CrowdStrike: Der „Mythos-Moment“ schreibt die Wachstumsgeschichte der Cybersicherheit neu – AIDR könnte EDR in den Schatten stellen
Q1 FY2027 Earnings Call, 3. Juni 2026 – Rekord-ARR, Anhebung der Jahresprognose um 520 Basispunkte, 4-für-1-Aktiensplit angekündigt
CrowdStrike hat seinen wohl bedeutendsten Earnings Call seit Jahren abgeliefert. Dies lag nicht nur an den durchweg übertroffenen Erwartungen, sondern vor allem daran, dass CEO George Kurtz glaubhaft darlegte, das Unternehmen stehe an einem strukturellen Wendepunkt, der alles bisher Erlebte seit den Anfangstagen von EDR in den Schatten stellen könnte. Die zwei zentralen Entwicklungen – eine neue, KI-native Sicherheitskategorie namens AIDR, die in ihren ersten vollen Quartalen sequenziell um 250 % wuchs, sowie eine Anhebung der Prognose für das jährliche Net-New-ARR-Wachstum um 520 Basispunkte – signalisieren, dass bei der Nachfrage von Unternehmen etwas grundlegend Neues geschieht und es sich nicht nur um einen zyklischen Aufschwung handelt.
AIDR: Das wichtigste neue Produkt in der Geschichte von CrowdStrike
Die wichtigste Erkenntnis aus diesem Call ist die Einführung von AIDR (AI Detection and Response) und Kurtz’ Einschätzung, dass dieser Markt letztlich größer sein könnte als der für EDR. Dies ist eine bemerkenswerte Aussage für ein Unternehmen, das die EDR-Kategorie praktisch erfunden und darauf ein Geschäft mit fünf Milliarden Dollar ARR aufgebaut hat. Die Logik dahinter ist jedoch eher mathematisch als visionär. Branchendaten deuten darauf hin, dass Unternehmen durchschnittlich 90 KI-Agenten pro Mitarbeiter einsetzen werden. Jeder dieser Agenten läuft auf einem Endpunkt, führt Tool-Aufrufe aus, greift auf Dateien zu, ruft APIs auf und bewegt Daten auf Prozessebene. Wie Kurtz erklärte: „Um KI-Bedrohungen in Echtzeit zu erkennen und darauf zu reagieren, benötigt man einen Laufzeitsensor dort, wo die KI ausgeführt wird – das ist Falcon.“
Der strukturelle Vorteil ist offensichtlich. Wettbewerber können zwar KI-Sichtbarkeit auf Applikations- oder API-Ebene bieten, aber nur ein Sensor auf Laufzeitebene kann Bedrohungen dort erkennen, blockieren und abwehren, wo die KI tatsächlich operiert. CrowdStrike besetzt dieses Terrain bereits durch seine installierte EDR-Basis. Das auslaufende ARR von AIDR wuchs sequenziell um mehr als 250 %, und die Pipeline für das zweite Quartal übersteigt bereits 50 Millionen Dollar. Kurtz merkte an, dass dieser Wert in weniger als zwei Quartalen aus dem Nichts erreicht wurde, und fügte hinzu: „In meiner Karriere habe ich noch nie eine so schnelle Adaption erlebt.“ Angesichts der Prognose, dass die weltweiten KI-Ausgaben 2,5 Billionen Dollar übersteigen werden, und da nur ein geringer einstelliger Prozentsatz der Unternehmen über eine fortgeschrittene KI-Sicherheitsstrategie verfügt, stellt die Lücke zwischen KI-Einsatz und KI-Schutz – so Kurtz – „die größte Asymmetrie in der Sicherheit seit dem Übergang zur Cloud dar, und sie bewegt sich immer schneller.“
Der Mythos-Wendepunkt: Als die Frontier-KI-Labore zuerst bei CrowdStrike anriefen
Der Nachfragekatalysator, der die Prognoseanhebung stützt, hat einen Namen: der Mythos-Moment. Im April veröffentlichte Anthropic ein neues Frontier-Modell mit direkter Relevanz für die Cybersicherheit – insbesondere durch die Fähigkeit, mehrere Schwachstellen zu verketten, um das, was Kurtz als „tödliche Cyberangriffe“ bezeichnete, zu konstruieren. CrowdStrike war von Anfang an durch das „Project Glasswing“ eingebunden, eine gezielte Koalition einflussreicher Unternehmen, die sicherstellen sollte, dass der Markt vorbereitet ist. Kurz darauf startete OpenAI „GPT-5.5-Cyber“, intern als „Daybreak“ bekannt, und wählte CrowdStrike als Gründungsmitglied für sein „Trusted Access for Cyber“-Programm aus. CrowdStrike ist das einzige Cybersicherheitsunternehmen, das sowohl von Anthropic als auch von OpenAI für deren jeweilige Einführungsprogramme ausgewählt wurde.
Die praktische Konsequenz war eine Nachfragewelle, die Kurtz als beispiellos beschrieb. „Die Tausenden von Interaktionen, die wir mit Kunden bei Mythos-Briefings und unserem Project QuiltWorks hatten, waren unglaublich“, sagte er. QuiltWorks ist CrowdStrikes Branchenkoalition – zu der nun auf Dienstleisterseite Accenture, EY, IBM, Kroll, Cognizant, Infosys, Wipro, TCS, NTT Data, KPMG und HCL Tech sowie auf Versicherungsseite Coalition, Liberty Mutual, Lockton, Resilience und Marsh gehören –, die Unternehmen durch einen phasenweisen Prozess der Schwachstellenidentifizierung, Priorisierung, Behebung und Kommunikation auf Vorstandsebene mobilisieren soll. Ein Engagement von EY bei einem Fortune-100-Kunden deckte mithilfe von Falcon Exposure Management und Frontier-Modellen mehr als 45 Millionen Schwachstellen auf und beschleunigte gleichzeitig die Einführung von Next-Gen SIEM im selben Unternehmen.
Kurtz äußerte sich direkt dazu, was sich auf strategischer Ebene geändert hat: „Zum ersten Mal in meiner Karriere hat sich die Sichtweise des Marktes auf die Rolle der Cybersicherheit verschoben: weg von der primären Betrachtung durch die Linse von Risikomanagement, Compliance und Schutz, hin zur Anerkennung als strategischer Beschleuniger und kritischer Wegbereiter für die KI-Adaption.“ CEOs, so merkte er an, riefen ihre CISOs am Wochenende an, um zu fragen, ob die Mythos-Bedrohung real sei. Die Vorstandsetage ist in einer Weise in das Gespräch eingestiegen, die in der Cybersicherheit historisch ohne Beispiel ist.
Die Zahlen: Rekorde bei allen wichtigen Kennzahlen
Vor diesem Hintergrund waren die Finanzergebnisse für das erste Quartal eindeutig stark. Das Net-New-ARR belief sich auf 255,8 Millionen Dollar, ein Anstieg von 32 % gegenüber dem Vorjahr und über dem oberen Ende der Prognose. Das auslaufende ARR erreichte 5,51 Milliarden Dollar, was einem beschleunigten Wachstum von mehr als 24 % entspricht. Der Gesamtumsatz von 1,39 Milliarden Dollar wuchs um 26 % gegenüber dem Vorjahr und markiert das vierte Quartal in Folge mit sequenzieller Beschleunigung. Das Non-GAAP-Betriebsergebnis von 325,7 Millionen Dollar entsprach einer Marge von 24 %, ein Anstieg von 530 Basispunkten gegenüber dem Vorjahr. Der Free Cashflow erreichte einen Rekordwert von 468,5 Millionen Dollar bzw. 34 % des Umsatzes, was einen „Rule of 40“-Wert von 59 % ergab – ebenfalls ein Rekord und das vierte Quartal in Folge mit einer Verbesserung dieser Kennzahl. CFO Burt Podbere merkte an, dass die Non-GAAP-Abonnement-Bruttomarge mit 81 % einen Q1-Rekord erreichte, was einem Anstieg von 90 Basispunkten gegenüber dem Vorjahr aufgrund fortgesetzter Cloud-Optimierung entspricht.
Das Unternehmen schloss im Quartal zudem die Übernahmen von SGNL und Seraphic ab, die zusammen 7,8 Millionen Dollar zum Net-New-ARR beitrugen und damit innerhalb der erwarteten 5 bis 8 Millionen Dollar lagen. CrowdStrike kaufte Aktien im Wert von 176 Millionen Dollar zu einem Durchschnittspreis von 365,63 Dollar zurück, womit noch etwa 1,3 Milliarden Dollar im Rahmen der Rückkaufgenehmigung verbleiben.
Prognose deutlich angehoben – doch die Saisonalitätsverschiebung erfordert Aufmerksamkeit
Die Anpassung der Prognose ist der konkreteste Ausdruck der Überzeugung des Managements. CrowdStrike hob die Prognose für das jährliche Net-New-ARR um 52 Millionen Dollar auf einen Mittelwert von 1,291 Milliarden Dollar an, was einem Wachstum von 27,7 % gegenüber dem Vorjahr entspricht – eine Anhebung um 520 Basispunkte gegenüber der vorherigen Prognose. Zudem wird explizit ein beschleunigtes Wachstum des Net-New-ARR für das Geschäftsjahr 2026 prognostiziert. Für das zweite Quartal liegt die Prognose für das Net-New-ARR bei 284 bis 286 Millionen Dollar, was einem Wachstum von 28 % bis 29 % gegenüber dem Vorjahr entspricht. Die Umsatzprognose für das Gesamtjahr liegt bei 5,915 bis 5,959 Milliarden Dollar (23 % bis 24 % Wachstum), bei einem Non-GAAP-Betriebsergebnis von 1,452 bis 1,48 Milliarden Dollar.
Eine Nuance ist die Anpassung der Saisonalität. Das Management erwartet nun, dass 42 % des jährlichen Net-New-ARR in der ersten Jahreshälfte und 58 % in der zweiten Jahreshälfte anfallen. Angesichts der überdurchschnittlichen Leistung im ersten Quartal impliziert dies ein zweites Halbjahr mit höherer Gewichtung, was zwar historischen Mustern entspricht, aber dennoch einen bedeutenden Teil der jährlichen Anhebung erst noch beweisen muss. Burt Podbere erklärte jedoch direkt, dass das Vertrauen auf der Rekord-Pipeline für das zweite Quartal, der starken Modul-Adaption sowie den Brutto- und Netto-Bindungsraten basiere – nicht auf bereits abgeschlossenen Verträgen.
Plattform-Module: SIEM überschreitet 600 Millionen Dollar, Identity-ARR vervierfacht, Endpoint beschleunigt erneut
Neben AIDR wuchsen mehrere Plattformbereiche weiter. Next-Gen SIEM überschritt die Marke von 600 Millionen Dollar beim auslaufenden ARR und hat CrowdStrike, so Kurtz, zum „Betriebssystem des KI-SOC“ transformiert. Charlotte AI, die Reasoning-Engine der Plattform, automatisiert nun die Alarm-Triage, korreliert domänenübergreifende Telemetriedaten und treibt Untersuchungen mit Maschinengeschwindigkeit voran. Im Quartal wurde zudem „AgentWorks“ gestartet, ein Ökosystem aus zweckgebundenen KI-Agenten, die auf Falcon-Daten basieren und in Partnerschaft mit Accenture, AWS, Anthropic, Deloitte, NVIDIA, OpenAI und Salesforce entwickelt wurden.
Das Identity-Geschäft verzeichnete ein beschleunigtes Wachstum beim Net-New-ARR im Vergleich zum vierten Quartal. Das ARR von Falcon Shield wuchs gegenüber dem Vorjahr um fast das Vierfache. Die Übernahme von SGNL, die eine granulare, richtlinienbasierte Autorisierung für agentische Workloads ermöglicht, generiert bereits Stammkunden – Kurtz berichtete von einem CISO auf der RSA, der SGNL bereits bei einem früheren Arbeitgeber eingesetzt hatte und es bei seinem neuen Arbeitgeber sofort wieder implementierte, wobei er anmerkte, dass die Einrichtung einer neuen Identität von zwei Wochen auf zwei Minuten verkürzt wurde. Im Bereich Endpoint setzte sich die Beschleunigung das dritte Quartal in Folge fort, unterstützt durch die Tatsache, dass Gartner CrowdStrike zum siebten Mal in Folge als Leader auszeichnete und das Unternehmen das vierte Jahr in Folge auf beiden Achsen des Magic Quadrant am höchsten bewertete.
Falcon Flex-Konten, die sich der Marke von 2 Milliarden Dollar beim auslaufenden ARR nähern, wuchsen um 99 % gegenüber dem Vorjahr. Der „Reflex“-Effekt – Kunden, die vor ihrem Abonnement-Verlängerungsdatum verlängern und erweitern – entwickelt sich zu einem bedeutenden kommerziellen Signal. Die Anzahl der Reflex-Kunden erreichte 480, was fast 25 % aller Flex-Kunden entspricht. Der durchschnittliche Reflex-Zuwachs lag bei 26 % und erfolgte im Durchschnitt sieben Monate vor dem Vertragsverlängerungsdatum. Mehr als 130 Kunden haben bereits mehrfach „reflexed“, wobei der durchschnittliche ARR-Zuwachs gegenüber dem ursprünglichen Flex-Vertrag bei 51 % liegt.
Inkrementelle Ausgaben, keine Umschichtung – und noch am Anfang
Brian Essex von JPMorgan fragte nach, ob der KI-getriebene Nachfrageschub neue Budgets darstellt oder eine Umschichtung von Alt-Anbietern. Kurtz war eindeutig: „Vor zwei Jahren gab es diese großen Token-Budgets nicht. Plötzlich gibt es sie, die Leute finden das Geld, und es ist inkrementell.“ Er legte die Kausalkette klar dar – die Token-Ausgaben wachsen in atemberaubendem Tempo, und die Sicherheitsausgaben folgen der Steigung dieser Adaptionskurve. Seine Formulierung ist für Investoren, die die Chance bewerten, beachtenswert: „Wenn man KI erschaffen will, braucht man GPUs. Wenn man KI nutzen will, braucht man Sicherheit.“
Gleichzeitig war Kurtz vorsichtig, den aktuellen Stand der KI-Einführung in Unternehmen nicht zu überbewerten. „Wir stehen noch am Anfang“, räumte er ein und merkte an, dass die KI-Adaption in Unternehmen noch nicht unternehmensweit sei – es ähnele den Anfangstagen von EDR, als zuerst eine Abteilung oder eine Region die Technologie einführte. „Sobald es wirklich Mainstream wird und ganze Unternehmen es über alle Mitarbeiter und Workloads hinweg einsetzen, wird man meiner Meinung nach einen weiteren inkrementellen Anstieg der Möglichkeiten sehen.“ Diese abwägende Einschätzung ist ein wichtiger Kontext für Investoren, die zwischen Pipeline-Enthusiasmus und nachhaltiger, mehrjähriger Umsatzkonvertierung unterscheiden wollen.
Neue Einstellungen, Aktiensplit und die KI-Executive Order der US-Regierung
Kurtz gab bekannt, dass Dr. Bartley Richardson, ehemals bei NVIDIA, wo er den Bereich Agentic AI und Cybersecurity AI leitete, als Chief AI and Autonomous Systems Officer in das Führungsteam von CrowdStrike eingetreten ist. Die Einstellung vertieft die Partnerschaft des Unternehmens mit NVIDIA und signalisiert eine bewusste Vertikalisierung von KI-Talenten im Security-Stack.
CrowdStrike kündigte zudem seinen ersten Aktiensplit als börsennotiertes Unternehmen an – einen 4-für-1-Split. Aktionäre, die nach Börsenschluss am 25. Juni 2026 im Register eingetragen sind, erhalten drei zusätzliche Aktien für jede gehaltene Aktie; der split-bereinigte Handel beginnt am 2. Juli 2026. Die Non-GAAP-EPS-Prognose für das zweite Quartal nach dem Split liegt bei etwa 0,29 Dollar bei rund 1,034 Milliarden verwässerten Aktien.
Zur Executive Order der US-Regierung zur Aufrüstung föderaler Systeme für fortgeschrittene KI äußerte sich Kurtz unterstützend, aber abwägend. Er bezeichnete den Ansatz des Weißen Hauses als ausgewogen und merkte an, dass das Mandat „letztlich Rückenwind für Unternehmen wie CrowdStrike erzeugen wird, da diese Bundesbehörden ihre Cyber-Abwehr auf modernere Weise beschleunigen und priorisieren müssen.“ Er verzichtete darauf, kurzfristige Vorteile beim Umsatz mit Bundesbehörden zu quantifizieren, und Podbere bezog keine spekulativen föderalen Aufwärtspotenziale in das Prognosemodell ein.