Konsolidierungswelle 2026: Warum Sie jetzt ihre Vendor-Strategie überdenken müssen

Von Cisco bis ServiceNow: Die Milliarden-Übernahmen bei Asset Intelligence und OT-Security ordnen den Markt für Cybersicherheit grundlegend neu.

Bild: Getty Images / Credits: Wirestock

Hersteller klassischer Sicherheitsprodukte bringen sich in Stellung, um die von KI-Agenten ausgehenden Risiken in den Griff zu bekommen. Das wirbelt den Markt für Endpoint-Protection gerade ziemlich durcheinander. ServiceNow und Palo Alto Networks geben den Takt vor; Cisco zieht nach. Gleichzeitig verkauft der Netzwerk-Senior Teile seiner Immobilien und entlässt Mitarbeitende. Mit den Akquisitionen wollen sich etablierte Anbieter von Cybersicherheits- und Netzwerkprodukten für das Internet of Everything (IoX) und das Zeitalter der KI-Agenten rüsten. Gleichzeitig reduziert die Marktkonsolidierung die Vielfalt, was wiederum dem Herzen der digitalen Souveränität einen weiteren Dolchstich versetzt.

In der deutschen IT-Landschaft galt lange das Best-of-Breed-Prinzip. Doch der aktuelle Markttrend steuert massiv in die Gegenrichtung. Die jüngsten Berichte über eine mögliche 2-Milliarden-Dollar-Übernahme von Axonius durch Cisco sowie die Rekord-Akquisition von Armis durch ServiceNow für 7,75 Milliarden Dollar signalisieren ein Ende der isolierten Sicherheitslösungen.

Für IT-Entscheider bedeutet dies: Die Komplexität sinkt potenziell durch Plattformintegration, aber die Abhängigkeit von einzelnen Giganten wächst.

Cisco unter Zugzwang: Asset Intelligence als fehlendes Puzzleteil

Nach der Mammut-Übernahme von Splunk (28 Mrd. USD) steht Cisco-CEO Chuck Robbins unter Druck. Die Integration verläuft schleppender als erhofft, die Sicherheitsergebnisse blieben zuletzt hinter den Erwartungen zurück. Die spekulierte Übernahme von Axonius wäre ein logischer Befreiungsschlag.

Axonius bietet das, was vielen SOC-Teams fehlt: Eine Single Source of Truth für alle Assets (Endpunkte, Cloud-Instanzen, User). Während Axonius etwaige Verhandlungen offiziell dementiert, zeigt das Marktumfeld, dass Cyber-Asset-Management (CAM) zur strategischen Kernkompetenz wird. Cisco braucht diese Transparenz, um seine Vision einer KI-gestützten, autonomen Sicherheitsarchitektur zu verwirklichen.

ServiceNow wird zum IT-Security-Player

Die größte Überraschung für viele CIOs dürfte die Aggressivität von ServiceNow sein. Mit dem Kauf von Armis für 7,75 Milliarden Dollar wildert der ITSM-Marktführer endgültig im Revier von Palo Alto Networks und CrowdStrike.

Der Markt zeigt eine beispiellose Dynamik bei den Unternehmensbewertungen:

Das Ziel ist die Absicherung von KI-Agenten. Erst kürzlich warnte Keeper-CEO und –Co-Founder Darren Guccione: “Da Unternehmen zunehmend künstliche Intelligenz (KI) und Automatisierung einsetzen, ist die Zahl der nicht-menschlichen Identitäten (NHIs) wie Bots, Dienstkonten und Maschinenagenten weit über das Maß der menschlichen Belegschaft hinausgewachsen. Diese digitalen Entitäten interagieren nun mit sensiblen Systemen, treffen eigene autonome Entscheidungen und haben oft Zugriff auf kritische Daten. Das hat zur Folge, dass eine stark erweiterte und oft übersehene Angriffsfläche entsteht, auf deren Verteidigung nur wenige Unternehmen vorbereitet sind.”

Der Fokus liegt ganz klar auf Industrie 4.0 bzw. OT (Operational Technology) sowie dem Internet of Everything (IoX). Vernetzte Geräte werden direkt im Workflow-Management verankert. Für IT-Verantwortliche bedeutet dies, dass die Trennung zwischen IT-Service-Management und Cybersecurity-Betrieb (SecOps) zunehmend aufweicht.

Strategische Implikationen

Wir erleben derzeit die Entstehung von Super-Plattformen. Wie jede hat auch diese Konsolidierungswelle direkte Auswirkungen auf Ihre Roadmap für 2026:

  1. Vendor Lock-in prüfen: Wenn ServiceNow nun auch OT-Security übernimmt und Cisco Asset Management integriert, müssen Lizenzstrategien neu bewertet werden. Bundling-Vorteile stehen dem Risiko einer zu starken Abhängigkeit gegenüber.
  2. Transparenz vs. Tool-Wildwuchs: Der Fokus auf Firmen wie Axonius und Armis zeigt, dass Visibility das wichtigste Gut ist. Wer seine Assets nicht kennt, kann sie auch nicht mit KI schützen.
  3. Personalumbau: Cisco reduziert Stellen im klassischen Bereich und schichtet in Richtung KI und Security um. Organisationen sollten diesem Beispiel folgen und Skills im Bereich AI-Governance und Automated Response priorisieren.

Für IT-Verantwortliche bietet dies die Chance, die Tool-Landschaft zu konsolidieren – sofern die Integrationen der Hersteller halten, was die Marketingabteilungen versprechen.

Die Zeit der Nischenanbieter für Asset-Inventarisierung scheint vorbei

IT-Verantwortliche haben die Wahl zwischen zwei unterschiedlichen Ansätzen zur Sicherheitskonsolidierung: netzwerkzentrierte Beobachtbarkeit (Cisco) oder workflowzentrierte Steuerung (ServiceNow).

Wir haben die Plattformfähigkeiten von Cisco und ServiceNow, basierend auf den aktuellen Marktentwicklungen und Akquisitionen gegenübergestellt. Unsere Analyse soll Sie bei der Bewertung Ihrer langfristigen Architektur-Roadmap unterstützen.

Cisco: Die Observability- & Intelligence-Plattform

Cisco nutzt die Synergie aus Infrastruktur-Daten und Sicherheits-Analytik. Zu den zentralen Komponenten der Cisco-Plattform zählen Splunk (für SIEM und Observability), Axonius (Asset Intelligence, wobei eine Übernahme aktuell nur spekuliert wird) sowie Kenna Security für das Vulnerability Management.

Die besondere Stärke der Plattform liegt darin, dass Cisco sein tiefgreifendes Netzwerk-Know-how mit der leistungsfähigen Datenverarbeitung von Splunk vereint. Sollte Axonius tatsächlich integriert werden, hätte Cisco die Möglichkeit, ein durchgängiges und siloübergreifendes Asset Inventory zu schaffen – von der Cloud über Endpunkte bis hin zu einzelnen Nutzern.

Für IT-Verantwortliche bietet dies einen entscheidenden Vorteil: Sie erhalten nicht nur Einblicke in laufende Angriffe, sondern können sofort erkennen, welches Asset betroffen ist, wem es zugeordnet ist und welche Schwachstellen vorliegen. Allerdings verläuft die Integration von Splunk laut CEO Chuck Robbins derzeit noch nicht reibungslos, was sich auch in den aktuellen Sicherheitsergebnissen widerspiegelt.

Wählen Sie Cisco, wenn Ihr Fokus auf der maximalen Korrelation zwischen Sicherheitsdaten (SIEM) und der Absicherung komplexer Cloud-Netzwerke liegt. Beachten Sie, dass die Axonius-Übernahme (bewertet mit ca. 2 Mrd. $) durch Cisco derzeit im Markt noch diskutiert und von Axonius aktuell noch offiziell dementiert wird. Allerdings wird die Integration von Splunk hier langfristig der entscheidende Faktor sein.

ServiceNow: Die Operational-Workflow-Plattform

ServiceNow positioniert sich als das "Betriebssystem" für moderne Unternehmen, das Sicherheit nativ in Geschäftsprozesse einbettet. Die Plattform basiert auf zentralen Komponenten wie Armis, das für OT-, IoT- und IoMT-Sicherheit zuständig ist, Veza als Lösung für Identity Management sowie der Centrix-Plattform.

Damit positioniert sich ServiceNow weit über den klassischen IT-Bereich hinaus. Besonders mit Armis adressiert das Unternehmen die Absicherung der „physischen“ Welt – angefangen bei Produktionsstraßen (OT) bis hin zu medizinischen Geräten (IoMT).

Ein entscheidender Vorteil liegt in der automatisierten Reaktion: Erkennt Armis eine Bedrohung, kann ServiceNow umgehend einen Sicherheits-Workflow auslösen, beispielsweise durch das Anlegen eines Tickets, die Isolierung betroffener Systeme oder ein Audit.

Für IT-Verantwortliche bedeutet dies einen echten Mehrwert durch End-to-End-Governance, insbesondere für Unternehmen mit zahlreichen vernetzten Geräten – etwa in der Fertigungsindustrie oder im Gesundheitssektor –, die eine einheitliche Steuerung von IT und OT anstreben. Allerdings bleibt zu beachten, dass ServiceNow primär eine Software-Plattform ist und die Tiefe der technischen Netzwerk-Analyse in vielen Fällen nicht das Niveau von Cisco erreicht.

Wählen Sie ServiceNow, wenn Sie Sicherheitsvorfälle als Prozessproblem betrachten und eine Brücke zwischen der IT-Welt und der operativen Produktion (OT) schlagen müssen. Der 7,75-Milliarden-Dollar-Kauf von Armis macht ServiceNow zum Schwergewicht in diesem Bereich.

Die folgende Tabelle zeigt die Unterschiede in der Übersicht:

NIS-2, was nun?

Am 6. Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Deutschland in Kraft getreten und – zumindest für einige unter Ihnen – hat die Compliance-Frage für 2026 höchste Priorität. Die aktuellen Konsolidierungen zielen natürlich auch darauf ab, die regulatorischen Hürden durch Automatisierung beherrschbar zu machen. Doch für welche Anwendungsfälle ist welcher Anbieter geeignet?

Sind Sie ein zentraler digitaler Dienstleister oder im Sektor Banken/Versicherungen? Hier geht es um die Analyse gigantischer Datenmengen und das Erkennen subtiler Angriffsmuster in komplexen Cloud-Infrastrukturen. Splunk liefert die geforderte Nachweisbarkeit der Sicherheitstests auf einem technischen Niveau, das Auditoren überzeugt.

Sie sind ein KRITIS-Betreiber in der Energieversorgung, Produktion oder Chemie und haben Hunderte Anlagen in der Fläche (OT/IoT), die nicht gepatcht werden können. Armis bietet die für NIS-2 geforderte Sichtbarkeit in physischen Netzen. ServiceNow sorgt dafür, dass die Geschäftsführung (die bei NIS-2 persönlich haftet!) im Dashboard jederzeit den Compliance-Status einsehen kann.

Ist Ihre größte Sorge die Haftung der Geschäftsführung und die Einhaltung von Meldefristen, so bietet ServiceNow aktuell das rundere Compliance-Paket. Wenn Ihr Fokus jedoch auf der technischen Abwehr und der Forensik nach einem Vorfall liegt, ist das Gespann Cisco/Splunk die mächtigere Waffe.

Hier ist der direkte Vergleich, wie beide Plattform-Ökosysteme die Kernanforderungen von NIS-2 (gemäß § 30 BSIG-E / NIS-2UmsuCG) adressieren:

Wer soll das bezahlen?

Da das NIS-2-Gesetz u. a. eine angemessene und verhältnismäßige Absicherung fordert, stellt sich auch die Frage nach den Budgettöpfen.

Die Planung des Investitionsbudgets (CAPEX) für die Einhaltung der NIS-2-Anforderungen beginnt mit einer umfassenden GAP-Analyse sowie einer automatisierten Asset-Inventarisierung.

Ein weiterer Budgetposten ist die Migration bestehender Legacy-Tools in eine integrierte Plattform. Die Konsolidierung der Systeme verringert die Komplexität und hilft, dem Stand der Technik zu entsprechen. Um die Nachweis- und Meldepflichten gegenüber Behörden erfüllen zu können, ist zudem das initiale Rollout einer entsprechenden Plattform einzuplanen.

Für das laufende Betriebsbudget (OPEX) steht das Vulnerability Management im Fokus, ebenfalls gemäß § 30 Abs. 2 Nr. 1. Hierfür sind jährliche Lizenzen für die Durchführung von Schwachstellen-Scans und deren Priorisierung erforderlich. Darüber hinaus muss die Wartung der Plattform für die Security-Operations-Workflows sichergestellt werden – nicht nur, um die Einhaltung der 24-Stunden-Frist für Erstmeldungen an das BSI durch Automatisierung zu gewährleisten.

Ein weiterer wichtiger Kostenpunkt sind Dashboard-Lizenzen für das Management-Reporting, um die Überwachungspflicht der Geschäftsführung zu erfüllen und die persönliche Haftung zu vermeiden.

Beim Personal- und Weiterbildungsbudget liegt der Fokus auf der Schulung der Belegschaft. Unternehmen sind laut NIS-2 verpflichtet, ihre Mitarbeiter und Führungskräfte regelmäßig zu schulen. Daher gehören Zertifizierungstrainings für das IT-Team auf den neuen Plattformen fest zum Budget dazu, um das erforderliche Know-how und die Compliance sicherzustellen.

Und was ist jetzt mit der Souveränität?

Diese Frage beantwortet wohl am besten ein Zitat von rhebo, einem in Deutschland ansässigen Anbieter einer Cybersicherheitsplattform für Betreiber kritischer Infrastrukturen (KRITIS): “Trotz der schwierigen Lage bleiben wir der Überzeugung treu, dass digitale Souveränität Priorität haben sollte. Dabei geht es nicht nur darum, sich für europäische Produkte zu entscheiden, da dies in vielen Bereichen kaum noch möglich ist. Souveränität bedeutet auch, sich der Risiken bewusst zu sein, die man eingeht, und diese im Auge zu behalten.”