Neutrale Marktübersicht · Stand Juli 2026
Die Vendor-Landkarte für Technologie-Einkauf.
Diese Landkarte zeigt, welchen Anbietern Sie je Einkaufskategorie begegnen, wofür Sie tatsächlich bezahlen und welche Verhandlungshebel bestehen. Sie ist für Einkäufer geschrieben, nicht für Analysten.
Keine Bewertung, keine Rangfolge — Nennung nur zur Identifikation. Hinweise
Cybersecurity
Endpoint Protection & XDR
keine Treffer
Der Schutz von Endgeräten und die übergreifende Erkennung von Angriffen (XDR) sind meist der größte einzelne Posten im Security-Budget. Gekauft wird längst nicht mehr nur Software, sondern zunehmend der Betrieb dazu (MDR).
EPP / EDR / XDR
- CrowdStrike
- SentinelOne
- Microsoft Defender for Endpoint
- Palo Alto Cortex XDR
- SophosEU
- BitdefenderEU
- Trend Micro
- WithSecureEU
NDR — Network Detection & Response
- DarktraceEU
- Vectra AI
- ExtraHop
- Corelight
MDR — Managed Detection & Response
- CrowdStrike Falcon Complete
- Arctic Wolf
- Sophos MDREU
- Red Canary
Was Sie wirklich kaufen
Preis pro Endpoint/Agent und Jahr, gestaffelt nach Modulen (EPP → EDR → XDR → Identity/Cloud-Add-ons). MDR kommt als Service-Aufschlag pro Endpoint dazu.
Verhandlungshebel
- Modul-Bundles auseinandernehmen: der Sprung von EDR auf die XDR-Suite wird oft mit Modulen begründet, die Sie nie aktivieren.
- Endpoint-Definition schriftlich fixieren (Server? VDI? Container?) — sie entscheidet über die Zählbasis beim True-up.
- MDR getrennt ausschreibbar halten: der Software-Anbieter ist nicht automatisch der beste Betreiber.
Cloud- & Netzwerksicherheit (SSE/SASE, CNAPP)
keine Treffer
Zwei parallele Konsolidierungswellen: der sichere Zugriff der Nutzer (SSE/SASE) und die Absicherung der Cloud-Workloads (CNAPP). Beide Märkte werden von Plattform-Anbietern aggressiv gebündelt.
SSE / SASE — Secure Access
- Zscaler
- Netskope
- Palo Alto Prisma Access
- Cloudflare One
- Cato Networks
- Cisco Secure Access
CNAPP — Cloud Native Application Protection
- Wiz
- Orca Security
- Palo Alto Prisma Cloud
- Microsoft Defender for Cloud
- Sysdig
- Aqua Security
Netzwerk-Firewalls
- Palo Alto Networks
- Fortinet
- Check Point
- Cisco
Was Sie wirklich kaufen
SSE/SASE: pro Nutzer und Jahr, gestaffelt nach Modulen (SWG, CASB, ZTNA, DLP) und Bandbreite. CNAPP: pro Workload/Asset — wächst automatisch mit der Cloud-Nutzung mit.
Verhandlungshebel
- Bei CNAPP ein Wachstumsszenario durchrechnen lassen: die Workload-Metrik macht aus Cloud-Wachstum still steigende Security-Kosten.
- Modul-Lizenzierung prüfen: SWG/CASB/ZTNA einzeln vs. Suite — der Suite-Rabatt lohnt nur bei realer Nutzung aller Module.
- PoP-Abdeckung und Latenz für Ihre Standorte vertraglich zusichern lassen, nicht nur global bewerben.
Application & Container Security
keine Treffer
Sicherheit im Entwicklungsprozess: Code-Analyse, Abhängigkeiten, Container und APIs. Die Preismetrik hängt hier fast immer an der Zahl der Entwickler — und genau dort liegen die Fallstricke.
SAST / SCA — Code & Dependencies
- Snyk
- Checkmarx
- Veracode
- Sonar
- Semgrep
- GitHub Advanced Security
Container & Artifact Security
- Docker
- JFrog
- Aqua Security
API-Security
- Salt Security
- Akamai API Security
Was Sie wirklich kaufen
Pro Entwickler (Contributor) und Jahr — entscheidend ist die Definition: alle Committer der letzten 90 Tage? Nur aktive Repos? Dazu Scan-Volumen- oder Projekt-Limits.
Verhandlungshebel
- Contributor-Definition vertraglich festschreiben — sie variiert zwischen Anbietern um Faktor zwei bei identischem Team.
- Überschneidung mit der DevOps-Plattform prüfen: GitHub/GitLab decken einen wachsenden Teil ab, bevor ein Spezialist nötig ist.
- Scan-Limits und CI-Minuten in die TCO-Rechnung nehmen — der Listenpreis ist selten die ganze Rechnung.
Vulnerability Management & Attack Surface
keine Treffer
Vom klassischen Schwachstellen-Scan bis zur Außenansicht der eigenen Angriffsfläche (EASM). Die Asset-Definition ist hier die halbe Verhandlung.
Vulnerability Management
- Tenable
- Qualys
- Rapid7
- Outpost24EU
EASM & Digital Risk Protection
- CyCognito
- NetcraftEU
- ZeroFox
- Censys
Was Sie wirklich kaufen
Pro Asset (IP, Host, Cloud-Instanz) und Jahr. Cloud- und Container-Umgebungen vervielfachen die Asset-Zahl — und damit die Rechnung.
Verhandlungshebel
- Asset-Definition verhandeln: zählt die kurzlebige Cloud-Instanz wie ein Server? Ohne Klärung zahlen Sie für Geister-Assets.
- Scan-Frequenz und Compliance-Reports (z. B. für Audits) in den Grundpreis verhandeln statt als Add-on.
- EASM zuerst als Einmal-Assessment testen, bevor ein Abo entsteht — der Erkenntniswert ist im ersten Jahr am größten.
E-Mail-Sicherheit
keine Treffer
E-Mail bleibt der wichtigste Angriffsweg — und die Kategorie mit der größten Überschneidung zu Microsoft 365. Die zentrale Einkaufsfrage lautet fast immer: Was leistet die E5-Lizenz schon, und was rechtfertigt einen Spezialisten?
Secure Email Gateways
- Proofpoint
- MimecastEU
- Barracuda
- Cisco Secure Email
AI-native / API-basiert
- Abnormal Security
- Sublime Security
- Check Point (Avanan)
Plattform-nativ
- Microsoft Defender for Office 365
- Google Workspace Security
Was Sie wirklich kaufen
Pro Postfach und Jahr, oft im Bundle mit Awareness- oder Archiv-Modulen. Bei API-basierten Anbietern zählt gelegentlich das Mail-Volumen.
Verhandlungshebel
- E5-Überschneidung sauber ausweisen lassen: doppelt bezahlter Schutz ist in dieser Kategorie der häufigste stille Kostenpunkt.
- Postfach-Zählung klären (Shared Mailboxes? Funktionspostfächer? Ehemalige?) — hier verstecken sich 10–20 % Volumen.
- Proof of Value auf den eigenen Mail-Strom bestehen: Erkennungsraten aus Anbieter-Demos sind nicht übertragbar.
Offensive Security & Bug Bounty
keine Treffer
Pentests, kontinuierliche Angriffssimulation und Bug-Bounty-Programme. Eine Kategorie, in der Tagessätze, Plattform-Gebühren und Prämien-Pools völlig unterschiedliche Kostenlogiken haben.
Pentest-Dienstleister
- SynacktivEU
- SEC ConsultEU
- usd AGEU
- NetSPI
- Bishop Fox
Pentest-as-a-Service
- Cobalt
- HackerOne Pentest
Bug Bounty
- HackerOne
- Bugcrowd
- IntigritiEU
- YesWeHackEU
Adversary Simulation
- Fortra (Cobalt Strike)
- Picus Security
- AttackIQ
Was Sie wirklich kaufen
Pentests: Festpreis pro definiertem Scope oder Tagessatz. Bug Bounty: Plattform-Gebühr plus Prämien-Pool. PtaaS: Abo mit Test-Kontingenten.
Verhandlungshebel
- Scope-Definition vor Preisverhandlung: ein unscharfer Pentest-Scope produziert Nachträge zuverlässiger als jeder Rabatt spart.
- Bei Bug Bounty Prämien-Budget und Plattform-Gebühr getrennt steuern — nur eines davon ist verhandelbar.
- Re-Test nach Behebung in den Festpreis verhandeln, sonst kostet die Bestätigung der Fixes extra.
SIEM & Security Operations
keine Treffer
Das Nervenzentrum der Security: Logs, Detection, Threat Intelligence. Ökonomisch die gefährlichste Kategorie im Stack — weil die Rechnung mit der Datenmenge wächst, nicht mit dem Nutzen.
SIEM & Security Analytics
- Splunk
- Microsoft Sentinel
- Elastic Security
- Google SecOps
- Sumo Logic
- CrowdStrike NG-SIEM
Threat Intelligence
- Recorded Future
- Mandiant (Google)
- CrowdStrike Intelligence
Was Sie wirklich kaufen
Pro ingestiertem Datenvolumen (GB/Tag) oder Events pro Sekunde; zunehmend Workload-basierte Modelle. Speicher-Tiers (hot/warm/cold) bepreisen dieselben Daten mehrfach.
Verhandlungshebel
- Ingestion-Wachstum ist der eingebaute Preistreiber: Log-Filterung und Tiering vor Vertragsabschluss konzipieren, nicht danach.
- Aufbewahrungsfristen (Compliance!) und Speicher-Tiers explizit bepreisen lassen — hier liegt der Unterschied zwischen Angeboten.
- Bei Cloud-SIEM die Abfrage-Kosten (Search/Rehydration) erfragen: billige Ingestion, teure Suche ist ein bekanntes Muster.
GRC, Awareness & Cyber-Risk
keine Treffer
Governance-Plattformen, Security-Ratings, Awareness-Training und Betrugsprävention. Viel Modul-Lizenzierung, viel Bundling — und ein Markt, in dem europäische Anbieter stark aufgeholt haben.
GRC- & Compliance-Plattformen
- AuditBoard
- OneTrust
- ServiceNow GRC
- Vanta
- Drata
Security-Ratings & TPRM
- Mastercard (RiskRecon)
- SecurityScorecard
- Bitsight
Awareness & Phishing-Simulation
- KnowBe4
- SoSafeEU
- HoxhuntEU
- RiotEU
Fraud- & IP-Intelligence
- MaxMind
- Sift
Was Sie wirklich kaufen
GRC: pro Modul plus Nutzerstaffel. Ratings: pro überwachter Organisation. Awareness: pro Mitarbeiter und Jahr — mit starken Staffelrabatten.
Verhandlungshebel
- Modul-Roadmap gegen Lizenzmodell spiegeln: GRC-Plattformen verkaufen gern die Suite, gelebt werden anfangs zwei Module.
- Bei Ratings die Zahl der überwachten Lieferanten aktiv steuern — sie ist der Multiplikator der Rechnung.
- Awareness-Training jährlich neu ausschreibbar halten: Wechselkosten sind niedrig, der Markt ist kompetitiv — ideale Benchmark-Kategorie.
Identity & Access
keine Treffer
Identität ist die neue erste Verteidigungslinie — jede M&A-Welle der Branche bestätigt das. Wer hier kauft, kauft langfristig: Wechselkosten sind in kaum einer Kategorie höher.
IAM / SSO / MFA
- Okta
- Microsoft Entra ID
- Ping Identity
PAM — Privileged Access
- CyberArk
- Delinea
- BeyondTrust
IGA — Identity Governance
- SailPoint
- OmadaEU
Secrets & Passwort-Management
- 1Password
- Keeper Security
- HashiCorp Vault
Was Sie wirklich kaufen
Pro Nutzer und Monat, gestaffelt nach Feature-Tiers (MFA, Lifecycle, Governance). PAM teils pro privilegiertem Account oder pro Vault/Session.
Verhandlungshebel
- Maschinen-Identitäten (Service Accounts, Agenten) vor Vertragsabschluss zählen und bepreisen lassen — sie wachsen schneller als Mitarbeiter.
- Tier-Sprünge prüfen: einzelne Features (z. B. Lifecycle) erzwingen oft den teuren Tier für alle Nutzer.
- Exit-Szenario dokumentieren, bevor Sie unterschreiben: Identity-Migrationsprojekte sind die teuersten der Kategorie — das weiß auch der Anbieter beim Renewal.
Software, Cloud & IT
Software, Daten & Dev-Infrastruktur
keine Treffer
Die Werkzeuge hinter digitalen Produkten: Datenplattformen, Entwickler-Tooling, Hosting, Media. Hier dominieren Verbrauchs- und Sitzplatz-Metriken — oft im selben Vertrag.
Data Streaming
- Confluent
- Redpanda
- AivenEU
Datenplattformen & Warehousing
- Snowflake
- Databricks
- MongoDB
- Google BigQuery
Search & Discovery
- Elastic
- AlgoliaEU
- OpenSearch
DevOps & Code-Plattformen
- GitHub
- GitLab
- Atlassian
- JFrog
- Docker
- HashiCorp
Hosting & CMS
- WP Engine
- Kinsta
- ContentfulEU
- StoryblokEU
- Sanity
Media & Digital Assets
- Cloudinary
- imgix
- BynderEU
Was Sie wirklich kaufen
Zwei Welten in einer Kategorie: Credits/Consumption (Snowflake, Databricks, Confluent) und Seats (Atlassian, GitHub). Verbrauchsmodelle brauchen andere Vertragsinstrumente als Sitzplatzlizenzen.
Verhandlungshebel
- Bei Consumption: Commit-Rabatte nur gegen echte Verbrauchshistorie zusagen — ein zu hoher Commit ist ein Rabatt, den Sie nie sehen.
- Seat-Verträge: inaktive Nutzer quartalsweise bereinigen dürfen (Downgrade-Recht), nicht erst zum Renewal.
- Egress- und Integrationskosten zwischen den Plattformen in die TCO nehmen — die Einzelpreise verstecken die Datenlogistik.
Cloud & Edge
keine Treffer
Hyperscaler, europäische Alternativen, CDN und Observability. Die Verhandlungen folgen der Cloud-Logik: Volumen-Commitments gegen Rabatte — mit allen bekannten Fallen.
Hyperscaler
- Amazon Web Services
- Microsoft Azure
- Google Cloud
EU-Cloud & Sovereignty
- OVHcloudEU
- HetznerEU
- STACKITEU
- IONOSEU
CDN & Edge
- Cloudflare
- Fastly
- Akamai
Observability
- Datadog
- DynatraceEU
- New Relic
- Grafana Labs
Incident Management
- PagerDuty
- incident.ioEU
- ilertEU
Was Sie wirklich kaufen
Cloud: Verbrauch mit Commit-Rabatten (EDP, MACC, CUDs). CDN: Traffic-Volumen. Observability: pro Host plus ingestierte Daten — die zweite Komponente wird gern unterschätzt.
Verhandlungshebel
- Commit-Höhe konservativ ansetzen: Shortfall-Klauseln machen aus ungenutztem Commitment eine Strafzahlung mit Rabatt-Optik.
- Egress-Kosten und Wechselpfade vor der Architektur-Entscheidung bewerten — danach verhandelt es sich schlecht.
- Observability: Ingestion und Retention getrennt steuern; Host-Preis ist nur die halbe Rechnung. EU-Anbieter als reale Zweitquelle für unkritische Workloads prüfen.
MarTech & AdTech
keine Treffer
Attribution, Engagement, Feeds, Analytics und Creative-Tools. Eine Kategorie mit kurzen Innovationszyklen, event-basierten Metriken — und regelmäßig überdimensionierten Verträgen.
Mobile Measurement & Attribution
- AppsFlyer
- AdjustEU
- Branch
- Singular
Engagement & Marketing Automation
- Braze
- BatchEU
- Adobe Journey Optimizer
- Salesforce Marketing Cloud
- HubSpot
Produkt-Feeds & Commerce
- ChannableEU
- ProductsupEU
- Feedonomics
Analytics & CDP
- Google Analytics
- Adobe Analytics
- Piwik PROEU
- Amplitude
- Twilio Segment
Creative & Design
- Adobe Creative Cloud
- Canva
- Figma
Was Sie wirklich kaufen
Events, MAU, Attributions-Volumen oder Kontakte — fast immer verbrauchsnah. Creative-Tools klassisch pro Seat. Die Event-Definition entscheidet über die Rechnung.
Verhandlungshebel
- Event-/MAU-Definition schriftlich klären und ein Volumen-Puffer-Band verhandeln statt Überschreitungs-Listenpreisen.
- Datenaufbewahrung (Monate vs. Jahre) ist ein Preishebel — Standard-Tiers sind oft länger als der reale Bedarf.
- Jährliche Nutzungs-Audits einplanen: MarTech-Stacks sammeln tote Tools schneller als jede andere Kategorie.
IT, Telekom & Lizenzierung
keine Treffer
Netzwerk-Hardware, Gerätemanagement, Software-Lizenzen über Partner, Telekommunikation und Managed Print. Die klassischste Einkaufskategorie — und die mit den intransparentesten Margenketten.
Netzwerk-Infrastruktur
- Cisco
- HPE Aruba
- Juniper
- Arista
UEM / MDM
- Microsoft Intune
- Omnissa Workspace ONE
- Jamf
- Ivanti
VAR & Licensing-Partner
- BechtleEU
- CancomEU
- ComputacenterEU
- SoftwareOneEU
- CrayonEU
- CDW
- SHI
- Insight
Workplace-Lizenzen
- Microsoft 365
- Google Workspace
- Adobe
- Atlassian
Telekommunikation
- Deutsche TelekomEU
- VodafoneEU
- Orange BusinessEU
- ColtEU
- BTEU
Managed Print
- Ricoh
- Canon
- Xerox
- Konica Minolta
- Lexmark
Was Sie wirklich kaufen
Hardware: Stückpreis plus Support-Verträge (der eigentliche Marge-Träger). Lizenzen: EA/CSP-Modelle pro Nutzer. Telco: pro Anschluss/Leitung. Print: pro Seite plus Gerätemiete.
Verhandlungshebel
- VAR-Marge sichtbar machen: bei großen Lizenzdeals Preisblätter mit Hersteller-Konditionen (z. B. CSP-Tier) hinterfragen — die Spanne ist verhandelbar.
- Support-Renewals (Netzwerk!) separat benchmarken: dort altert der Rabatt des Ursprungsdeals am schnellsten.
- E3/E5-Entscheidung als Portfolio-Frage führen: der E5-Aufpreis konkurriert direkt mit Spezialisten aus Security- und Compliance-Kategorien dieser Landkarte.
Diese Kategorien stehen bei Ihnen an?
Am schnellsten geht es im Gespräch: 30 Minuten für Scope, Start, Laufzeit und Einsatzmodell.
Hinweise
Neutrale Marktübersicht auf Basis öffentlich verfügbarer Informationen. Alle genannten Marken- und Produktnamen sind Eigentum ihrer jeweiligen Inhaber; die Nennung dient ausschließlich der Identifikation. Keine Bewertung, keine Rangfolge, keine Vollständigkeit, keine Geschäftsbeziehung impliziert. Auswahl beispielhaft, Stand Juli 2026.
Sie vermissen einen Anbieter oder finden eine Einordnung ungenau? Schreiben Sie mir: kontakt@lukaszostrowski.de.