Zusammenfassung
- G DATA CyberDefense AG versteht sich am besten als ein in Bochum ansässiges Cybersicherheits-Software- und Dienstleistungsunternehmen mit einer Netzwerkressourcenbasis, die seine gehosteten Sicherheitsprodukte unterstützt – nicht als herkömmlicher Zugangsanbieter. Die RIPE-Mitgliedschaft, die Zuteilung von 194.156.84.0/22 und die eigene MXDR-Dokumentation von G DATA sind wichtig, weil sie eine unmittelbare Abhängigkeit offenlegen: Endgeräte müssen die Backend-Systeme von G DATA über HTTPS und WSS erreichen, und die Kunden bezahlen dafür, dass diese Betriebskette verfügbar bleibt.
- Das Investment-Szenario ist ein Margentest. G DATA hat glaubwürdige Zutaten für einen Verfügbarkeitsaufschlag: deutsches Hosting, behauptete ISO-27001:2022-Zertifizierung, 24/7-Support, ein Managed SOC, Endpoint-/XDR-/MXDR-Produkte, Referenzen von Kunden aus dem öffentlichen Sektor und der Industrie sowie der steigende NIS2-Druck in Deutschland. Das Risiko besteht darin, dass dieselben Versprechen die Kostenbasis schwer machen, während globale Sicherheitsplattformen, in Microsoft 365 integrierte Tools und MSP-Ersatzlösungen Preisdruck ausüben, sofern G DATA nicht genügend dichte, wiederholbare Verträge in seinem Heimatmarkt und Partnerkanal halten kann.
Der Käufer kalkuliert den Ausfall, bevor er das Produkt kalkuliert
Beginnen wir mit einem Käufer in einem deutschen Fertigungsunternehmen, einer Kommune oder einem mittelständischen Dienstleistungsbetrieb. Das Unternehmen verfügt bereits über Microsoft 365, eine Firewall, Backups, einen IT-Generalisten und vielleicht einen regionalen Managed Service Provider. Die Frage, vor der dieser Käufer steht, ist nicht, ob Cybersicherheit wichtig ist.
Es geht vielmehr darum, ob die zusätzlichen Ausgaben für den Schutz, die Überwachung und den deutschen Support von G DATA kostengünstiger sind als der betriebliche Schaden durch unentdeckte Malware, verzögerte Incident Response, isolierte E-Mails, ein Ransomware-Wochenende oder ein fehlgeschlagenes Compliance-Audit.
Deshalb ist das Produktgespräch eigentlich eine versicherungsähnliche Belastungsverlagerung. Das Versprechen von G DATA verlangt vom Kunden zu glauben, dass das Unternehmen Alarmrauschen reduzieren, rund um die Uhr reagieren, sensible Telemetriedaten in Deutschland hosten, die Endpoint-Software aktuell halten, Analysten erreichbar machen und ein dokumentiertes Betriebsmodell für Regulierungsbehörden und Wirtschaftsprüfer bereitstellen kann. Der Kunde zahlt, weil die Alternative darin besteht, diese Fähigkeiten in seinem eigenen kleinen Team aufzubauen oder zu koordinieren.
G DATA selbst macht diesen Unterschied auf seiner Managed XDR-Seite deutlich: Dort heißt es, ein schichtbasiertes internes Security Operations Center benötige mindestens acht Analysten, ein bis zwei Manager, XDR-Software und Threat-Intelligence-Datenbanken und könne 1.000.000 EUR pro Jahr kosten. Diese Behauptung ist Marketing, aber sie identifiziert den wahren Kaufanreiz. Die Käufer kaufen nicht nur Software; sie kaufen Befreiung von der Personalarithmetik.
Der Kerntest des Artikels folgt aus dieser Arithmetik. Wenn G DATA die deutsche Entwicklung, die gehostete Infrastruktur, den Sicherheitsbetrieb und den Support auf genügend wiederkehrende Kunden verteilen kann, dann wird die lokale Verantwortlichkeit zu einer Quelle von Preissetzungsmacht. Wenn nicht, wird dieselbe Verantwortlichkeit zu einem teuren Versprechen, das in einen Markt verkauft wird, in dem globale Anbieter Sicherheit in bestehende Cloud-Suiten bündeln und MSPs unter mehreren Plattformen wählen können.
Aus Sicht der Telekommunikationsökonomie ist dies die alte Uptime-Frage in einer neueren Sicherheitsverpackung: Wer bezahlt für Redundanz, wer erhält den Nutzen und wer trägt die Nachteile, wenn die Verfügbarkeit nicht gut genug ist?
Die Antwort findet sich nicht in einer einzelnen ASN, einem Präfix, einem Zertifikat oder einer Auszeichnung. Diese Aufzeichnungen sind Belege, keine Identität. G DATA ist ein Cybersicherheitsunternehmen. Seine Nummernressourcen, Rechenzentrumsreferenzen und Backend-IP-Bereiche sind nützlich, weil sie zeigen, dass das Dienstleistungsversprechen des Unternehmens eine operative Netzwerkoberfläche hat. Ein geschützter deutscher Endpunkt, der das Backend nicht erreichen kann, ist nicht nur eine IT-Unannehmlichkeit; es ist ein Zusammenbruch der Dienstkontinuität, von der der Käufer dachte, sie übertragen zu haben.
Die Identität ist klar, aber die operative Grenze ist enger als die Kategoriebezeichnung vermuten lässt
G DATA CyberDefense AG präsentiert sich als deutsches Cybersicherheitsunternehmen mit Hauptsitz am G DATA Campus, Königsallee 178 a, 44799 Bochum. Das Impressum führt das Unternehmen im Handelsregister des Amtsgerichts Bochum unter der Nummer HRB 6886, vertreten durch Kai Figge, Frank Heisler und Andreas Lüning, mit der Umsatzsteuer-Identifikationsnummer DE 127065359. Die Faktenseite beschreibt den juristischen Namen, den Markennamen, die Adresse, das Gründungsjahr 1985, die Gründer Andreas Lüning und Kai Figge sowie den Vorstand, bestehend aus Andreas Lüning, Kai Figge und Frank Heisler.
Sie definiert die Branche als IT-Sicherheit und Cybersicherheit und die Kerndienstleistungen als Extended Detection and Response, Endpoint Security, Sicherheitsdienste einschließlich MXDR und Sensibilisierungsschulungen sowie OEM-Lösungen.
Diese Identität ist wichtig, weil sie eine Überinterpretation der Ressourcenbelege verhindert. Das Unternehmen erscheint im öffentlichen Mitgliederverzeichnis von RIPE NCC als G DATA CyberDefense AG, mit Sitz des Registers in Deutschland. RIPE erläutert, dass seine Mitglieder Internet-Nummernressourcen-Zuteilungen wie IPv4, IPv6 und ASNs erhalten und registrieren und für die Verteilung und Registrierung auf lokaler Ebene verantwortlich sind. Die von Télécom SudParis gespiegelte öffentliche RIPE-Zuteilungsliste zeigtde.gdatamit einer Zuteilung von 2018 über 194.156.84.0/22, also 1.024 IPv4-Adressen. G DATAs eigene MXDR-Dokumentation besagt, dass seine Cloud-Backend-Systeme für geschützte Endgeräte über TCP/443 erreichbar sein müssen, innerhalb des IP-Bereichs 194.156.84.0/22, unter Verwendung von HTTPS und WSS, mit TLS 1.2 oder höher und ohne SSL-Inspektion oder Deep Packet Inspection.
Dies ist ein starker Beleg für einen operativen Netzwerk-Fußabdruck. Es ist kein Beweis dafür, dass G DATA Breitband-, Transit-, Colocation- oder Wholesale-IP-Dienste oder ein öffentliches Zugangsnetz verkauft. Die Zuteilung ist besser als Infrastrukturbeleg für gehostete Sicherheitsdienste und Update-/Telemetriepfade zu interpretieren. Das Risiko des Käufers lautet nicht „Werde ich über G DATA mit dem Internet verbunden?“, sondern „Sind die Systeme, auf die ich mich bei der Erkennung, Aktualisierung, Berichterstattung und Reaktion verlasse, noch erreichbar, wenn meine eigene Umgebung unter Stress steht?“
Das eigene Marketing von G DATA verstärkt die engere Grenzziehung. Auf der Homepage heißt es, das Geschäftsportfolio umfasse Endpoint Security, XDR, Managed XDR, Sensibilisierungsschulungen, Incident-Response-Retainer, Penetrationstests, E-Mail-Schutz und Beratung. Auf der „Wer wir sind“-Seite wird erklärt, dass Forschung, Entwicklung, Service und Support in Deutschland angesiedelt sind und das Unternehmen mehr als 500 Mitarbeiter in Deutschland beschäftigt, die kleine, mittlere und große Unternehmen, kritische Infrastrukturen, Krankenhäuser, Flughäfen und Privatanwender betreuen.
Eine Pressemitteilung vom Mai 2026 beziffert die Mitarbeiterzahl auf mehr als 550. Diese Zahlen sollten eher als Größenindikatoren denn als testierte Präzision der Mitarbeiterzahl verstanden werden. Die öffentlichen Materialien geben nicht genügend aktuelle Finanzdetails preis, um daraus eine vollständige Gewinn- und Verlustrechnung zu machen.
Für einen Käufer ist diese Grenzziehung nützlich. G DATA ist kein Telekommunikationsersatz. Es ist ein deutscher Cybersicherheitsdienstleister und Softwareanbieter, dessen Fähigkeit zur Leistungserbringung von der Cloud-Erreichbarkeit, der Endgeräte-Installation, der Personalausstattung mit Analysten, den Support-Warteschlangen, der Rechenzentrumsresilienz und den Lieferantenbeziehungen abhängt. Die Kategoriebezeichnung sollte daher ökonomisch interpretiert werden: nicht als „Regionaler ISP“ im Sinne eines Zugangsanbieters, sondern als regionale Dienstkontinuität, die auf Nummernressourcen und lokalem Hosting aufbaut.
Das Geschäftsmodell verkauft wiederkehrende Entlastung von Personalknappheit
Das Produktset von G DATA ist ein gestaffeltes Modell mit wiederkehrenden Einnahmen. Endpoint Security schützt PCs, Mobilgeräte und Server von einer zentralen Dashboard-Oberfläche aus, mit Business-Paketen für Antivirus, Client-Sicherheit und Endpoint-Protection sowie Add-ons wie Cloud-Mail-Schutz und On-Premises-Exchange-Mail-Sicherheit.
XDR erweitert dieses Modell um Erkennung und Reaktion, mit einer mandantenfähigen Konsole, automatisierten Reaktionen, Alarmmanagement, Quarantäne, Gerätesteuerung, Benutzerverwaltung, Onboarding-Tools, Unterstützung für Windows, Linux, Windows on ARM und macOS sowie optionalem technischen Account-Management. MXDR verpackt die Software in einen Managed Service aus dem Security Operations Center von G DATA. Sensibilisierungsschulungen und Phishing-Simulationen verkaufen Verhaltensänderung und Compliance-Nachweise. Beratung, Penetrationstests, Incident Response und Retainer verkaufen Spezialisten-Arbeitskraft.
Die wirtschaftliche Form ist attraktiv, wenn das Unternehmen einen Kunden in mehrere Ausgabenschichten umwandeln kann. Ein Käufer beginnt möglicherweise mit Endpoint Security, weil er Antiviren-Budgets versteht. Er fügt vielleicht E-Mail-Schutz hinzu, weil Microsoft 365 Exchange Online weit verbreitet ist und Phishing für das Management sichtbar wird. Er kann Sensibilisierungsschulungen hinzufügen, weil Regulierungsbehörden und Wirtschaftsprüfer Mitarbeiterschulungen erwarten.
Er kann MXDR hinzufügen, wenn er keine Nachtüberwachung mit Personal besetzen kann oder wenn sein Vorstand einen namentlich benannten externen Experten in Bereitschaft haben möchte. Jede Schicht erhöht den jährlichen wiederkehrenden Wert, aber jede erhöht auch die Leistungsverpflichtungen.
Der wichtigste aktuelle strategische Schritt ist die Einführung von G DATA XDR im Juni 2026. In der Pressemitteilung heißt es, die Plattform aggregiere zentral Sicherheitsereignisse, identifiziere automatisch Korrelationen und helfe Managed Service Providern, Vorfälle bei Kunden schneller zu analysieren und einzudämmen. Außerdem profitierten Dienstleister von automatisierten Prozessen, Mandantenfähigkeit und einem flexiblen Pay-per-Use-Modell mit Abrechnung nur für aktive Clients.
Die XDR-Produktseite gibt an, dass die Nutzung monatlich auf der Grundlage der tatsächlich in Anspruch genommenen Dienste abgerechnet wird und positioniert die Web-Konsole ausdrücklich als solche, die keine kundeneigene Infrastruktur erfordert.
Dieses Pay-per-Use-Modell verändert, wer das Auslastungsrisiko trägt. Ein MSP möchte Dienste skalieren, ohne hohe Vorabinvestitionen in eine Plattform tätigen zu müssen. G DATA möchte Partner-Reichweite, ohne jede direkte Endkundenbeziehung zu übernehmen. Wenn die Nutzungsabrechnung knapp genug kalkuliert ist, kann G DATA vermeiden, große Festverträge für wenig genutzte Endgeräte zu rabattieren. Ist sie zu flexibel, trägt das Unternehmen möglicherweise die Plattform- und Supportkapazität, während die Kundennutzung schwankt.
Die beste Variante ist eine hohe Kundendichte über MSPs: viele Endgeräte, standardisiertes Onboarding, gemeinsame Alarm-Workflows und begrenzte Individualisierung. Die schwächere Variante ist ein langer Schwanz von kleinen, maßgeschneiderten Konten, die Vertriebs-, Support- und Analystenzeit beanspruchen, ohne genügend wiederkehrenden Bruttogewinn zu bringen.
Die direkte MXDR-Ansprache von G DATA zielt auf dasselbe Problem in einem anderen Kanal. Sie verspricht 24/7-Expertenschutz, sofortige Schadensbegrenzung, in Deutschland gehostete Daten, deutschen Support und keine Notwendigkeit für den Kunden, Personal aufzustocken. Das Testangebot umfasst zwei Monate vollen MXDR-Service, derzeit als kostenlos statt 1.500 EUR für bis zu 25 Endgeräte und Server beworben. Das verrät uns etwas über den kommerziellen Trichter.
Das Unternehmen weiß, dass Kunden den Service spüren müssen, bevor sie sich binden; es weiß auch, dass der Einstiegspunkt für viele kleine und mittlere Käufer in Dutzenden von Endgeräten gemessen wird, nicht in Zehntausenden.
Wiederkehrende Entlastung von Personalknappheit ist wertvoll, aber nicht automatisch margenstark. Endpoint-Lizenzen skalieren besser als menschliche Reaktionen. Sensibilisierungsinhalte sind skalierbar, sobald sie erstellt und lokalisiert sind. E-Mail-Schutz skaliert mit gehosteter Infrastruktur und Support. MXDR skaliert nur, wenn Analysten, Automatisierung und Kundenregeln ausgewogen sind. Das Geschäftsmodell von G DATA funktioniert, wenn Software den größten Teil der Routinearbeit übernimmt und Menschen für echte Vorfälle, Onboarding und kundenspezifische Entscheidungen reserviert sind.
Die Netzwerkressourcenbelege machen Uptime zu einer messbaren Verpflichtung
Der Bereich 194.156.84.0/22 ist die klarste Brücke zwischen dem Unternehmensprofil und der Betriebsökonomie. Die RIPE-Zuteilungsdaten zeigen den Block, der G DATA CyberDefense AG im Dezember 2018 zugewiesen wurde. G DATAs MXDR-Online-Dokumentation bildet dann denselben Bereich auf die Diensterreichbarkeit ab: Geschützte Endgeräte müssen Backend-Server über TCP/443 erreichen, mit HTTPS- und WSS-Protokollen, TLS 1.2 oder höher und ohne SSL- oder Deep-Packet-Inspektion dazwischen. Die Dokumentation besagt auch, dass Kunden sicherstellen müssen, dass*.gdatasecurity.deund*.gdatasoftware.comaufgelöst und erreicht werden können.
Das macht den Netzwerkbeleg praktisch und nicht symbolisch. Für den Kunden werden Firewall-Regeln, Proxy-Einstellungen, TLS-Handhabung und Domain-Auflösung quasi zum Teil des Sicherheitsdienstvertrags. Wenn ein Endgerät keine Verbindung herstellen kann, sind Erkennung und Reaktion beeinträchtigt. Wenn ein Kunde gegen TLS-Inspektionsregeln verstößt, weil ein Unternehmensproxy den Datenverkehr neu schreibt, kann der Dienst fehlfunktionieren.
Wenn ein Backend-Problem im Rechenzentrum die Erreichbarkeit verhindert, trägt G DATA den Reputationsschaden, selbst wenn ein Colocation-Partner, ein Carrier oder ein Cloud-Anbieter teilweise verantwortlich ist.
Hier ist die Perspektive der Telekommunikationsökonomie nützlich. G DATAs sichtbares Kundenversprechen umfasst Dienstkontinuität, aber die zugrunde liegende Lieferkette schließt DNS, öffentliche IP-Ressourcen, Backend-Kapazitäten, Rechenzentrums-Hosting, Konnektivität zu IONOS und lokale Bochumer Infrastruktur, Überwachungssysteme, Zertifikate, Software-Update-Kanäle und Support-Teams ein, die in der Lage sind, Verbindungsausfälle zu diagnostizieren. Dies sind keine kostenlosen Anhängsel an eine Softwarelizenz. Sie sind ein Kostenblock.
Auf der XDR-Seite heißt es, dass die Daten ausschließlich auf Cloud-Servern in Deutschland gespeichert werden: am G DATA-Hauptsitz in Bochum, bei Glasfaser Ruhr in Bochum und Herne sowie bei IONOS in Frankfurt und Berlin. Die MXDR-Seite enthält eine ähnliche Aussage zur deutschen Speicherung und nennt Bochum sowie IONOS-Standorte in Frankfurt und Berlin.
Die eigene Cloud-Rechenzentrumsseite von IONOS listet Frankfurt am Main 1, Frankfurt am Main 2 und Berlin unter seinen Rechenzentrumsstandorten auf, und die Datenschutzseite besagt, dass das Unternehmen mehrere geo-redundante Rechenzentren in Europa und den Vereinigten Staaten betreibt, wobei die deutschen und britischen Standorte zu 100 Prozent mit erneuerbarer Energie betrieben werden. Die ausdrückliche Auswahl deutscher Standorte durch G DATA unterstützt die Souveränitätspositionierung, macht aber auch Redundanz zu einer echten Ausgabe.
Es gibt einen strategischen Zielkonflikt. Deutsches Hosting ist ein Unterscheidungsmerkmal für Kunden, die sich um Datenschutz, Überwachung und regulatorischen Komfort sorgen. Es verringert auch die Optionalität im Vergleich zu einem Anbieter, der Daten in günstigere oder elastischere Regionen weltweit verlagern kann. Wenn deutsche Energie-, Raum-, Cloud-Kapazitäts- oder Carrier-Kosten schneller steigen als die Zahlungsbereitschaft der Kunden, wird das Souveränitätsversprechen zur Margenklemme. Wenn Kunden und Regulierungsbehörden lokales Hosting zunehmend schätzen, wird dasselbe Versprechen zu einem Preisschirm.
Der Nachweis der Netzwerkressourcen sollte daher weder wie ein Abzeichen noch wie eine Fußnote behandelt werden. Er ist ein Beleg dafür, dass G DATA einen Teil der Uptime-Last des Kunden übernommen hat. Das Unternehmen muss für diese Last bezahlen, bevor es dafür einen Aufschlag verlangen kann.
Preissetzungsmacht hängt davon ab, lokale Verantwortlichkeit sichtbar zu machen
Das stärkste Preisargument von G DATA ist nicht, dass es jede Funktion bietet, die eine globale Sicherheitsplattform bietet. Es besteht darin, dass deutsche Unternehmen einen Schutz kaufen können, der in Deutschland entwickelt, gehostet, gemanagt und unterstützt wird – mit Unterstützung in der Landessprache, dem Versprechen keine Hintertüren einzubauen und namentlicher Verantwortlichkeit. Auf der Homepage heißt es, dass die Sicherheit von G DATA in Deutschland entwickelt, gehostet und unterstützt wird.
Auf der „Wer wir sind“-Seite steht, dass die gesamte Forschung und Softwareentwicklung in Deutschland stattfindet und dass die Service- und Support-Teams in Bochum direkt neben der Entwicklung sitzen. Die Endpoint-Security-Seite verspricht 24/7-Support aus Deutschland. Die XDR- und MXDR-Seiten wiederholen das deutsche Hosting und den lokalen Support.
Diese Positionierung kann in drei Käufergruppen Zahlungsbereitschaft schaffen. Die erste ist der regulierte Mittelstand: Fertigungsbetriebe, Logistikunternehmen, Versorgungsbetriebe, gesundheitsnahe Firmen und Anbieter für den öffentlichen Sektor, die kein volles internes SOC rechtfertigen können, aber Risikomanagement dokumentieren müssen. Die zweite ist die öffentliche Verwaltung und kommunale Infrastruktur, wo Datenstandort und erreichbarer deutscher Support politisch leichter zu verteidigen sind.
Fallstudien und öffentliche Referenzen von G DATA umfassen die Stadt Hamm, die Stadt Menden, die Ruhr-Universität Bochum, das Landratsamt Breisgau-Hochschwarzwald und andere öffentliche oder halböffentliche Namen. Die dritte ist der MSP-Kanal, wo Dienstanbieter eine Plattform benötigen, die als souveräner deutscher Sicherheitsservice weiterverkauft werden kann, und nicht als ein weiterer anonymer globaler Stack.
Das Preisproblem besteht darin, dass lokale Verantwortlichkeit in Stresssituationen am wertvollsten, aber im Normalbetrieb am wenigsten sichtbar ist. In einem ruhigen Monat sieht ein Käufer nur eine weitere Rechnung. Bei einem Vorfall schätzt der Käufer einen Telefonanruf, einen menschlichen Analysten, einen klaren Aktionsplan, Telemetrie und Endgeräte-Reaktion. G DATA versucht, diese Wahrnehmungslücke durch Behauptungen garantierter oder schneller Reaktionszeiten zu schließen.
Auf der MXDR-Seite wird eine Erkennen-Analysieren-Reagieren-Sequenz beschrieben, bei der verdächtige Vorfälle in unter einer Minute gemeldet werden, die Analyse durch einen Analysten unter drei Minuten dauert und die Reaktion unter dreißig Minuten erfolgt. Es stellt auch seinen Telefonsupport, die Nähe von Analysten zu Entwicklern und die Datenminimierung generischen MXDR-Alternativen gegenüber.
Diese Behauptungen sind kommerziell nützlich, aber ökonomisch gefährlich, wenn sie übertrieben werden. Reaktionszeitversprechen erfordern Personalplanung, Eskalationsdesign und genug Automatisierung, um zu verhindern, dass False Positives die Analysten überlasten. Je besser G DATA darin wird, Signale zu korrelieren und Rauschen zu unterdrücken, desto mehr Marge kann es behalten. Je mehr Kunden individuelle Ausnahmen und manuelle Genehmigungen verlangen, desto mehr ähnelt der Service einer Beratungsdienstleistung.
Die Einführung von G DATA XDR im Juni 2026 ist daher zentral. Die Plattform wird so beschrieben, dass sie sicherheitskritische Ereignisse aggregiert, Korrelationen identifiziert, False Positives reduziert und mandantenfähiges Management unterstützt. Genau das braucht ein Unternehmen, wenn es erstklassigen lokalen Support bieten will, ohne die Supportkosten linear mit der Endgerätezahl wachsen zu lassen. G DATA kann Kunden nur dann genug für die versprochene Uptime zahlen lassen, wenn die Uptime teilweise durch produktisierte Workflows erbracht wird und nicht nur durch heldenhafte Überstundenarbeit.
Die Stückökonomie hängt von Endgerätedichte, Partnerhebel und Analystenauslastung ab
Die öffentlichen Materialien von G DATA stellen keine aktuellen testierten Umsatz-, Bruttomargen-, Kündigungs- oder durchschnittlichen Vertragswert-Zahlen zur Verfügung. Dieses Fehlen ist bedeutsam. Ohne diese Kennzahlen muss die beste wirtschaftliche Bewertung operative Stellvertreter verwenden: Endgeräteanzahl, Kundentyp, Dienstschichten, Personalangaben, Partnerreichweite, Supportintensität und Infrastruktur-Fußabdruck.
Die Kundenbeispiele deuten auf einen breiten Mittelstand und nicht auf ein einziges Großkundenmodell hin. Fallstudien-Ausschnitte umfassen Eickhoff mit 1.100 Clients, die Stadt Hamm mit 2.500 Clients und zwei Rechenzentren, den Flughafen Münster/Osnabrück mit 100 Servern und 500 Clients, Pistor mit 100 Servern und mehreren hundert Clients, einen Gesundheitsstandort mit hunderten Lizenzen sowie kleinere Unternehmen mit 35 bis 350 Mitarbeitern oder Clients. Diese Streuung ist gesund, weil sie die Abhängigkeit von einem einzelnen Unternehmenslogo verringert.
Sie ist auch kostspielig, weil die Kundenumgebungen variieren: Krankenhäuser, Kommunen, Flughäfen, Einzelhändler, Fertigungsbetriebe und Universitäten haben unterschiedliche Uptime-Toleranzen und Reaktionszwänge.
Die Endgerätedichte ist wichtig, weil viele Servicekosten semifix sind. Das Onboarding eines 25-Endgeräte-Tests verbraucht Vertriebs- und Supportzeit. Die Betreuung von 2.500 kommunalen Clients verbraucht mehr technische Kapazität, aber nicht notwendigerweise das Hundertfache, wenn Werkzeuge und Richtlinien wiederverwendbar sind. Ein Partnerkanal kann die Dichte verbessern, indem er kleine Kunden über MSPs bündelt. G DATAs XDR-Pressemitteilung und Produktseite machen MSPs zu einem Zielmarkt, mit Mandantenfähigkeit, automatisierten Workflows, Onboarding-Anleitungen und Pay-per-Use.
Das ist die richtige Form für die Marge, wenn MSPs das lokale Kundenmanagement übernehmen, während G DATA Plattform und Experteneskalation liefert.
Die Analystenauslastung ist der zweite Hebel. MXDR ist ein personalintensives Versprechen. G DATA sagt, dass seine SOC-Experten Angriffe rund um die Uhr erkennen, analysieren und stoppen. Es teilt Kunden außerdem mit, dass ein internes SOC 1.000.000 EUR pro Jahr kosten kann. Für G DATA ist dieselbe Behauptung ein zweischneidiges Schwert. Sie erklärt, warum Kunden auslagern; sie hebt auch die Kosten hervor, die G DATA in großem Maßstab auffangen muss.
Ein Managed-Security-Anbieter gewinnt nur dann, wenn ein Analystenteam viele Kunden sicher abdecken kann, weil Automatisierung, Prozesse und Triage den Bedarf an ständiger menschlicher Aufmerksamkeit pro Endgerät reduzieren.
Der dritte Hebel ist der Produktmix. Endpoint Security und E-Mail-Schutz sind näher an Software-Abonnements. Sensibilisierungstrainings skalieren als Content. Beratung, Penetrationstests, Incident Response und Retainer sind stärker personalgebunden und kapazitätsbeschränkt. MXDR liegt dazwischen. Es kann ein Anker mit hoher Kundenbindung sein, wenn Kunden ihm vertrauen, aber es kann auch zu einem Margenverlust werden, wenn Vorfälle, Onboarding-Komplexität oder Compliance-Berichterstattung ohne angemessene Bepreisung zunehmen.
Die Glaubwürdigkeit von G DATA beruht darauf, Software und Service zu kombinieren, ohne Umsatzwachstum mit Wertschöpfung zu verwechseln. Das Hinzufügen vieler preisgünstiger Endgeräte über MSPs kann die Topline steigern, aber den Wert schädigen, wenn Support-Vorfälle zunehmen. Das Gewinnen regulierter Kunden kann den durchschnittlichen Umsatz steigern, aber den Druck durch Dokumentation, Audit und Freistellung erhöhen. Der Verkauf weiterer Incident-Response-Retainer kann die Umsatzsichtbarkeit verbessern, aber nur, wenn die versprochene Reaktionskapazität ehrlich bepreist ist.
Das beste wirtschaftliche Ergebnis ist nicht die maximale Kundenzahl. Es ist eine ausreichende Anzahl dichter Bestandskunden mit ähnlichen Bedürfnissen, geringer Abwanderung, begrenzten Einzelausnahmen und einem klaren Weg von Endpoint-Software zu XDR/MXDR-Steigerung.
Die Kostenbasis ist schwerer als eine reine Software-Story
G DATA hat mehrere Kostenstellen, die ein reiner Cloud-Software-Vergleich unterschätzen kann. Erstens Forschung und Entwicklung in Deutschland. Das Unternehmen gibt an, dass die gesamte Forschung und Softwareentwicklung in Deutschland stattfindet und hebt hauseigene Technologien wie DeepRay, BEAST und die Dual-Engine-Antivirenlösung hervor. Die deutsche Entwicklung unterstützt das Souveränitäts- und No-Backdoor-Versprechen, aber deutsche technische Gehälter sind kein kostengünstiger Input.
Zweitens die Arbeitskräfte im Sicherheitsbetrieb. MXDR erfordert Analysten, Incident Responder, Threat Hunter, Support-Ingenieure und Eskalationswege. G DATAs eigene Materialien betonen den Wert der räumlichen Nähe von Analysten und Entwicklern in Bochum. Diese Nähe mag Geschwindigkeit und Qualität verbessern, macht die Personalausstattung aber zu einer strategischen Ressource. Das Unternehmen muss Experten in einem Markt rekrutieren und halten, in dem Cybersicherheitsfähigkeiten knapp sind und große globale Anbieter, Beratungshäuser und Cloud-Anbieter um Talente konkurrieren.
Drittens die Infrastruktur. G DATA nennt seinen Hauptsitz in Bochum, Standorte von Glasfaser Ruhr und IONOS als Teil seiner deutschen Datenspeicherarchitektur. Es verfügt außerdem über eine öffentliche IPv4-Zuteilung und betreibt Backend-Dienste, die geschützte Endgeräte erreichen müssen. Die Backend-Verfügbarkeit erfordert Rechen-, Speicher- und Netzwerkkapazität, Überwachung, Backup, DDoS- und Missbrauchsbehandlung, Domain- und Zertifikatsmanagement sowie die betriebliche Disziplin, um die Endgeräte-Bereitstellung aktuell zu halten.
Viertens der Support. Das Unternehmen betont immer wieder den 24/7-Support per Telefon oder E-Mail aus Deutschland, kostenlosen Endpoint-Produktsupport, Premium-Support-Pakete, technisches Account-Management und Critical-Incident-Calls. Support ist ein Unterscheidungsmerkmal, aber nicht unendlich skalierbar. Ein lokales Telefonsupport-Versprechen ist teuer, wenn Kunden klein, zahlreich und technisch vielfältig sind.
Fünftens die Compliance. Die ISO-27001:2022-Zertifizierung wird in den G-DATA-Materialien durchgängig präsentiert, wobei das Unternehmen angibt, sein ISMS sei zertifiziert, und der TÜV Austria die Prozesse bei der Bereitstellung von MXDR geprüft habe. NIS2-Unterstützung, DSGVO-Datenminimierung, DSA-Kontaktstellen für VPN, Datenschutzdokumentation und Kundenprüfanforderungen bringen alle Overhead mit sich. Die Datenschutzrichtlinie von G DATA für Business-Software beschreibt die Verarbeitung für Lizenzierung, Malware-Erkennung, Updates, Webschutz, Spam-Filterung, Geräteverwaltung und Aufbewahrung.
Dieses Niveau der Datenverarbeitung ist für das Produkt notwendig, erhöht aber die rechtlichen und sicherheitstechnischen Verpflichtungen.
Die wirtschaftliche Implikation ist, dass G DATA nicht gewinnen kann, indem es nur billiger ist. Ein Anbieter mit dieser Kostenstruktur braucht Kunden, die deutsche Verantwortlichkeit, Dienstkontinuität und integrierte Reaktion schätzen. Wenn Käufer Endpoint-Sicherheit als allgemeine Haushaltsposition behandeln, ist G DATAs lokales Kostenmodell verwundbar. Wenn Käufer zunehmend dokumentierten, souveränen, gemanagten Schutz benötigen, wird die Kostenstruktur zum Grund, den Aufschlag zu zahlen.
Lieferanten und vorgelagerte Abhängigkeiten machen Souveränität bedingt, nicht absolut
G DATAs Souveränitätserzählung ist stark, aber nicht in sich geschlossen. Das Unternehmen gibt an, seine Lösungen in Deutschland zu entwickeln, zu hosten und zu unterstützen, und seine XDR-/MXDR-Seiten nennen deutsche Serverstandorte. Aber kein moderner Sicherheitsdienst ist unabhängig von Zulieferern. IONOS taucht direkt in G DATAs Offenlegung der Datenstandorte für Frankfurt und Berlin auf. Glasfaser Ruhr erscheint für Bochum und Herne. Kunden müssen G-DATA-Domains und den Bereich 194.156.84.0/22 in ihren Firewalls zulassen. Geräte müssen unterstützte Betriebssysteme ausführen.
Der E-Mail-Schutz hängt von Microsoft 365 Exchange Online oder Exchange-Umgebungen ab. Die Android-Geräteverwaltung hängt für bestimmte Aktionen von Google Firebase Cloud Messaging ab, so die Datenschutzrichtlinie für Business-Software von G DATA. Spam-Filter-Module verwenden Data443 für Hash-Vergleiche, so dieselbe Richtlinie.
Dies untergräbt das Unternehmen nicht. Es macht das Versprechen präziser. G DATA kann das Produktdesign, den deutschen Support, die Datenverarbeitungsrichtlinie und den Backend-Betrieb besitzen und sich dennoch auf Cloud-, Carrier-, Plattform- und Technologiepartner stützen. Ein Käufer sollte „Made in Germany“ nicht als „kein Lieferantenrisiko“ verstehen. Es sollte heißen: „Der hauptverantwortliche Diensteigner, die Datenrichtlinie und die Supportkette sind deutsch, und das Unternehmen hat für Kerndienste deutsches Hosting gewählt.“
Diese Präzision ist bei Vorfällen wichtig. Wenn Microsoft APIs ändert, ändern sich die ökonomischen Rahmenbedingungen für den E-Mail-Schutz. Wenn IONOS-Preise oder -Kapazitäten sich verschieben, ändern sich G DATAs Backend-Kosten. Wenn Kunden-Proxys die TLS-Anforderungen brechen, steigen die Supportanrufe. Wenn Data443 oder ein anderer Technologiepartner die Bedingungen ändert, müssen Module möglicherweise überarbeitet werden. Wenn sich die RIPE-Richtlinien, die IPv4-Knappheit oder die Erwartungen an die Routing-Sicherheit ändern, ändern sich die Kosten für das Nummernressourcen-Management und die Wegehygiene.
Die Lieferantenlandkarte wirkt sich auch auf die Verhandlungsmacht aus. Globale Sicherheitsplattformen besitzen oft mehr vom Stack, bieten aber möglicherweise nicht dieselbe lokale Verantwortlichkeit. Regionale Anbieter bieten Support-Nähe, haben aber möglicherweise weniger Einfluss auf Cloud- und Plattformpartner. G DATA bewegt sich zwischen diesen Modellen. Seine Differenzierung hängt davon ab, genug von der Kundenerfahrung zu kontrollieren, sodass Drittabhängigkeiten nicht zu sichtbaren Fehlern werden.
Für einen ökonomischen Käufer ist dies die richtige Sorgfaltsfrage: nicht „Nutzt G DATA Zulieferer?“, sondern „Sind die Zulieferer identifiziert, redundant genug, vertraglich stabil und durch betriebliche Runbooks abgedeckt?“ Öffentliche Quellen beantworten nur einen Teil dieser Frage. Sie identifizieren die Hauptkategorien und einige namentlich genannte Standorte. Sie offenbaren keine Kapazitätsverträge, Uptime-Verläufe, Vorfallhistorien, Wegeredundanz, Support-Personalstärke oder Lieferantenkonzentration.
Die Nachfrage wird durch Regulierung gestützt, aber Regulierung erhöht auch die Bereitstellungskosten
Die deutsche Cyber-Regulierung ist ein Nachfragekatalysator. Die EU-Richtlinie NIS2 hat die Cybersicherheitspflichten auf viele Sektoren ausgeweitet und betont Risikomanagement-Maßnahmen, Vorfallmeldungen, Lieferkettensicherheit und Managementverantwortung. Das deutsche BSI präsentiert NIS2-regulierte Unternehmen nun als eine reale regulierte Gruppe mit Registrierungs- und Meldepflichten. Die NIS2-Meldeinformationen des BSI geben den Zeitplan klar vor: eine erste Frühmeldung innerhalb von 24 Stunden nach Bekanntwerden eines Vorfalls, eine Folgemeldung innerhalb von 72 Stunden und eine abschließende oder weitere Meldung nach 30 Tagen.
Die NIS2-Zahlen-Seite des BSI gibt an, dass sich bis zum 2. April 2026 15.477 Unternehmen registriert hatten, darunter 9.894 wichtige Einrichtungen und 5.583 wesentliche Einrichtungen.
Dieses Umfeld hilft Anbietern wie G DATA, weil viele betroffene Unternehmen keine ausgereiften Sicherheitsoperationen intern aufbauen werden. G DATAs Pressemitteilung vom Mai 2026 zitiert eine Studie mit Statista und brand eins und gibt an, dass 63 Prozent der deutschen Unternehmen mit IT-Sicherheitsanbietern zusammenarbeiten und 32 Prozent mit einem Managed Security Service Provider. Sie besagt auch, dass nur etwa 6 Prozent IT-Sicherheit ohne externe Hilfe bewältigen.
Dies sind von Anbietern veröffentlichte Zahlen, aber sie passen zur Beschaffungslogik von NIS2: Wenn Vorstände mit Melde- und Risikomanagementpflichten konfrontiert sind, wird externe Expertise leichter zu rechtfertigen.
Dieselbe Regulierung erhöht G DATAs Belastung. Kunden werden Nachweise verlangen: Datenstandort, ISO-Zertifizierung, Verfahren zur Vorfallbehandlung, Meldeunterstützung, rollenbasierter Zugriff, Audit-Trails, Dokumentation zur Betriebskontinuität, Lieferantenkontrollen und klare Aufgabenteilung. Die XDR-FAQ von G DATA besagt, dass die Technologie Kunden hilft, die unter NIS2 als kritische oder wichtige Einrichtungen eingestuft sind, und die MXDR-FAQ gibt an, dass G DATA selbst als deutsches mittelständisches Unternehmen unter NIS2 fällt.
Das schafft eine Gleichklang-Geschichte: Der Anbieter unterliegt derselben regulatorischen Ausrichtung wie viele Kunden. Es bedeutet auch, dass G DATA für seine eigene Compliance-Haltung ausgeben muss.
Regulierung kann vorübergehende Nachfragespitzen erzeugen, die nicht immer profitabel sind. Wenn viele Kunden überstürzt Compliance-freundliche Dienste kaufen, schließen Vertriebsteams möglicherweise Verträge mit unzureichenden Onboarding-Ressourcen oder unterpreisigen Supportverpflichtungen ab. Wenn regulatorische Fristen zu schlechter Abgrenzung zwingen, sehen sich Analysten einer verrauschten Umgebung gegenüber. Wenn Kunden MXDR als Compliance-Dokument und nicht als operative Partnerschaft behandeln, kann die Servicequalität leiden.
G DATAs beste Regulierungsstrategie ist daher kein angstbasiertes Verkaufen. Es geht darum, die wiederkehrenden Compliance-Teile zu produktisieren: Berichtsnachweise, rollenbasierte Berechtigungen, Vorfall-Zeitpläne, jährliche Zusammenfassungen, Schulungsaufzeichnungen, kundenspezifische Reaktionsrichtlinien und klar dokumentierter Datenzugriff. Je mehr dieser Artefakte aus Produkt und Prozess stammen, desto weniger wird jeder regulierte Kunde zu einem maßgeschneiderten Beratungsprojekt.
Die Kunden sind vielfältig genug, um das Logorisiko zu verringern, aber das Supportrisiko folgt der Vielfalt
Die Kundenreferenzen von G DATA sind hilfreich, weil sie Anwendungsfälle jenseits von Consumer-Antivirus zeigen. Die Homepage und die Produktseiten verweisen auf Thalia, OLYMP, die Ruhr-Universität Bochum, Westfalen AG, die Stadt Hamm, GFA SysCom, Seaside Collection und die Stadt Menden. Das Verzeichnis der Fallstudien umfasst Kommunen, Universitäten, Einzelhandel, Fertigung, Sport, Flughäfen, Gesundheitswesen, Lebensmittelgroßhandel, Bildung, IT-Dienstleister und internationale Kunden.
Einige Einträge enthalten Größenangaben: Stadt Hamm mit 2.500 Clients und zwei Rechenzentren, Eickhoff mit 1.100 Clients, MAG IAS mit mehr als 1.000 Mitarbeitern weltweit, Flughafen Münster/Osnabrück mit 100 Servern und 500 Clients, Pistor mit 100 Servern und mehreren hundert Clients sowie kleinere Organisationen mit Dutzenden oder Hunderten von Nutzern.
Diese Vielfalt senkt im öffentlichen Nachweis das Risiko der Abhängigkeit von einem einzelnen Kunden. Sie stützt auch die Produktthese: G DATA ist nützlich für Kunden, die keinen vollständigen Sicherheitsbetrieb führen können oder wollen. Kommunen und Universitäten schätzen lokalen Support. Hersteller schätzen Kontinuität und Endpoint-Protection in Betriebsumgebungen. MSPs schätzen Mandantenfähigkeit. Kleine Unternehmen schätzen ausgelagerte Kompetenz.
Aber Vielfalt macht den Support schwieriger. Eine Kommune mit zwei Rechenzentren, ein Hersteller mit Produktionssystemen, ein Einzelhändler mit Filialgeräten, eine Universität mit offenen Netzen und eine Hotelgruppe mit geografisch verteilten Endgeräten erfordern jeweils unterschiedliche Reaktionsregeln. Die MXDR-FAQ von G DATA anerkennt diese Realität bei der Diskussion von Produktionsservern: Während des Onboardings besprechen Kunde und Anbieter, welche Geräte einbezogen werden, wie auf Angriffe reagiert wird und wo manuelle Analyse einer automatisierten Reaktion vorzuziehen ist.
Das ist die wirtschaftlich richtige Antwort, aber sie ist arbeitsintensiv.
Kundenkonzentration dreht sich daher nicht nur um Umsatzkonzentration. Es geht auch um die Konzentration von Betriebsmustern. Ein Portfolio vieler kleiner Kunden mit ähnlichen Endpoint-Richtlinien kann profitabel sein. Ein Portfolio vieler Kunden, die jeweils einzigartige Ausnahmen benötigen, kann die Marge aufzehren. G DATAs XDR-Strategie versucht dieses Problem zu lösen, indem sie MSPs mit zentralem Management und automatisiertem Onboarding anvisiert.
Der Erfolg dieser Strategie zeigt sich nicht in der Anzahl öffentlicher Fallstudien, sondern in der Support-Effizienz, der Partnerbindung und der Rate, mit der Endpoint-Kunden auf XDR oder MXDR umsteigen.
Öffentliche Bewertungen liefern ein weiteres Marktsignal, mit starken Einschränkungen. Trustpilot führt G DATA CyberDefense AG als beanspruchtes Profil mit rund 596 Bewertungen und einem durchschnittlichen TrustScore zwischen etwa 3,5 und 3,6 von 5. Trustpilot merkt außerdem an, dass das Unternehmen in letzter Zeit keine Kunden eingeladen hat, sodass die Bewertungen möglicherweise nicht repräsentativ sind. Dies sollte nicht als verifizierte Servicequalitätsmetrik behandelt werden.
Es ist nur als Erinnerung nützlich, dass die Stimmung von Verbrauchern und Kleinunternehmen gemischt sein kann, selbst wenn die Unternehmensmaterialien poliert sind. Öffentliche Bewertungsplattformen übergewichten frustrierte Nutzer, beeinflussen aber dennoch die Markenwahrnehmung am unteren Ende des Marktes.
Der Wettbewerb besteht nicht nur aus Antiviren-Unternehmen
G DATA konkurriert mit mehreren Ersatzkategorien, und der realistische Ersatz variiert je nach Käufer. Ein kleines Unternehmen vergleicht es möglicherweise mit der integrierten Microsoft-Sicherheit, einem regionalen MSP-Bündel, Sophos- oder Bitdefender-Endpoint-Produkten oder einer günstigeren Antivirenlizenz. Ein mittelständisches Unternehmen vergleicht MXDR vielleicht mit Sophos MDR, CrowdStrike, SentinelOne, Palo Alto Networks, Microsoft Defender-Diensten, Arctic-Wolf-ähnlichen Managed-Angeboten oder einem nationalen Systemintegrator.
Eine Kommune vergleicht es möglicherweise mit einem Vergaberahmen, einem bestehenden IT-Dienstleister oder einem Cybersicherheitsprogramm des öffentlichen Sektors. Ein MSP vergleicht XDR-Plattformen anhand von Mandantenfähigkeit, Abrechnungsmodell, Alarmqualität und Support.
Die größte Bedrohung ist die Bündelung. Microsoft 365 ist bereits in vielen Organisationen vorhanden, und Microsoft Defender-Sicherheitsoptionen können als Erweiterung einer bestehenden Administrationsumgebung verkauft werden. Globale Endpoint- und EDR-Anbieter haben größere F&E-Pools, eine stärkere Analystenabdeckung und breitere Drittanbieter-Integrationen. Sie können Plattformkosten über viele Länder verteilen. Sie können auch aggressiv Rabatte gewähren, wenn Sicherheit an Cloud-, Identitäts- oder Produktivitätsverträge gekoppelt wird.
G DATAs Gegenmittel ist nicht globale Skalierung. Es ist vertrauenswürdige Lokalität plus Service-Integration. Auf der XDR-Seite heißt es, dass Daten auf deutschen Servern gespeichert werden, die Entwicklung im Haus erfolgt und keine Hintertüren garantiert werden. Die MXDR-Seite betont den deutschen SOC-Support und die Datenminimierung. Das Unternehmen ist Teil der „IT Security Made in Germany“-Positionierung und präsentiert die ISO-27001:2022-Zertifizierung. Diese Behauptungen sind für Kunden wichtig, die nicht wollen, dass sich ihre Sicherheitstelemetrie, Incident Response oder ihr Support-Weg entfernt anfühlt.
Die zweite Wettbewerbsbedrohung ist der MSP selbst. Ein starker MSP nutzt G DATA möglicherweise als Plattform, wechselt aber womöglich die Plattform, wenn Preisgestaltung, False Positives, Support oder die Produkt-Roadmap enttäuschen. Pay-per-Use und Mandantenfähigkeit helfen, MSPs zu gewinnen, können Partnerabwanderung aber auch erleichtern, wenn die Verträge flexibel sind.
G DATA muss erreichen, dass die Partnerbeziehung betrieblich verankert wird: Onboarding-Verfahren, Schulungen, Kundenberichte, Alarm-Workflows und gemeinsame Account-Planung sollten einen Wechsel kostspielig machen, weil der Service funktioniert, und nicht, weil der Vertrag den Partner bindet.
Die dritte Bedrohung ist die Selbstversicherung des Käufers. Einige größere Kunden bauen möglicherweise ihr eigenes SOC oder kaufen Plattform-Tools direkt. G DATAs eigener Vergleich mit einem internen SOC für 1.000.000 EUR zielt darauf ab, dies für mittelständische Unternehmen teuer aussehen zu lassen. Aber für größere Unternehmen kann die interne SOC-Ökonomie sinnvoll sein, insbesondere wenn sie viele Standorte, eine hohe regulatorische Exponierung und bereits vorhandenes Sicherheitspersonal haben.
G DATAs Rolle kann dort enger sein: Endpoint-Produkt, Incident Response, Spezialberatung oder eine Komponente für deutsche Datensouveränität statt eines vollständig ausgelagerten SOC.
Inoffizielle Signale stützen die Nachfrage, nicht die Bewertung
Inoffizielle und halboffizielle Marktsignale sollten mit Vorsicht behandelt werden. Öffentliche Bewertungsseiten, Jobbörsen-Aggregatoren, LinkedIn-Beschreibungen, Drittanbieter-Verzeichnisse und Technologie-Listen sind nützlich, um die Markttextur zu erfassen, aber sie sind keine testierten Fakten. Sie können darauf hindeuten, dass G DATA sichtbar ist, einstellt, bewertet und unter Cybersicherheitsanbietern platziert wird. Sie können jedoch weder Umsatz, Rentabilität, Abwanderung, Uptime noch Kundenzufriedenheit auf Unternehmensebene belegen.
Das bessere inoffizielle Signal ist eigentlich das Muster von G DATAs eigener öffentlicher Kommunikation. Im Jahr 2026 betonte das Pressezentrum die XDR-Einführung, die MSP-Skalierbarkeit, NIS2-Schulungen, die Tatsache, dass deutsche Unternehmen auf Sicherheitsanbieter angewiesen sind, die Überwachung von Behörden außerhalb der Geschäftszeiten, die Notfallplanung und die AV-Comparatives-Zertifizierung. Dieses Kommunikationscluster deutet darauf hin, wo das Unternehmen die Nachfrage sieht: regulierte deutsche Käufer, MSP-geführte Managed Security, messbare Erkennungsqualität und Resilienzplanung.
AV-Comparatives ist kein inoffizielles Forum; es ist eine unabhängige Testorganisation, und G DATAs Pressemitteilung vom Mai 2026 besagt, dass MXDR erneut im EDR Detection Validation Certification Test zertifiziert wurde. In der Mitteilung heißt es, der Test habe 14 Angriffsstufen simuliert, darunter Spear-Phishing, Persistenz, Lateral Movement und DCSync gegen einen Domänencontroller, und dass G DATA relevante Teile der Angriffskette durch aktive Alarme und Telemetrie erkannt habe. Sie zitiert AV-Comparatives auch mit der Aussage, das Produkt habe in Signal-Rausch-Szenarien ein perfektes Ergebnis erzielt.
Das ist keine Garantie für die Leistung bei echten Vorfällen, aber es ist ein nützlicher Beleg dafür, dass G DATA in messbare Erkennungsqualität investiert und nicht nur in Branding.
Die G-DATA-Studie 2026 mit Statista und brand eins ist ebenfalls nützlich, sollte aber als anbieterveröffentlichte Nachfrageevidenz abgezinst werden. Sie besagt, dass 63 Prozent der deutschen Unternehmen mit IT-Sicherheitsanbietern und 32 Prozent mit MSSPs zusammenarbeiten. Sie gibt an, dass mehr als 5.000 Mitarbeiter in Deutschland befragt und mehr als 300 Statistiken erhoben wurden. Diese Zahlen stützen die These, dass ausgelagerte Sicherheit in Deutschland zum Mainstream gehört. Sie beweisen nicht, dass G DATA diese Ausgaben einfangen wird oder dass Käufer seinen Aufpreis akzeptieren.
Der mittlere öffentliche TrustScore von Trustpilot ist ein schwaches, aber relevantes Gegensignal. Es erinnert uns daran, dass Dienstleistungsunternehmen Beschwerden anhäufen, insbesondere von Verbrauchern und Kleinkunden. Wenn G DATA einen Uptime-Aufschlag verdienen will, muss es das untere Ende des Marktes genauso sorgfältig managen wie es das Vertrauen von Unternehmen bewirbt. Ein Kunde, der nicht sauber kündigen, eine Lizenz einfach verlängern oder schnell Support erhalten kann, kümmert sich möglicherweise nicht darum, wie stark die Souveränitätsgeschichte ist.
Das zentrale ökonomische Urteil ist konditional, nicht feierlich
G DATA kann Kunden genug für die versprochene Uptime zahlen lassen, wenn vier Bedingungen erfüllt sind. Erstens muss deutsche Souveränität ein Einkaufskriterium auf Vorstandsebene bleiben und nicht nur eine Marketingpräferenz sein. NIS2, DSGVO-Sensibilität, Vergabe im öffentlichen Sektor und Bedenken hinsichtlich ausländischen Zugriffs helfen dabei. Zweitens müssen XDR und MXDR die Arbeitsintensität durch Korrelation, Automatisierung, Unterdrückung von False Positives und standardisierte kundenspezifische Reaktionsrichtlinien reduzieren.
Drittens muss der MSP-Kanal ein dichtes Endgerätevolumen erzeugen, ohne den Support zu einem margenschwachen Helpdesk zu machen. Viertens muss G DATA eine glaubwürdige Infrastrukturverfügbarkeit über Bochum, Glasfaser Ruhr, IONOS und den eigenen IP-Bereich aufrechterhalten, ohne die Backend-Kosten die wiederkehrenden Einnahmen überholen zu lassen.
Das Unternehmen hat für alle vier glaubwürdige Belege, aber nicht genügend öffentliche Finanzdaten, um das Modell als bewiesen zu erklären. Das Produktportfolio ist kohärent. Die Geschichte der deutschen Infrastruktur und Datenstandorte ist konkret. Die RIPE-Zuteilung und die MXDR-Dokumentation verbinden die Netzwerkressourcen direkt mit der Diensterreichbarkeit. Die Kundenreferenzen sind breit gefächert. Das NIS2-Umfeld ist unterstützend. Die XDR-Einführung adressiert die MSP-Skalierbarkeit. Die AV-Comparatives-Zertifizierung stützt das Narrativ der Erkennungsqualität.
Das offene Risiko ist die Margenumsetzung. Lokaler Support, deutsches Hosting und menschliche Analysten sind teuer. Wenn Kunden nur grundlegende Endpoint-Produkte kaufen, könnte G DATA einer Kommoditisierung der Preise ausgesetzt sein. Wenn sie MXDR kaufen, aber starke manuelle Anpassungen benötigen, leidet die Marge. Wenn MSPs Kunden zu niedrigen Preisen und hoher Supportlast bringen, wird Partnerwachstum zu Umsatz ohne Wertschöpfung.
Wenn globale Anbieter „ausreichend gute“ Sicherheit in bestehende Cloud-Verträge bündeln, muss G DATA die Käufer davon überzeugen, dass lokale Verantwortlichkeit und Reaktionsqualität die zusätzlichen Ausgaben rechtfertigen.
Deshalb ist Uptime der richtige ökonomische Rahmen. In einem ruhigen Monat mag der Aufpreis von G DATA wie Overhead aussehen. Bei einem Sicherheitsvorfall mag er günstig erscheinen. Das Geschäft hängt davon ab, diese zweite Realität glaubhaft zu machen, bevor der Vorfall eintritt, und gleichzeitig die erste Realität hoch genug zu bepreisen, um die Menschen und die Infrastruktur zu finanzieren, die die zweite wahr machen.
Fakten, die das Urteil ändern würden
Mehrere Fakten würden diese Bewertung wesentlich verändern. Der erste sind testierte Finanzinformationen, die Umsatzwachstum, Bruttomarge, Rentabilität, Cash-Conversion und F&E-/Supportausgaben zeigen. Ohne sie kann der Artikel die Struktur bewerten, aber keine Wertschöpfung beweisen. Eine wachsende Basis wiederkehrender Einnahmen mit stabilen oder steigenden Margen würde das Argument stärken. Umsatzwachstum bei Margenkompression würde darauf hindeuten, dass der Uptime-Aufschlag die Bereitstellungskosten nicht vollständig deckt.
Der zweite sind Daten zur Kundenbindung und zu Upgrades. Hohe Verlängerungsraten von Endpoint zu XDR oder MXDR würden zeigen, dass Käufer den breiteren Service schätzen. Niedrige Upgrade-Raten würden bedeuten, dass Souveränitäts- und Support-Behauptungen nicht ausreichen, um den durchschnittlichen Vertragswert zu steigern. Eine starke Partnerbindung unter MSPs würde die These der Pay-per-Use-Plattform stützen. Partnerabwanderung würde warnen, dass XDR austauschbar ist.
Der dritte sind Belege zur operativen Verfügbarkeit. Eine öffentliche Uptime-Historie, Vorfalltransparenz, Wegeredundanz, Backend-Kapazität und Details zum Rechenzentrums-Failover würden die Beurteilung der Netzwerkressourcen schärfen. Der Block 194.156.84.0/22 und die Offenlegung der deutschen Datenstandorte zeigen eine operative Oberfläche. Sie zeigen keine Resilienz-Qualität. Wenn G DATA sauberes Failover und niedrige Backend-Vorfallraten nachweisen kann, wird der Uptime-Aufschlag besser zu verteidigen. Wenn Dienstausfälle oder Routing-Probleme häufig sind, wird der Aufschlag schwächer.
Der vierte sind Daten zur Analystenproduktivität. Wie viele Endgeräte oder Kunden kann ein SOC-Analyst sicher abdecken? Wie viel Alarmvolumen wird automatisch gelöst? Wie viel Prozent der Vorfälle erfordern kundenspezifische manuelle Entscheidungen? Diese Fakten bestimmen, ob MXDR softwaregeführter Service oder personengeführte Beratung unter einem Abo-Label ist.
Der fünfte ist die regulatorische Durchdringung. Wenn die NIS2-Durchsetzung und die Haftung des Vorstands zu nachhaltigen Budgets für externe Managed Security führen, verbessert sich G DATAs lokales Modell. Wenn die Regulierung zu einer Papierübung wird, die mit billigen Vorlagen und gebündelten Tools erfüllt wird, schwächt sich der Rückenwind für die Nachfrage ab. Der sechste ist die wettbewerbsfähige Preisgestaltung. Wenn Microsoft, Sophos, CrowdStrike, SentinelOne oder lokale MSP-Bündel die effektiven Preise schneller senken, als G DATA die Bereitstellung automatisieren kann, rentiert sich lokale Verantwortlichkeit möglicherweise nicht.
Derzeit ist die vertretbare Schlussfolgerung ausgewogen. G DATA CyberDefense AG hat einen echten, durch Quellen gestützten Grund, einen deutschen Zuverlässigkeitsaufschlag zu verlangen, insbesondere bei Käufern im Mittelstand, im öffentlichen Sektor und im MSP-Kanal, die Sicherheitsoperationen nicht allein stemmen können. Der Fußabdruck der Netzwerkressourcen ist relevant, weil er die gehostete Sicherheitskontinuität unterstützt, und nicht, weil er das Unternehmen zu einem Zugangsanbieter macht.
Der Aufschlag ist wirtschaftlich nur dann gerechtfertigt, wenn Verträge die verborgene Arbeit hinter dem Versprechen bezahlen: Analysten im Dienst, deutsche Rechenzentren, erreichbare Backends, Support, der antwortet, Software, die Rauschen unterdrückt, und eine ausreichende Kundendichte, um Redundanz zu einem Geschäftsmodell zu machen und nicht zu einem Slogan.

