reinen Lizenzeinkauf bei Standardsoftware wie AV, EDR, NDR, SIEM-Lizenzen o.\u00e4. zu trennen. Aus dem aktuellen Gesch\u00e4ftsbericht eines der gr\u00f6\u00dften Systemh\u00e4user: \u201eA customer who knows which contract model would be suitable and exactly how many standard software licences he or she needs would not gain any added value from the pre-sales consulting.\u201d<\/p>\n\n\n\n

Nat\u00fcrlich gibt es F\u00e4lle, in denen intensive Beratung notwendig ist \u2013 z.B. bei der Ausarbeitung individueller Backup-Konzepte. Aber in vielen anderen Projekten geht es nur um die Weiterreichung von Angeboten. Der Hersteller bezahlt das Systemhaus allein f\u00fcr den Kundenzugang. Als Kunde k\u00f6nnen Sie den Unterschied direkt feststellen: Wer erkl\u00e4rt Ihnen das Produkt in der technischen Tiefe \u2013 der Pre-Sales-Engineer des Herstellers oder der Berater des Systemhauses? Bei vielen MDR-Services ist es inzwischen auch der Hersteller, der f\u00fcr Tausende von Kunden die \u00dcberwachung und den Betrieb vornimmt, und damit nat\u00fcrlich einen enormen KnowHow-Vorsprung vor den MSSPs hat.<\/p>\n\n\n\n

Schritt 4: Technischer und kommerzieller Angebotsvergleich<\/strong><\/h2>\n\n\n\n

Sind die Angebote wirklich im Leistungsumfang vergleichbar?<\/p>\n\n\n\n

Teilweise sind drastische Unterschiede in den Lizenzierungsbedingungen feststellbar, die zu erheblichen Einsparm\u00f6glichkeiten f\u00fchren k\u00f6nnen: Beispielsweise gibt es Anbieter von Endpoint Protection L\u00f6sungen, bei denen Kunden nicht f\u00fcr Thin Clients mit Virtual Desktop Umgebungen bezahlen m\u00fcssen, sondern nur eine einzelne Lizenz f\u00fcr den Terminal Server. Bei Fernzugriffsl\u00f6sungen wird von einigen f\u00fchrenden Anbietern keine j\u00e4hrliche Lizenzgeb\u00fchr aufgerufen (ja, gibt es tats\u00e4chlich noch) \u2013 andere verlangen Zusatzlizenzen pro Nutzer. Bei Plattformen f\u00fcr Schwachstellenmanagement kann die Anzahl der Entwicklungsprojekte oder Scans entscheidend sein. Und bei SIEM-Systemen war und ist \u00fcblich, Kosten nach dem Logvolumen in Rechnung zu stellen. Inzwischen gibt es aber Anbieter, die (auch unter dem Druck von XDR-L\u00f6sungen) nach Anzahl Endpunkte lizenzieren.<\/p>\n\n\n\n

Als Zwischenschritt von Auswertung auf Papierlage zu Proof of Concept\/Value hat sich oft eine strukturierte \u201eTest Case Demo\u201c bew\u00e4hrt. Dabei werden mit den Herstellern Testf\u00e4lle vereinbart, die in einer Demo (2-3 Stunden) per Videokonferenz vorgestellt und durch den Kunden bewertet werden. Hiermit ist bei geringem Aufwand eine deutlich h\u00f6here Vergleichbarkeit und Aussagekraft m\u00f6glich, als bei \u00fcblichen Marketing-Pr\u00e4sentationen.<\/p>\n\n\n\n

Schritt 5: Verhandlung<\/strong><\/h2>\n\n\n\n

An diesem Punkt sollte man sowohl Hersteller (\u00fcber Vendor Manager, Account Manager o.\u00e4.) und Reseller\/Systemhaus nochmal dar\u00fcber in Kenntnis setzen, dass sie sich in einer Wettbewerbssituation befinden. Wichtig ist nat\u00fcrlich, bis zur endg\u00fcltigen Entscheidung mindestens 2 gute Kandidaten im Rennen zu behalten. H\u00f6rt sich nach einer Binsenweisheit an, wird aber oft missachtet.<\/p>\n\n\n\n

Listenpreise der Hersteller sind nur Schall und Rauch, aber auch die ersten Angebote (mit \u201eProjektpreisen\u201c) bieten oft Verhandlungspotenzial im deutlich zweistelligen Prozentbereich \u2013 obwohl auf einigen Angeboten Listenpreise und bereits Nachl\u00e4sse von 30-50% schriftlich genannt werden.<\/p>\n\n\n\n

Warum ist das so? Ein Hinweis findet sich z.B. auch im Gesch\u00e4ftsbericht des bereits erw\u00e4hnten Systemhauses: \u201eThis cooperation [between vendor and reseller] involves the yearly determination of individual targets in the business with the respective vendor\u2019s products and services. The vendor incentivises the achievement of the target by granting bonus payments, refunds or marketing grants.\u201d <\/p>\n\n\n\n

Das Systemhaus erh\u00e4lt zum einen offenkundig h\u00f6here Nachl\u00e4sse, als an den Kunden weitergereicht werden, d.h., eine Marge auf den Einkaufspreis. Die Hersteller k\u00f6nnen dazu nach Willk\u00fcr weitere Nachl\u00e4sse gew\u00e4hren. Zudem erhalten gro\u00dfe Reseller regelm\u00e4\u00dfig R\u00fcckverg\u00fctungen und Boni auf das vermittelte Gesamtvolumen (zum Quartals- oder Jahresende).<\/p>\n\n\n\n

Selbst wenn Sie also einkaufsseitig eine Open Book Policy f\u00fcr das Projekt vom Systemhaus einfordern, werden Sie aller Voraussicht nach niemals die Gesamtverg\u00fctung des Herstellers an das Systemhaus erfahren. IT-Security-Vertrieb ist in Hinsicht versteckter Geb\u00fchren und Kosten ungef\u00e4hr auf dem Niveau von Finanz- und Versicherungsvertrieben vor 20 Jahren.<\/p>\n\n\n\n

Es hilft daher nur, konsequent eine Wettbewerbssituation aufrecht zu erhalten, im Idealfall gepaart mit einem unabh\u00e4ngigen Benchmarking der Angebotspreise. Falls das nicht m\u00f6glich sein sollte (z.B., weil es tats\u00e4chlich nur einen Hersteller gibt, der die zwingenden Anforderungen erf\u00fcllen kann), sollte eine Gleichstellung eines Channelpartners beim Hersteller in Betracht gezogen werden. Hersteller lassen dies nur ungern zu (aus verst\u00e4ndlichen Gr\u00fcnden \u2013 schlie\u00dflich wollen sie ihre Vertriebskan\u00e4le nicht ver\u00e4rgern). Unm\u00f6glich ist es aber nicht. Bei den hohen Kosten vieler Security-Projekte lohnt sich die zus\u00e4tzliche Anstrengung schnell.<\/p>\n\n\n\n

Fazit<\/strong><\/h2>\n\n\n\n

W\u00e4hrend oft versucht wird, Tagess\u00e4tze nachzuverhandeln, sind die signifikanten Einsparm\u00f6glichkeiten bei der Beschaffung von Cybersecurity-L\u00f6sungen noch h\u00e4ufig untersch\u00e4tzt. Im Zusammenspiel aus Fachabteilung und Einkauf, ggf. unterst\u00fctzt durch externe Spezialisten, kann gleichzeitig Zeit und Geld gespart, sowie das Risiko bei der Auswahl reduziert werden. Gerade in Zeiten von fl\u00e4chendeckend steigenden Kosten bietet sich hier ein Ansatz, das Sicherheitsniveau zielgerichtet zu steigern und Budgets zu schonen.<\/p>\n\n\n\n

\u00dcbrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider \u2013 aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenw\u00e4rtigen Entwicklungen vertiefend und freuen uns \u00fcber Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abh\u00e4ngig von der kundenindividuellen Situation.<\/p>\n","protected":false},"excerpt":{"rendered":"

Cybersecurity ist bisher ein ineffizienter und intransparenter Markt: Mehr als 7000 Anbieter, Distributoren, Reseller, Managed […]<\/p>\n","protected":false},"author":24,"featured_media":4571,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[18],"tags":[],"class_list":["post-4570","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-article-de"],"_links":{"self":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/4570","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/users\/24"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/comments?post=4570"}],"version-history":[{"count":1,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/4570\/revisions"}],"predecessor-version":[{"id":4578,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/4570\/revisions\/4578"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/media\/4571"}],"wp:attachment":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/media?parent=4570"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/categories?post=4570"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/tags?post=4570"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}