Tier-1 gegenüber Tier-2 bei Cybersicherheitsanbietern: wie Sie nach Größe wählen
Wir schreiben den Artikel, den eine Tier-1-Firma nicht schreiben kann und den die schlimmste Sorte von Tier-2-Firma nicht schreiben wird. Wir sind eine Tier-2-Firma. Wir haben ein Interesse. Wir sagen es offen: Die meiste Zeit ist für europäische mittelständische Unternehmen eine Tier-2-Boutique der beste Fit. Wir werden auch konkret sein, wann das nicht so ist und warum.
Das ist kein Artikel über Preise. Es ist ein Artikel über Passung. Ein schlecht passender Auftrag ist zu jedem Preis teuer; ein gut passender Auftrag zu einem vernünftigen Preis ist günstig. Die Variable, die zählt, ist die Passung.
Was wir unter Tier-1 und Tier-2 verstehen
Tier-1 in Beratung und Dienstleistungen der Cybersicherheit bezeichnet die globalen Firmen mit Tausenden von Beratern, starker Markenbekanntheit, Präsenz über mehrere Rechtsräume und der Fähigkeit, ein Programm über den globalen Fußabdruck eines Unternehmens zu skalieren. Die bekannten Namen (große Beratungen mit Cyber-Praktiken, große MSSP, große globale Integratoren) konkurrieren um Aufträge auf Fortune-500-Niveau und Vergleichbares.
Tier-2 bezeichnet spezialisierte mittelgroße und Boutique-Firmen mit tiefer Expertise in spezifischen Domänen oder Sektoren, kleineren Teams, höherer direkter Senior-Beteiligung und Auftragsumfängen, die typischerweise in Wochen oder Quartalen statt in Jahren gemessen werden.
Tier-3 bezeichnet Einzelberater, kleine Praxen von einer bis fünf Personen und hochspezialisierte Mikro-Firmen. Sie haben ihren Platz; dieser Artikel fokussiert sich nicht auf sie.
Wann Tier-1 die Antwort für ein mittelständisches Unternehmen ist
Drei Szenarien. Sie sind eng, aber real.
Szenario 1 · Sie sind die lokale Tochter eines Multinationals
Wenn Ihre mittelständische Einheit in Spanien oder Rumänien Tochter eines Multinationals mit einem bereits von einer Tier-1 ausgeführten globalen Cybersicherheitsprogramm ist, gliedern Sie sich in das Programm ein. Mit dem ererbten Anbieter zu streiten ist kein produktiver Energieeinsatz. Vielleicht möchten Sie einen parallelen Tier-2-Berater, um das globale Programm in lokale Realitäten zu übersetzen, aber der dominierende Auftrag bleibt Tier-1.
Szenario 2 · Sie werden von einem Tier-1-Kunden übernommen
Wenn Ihre Pipeline einen Fortune-500-Kunden enthält, der als Beschaffungsbedingung verlangt, dass Ihr Sicherheitsprogramm von einer Tier-1-Firma getragen oder auditiert wird, die er anerkennt, ist der Auftrag eine kommerzielle Entscheidung, keine Sicherheitsentscheidung. Die Prämie, die Sie zahlen, ist der Preis für den Zugang zur Beschaffung dieses Kunden.
Szenario 3 · Sie operieren in einem regulierten Sektor mit expliziter Tier-1-Erwartung
Einige stark regulierte Teilsektoren (bestimmte Segmente von Finanzdienstleistungen, bestimmte Betreiber nationaler kritischer Infrastruktur) haben Aufsichtserwartungen, die sich mit Tier-1-Fähigkeiten decken. Die Erwartung steht nicht immer geschrieben; sie liegt in den Gewohnheiten der Aufsicht. Eine mittelständische Einheit in diesem Sektor liest den Raum und richtet sich danach.
Außerhalb dieser drei Szenarien ist der Tier-1-Auftrag für ein mittelständisches Unternehmen meist ein Default, keine bewusste Wahl. Defaults existieren, weil das Einkaufsteam die Namen kennt, das Rechtsteam die Verträge kennt und der vorherige CISO bei einer Tier-1 gearbeitet hat und reproduziert, was er kennt.
Wann Tier-2 die Antwort für ein mittelständisches Unternehmen ist
Das Spiegelbild. Fünf Szenarien.
Szenario 1 · Der Umfang ist abgegrenzt und technisch tief
Ein 90-Tage-NIS2-Uplift, ein Pentest mit festem Umfang, ein vCISO mit 3 Tagen/Monat, ein defensiver OSINT-Sprint. Diese Aufträge gedeihen mit direkter Senior-Beteiligung, kleinem benanntem Team und Kommunikationsgeschwindigkeit. Eine Tier-1 wird sie liefern; der Preis wird die Kosten ihrer Struktur widerspiegeln, und die liefernden Berater werden oft Junioren sein, weil die Senioren an größeren Aufträgen sitzen.
Szenario 2 · Sie legen Wert darauf, dass jedes Mal dieselbe Person auftaucht
In einem Tier-2-Auftrag ist der Senior, der verkauft hat, gewöhnlich der Senior, der liefert. In einem Tier-1-Auftrag stimmt das im ersten Monat und erodiert mit der Zeit. Für mittelständische Unternehmen, in denen Beziehung und institutioneller Kontext zählen, ist die Konsistenz ein struktureller Vorteil.
Szenario 3 · Sie möchten ehrliche "Nein"-Antworten
Eine Boutique, die zu jedem Umfang Ja sagt, ist keine Boutique; sie ist eine kleine Tier-1, die zu wachsen versucht. Die zu suchende Boutique ist die, die 20-30% der Aufträge, die sie gewinnen könnte, aus Passungsgründen ablehnt. Tier-1-Firmen haben einen strukturellen Druck, häufiger Ja zu sagen.
Szenario 4 · Ihr Budget ist real, aber nicht unbegrenzt
Ein mittelständisches Budget, das einen Tier-1-Auftrag zu 60% des angestrebten Umfangs finanziert, finanziert meist einen Tier-2-Auftrag zu 100% des angestrebten Umfangs. Die Arithmetik begünstigt Tier-2 in dem Budgetbereich, in dem die meisten mittelständischen Unternehmen leben.
Szenario 5 · Sie wollen Senioren ab Woche eins im Raum
In einem Tier-2-Auftrag ist die Projektleitung senior und ab Woche eins präsent. In einem Tier-1-Auftrag ist der Partner beim Kick-off und im Lenkungsausschuss dabei; das Tagesgeschäft ist junior. Beide Modelle können liefern. Das Modell, das häufiger zu mittelständischen Unternehmen passt, ist das erste.
Die Trade-offs, über die niemand spricht
Tier-1-Risiko, das mittelständische Unternehmen unterschätzen
- Junior-Personal in Senior-Angelegenheiten. Der Partner, der verkauft hat, ist nicht der Berater in Ihrem wöchentlichen Meeting.
- Scope-Inflation. Die Struktur hat Wachstumsanreize; erwarten Sie jedes Quartal Erweiterungsgespräche.
- Dokumentation als Liefergut. Tier-1-Lieferungen sind dokumentationsschwer, manchmal auf Kosten operativer Veränderung.
- Langsame Reaktion auf kleine Fragen. Eine 30-Minuten-Frage wird zu Anfrage, Schätzung, Änderung des SOW.
Tier-2-Risiko, das mittelständische Unternehmen unterschätzen
- Schlüsselpersonen-Abhängigkeit. Verlässt der Senior die Boutique, kann die Auftragsqualität sinken.
- Begrenzte Bank für Spitzen. Eine Tier-2 kann nicht 20 Berater für eine Krisenwoche bereitstellen.
- Abdeckungslücken durch Spezialisierung. Eine Tier-2, die in drei Dingen tief ist, ist nicht in zwanzig tief. Passen Sie die Firma an Ihren Umfang an.
- Markenbekanntheit für Ihren Auditor. Manche Auditoren und Kunden sehen lieber ein Tier-1-Logo auf dem Bericht. Der Tier-2-Bericht kann technisch überlegen sein und trotzdem Markenreibung erfahren.
Die Trade-offs, die kleiner sind, als sie scheinen
- Senior-Qualität. Die Senioren einer seriösen Boutique sind meist Menschen, die von einer Tier-1 kamen, das Handwerk lernten und sich bewusst für das Boutique-Modell entschieden. Sie sind nicht von geringerer Qualität; sie sind anders incentiviert.
- Standard-Ausrichtung. Eine seriöse Boutique richtet ihre Methodik an denselben Standards (NIST CSF, ISO 27001, MITRE ATT&CK) aus wie die Tier-1. Das Vokabular ist geteilt.
- Versicherung und vertragliche Abdeckung. Seriöse Tier-2-Firmen schließen die Berufs- und Cyber-Haftpflicht ab, die Einkaufsteams verlangen. Prüfen Sie es in der Due Diligence; setzen Sie es nicht voraus.
Entscheidungsrahmen auf einer Seite
| Signal | Wenn ja, Richtung Tier-1 | Wenn ja, Richtung Tier-2 |
|---|---|---|
| Sie sind Tochter eines globalen Unternehmens | Ja | |
| Ihr größter Kunde verlangt ein Tier-1-Audit | Ja | |
| Ihre Aufsicht erwartet Tier-1-Ausrichtung | Ja | |
| Abgegrenzter Umfang, technische Tiefe, 1-6 Monate | Ja | |
| Sie legen Wert auf Senior-Kontinuität über die Zeit | Ja | |
| Sie brauchen ehrliche "Nein"-Antworten als Teil des Werts | Ja | |
| Budget real, aber nicht unbegrenzt | Ja | |
| Spitzenkapazität ist harte Anforderung | Ja | |
| Multi-Region und mehrsprachig ist dominierend | Ja | |
| Lokale Sprache und Rechtsraum sind wichtig | Ja | |
| Die Marke auf dem Bericht ist Kaufbedingung | Ja | |
| Die Berichtsqualität ist Kaufbedingung | Ja |
Verteilen sich die Signale, führen Sie ein kleines Pilotprojekt mit festem Umfang mit beiden Firmentypen durch, bevor Sie sich auf einen mehrjährigen Auftrag festlegen. Die Reibung eines Wechsels nach zwölf Monaten ist hoch; die Kosten des Piloten sind niedrig.
Wie Sie eine Tier-2-Firma interviewen
Fragen Sie, was ein Tier-1-Einkaufsteam fragen würde, und etwas mehr:
- Wer ist die benannte verantwortliche Person und wie ist ihre Auslastung in anderen Aufträgen während meines Fensters?
- Welche Aufträge haben Sie in den letzten 12 Monaten abgelehnt und warum?
- Zeigen Sie mir ein verfasstes Liefergut eines vergleichbaren Auftrags (anonymisiert).
- Wie hoch ist Ihre Berufshaftpflicht-Deckungssumme und wer ist der Versicherer?
- Was passiert, wenn die benannte verantwortliche Person die Firma während meines Auftrags verlässt?
- Kann ich mit zwei Referenzkunden sprechen, idealerweise einem zufriedenen und einem, der sich gegen eine Verlängerung entschied?
Eine Tier-2-Firma, die nicht klar antwortet oder bei der zweiten und der letzten Frage in die Defensive geht, ist nicht die richtige.
> "Wir haben kompetitive Bewertungen gegen Tier-1-Firmen verloren, wenn der Kunde genuin einen Tier-1-Fit brauchte. Wir haben Bewertungen gegen Tier-1-Firmen gewonnen, wenn der Kunde einen Tier-2-Fit brauchte. Das Muster ist Passung, nicht Preis." — Interne IBL-Überprüfung der Geschäftsentwicklung, 2026
Was wir bei IBL tun
Wir sind ausdrücklich eine Tier-2-Boutique. Wir lehnen Aufträge ab, bei denen der Tier-1-Fit genuin besser ist, und sagen es im ersten Gespräch. Wenn wir annehmen, ist der benannte Senior derjenige, der in Ihrem wöchentlichen Meeting sitzt, das Liefergut unterzeichnet eine reale Person, die Sie anrufen können, und der Umfang ist der vereinbarte, nicht 20% mehr.
Wenn Sie darüber sprechen möchten, ob Tier-2 der Fit für Ihren spezifischen Umfang ist, schreiben Sie an [email protected]. Wir antworten innerhalb eines Werktags.
Ibida Black Level S.L. ist eine Boutique-Beratung für Cybersicherheit mit Sitz in Málaga, Spanien, und einem operativen Team in Rumänien. Wir arbeiten mit europäischen mittelständischen Unternehmen, die technische Ehrlichkeit der Anbieterverpackung vorziehen. Wir wurden 2026 gegründet; wir erfinden keine längere Geschichte.
Weiterführende Lektüre
- vCISO gegenüber internem CISO: wann welches Modell sinnvoll ist
- OSINT-Audit: was wir liefern und wie lange es tatsächlich dauert (Cluster-Pillar Q4)
- NIS2-Selbstbewertung: 25 Fragen, um die Compliance Ihres Unternehmens zu prüfen (Cluster-Pillar Q3)
Tags: anbieterauswahl, einkauf, mittelstand, boutique, tier-1, tier-2, entscheidungsrahmen