„Lizenzgebühr ist nicht TCO." Jeder CFO weiß das, jeder GRC-Vendor verschweigt es. Hier die ehrliche 3-Jahres-Rechnung für ein 200-Mitarbeiter-Unternehmen mit ISO 27001 + NIS-2-Anforderung. Vergleich: SaaS-GRC (Vanta/Drata) vs. SecTepe.Core als EU-native Inhouse-Plattform.
Komponente 1: Lizenz und Hosting
- Vanta/Drata: typisch 18.000–35.000 € p. a. für 200 MA, mit ISO 27001 + SOC 2. Pro zusätzliches Framework Aufschlag.
- SecTepe.Core: Lizenz im niedrigen fünfstelligen Bereich p. a., Hosting auf eigener Infrastruktur (oder EU-Hoster, ~3.600 € p. a.).
3 Jahre SaaS: ~75.000 €. 3 Jahre Inhouse-Lizenz + Hosting: ~45.000 €. Differenz schon 30.000 €.
Komponente 2: Implementierung und Integration
Beide Lösungen brauchen initiale Konfiguration. SaaS verspricht „auto-pilot" – realistisch sind 80–120 PT eigene Arbeit für ISO 27001 plus Anpassung der eigenen Umgebung. Inhouse-Plattform mit Templates und Wizard-gestütztem Setup: 60–100 PT.
Tageskosten Inhouse-FTE GRC: ~600–800 €. Implementierung: ähnlich, +/- 20.000 €.
Komponente 3: Daten-Souveränität und DSGVO
SaaS-GRC speichert Audit-Daten, Risiko-Register, Lieferanten-Listen oft auf US-Infrastruktur (AWS-us-east). Schrems II macht das DSGVO-rechtlich problematisch, NIS-2 Art. 21(2)(d) verschärft das. Drei Optionen für den CISO:
- Auftragsverarbeitungsvertrag + EU-Hosting-Option des Vendors (oft Aufschlag 30–50 %).
- Sensible Daten nicht ins SaaS – aber dann ist das halbe Tool funktionslos.
- Inhouse-Plattform: Daten bleiben physisch da, wo sie hingehören.
Bei (1) addiert sich pro Jahr ~5.000–15.000 € an Premium. Über 3 Jahre: 15.000–45.000 €.
Komponente 4: Vendor-Lock-in-Risiko und Exit-Kosten
Wer 3 Jahre lang Compliance-Belege, Risk-Register, Policy-Dokumente in SaaS-GRC pflegt, hat ein Lock-in-Problem: Export-Funktion gibt CSV, aber keine strukturierten Daten in einer Form, die ein anderer Anbieter direkt importiert. Migrations-Aufwand für einen späteren Wechsel: realistisch 40–80 PT, plus 6 Monate Doppelbetrieb.
Inhouse-Plattform mit offenen Datenmodellen + DB-Backups: Exit-Risiko deutlich kleiner. Daten gehören dem Unternehmen.
Komponente 5: Skalierung mit weiteren Frameworks
SaaS-Anbieter berechnen pro Framework. Mittelstand 2026 braucht oft mehrere parallel: ISO 27001 + NIS-2 + DSGVO + (branchenspezifisch B3S, SOC 2 für US-Kunden). Bei SaaS pro Framework Aufschlag 5.000–15.000 € p. a. Bei Inhouse-Plattform mit Multi-Framework-Modul: zusätzliche Frameworks ohne Lizenz-Aufschlag, nur Konfigurations-Aufwand.
Über 3 Jahre kann das ein zusätzlicher Posten von 30.000–100.000 € sein.
Komponente 6: AI-Funktionen
SaaS bietet zunehmend AI-Assistenten (Policy-Generation, RAG-Audit, STRIDE-Threat-Modeling). Vanta/Drata berechnen AI-Module zusätzlich, oft 8.000–20.000 € p. a. Inhouse mit eigenem Ollama-LLM: einmalige Hardware-Investition (~5.000 €), danach laufende Kosten ≈ Strom.
Die ehrliche 3-Jahres-Tabelle
| Posten | SaaS-GRC | Inhouse |
|---|---|---|
| Lizenz/Hosting | 75.000 € | 45.000 € |
| Implementierung | 60.000 € | 50.000 € |
| EU-Hosting-Premium / DSGVO-Konformität | 30.000 € | 0 € |
| 3 zusätzliche Frameworks | 50.000 € | 10.000 € |
| AI-Module | 40.000 € | 5.000 € |
| Exit-Risiko-Rückstellung | 30.000 € | 0 € |
| 3-Jahres-TCO | ~285.000 € | ~110.000 € |
Wo SaaS-GRC besser ist
Ehrlich gesagt: für ein 30-MA-Startup mit reinem SOC-2-Bedarf für US-Kunden, ohne EU-Datenschutz-Sensitivität, ohne NIS-2-Pflicht – da ist Vanta/Drata schneller live und billiger. Sub-50 MA, einzelnes Framework, kein DSGVO-Schwerpunkt: SaaS gewinnt klar.
Aber für 100+ MA, mehrere Frameworks, EU-Sitz, NIS-2-Betroffenheit, Daten-Sensitivität – kippt die Rechnung deutlich.
Was der CFO konkret prüfen sollte
- Wie viele Frameworks brauchen wir über 3 Jahre?
- Wo werden welche Daten gespeichert? Was sagt der DPA?
- Was kostet ein Vendor-Wechsel realistisch – nicht laut Vendor-Marketing?
- Welche AI-Funktionen brauchen wir, was kosten die zusätzlich?
- Wie viel interner FTE-Aufwand bleibt am Tool hängen, gegen wen?
Fazit
GRC-TCO ist mehr als die Lizenzrechnung. Über 3 Jahre, mehrere Frameworks und EU-Datenschutz-Anspruch ist die Inhouse-Plattform für den Mittelstand die ökonomisch und strategisch saubere Wahl. Der CFO, der das als Vendor-Marketing-Argument abtut, sollte die Rechnung selbst aufmachen – die Zahlen oben sind aus realen Beratungs-Engagements.