Neutrale Marktübersicht · Stand Juli 2026

Die Vendor-Landkarte für Technologie-Einkauf.

Diese Landkarte zeigt, welchen Anbietern Sie je Einkaufskategorie begegnen, wofür Sie tatsächlich bezahlen und welche Verhandlungshebel bestehen. Sie ist für Einkäufer geschrieben, nicht für Analysten.

Keine Bewertung, keine Rangfolge — Nennung nur zur Identifikation. Hinweise

Cybersecurity

Endpoint Protection & XDR

keine Treffer

Der Schutz von Endgeräten und die übergreifende Erkennung von Angriffen (XDR) sind meist der größte einzelne Posten im Security-Budget. Gekauft wird längst nicht mehr nur Software, sondern zunehmend der Betrieb dazu (MDR).

EPP / EDR / XDR

  • CrowdStrike
  • SentinelOne
  • Microsoft Defender for Endpoint
  • Palo Alto Cortex XDR
  • SophosEU
  • BitdefenderEU
  • Trend Micro
  • WithSecureEU

NDR — Network Detection & Response

  • DarktraceEU
  • Vectra AI
  • ExtraHop
  • Corelight

MDR — Managed Detection & Response

  • CrowdStrike Falcon Complete
  • Arctic Wolf
  • Sophos MDREU
  • Red Canary

Was Sie wirklich kaufen

Preis pro Endpoint/Agent und Jahr, gestaffelt nach Modulen (EPP → EDR → XDR → Identity/Cloud-Add-ons). MDR kommt als Service-Aufschlag pro Endpoint dazu.

Verhandlungshebel

  • Modul-Bundles auseinandernehmen: der Sprung von EDR auf die XDR-Suite wird oft mit Modulen begründet, die Sie nie aktivieren.
  • Endpoint-Definition schriftlich fixieren (Server? VDI? Container?) — sie entscheidet über die Zählbasis beim True-up.
  • MDR getrennt ausschreibbar halten: der Software-Anbieter ist nicht automatisch der beste Betreiber.

Cloud- & Netzwerksicherheit (SSE/SASE, CNAPP)

keine Treffer

Zwei parallele Konsolidierungswellen: der sichere Zugriff der Nutzer (SSE/SASE) und die Absicherung der Cloud-Workloads (CNAPP). Beide Märkte werden von Plattform-Anbietern aggressiv gebündelt.

SSE / SASE — Secure Access

  • Zscaler
  • Netskope
  • Palo Alto Prisma Access
  • Cloudflare One
  • Cato Networks
  • Cisco Secure Access

CNAPP — Cloud Native Application Protection

  • Wiz
  • Orca Security
  • Palo Alto Prisma Cloud
  • Microsoft Defender for Cloud
  • Sysdig
  • Aqua Security

Netzwerk-Firewalls

  • Palo Alto Networks
  • Fortinet
  • Check Point
  • Cisco

Was Sie wirklich kaufen

SSE/SASE: pro Nutzer und Jahr, gestaffelt nach Modulen (SWG, CASB, ZTNA, DLP) und Bandbreite. CNAPP: pro Workload/Asset — wächst automatisch mit der Cloud-Nutzung mit.

Verhandlungshebel

  • Bei CNAPP ein Wachstumsszenario durchrechnen lassen: die Workload-Metrik macht aus Cloud-Wachstum still steigende Security-Kosten.
  • Modul-Lizenzierung prüfen: SWG/CASB/ZTNA einzeln vs. Suite — der Suite-Rabatt lohnt nur bei realer Nutzung aller Module.
  • PoP-Abdeckung und Latenz für Ihre Standorte vertraglich zusichern lassen, nicht nur global bewerben.

Application & Container Security

keine Treffer

Sicherheit im Entwicklungsprozess: Code-Analyse, Abhängigkeiten, Container und APIs. Die Preismetrik hängt hier fast immer an der Zahl der Entwickler — und genau dort liegen die Fallstricke.

SAST / SCA — Code & Dependencies

  • Snyk
  • Checkmarx
  • Veracode
  • Sonar
  • Semgrep
  • GitHub Advanced Security

Container & Artifact Security

  • Docker
  • JFrog
  • Aqua Security

API-Security

  • Salt Security
  • Akamai API Security

Was Sie wirklich kaufen

Pro Entwickler (Contributor) und Jahr — entscheidend ist die Definition: alle Committer der letzten 90 Tage? Nur aktive Repos? Dazu Scan-Volumen- oder Projekt-Limits.

Verhandlungshebel

  • Contributor-Definition vertraglich festschreiben — sie variiert zwischen Anbietern um Faktor zwei bei identischem Team.
  • Überschneidung mit der DevOps-Plattform prüfen: GitHub/GitLab decken einen wachsenden Teil ab, bevor ein Spezialist nötig ist.
  • Scan-Limits und CI-Minuten in die TCO-Rechnung nehmen — der Listenpreis ist selten die ganze Rechnung.

Vulnerability Management & Attack Surface

keine Treffer

Vom klassischen Schwachstellen-Scan bis zur Außenansicht der eigenen Angriffsfläche (EASM). Die Asset-Definition ist hier die halbe Verhandlung.

Vulnerability Management

  • Tenable
  • Qualys
  • Rapid7
  • Outpost24EU

EASM & Digital Risk Protection

  • CyCognito
  • NetcraftEU
  • ZeroFox
  • Censys

Was Sie wirklich kaufen

Pro Asset (IP, Host, Cloud-Instanz) und Jahr. Cloud- und Container-Umgebungen vervielfachen die Asset-Zahl — und damit die Rechnung.

Verhandlungshebel

  • Asset-Definition verhandeln: zählt die kurzlebige Cloud-Instanz wie ein Server? Ohne Klärung zahlen Sie für Geister-Assets.
  • Scan-Frequenz und Compliance-Reports (z. B. für Audits) in den Grundpreis verhandeln statt als Add-on.
  • EASM zuerst als Einmal-Assessment testen, bevor ein Abo entsteht — der Erkenntniswert ist im ersten Jahr am größten.

E-Mail-Sicherheit

keine Treffer

E-Mail bleibt der wichtigste Angriffsweg — und die Kategorie mit der größten Überschneidung zu Microsoft 365. Die zentrale Einkaufsfrage lautet fast immer: Was leistet die E5-Lizenz schon, und was rechtfertigt einen Spezialisten?

Secure Email Gateways

  • Proofpoint
  • MimecastEU
  • Barracuda
  • Cisco Secure Email

AI-native / API-basiert

  • Abnormal Security
  • Sublime Security
  • Check Point (Avanan)

Plattform-nativ

  • Microsoft Defender for Office 365
  • Google Workspace Security

Was Sie wirklich kaufen

Pro Postfach und Jahr, oft im Bundle mit Awareness- oder Archiv-Modulen. Bei API-basierten Anbietern zählt gelegentlich das Mail-Volumen.

Verhandlungshebel

  • E5-Überschneidung sauber ausweisen lassen: doppelt bezahlter Schutz ist in dieser Kategorie der häufigste stille Kostenpunkt.
  • Postfach-Zählung klären (Shared Mailboxes? Funktionspostfächer? Ehemalige?) — hier verstecken sich 10–20 % Volumen.
  • Proof of Value auf den eigenen Mail-Strom bestehen: Erkennungsraten aus Anbieter-Demos sind nicht übertragbar.

Offensive Security & Bug Bounty

keine Treffer

Pentests, kontinuierliche Angriffssimulation und Bug-Bounty-Programme. Eine Kategorie, in der Tagessätze, Plattform-Gebühren und Prämien-Pools völlig unterschiedliche Kostenlogiken haben.

Pentest-Dienstleister

  • SynacktivEU
  • SEC ConsultEU
  • usd AGEU
  • NetSPI
  • Bishop Fox

Pentest-as-a-Service

  • Cobalt
  • HackerOne Pentest

Bug Bounty

  • HackerOne
  • Bugcrowd
  • IntigritiEU
  • YesWeHackEU

Adversary Simulation

  • Fortra (Cobalt Strike)
  • Picus Security
  • AttackIQ

Was Sie wirklich kaufen

Pentests: Festpreis pro definiertem Scope oder Tagessatz. Bug Bounty: Plattform-Gebühr plus Prämien-Pool. PtaaS: Abo mit Test-Kontingenten.

Verhandlungshebel

  • Scope-Definition vor Preisverhandlung: ein unscharfer Pentest-Scope produziert Nachträge zuverlässiger als jeder Rabatt spart.
  • Bei Bug Bounty Prämien-Budget und Plattform-Gebühr getrennt steuern — nur eines davon ist verhandelbar.
  • Re-Test nach Behebung in den Festpreis verhandeln, sonst kostet die Bestätigung der Fixes extra.

SIEM & Security Operations

keine Treffer

Das Nervenzentrum der Security: Logs, Detection, Threat Intelligence. Ökonomisch die gefährlichste Kategorie im Stack — weil die Rechnung mit der Datenmenge wächst, nicht mit dem Nutzen.

SIEM & Security Analytics

  • Splunk
  • Microsoft Sentinel
  • Elastic Security
  • Google SecOps
  • Sumo Logic
  • CrowdStrike NG-SIEM

Threat Intelligence

  • Recorded Future
  • Mandiant (Google)
  • CrowdStrike Intelligence

Was Sie wirklich kaufen

Pro ingestiertem Datenvolumen (GB/Tag) oder Events pro Sekunde; zunehmend Workload-basierte Modelle. Speicher-Tiers (hot/warm/cold) bepreisen dieselben Daten mehrfach.

Verhandlungshebel

  • Ingestion-Wachstum ist der eingebaute Preistreiber: Log-Filterung und Tiering vor Vertragsabschluss konzipieren, nicht danach.
  • Aufbewahrungsfristen (Compliance!) und Speicher-Tiers explizit bepreisen lassen — hier liegt der Unterschied zwischen Angeboten.
  • Bei Cloud-SIEM die Abfrage-Kosten (Search/Rehydration) erfragen: billige Ingestion, teure Suche ist ein bekanntes Muster.

GRC, Awareness & Cyber-Risk

keine Treffer

Governance-Plattformen, Security-Ratings, Awareness-Training und Betrugsprävention. Viel Modul-Lizenzierung, viel Bundling — und ein Markt, in dem europäische Anbieter stark aufgeholt haben.

GRC- & Compliance-Plattformen

  • AuditBoard
  • OneTrust
  • ServiceNow GRC
  • Vanta
  • Drata

Security-Ratings & TPRM

  • Mastercard (RiskRecon)
  • SecurityScorecard
  • Bitsight

Awareness & Phishing-Simulation

  • KnowBe4
  • SoSafeEU
  • HoxhuntEU
  • RiotEU

Fraud- & IP-Intelligence

  • MaxMind
  • Sift

Was Sie wirklich kaufen

GRC: pro Modul plus Nutzerstaffel. Ratings: pro überwachter Organisation. Awareness: pro Mitarbeiter und Jahr — mit starken Staffelrabatten.

Verhandlungshebel

  • Modul-Roadmap gegen Lizenzmodell spiegeln: GRC-Plattformen verkaufen gern die Suite, gelebt werden anfangs zwei Module.
  • Bei Ratings die Zahl der überwachten Lieferanten aktiv steuern — sie ist der Multiplikator der Rechnung.
  • Awareness-Training jährlich neu ausschreibbar halten: Wechselkosten sind niedrig, der Markt ist kompetitiv — ideale Benchmark-Kategorie.

Identity & Access

keine Treffer

Identität ist die neue erste Verteidigungslinie — jede M&A-Welle der Branche bestätigt das. Wer hier kauft, kauft langfristig: Wechselkosten sind in kaum einer Kategorie höher.

IAM / SSO / MFA

  • Okta
  • Microsoft Entra ID
  • Ping Identity

PAM — Privileged Access

  • CyberArk
  • Delinea
  • BeyondTrust

IGA — Identity Governance

  • SailPoint
  • OmadaEU

Secrets & Passwort-Management

  • 1Password
  • Keeper Security
  • HashiCorp Vault

Was Sie wirklich kaufen

Pro Nutzer und Monat, gestaffelt nach Feature-Tiers (MFA, Lifecycle, Governance). PAM teils pro privilegiertem Account oder pro Vault/Session.

Verhandlungshebel

  • Maschinen-Identitäten (Service Accounts, Agenten) vor Vertragsabschluss zählen und bepreisen lassen — sie wachsen schneller als Mitarbeiter.
  • Tier-Sprünge prüfen: einzelne Features (z. B. Lifecycle) erzwingen oft den teuren Tier für alle Nutzer.
  • Exit-Szenario dokumentieren, bevor Sie unterschreiben: Identity-Migrationsprojekte sind die teuersten der Kategorie — das weiß auch der Anbieter beim Renewal.

Software, Cloud & IT

Software, Daten & Dev-Infrastruktur

keine Treffer

Die Werkzeuge hinter digitalen Produkten: Datenplattformen, Entwickler-Tooling, Hosting, Media. Hier dominieren Verbrauchs- und Sitzplatz-Metriken — oft im selben Vertrag.

Data Streaming

  • Confluent
  • Redpanda
  • AivenEU

Datenplattformen & Warehousing

  • Snowflake
  • Databricks
  • MongoDB
  • Google BigQuery

Search & Discovery

  • Elastic
  • AlgoliaEU
  • OpenSearch

DevOps & Code-Plattformen

  • GitHub
  • GitLab
  • Atlassian
  • JFrog
  • Docker
  • HashiCorp

Hosting & CMS

  • WP Engine
  • Kinsta
  • ContentfulEU
  • StoryblokEU
  • Sanity

Media & Digital Assets

  • Cloudinary
  • imgix
  • BynderEU

Was Sie wirklich kaufen

Zwei Welten in einer Kategorie: Credits/Consumption (Snowflake, Databricks, Confluent) und Seats (Atlassian, GitHub). Verbrauchsmodelle brauchen andere Vertragsinstrumente als Sitzplatzlizenzen.

Verhandlungshebel

  • Bei Consumption: Commit-Rabatte nur gegen echte Verbrauchshistorie zusagen — ein zu hoher Commit ist ein Rabatt, den Sie nie sehen.
  • Seat-Verträge: inaktive Nutzer quartalsweise bereinigen dürfen (Downgrade-Recht), nicht erst zum Renewal.
  • Egress- und Integrationskosten zwischen den Plattformen in die TCO nehmen — die Einzelpreise verstecken die Datenlogistik.

Cloud & Edge

keine Treffer

Hyperscaler, europäische Alternativen, CDN und Observability. Die Verhandlungen folgen der Cloud-Logik: Volumen-Commitments gegen Rabatte — mit allen bekannten Fallen.

Hyperscaler

  • Amazon Web Services
  • Microsoft Azure
  • Google Cloud

EU-Cloud & Sovereignty

  • OVHcloudEU
  • HetznerEU
  • STACKITEU
  • IONOSEU

CDN & Edge

  • Cloudflare
  • Fastly
  • Akamai

Observability

  • Datadog
  • DynatraceEU
  • New Relic
  • Grafana Labs

Incident Management

  • PagerDuty
  • incident.ioEU
  • ilertEU

Was Sie wirklich kaufen

Cloud: Verbrauch mit Commit-Rabatten (EDP, MACC, CUDs). CDN: Traffic-Volumen. Observability: pro Host plus ingestierte Daten — die zweite Komponente wird gern unterschätzt.

Verhandlungshebel

  • Commit-Höhe konservativ ansetzen: Shortfall-Klauseln machen aus ungenutztem Commitment eine Strafzahlung mit Rabatt-Optik.
  • Egress-Kosten und Wechselpfade vor der Architektur-Entscheidung bewerten — danach verhandelt es sich schlecht.
  • Observability: Ingestion und Retention getrennt steuern; Host-Preis ist nur die halbe Rechnung. EU-Anbieter als reale Zweitquelle für unkritische Workloads prüfen.

MarTech & AdTech

keine Treffer

Attribution, Engagement, Feeds, Analytics und Creative-Tools. Eine Kategorie mit kurzen Innovationszyklen, event-basierten Metriken — und regelmäßig überdimensionierten Verträgen.

Mobile Measurement & Attribution

  • AppsFlyer
  • AdjustEU
  • Branch
  • Singular

Engagement & Marketing Automation

  • Braze
  • BatchEU
  • Adobe Journey Optimizer
  • Salesforce Marketing Cloud
  • HubSpot

Produkt-Feeds & Commerce

  • ChannableEU
  • ProductsupEU
  • Feedonomics

Analytics & CDP

  • Google Analytics
  • Adobe Analytics
  • Piwik PROEU
  • Amplitude
  • Twilio Segment

Creative & Design

  • Adobe Creative Cloud
  • Canva
  • Figma

Was Sie wirklich kaufen

Events, MAU, Attributions-Volumen oder Kontakte — fast immer verbrauchsnah. Creative-Tools klassisch pro Seat. Die Event-Definition entscheidet über die Rechnung.

Verhandlungshebel

  • Event-/MAU-Definition schriftlich klären und ein Volumen-Puffer-Band verhandeln statt Überschreitungs-Listenpreisen.
  • Datenaufbewahrung (Monate vs. Jahre) ist ein Preishebel — Standard-Tiers sind oft länger als der reale Bedarf.
  • Jährliche Nutzungs-Audits einplanen: MarTech-Stacks sammeln tote Tools schneller als jede andere Kategorie.

IT, Telekom & Lizenzierung

keine Treffer

Netzwerk-Hardware, Gerätemanagement, Software-Lizenzen über Partner, Telekommunikation und Managed Print. Die klassischste Einkaufskategorie — und die mit den intransparentesten Margenketten.

Netzwerk-Infrastruktur

  • Cisco
  • HPE Aruba
  • Juniper
  • Arista

UEM / MDM

  • Microsoft Intune
  • Omnissa Workspace ONE
  • Jamf
  • Ivanti

VAR & Licensing-Partner

  • BechtleEU
  • CancomEU
  • ComputacenterEU
  • SoftwareOneEU
  • CrayonEU
  • CDW
  • SHI
  • Insight

Workplace-Lizenzen

  • Microsoft 365
  • Google Workspace
  • Adobe
  • Atlassian

Telekommunikation

  • Deutsche TelekomEU
  • VodafoneEU
  • Orange BusinessEU
  • ColtEU
  • BTEU

Managed Print

  • Ricoh
  • Canon
  • Xerox
  • Konica Minolta
  • Lexmark

Was Sie wirklich kaufen

Hardware: Stückpreis plus Support-Verträge (der eigentliche Marge-Träger). Lizenzen: EA/CSP-Modelle pro Nutzer. Telco: pro Anschluss/Leitung. Print: pro Seite plus Gerätemiete.

Verhandlungshebel

  • VAR-Marge sichtbar machen: bei großen Lizenzdeals Preisblätter mit Hersteller-Konditionen (z. B. CSP-Tier) hinterfragen — die Spanne ist verhandelbar.
  • Support-Renewals (Netzwerk!) separat benchmarken: dort altert der Rabatt des Ursprungsdeals am schnellsten.
  • E3/E5-Entscheidung als Portfolio-Frage führen: der E5-Aufpreis konkurriert direkt mit Spezialisten aus Security- und Compliance-Kategorien dieser Landkarte.

Diese Kategorien stehen bei Ihnen an?

Am schnellsten geht es im Gespräch: 30 Minuten für Scope, Start, Laufzeit und Einsatzmodell.

Hinweise

Neutrale Marktübersicht auf Basis öffentlich verfügbarer Informationen. Alle genannten Marken- und Produktnamen sind Eigentum ihrer jeweiligen Inhaber; die Nennung dient ausschließlich der Identifikation. Keine Bewertung, keine Rangfolge, keine Vollständigkeit, keine Geschäftsbeziehung impliziert. Auswahl beispielhaft, Stand Juli 2026.

Sie vermissen einen Anbieter oder finden eine Einordnung ungenau? Schreiben Sie mir: kontakt@lukaszostrowski.de.