Die Cybersecurity-Branche befindet sich in einem beispiellosen Umbruch. Während Investitionen in KI-fokussierte Startups explodieren, entsteht gleichzeitig eine gefährliche Marktlücke für etablierte Anbieter. Die Investmentbank Momentum Cyber dokumentiert diesen Trend: Im ersten Quartal 2026 betrug das Finanzierungsvolumen 3,8 Milliarden Dollar — und übertraf damit erstmals die M&A-Volumina von 2,6 Milliarden Dollar. “Das haben wir nur dreimal zuvor gesehen”, sagt Eric McAlpine, CEO von Momentum Cyber.
Das Phänomen zeigt eine konzentrierte Kapitalverteilung: VC-Dollar fließen zu weniger Unternehmen, dafür in deutlich größeren Volumina. Während Seed- und Series-A-Finanzierungen seltener werden, erzielen AI-native Startups Rekordinvestitionen. Das Beispiel Tenex ist symptomatisch: Der Managed Detection & Response-Anbieter sammelte in Serie B 250 Millionen Dollar ein — nach nur 27 Millionen in der Vorrunde.
Für mittelständische und traditionelle Cybersecurity-Firmen bedeutet dies existenzielle Bedrohung. Robert Ackerman von DataTribe warnt: “Das ‚Tal des Todes’ war nie breiter in der Cybersecurity.” Startups, die nicht als AI-native Unternehmen gegründet wurden, finden kaum noch Investoren. Sie sind zu jung für etablierte Märkte, aber zu alt für Venture Capital, das jetzt ausschließlich auf KI setzt.
Die Marktkonsolidation beschleunigt sich. McAlpine beobachtet, dass AI-native Startups bereits nach weniger als drei Jahren für erhebliche Summen übernommen werden — ein ungewöhnlich schneller Exit-Zyklus, der die M&A-Volumina dieses Jahres antreibt. Google zahlte im März 32 Milliarden Dollar für Wiz; McAlpine erwartet weitere Mega-Deals im zwölf- bis achtzehnmonatigen Zeitraum, insbesondere von OpenAI und Anthropic, die aggressiv Top-Talente aus dem M&A-Bereich recruitieren.
Anthropic’s Mythos wirft neue Sicherheitsfragen auf: Die Technologie könnte ganze Sektoren wie Vulnerability Management obsolet machen. Alberto Yépez, Forgepoint Capital, nennt viele mittlere Anbieter “walking dead” — unternehmen, die hoffen, dass die KI-Welle an ihnen vorbeizieht.
Für deutsche Unternehmen und Behörden ergeben sich mehrere Implikationen: Erstens werden Cybersecurity-Angebote stärker konsolidiert — durchschnittliche Unternehmen nutzen derzeit 60 bis 80 verschiedene Sicherheitslösungen, diese Zahl wird drastisch sinken. Zweitens steigt der Druck, AI-Systeme zu sichern — eine KPMG-Studie zeigt, dass die Hälfte der C-Suite-Entscheider zwischen 10 und 50 Millionen Dollar in Agentic-AI-Sicherheit investieren will. Drittens müssen Einkäufer vorsichtig sein: Nicht alle neuen Anbieter überstehen die nächsten 18 Monate. Das macht die Vendor-Auswahl zur DSGVO-kritischen Entscheidung.