TechLeague

    Cisco

    Cisco Umbrella vs. Zscaler ZIA vs. Cloudflare Gateway: SIG-Vergleich 2026

    TechLeague Editorial··15 Min. Lesezeit

    Die Evaluierung von Secure Internet Gateways (SIG) für 2026 erfordert eine Betrachtung jenseits des Marketing-Hypes. Wir analysieren Cisco Umbrella, Zscaler Internet Access (ZIA) und Cloudflare Gateway, wobei der Fokus auf architektonischen Unterschieden, Performance-Metriken, Sicherheitseffizienz und den Gesamtbetriebskosten (TCO) für Unternehmen mit 1.000 bis 50.000 Benutzern liegt. Unsere Perspektive kommt aus der Praxis: Was funktioniert, was nicht und wo sich die versteckten Kosten verbergen.

    Architektur & Performance-Grundlagen

    Cisco Umbrella, Zscaler ZIA und Cloudflare Gateway unterscheiden sich grundlegend in ihrem Ansatz für sicheren Internetzugang. Umbrella begann als DNS-basierte Sicherheitsplattform. Obwohl es sich erheblich zu einem vollständigen SIG mit HTTP-Proxying, CASB und DLP entwickelt hat, bedeutet seine DNS-Herkunft oft, dass Filterentscheidungen sehr früh im Verbindungszyklus getroffen werden. Für eine vollständige Inline-Inspektion wird der Traffic proxied. Zscaler ZIA wurde von Grund auf als Inline-Full-Stack-Proxy entwickelt. Jede Verbindung, sobald sie zu einem Zscaler Enforcement Node (ZEN) geleitet wird, durchläuft eine Single-Pass-Architektur, bei der alle Sicherheitsfunktionen (Firewall, IPS, DLP, CASB, Sandbox, SSL Inspection) gleichzeitig angewendet werden. Dieses Design zielt darauf ab, Latenz zu minimieren und eine umfassende Inspektion sicherzustellen.

    Cloudflare Gateway, Teil von Cloudflare One, nutzt das riesige globale Netzwerk von Cloudflare. Es bietet DNS-Filterung, HTTP/HTTPS-Inspektion und Netzwerksicherheit über seine Edge Locations. Das Traffic Steering kann über DNS, WARP Client, GRE-Tunnel oder IPsec erfolgen. Cloudflares Stärke liegt in seiner globalen Nähe zu den Benutzern, was potenziell niedrigere Latenz für DNS-Lookups und den initialen Verbindungsaufbau durch Anycast-Routing bietet. Für die vollständige Inline TLS 1.3 Inspection kann die Sicherheitskette jedoch einen spürbaren Overhead verursachen. Für eine 100-Mbps-Internetverbindung meldet Zscaler bei den meisten Webtransaktionen eine Latenz unter 50 ms beim Egress von einem lokalen ZEN, während Umbrellas HTTP-Proxy 30–100 ms hinzufügen kann, abhängig von der Nähe des Endpunkts zu einem VADC (Virtual Appliance Data Center) und der Inspektionsstiefe. Der Cloudflare WARP Client fügt für das normale Websurfen zu seinem nächsten PoP oft 10–30 ms hinzu, die Deep Content Inspection kann dies jedoch erhöhen.

    TLS-Inspektion & Latenzüberlegungen

    Die Fähigkeit, TLS 1.2- und 1.3-Traffic effektiv zu inspizieren, ohne die Performance zu beeinträchtigen, ist ein entscheidendes Unterscheidungsmerkmal. Zscaler ZIAs Single-Pass-Architektur ist hierfür optimiert und führt vollständiges TLS-Proxying und Content Inspection mit minimalen Auswirkungen auf die Benutzererfahrung bei typischen Webanwendungen durch. Ihre granulare Richtlinien erlauben eine selektive Entschlüsselung, oft unter Umgehung von Banking- oder Healthcare-Websites, um Compliance zu wahren oder Anwendungsunterbrechungen zu vermeiden, während dennoch nicht-entschlüsselnde Richtlinien wie DNS-Filterung oder IP/URL-basierte Zugriffssteuerungen angewendet werden. Die Performance eines ZEN ist darauf ausgelegt, Multi-Gigabit-Durchsatz pro Instanz zu bewältigen.

    Cisco Umbrella verwendet seinen AnyConnect Secure Client (jetzt Secure Client) oder explizite Proxy-Einstellungen für die vollständige HTTP/HTTPS-Inspektion. Obwohl es Unternehmenszertifikate für die Entschlüsselung unterstützt, kann die Backend-Proxy-Infrastruktur, die oft über verschiedene regionale VADCs föderiert ist, unterschiedliche Performance-Eigenschaften aufweisen. Große Deployments, die tiefgehende CASB- und DLP-Analysen für den gesamten verschlüsselten Traffic durchführen, können höhere Latenz erleben, insbesondere für Benutzer, die weit von einem VADC entfernt sind. Cloudflare Gateways TLS-Entschlüsselungsfähigkeiten sind stark und nutzen ihr globales Netzwerk. Der WARP-Client leitet den Traffic intelligent, und ihre Edge-Infrastruktur ist für hohen Durchsatz ausgelegt. Die Multi-Tenant-Natur des Cloudflare-Sicherheits-Stacks bedeutet jedoch, dass die Performance je nach regionaler Auslastung und spezifischen Policy-Konfigurationen variieren kann. Alle drei erfordern eine sorgfältige Zertifikatsverteilung für unternehmenseigene Geräte. Es ist zu erwarten, dass bestimmte Anwendungen oder Kategorien, die bei der TLS-Inspektion Probleme verursachen, wie Microsoft Teams oder spezifische SaaS-Plattformen mit Certificate Pinning, auf eine Whitelist gesetzt werden müssen.

    Threat Intelligence & Sandbox-Effizienz

    Der Wert eines SIG hängt direkt von seinem Threat Intelligence Feed und seiner Fähigkeit ab, fortgeschrittene Bedrohungen schnell zu erkennen und zu verhindern. Zscaler nutzt sein riesiges globales Netzwerk, das täglich über 200 Milliarden Transaktionen inspiziert, um seine ThreatLabZ-Intelligenz zu speisen. Dies ermöglicht die Echtzeit-Identifizierung neuer Phishing-Websites, Command-and-Control (C2)-Kommunikation und Zero-Day-Exploits. Ihre Cloud-Sandbox, NSS (Nano Sandbox Service), ist vollständig integriert und detoniert verdächtige Dateien und URLs in einer massiven virtuellen Umgebung. Diese integrierte Threat Intelligence und Sandbox sind eine Kernkomponente der ZIA-Plattform.

    Cisco Umbrella profitiert von Talos, einer der größten Threat Intelligence Organisationen der Branche. Talos' Daten decken E-Mail-, Netzwerk-, Endpunkt- und Web-Vektoren ab und bieten eine umfassende Ansicht der Bedrohungslandschaft. Umbrellas Sandbox-Funktion, oft integriert mit Cisco Secure Malware Analytics (ehemals Threat Grid), bietet ähnliche Detonationsfähigkeiten für Dateien. Cloudflare Gateway nutzt Cloudflares eigene Threat Intelligence, die sich stark auf DDoS, Bot Management und Web Application Attacks konzentriert. Obwohl in diesen Bereichen stark, ist ihre allgemeine Malware- und Phishing-Intelligenz möglicherweise nicht so tiefgreifend wie die von Talos oder ThreatLabZ, die breiter auf Endpunkt- und Netzwerkbedrohungen ausgerichtet sind. Cloudflare integriert oft mit Drittanbieter-Sandbox-Lösungen, anstatt ein natives Äquivalent mit der gleichen architektonischen Tiefe wie die integrierten Angebote von Zscaler oder Cisco anzubieten.

    CASB & DLP-Funktionen

    Cloud Access Security Broker (CASB) und Data Loss Prevention (DLP) werden für jedes umfassende SIG zunehmend wichtiger. Zscaler ZIA bietet starke Inline-CASB-Funktionen mit granularen Kontrollen über sanktionierte und nicht-sanktionierte SaaS-Anwendungen. Dies beinhaltet API-basiertes CASB für Post-Connection-Analyse und -Erkennung. Ihr DLP ist robust und unterstützt benutzerdefinierte Wörterbücher, Exact Data Match (EDM), Indexed Document Matching (IDM) und Proximity-Analyse, mit Incident-Management-Workflows für Versuche der Exfiltration sensibler Daten. Richtlinien können inline auf verschlüsselten Traffic direkt angewendet werden.

    Cisco Umbrellas CASB-Modul (oft eine höhere Lizenzstufe erforderlich) bietet Transparenz über die Nutzung von Cloud-Apps, Risikobewertung und Policy Enforcement zum Blockieren spezifischer Aktivitäten. Seine DLP-Funktionen sind ebenfalls umfassend und nutzen Keyword Matching, Regex und Dateityp-Erkennung. Obwohl sich Umbrellas DLP verbessert hat, erforderte es historisch mehr Konfiguration und Feinabstimmung im Vergleich zu Zscalers ausgereifterem Angebot. Cloudflare Gateway bietet Transparenz über die Nutzung von SaaS-Anwendungen und kann Zugriffsrichtlinien basierend auf Identität und Gerätehaltung durchsetzen. Seine DLP-Funktionen entwickeln sich weiter, mit einfachen Keyword- und Regex-Matching für sensible Datentypen. Für fortgeschrittene DLP, insbesondere EDM/IDM, ist Cloudflare oft auf Integrationen mit DLP-Lösungen von Drittanbietern angewiesen. Unternehmen, die eine fortgeschrittene, integrierte DLP priorisieren, sollten Cloudflares native Funktionen sorgfältig gegen ihre spezifischen Anforderungen für regulierte Daten prüfen.

    Integration mit SD-WAN & Endpoint Agents

    Effizientes Traffic Steering ist für SIGs von größter Bedeutung. Zscaler integriert nativ mit wichtigen SD-WAN-Anbietern wie Cisco Viptela (SD-WAN by Cisco), FortiGate, Versa und Palo Alto Networks. IPsec-Tunnel oder GRE können von SD-WAN-Branch-Geräten direkt zu Zscaler ZENs aufgebaut werden. Der Zscaler Client Connector (ZCC) Agent bietet robuste Traffic-Weiterleitung für Remote-Benutzer, unterstützt Device Posture Checks, dynamisches VPN-Failover und granulare Policy Enforcement. ZCC ist für minimale Overhead und hohe Zuverlässigkeit konzipiert und bietet eine hervorragende Performance unter Windows, macOS, iOS und Android.

    Cisco Umbrella integriert sich nahtlos mit Cisco SD-WAN (Viptela oder Meraki) über IPsec-Tunnel. Für Meraki MX Appliances ermöglicht die direkte Integration DNS-Redirection und Proxying. Der Cisco Secure Client (ehemals AnyConnect) ist ein ausgereifter Endpunkt-Agent, der VPN, Network Access Control (NAC) und das Umbrella-Modul für direktes Traffic Steering bietet. Seine weite Verbreitung macht ihn für bestehende Cisco-Kunden attraktiv. Cloudflare Gateway unterstützt Traffic Steering von SD-WAN-Appliances über IPsec oder GRE und nutzt seinen eigenen WARP-Client für Remote-Benutzer. WARP bietet einen schlanken, sicheren Tunnel zum Cloudflare-Netzwerk, der Performance-Vorteile durch Routenoptimierung bietet. Obwohl effektiv, könnten Unternehmen mit bestehenden Cisco AnyConnect-Deployments mit Agent Sprawl konfrontiert sein, wenn nicht strategisch integriert wird. Für eine tiefe Integration mit Cisco SD-WAN bietet Umbrella im Allgemeinen ein schlankeres Erlebnis als Cloudflare, angesichts des geteilten Ökosystems.

    TCO & Lizenzierungsüberlegungen

    Die Preismodelle variieren erheblich und erfordern eine detaillierte Analyse jenseits der Listenpreise. Zscalers ZIA-Preise sind typischerweise pro Benutzer, pro Monat, mit Stufen basierend auf Funktionsumfängen (z.B. Business, Transformation, Transformation Edition mit ZDX). Für 1.000 Benutzer sind jährlich 35.000–60.000 US-Dollar zu erwarten, abhängig von der Stufe. Für 10.000 Benutzer steigt dies auf 350.000–600.000 US-Dollar. Bei 50.000 Benutzern können es 1,7–3 Millionen US-Dollar sein. Dies sind grobe Schätzungen; die tatsächlichen Kosten hängen von Verhandlungen und Add-ons wie ZDX oder ZPA ab. Zscalers gebündelter Ansatz bedeutet, dass Sie im Allgemeinen für einen Full-Stack-Sicherheitsdienst bezahlen, der über ihre massive Infrastruktur amortisiert wird.

    Feature/Metrik Cisco Umbrella (SIG Advantage) Zscaler ZIA (Transformation) Cloudflare Gateway (Enterprise)
    Core-Architektur DNS-first, Proxy-second Inline, Single-Pass Proxy Global Edge Network, Proxying
    TLS 1.3-Inspektion Ja, mit VADC-Overhead Optimiert, minimale Latenz Ja, nutzt globale PoPs
    Threat Intelligence Cisco Talos ThreatLabZ (200 Mrd.+ Trans./Tag) Cloudflare (DDoS/Bot-fokussiert)
    Native Sandbox Cisco Secure Malware Analytics NSS (Nano Sandbox Service) Integrationen von Drittanbietern
    Erweiterte DLP Umfassend (Keyword, Regex, Datei) Robust (EDM, IDM, Proximity) In Entwicklung (Keyword, Regex)
    CASB-Tiefe Discovery + Policy Enforcement Inline + API, Shadow IT-Kontrolle Discovery + Access Enforcement
    Endpunkt-Agent Cisco Secure Client Zscaler Client Connector Cloudflare WARP
    SD-WAN-Integration Stark mit Cisco SD-WAN/Meraki Breit mit wichtigen Anbietern IPsec/GRE zu PoPs
    Ca. 10.000 Benutzer TCO (jährlich) 250.000 – 450.000 USD 350.000 – 600.000 USD 150.000 – 300.000 USD

    Cisco Umbrellas Preisgestaltung erfolgt ebenfalls im Allgemeinen pro Benutzer, pro Jahr, oft gestaffelt nach Feature-Bundles wie DNS/IP Enforcement, SIG Essentials oder SIG Advantage. Für 1.000 Benutzer könnte Umbrella SIG Advantage jährlich zwischen 25.000 und 45.000 US-Dollar liegen. Für 10.000 Benutzer sind es 250.000 bis 450.000 US-Dollar. Bei 50.000 Benutzern schlagen 1,2 bis 2,2 Millionen US-Dollar zu Buche. Bestehende Cisco-Kunden erhalten oft vorteilhafte Bundles. Cloudflare Gateways Preisgestaltung, typischerweise als Teil von Cloudflare One Bundles, ist im Allgemeinen aggressiver, insbesondere bei höheren Benutzerzahlen. Für 1.000 Benutzer sind jährlich 15.000 bis 30.000 US-Dollar zu erwarten. Für 10.000 Benutzer 150.000 bis 300.000 US-Dollar. Bei 50.000 Benutzern könnten es 700.000 bis 1,5 Millionen US-Dollar sein. Das Kostenmodell hängt stark von den innerhalb von Cloudflare One gewählten Funktionen ab. Beim Vergleich sollten die Kosten für alle erforderlichen Drittanbieter-Integrationen (z.B. Sandbox, Advanced DLP), die bei einem Wettbewerber nativ sein könnten, berücksichtigt werden.

    Konfigurations-Snippets & Policy-Beispiele

    Die Policy Enforcement auf diesen Plattformen ist typischerweise GUI-gesteuert, aber das Verständnis des zugrunde liegenden Engines ist entscheidend. Hier ist ein vereinfachtes ZIA URL-Filter-Policy-Snippet, das einen gängigen Ansatz veranschaulicht:

    {
  "ruleOrder": 10,
  "name": "Block_High_Risk_Categories",
  "action": "BLOCK",
  "urlCategories": [
    {
      "id": "MALWARE_SITES",
      "name": "Malware Sites"
    },
    {
      "id": "PHISHING_FRAUD",
      "name": "Phishing and Other Frauds"
    },
    {
      "id": "PORNOGRAPHY",
      "name": "Pornography"
    }
  ],
  "groups": [
    {
      "id": "ALL",
      "name": "All Users"
    }
  ],
  "validUntil": null,
  "description": "Blocks high-risk categories for all users."
}

    Dieses JSON-Snippet ist repräsentativ dafür, wie die Zscaler ZIA API granulare URL-Filterregeln konfigurieren kann. In der Praxis verwenden Administratoren das ZIA Admin Portal, das dies in einer intuitiven Oberfläche abstrahiert. Cisco Umbrellas Policies sind ähnlich objektbasiert und ermöglichen eine granulare Kontrolle über Ziele, Identitäten und Anwendungen. Cloudflare Gateway verwendet eine Rules Engine, die über das Dashboard oder die API konfiguriert werden kann, oft ähnlich wie Firewall-Regeln mit Bedingungen für Identität, Anwendung, URL oder Netzwerkprotokolle.

    Beim Deployment der TLS-Inspektion erfordern alle drei Plattformen eine sorgfältige Planung. Um beispielsweise die TLS-Inspektion für spezifische Finanzdomänen in Umbrella zu umgehen, navigiert man zu Policies > Manage Policies > [Policy Name] > Settings > Advanced Settings > SSL Decryption und fügt spezifische Domänen zu einer Bypass-Liste hinzu. Zscaler bietet ähnliche granulare Bypass-Kontrollen sowohl für URL-Kategorien als auch für spezifische Domänen direkt in der SSL-Inspektions-Policy.

    Fazit

    Zscaler ZIA gewinnt für große Unternehmen (ab 10.000 Benutzern), die absolute Sicherheitseffizienz, geringste Latenz für die vollständige Inline-Inspektion und umfassende, integrierte CASB/DLP priorisieren. Seine Single-Pass-Architektur und ausgereifte Threat Intelligence (ThreatLabZ) bieten eine überlegene Grundlage für Zero Trust Network Access, der sich auf das Internet erstreckt. Die etwas höheren Kosten pro Benutzer werden oft durch geringeren operativen Aufwand und überlegenen Schutz für stark regulierte oder hochwertige Organisationen gerechtfertigt. Erwarten Sie aufgrund seiner Komplexität eine steilere initiale Lernkurve, aber langfristige Vorteile bei der Bedrohungsprävention.

    Cisco Umbrella gewinnt für bestehende Cisco-Kunden, insbesondere solche, die Cisco Secure Client (AnyConnect), Meraki oder Cisco SD-WAN nutzen. Die Integrationsgeschichte ist überzeugend und nutzt einen einheitlichen Agenten und eine Managementebene. Umbrella bietet robuste Sicherheit, insbesondere auf der DNS-Ebene, und sein SIG Advantage-Paket bietet einen starken Funktionsumfang. Es ist eine ausgezeichnete Wahl für Unternehmen, die Anbieter konsolidieren möchten und eine starke, Enterprise-Grade-Lösung wünschen, ohne unbedingt die absolut modernste Performance oder den granularsten, integriertesten DLP-Stack zu benötigen, den Zscaler bietet.

    Cloudflare Gateway gewinnt für Unternehmen, die geringe TCO, extreme globale Reichweite (insbesondere für kleinere Niederlassungen oder Remote-Benutzer) und die Integration mit anderen Cloudflare One-Diensten priorisieren. Seine Performance für DNS und initiale Web-Requests ist aufgrund seines massiven Anycast-Netzwerks erstklassig. Cloudflares Ansatz für Secure Access Service Edge (SASE) entwickelt sich rasant und bietet ein überzeugendes Preis-Leistungs-Verhältnis. Für Unternehmen mit anspruchsvollen, komplexen DLP-Anforderungen oder dem Bedarf an der tiefsten, ausgereiftesten Sandbox-Integration könnte Cloudflare jedoch eine Ergänzung durch Drittanbieter-Tools erfordern, was die Verwaltung komplizieren und die tatsächlichen TCO erhöhen kann.

    Verwandte Lektüre

    Häufige Fragen

    Welches SIG bietet die beste Performance für Remote-Benutzer?+

    Für DNS-basierte Sicherheit und den initialen Verbindungsaufbau bieten Cloudflare Gateway (via WARP) und Cisco Umbrella (via Secure Client) oft eine hervorragende niedrige Latenz aufgrund der globalen PoP-Verteilung. Für die vollständige Inline-TLS-Inspektion und konsistente Performance über alle Sicherheitsmodule hinweg bietet Zscaler ZIA jedoch typischerweise eine überlegene Performance dank seiner Single-Pass-Architektur und dedizierten ZENs, insbesondere für Benutzer in der Nähe eines Zscaler-verwalteten Rechenzentrums. Cloudflare WARP ist überzeugend durch seine Fähigkeit, Routen zu optimieren.

    Können diese SIGs traditionelle On-Premise-Firewalls ersetzen?+

    Ja, alle drei sind darauf ausgelegt, die Sicherheit des Internet-Traffics von On-Premise-Firewalls auszulagern und eine Cloud-zentrierte Sicherheitsposition zu ermöglichen. Für Niederlassungen kann der Traffic direkt an das SIG getunnelt werden, wodurch die Notwendigkeit lokaler Firewalls oder Backhauling reduziert wird. On-Premise-Firewalls (z.B. FortiGate 1800F, PA-5440) sind jedoch weiterhin für die interne Netzwerksegmentierung, East-West-Traffic-Inspektion und Datacenter-Sicherheit erforderlich, da SIGs sich hauptsächlich auf North-South-Traffic (Internet-gebunden) konzentrieren.

    Wie gehen sie mit Compliance bei Datenresidenzanforderungen um?+

    Alle drei Anbieter bieten Optionen für die Datenresidenz an, insbesondere bezüglich der Verarbeitung und Speicherung von Logs und inspirierten Inhalten. Zscaler verfügt über regionale ZENs und besteht auf lokalem Egress für Daten, um verschiedene regulatorische Rahmenbedingungen einzuhalten. Cisco Umbrella und Cloudflare Gateway nutzen ebenfalls ihre globalen Datacenter-Footprints. Es ist entscheidend, mit jedem Anbieter zu prüfen, ob sein spezifisches Deployment-Modell und seine Logging-Praktiken die spezifischen Datenresidenz- und Compliance-Anforderungen Ihrer Organisation erfüllen, insbesondere für DSGVO, CCPA oder regionale Souveränitätsgesetze.

    Was sind die häufigsten Herausforderungen während des Deployments?+

    Häufige Herausforderungen sind die genaue Synchronisierung von Benutzern und Gruppen (z.B. aus Active Directory, Azure AD), die sorgfältige Planung und Einführung von Endpunkt-Agenten (Cisco Secure Client, ZCC, WARP), die Zertifikatsverteilung für die TLS-Inspektion und die Behebung von Anwendungskompatibilitätsproblemen, wenn die TLS-Inspektion aktiviert ist. Die Integration mit SD-WAN-Lösungen erfordert außerdem eine sorgfältige Tunnelkonfiguration (IPsec/GRE) und Routen-Advertisement (BGP), um sicherzustellen, dass der gesamte relevante Traffic korrekt geleitet wird, ohne Routing-Loops oder asymmetrische Routing-Pfade zu erzeugen.

    Welche Lösung bietet die besten Zero Trust-Funktionen?+

    Obwohl alle drei zu einer Zero Trust-Architektur beitragen, bietet Zscaler mit seiner tieferen Integration zwischen ZIA (Secure Internet Gateway) und ZPA (Zero Trust Network Access) eine kohärentere und ausgereiftere Zero Trust-Plattform. Zscalers Architektur erzwingt Least-Privilege Access sowohl auf interne Anwendungen als auch auf das Internet, mit kontinuierlicher Verifizierung. Cisco entwickelt seine Zero Trust-Strategie mit Secure Access (rebranded Duo/Umbrella/AnyConnect) schnell weiter, während Cloudflare One ebenfalls ein sehr starker Kandidat für vollständiges Zero Trust über SaaS, private Apps und Internetzugang ist, indem es seine Identitäts- und Device-Posture-Funktionen nutzt. Zscaler gilt oft als Pionier und verfügt über das am besten bewährte Framework.

    Gibt es einen kostenlosen Test oder einen Proof-of-Concept-Weg?+

    Ja, alle großen SIG-Anbieter bieten Proof-of-Concept (POC) oder Testprogramme an. Diese umfassen typischerweise die Bereitstellung eines Teils der Funktionalitäten für eine begrenzte Benutzergruppe (z.B. 50–250 Benutzer) über einen Zeitraum von 30–90 Tagen. Ein erfolgreicher POC erfordert klare Ziele, detaillierte Testpläne, dedizierte Ressourcen sowohl von Ihrem Team als auch von den technischen Mitarbeitern des Anbieters sowie eine sorgfältige Messung der Performance und der Sicherheitsergebnisse. Unterzeichnen Sie keine Verträge vor einem erfolgreichen POC, insbesondere bei groß angelegten Deployments.