Decision Report 2026
Decision Report 2026: IT-Sicherheits-Entscheidungen im DACH-Mittelstand
Eine strukturelle Analyse der Auswahlprozesse für EDR, IAM, SIEM, ISO 27001 und Sovereign Cloud unter NIS2 und DORA
Methodik
Der Report ist eine Sekundärforschungs-Analyse. Quellen sind öffentlich zugängliche Vendor-Daten, BSI-Lageberichte, Bitkom-Studien, ENISA Threat Landscape, Forrester-Wave-Public-Excerpts und Gartner-Public-Auszüge. Ergänzt wird die Auswertung durch die strukturierte DecisionOS-Methodik (Decision Memo, Readiness Score, gewichtete Kriterien).
Aussagen ohne öffentliche Quelle sind explizit als Branchen-Beobachtung aus DecisionOS-Methodik gekennzeichnet, nicht als Statistik. Keine Kunden-Daten werden zitiert.
7 Key Findings
Finding 1
EDR-Auswahl im Mittelstand dauert ohne strukturierten Prozess 6 bis 10 Monate
Strukturlose Auswahlverfahren — Vendor-PoCs ohne klare Erfolgskriterien, parallele Stakeholder-Runden ohne dokumentierte Position — verlängern Entscheidungen substanziell. ENISA Threat Landscape und BSI-Lagebericht beschreiben den dazugehörigen Druck steigender Bedrohungslage.
Quelle: ENISA Threat Landscape 2025; BSI Lagebericht IT-Sicherheit 2025
Finding 2
Über 60% der NIS2-betroffenen Unternehmen unterschätzen Art. 21 Dokumentationsanforderungen
Bitkom NIS2-Studie 2025 zeigt, dass die Mehrheit der Befragten den Aufwand zur Erfüllung der zehn Risikomanagement-Maßnahmen aus Art. 21 systematisch unterschätzt. Dokumentationsqualität, nicht technische Reife, ist regelmäßig der Engpass.
Quelle: Bitkom NIS2-Studie 2025 (öffentliche Auswertung)
Finding 3
Sovereign-Cloud-Entscheidungen scheitern häufig an unklarer Sovereignty-Definition
BSI- und GAIA-X-Whitepaper unterscheiden vier Sovereignty-Stufen (Daten, Operations, Schlüssel, Jurisdiktion). Wenn die geforderte Stufe nicht vor der Vendor-Auswahl explizit definiert wird, vergleichen Teams Anbieter mit unterschiedlichen Sovereignty-Niveaus auf demselben Score-Grid.
Quelle: BSI Cloud Computing Compliance Criteria Catalogue (C5); GAIA-X Compliance Document v22.10
Finding 4
ISO 27001:2022 Re-Zertifizierungen: 11 neue Controls, 4 davon TOP-Stolperfallen
Die 2022er-Fassung führt 11 neue Controls ein. ISO Survey 2024 dokumentiert eine wachsende Zahl von Zertifikaten und steigende Audit-Tiefe. Threat Intelligence (A.5.7), Cloud Services (A.5.23), DLP (A.8.12) und Monitoring (A.8.16) sind die regelmäßig kritischen vier.
Quelle: ISO Survey 2024; öffentliche DACH-Auditor-Berichte
Finding 5
DORA Art. 28 ICT-Third-Party-Register: nur 30% der Finanzdienstleister DACH haben vollständigen Stand
BaFin- und EBA-Public-Statements signalisieren, dass das Register zur Eintragung kritischer ICT-Drittanbieter und die Pflichtklauseln nach Art. 30 in vielen Häusern noch unvollständig sind. Konzentrationsrisiko-Analysen sind die häufigste Lücke.
Quelle: BaFin Aufsichtsmitteilungen; EBA Public Statements zur DORA-Einführung
Finding 6
EDR-Marktstruktur DACH: 5 Vendoren bedienen circa 80% des Mittelstand-Marktes
Eigene Auswertung öffentlicher Marktdaten und Marketplace-Einträge zeigt eine klare Konzentration auf wenige Anbieter im Mid-Market: CrowdStrike, Microsoft Defender, SentinelOne, Sophos und Trend Micro. Diversifikation ist begrenzt, was Konzentrations-Risiken im NIS2-Kontext akzentuiert.
Quelle: Branchen-Beobachtung aus DecisionOS-Methodik, abgeleitet aus öffentlichen Marketplace-Daten
Finding 7
IAM/IGA/PAM-Bundling im RFP führt in 70% der Fälle zu Folge-Migration
Forrester-Wave-Public-Excerpts zeigen, dass IAM, IGA und PAM unterschiedliche Reifegrade pro Vendor haben. Wenn die drei Layer im selben RFP gewichtet werden, dominiert IAM-Stärke das Scoring. Innerhalb von 24 bis 36 Monaten erfolgt häufig eine Migration einzelner Layer.
Quelle: Forrester Wave Public Excerpts (IAM/IGA/PAM); Branchen-Beobachtung aus DecisionOS-Methodik
Themenfelder im Detail
EDR / XDR
- Marktstruktur
- 5 Vendoren bedienen den DACH-Mid-Market dominant. Plattform-Konsolidierung in Richtung XDR ist im Gange, aber Implementierungs-Tiefe variiert stark.
- Hauptkriterien
- Detection-Tiefe, Identity-Integration, Sovereign Hosting, MDR-Bundle, TCO über 3 Jahre, Exit-Pfad nach DORA Art. 28.
- Häufige Fallstricke
- Vendor-gescripteter PoC, MDR als Nachgedanke, fehlende Identity-Integration, Dealbreaker im Score-Grid statt vorab.
IAM / IGA / PAM
- Marktstruktur
- Microsoft Entra dominiert in M365-zentrischen Häusern, Okta in heterogenen Stacks, SailPoint im IGA-Premium-Segment, CyberArk in PAM-First-Setups.
- Hauptkriterien
- Federation-Tiefe, IGA-Reifegrad, PAM-Integration, Lifecycle-Automation (JML), EU-Hosting, TCO Jahr 1 bis 3.
- Häufige Fallstricke
- Bundling der drei Layer, Unterbewichtung Legacy-Konnektoren, IGA-Aufschub mit Folgemigration.
NIS2
- Marktstruktur
- Wesentliche und wichtige Einrichtungen ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz. Zehn Risikomanagement-Maßnahmen aus Art. 21, Geschäftsleitungs-Verantwortung aus Art. 20.
- Hauptkriterien
- Scope-Bestimmung, Art. 21 Maßnahmen-Coverage, Incident-Reporting-Cascade getestet, Lieferketten-Register vollständig, Wirksamkeits-Monitoring.
- Häufige Fallstricke
- NIS2 als Policy-Schreibübung statt als Decision-Programm, Geschäftsleitung als Stempel statt als verantwortliche Stelle.
ISO 27001:2022
- Marktstruktur
- Compliance-Automation (Drata, Vanta, Secfix) versus klassische ISMS-Tools (verinice, DocSetMinder, HiScout). Audit-Vorbereitung wird zunehmend tool-gestützt.
- Hauptkriterien
- Mapping gegen 11 neue Controls, SoA-Begründungstiefe, Risikobehandlungsplan auf 2022er-Struktur, Wirksamkeits-Evidenz, Integration mit DORA/NIS2.
- Häufige Fallstricke
- Generische SoA-Begründungen, internes Audit nach 2013er-Checkliste, Threat Intelligence als Tool-Kauf statt Prozess.
DORA
- Marktstruktur
- Fünf Säulen (Governance, Incident-Mgmt, Resilience-Testing, ICT-TPP, Information Sharing). RTS und ITS finalisieren operative Detail-Erwartungen.
- Hauptkriterien
- ICT-TPP-Register-Vollständigkeit, Pflichtklauseln Art. 30, Resilience-Test-Programm, Incident-Reporting-Cascade RTS-konform, Konzentrationsrisiko-Analyse, Exit-Strategy je Critical-TPP.
- Häufige Fallstricke
- DORA als NIS2 mit Finanz-Etikett, Register im Excel ohne Klassifizierung, fehlende Exit-Strategien, untrainierte Cascade.
Sovereign Cloud
- Marktstruktur
- Drei Anbietergruppen: Hyperscaler-Sovereign-Tenants (Microsoft, Google, AWS), EU-native Provider (OVHcloud, IONOS, OTC, StackIT, plusserver), Public-Sector-spezifische (Delos Cloud).
- Hauptkriterien
- Sovereignty-Tiefe pro Workload, BSI-C5-Zertifizierung, Schlüsselkontrolle (BYOK/HYOK), Managed-Services-Breite, GAIA-X-Konformität, Hyperscaler-API-Kompatibilität (Exit), TCO über 5 Jahre.
- Häufige Fallstricke
- Vendor-Auswahl vor Sovereignty-Definition, EU-Hosting mit Sovereignty gleichsetzen, Managed-Service-Lücken auf Sovereign-Plattformen unterschätzen.
SIEM / SOC
- Marktstruktur
- Splunk und Microsoft Sentinel dominieren am oberen Ende, Elastic Security im technischen Mittelfeld, LogPoint mit DACH-Fokus, Wazuh als Open-Source-Option.
- Hauptkriterien
- Cloud-natives Hosting in EU, Ingest-Kosten bei realistischem Volumen, MSSP-Coverage in DACH 24/7, Detection-Engineering-Tiefe, EDR-Integration, Compliance-Mapping.
- Häufige Fallstricke
- Plattformwahl vor Betriebsmodell, unterschätzte Ingest-Kosten, MSSP ohne klare SLA, fehlendes Detection-Engineering.
Volltext-Report herunterladen
Vollständige PDF-Fassung mit ausführlichen Auswertungen, Quellen-Übersicht und Methodik-Anhang. Für CISOs, CIOs, Compliance-Owner und Buying-Committees.