CrowdStrike: Het "Mythos-moment" herschrijft het groeiverhaal van cybersecurity — AIDR kan groter worden dan EDR
Q1 FY2027 Earnings Call, 3 juni 2026 — Record-ARR, jaarverwachting met 520 basispunten verhoogd, 4-voor-1 aandelensplitsing aangekondigd
CrowdStrike presenteerde zijn meest ingrijpende kwartaalcijfers in jaren, niet alleen omdat de resultaten de verwachtingen overtroffen, maar vooral omdat CEO George Kurtz een geloofwaardig betoog hield dat het bedrijf op een structureel kantelpunt staat dat alles sinds de begindagen van EDR in de schaduw kan stellen. De twee belangrijkste ontwikkelingen — een nieuwe AI-native beveiligingscategorie genaamd AIDR die in de eerste volledige kwartalen sequentieel met 250% groeide, en een verhoging van de jaarverwachting voor de netto nieuwe ARR met 520 basispunten — wijzen op een fundamentele verschuiving in de vraag vanuit het bedrijfsleven, die verder gaat dan een louter cyclische opleving.
AIDR: Het belangrijkste nieuwe product dat CrowdStrike ooit heeft gelanceerd
De belangrijkste conclusie uit deze call is de introductie van AIDR (AI Detection and Response) door CrowdStrike, en de stelling van Kurtz dat dit uiteindelijk een grotere markt kan worden dan EDR. Dat is een buitengewone claim van een bedrijf dat de EDR-categorie in feite heeft uitgevonden en daarop een business met 5 miljard dollar aan ARR heeft gebouwd. De logica is echter gebaseerd op rekenkunde in plaats van op aspiraties. Uit sectorgegevens blijkt dat bedrijven gemiddeld 90 AI-agents per werknemer zullen inzetten. Elk van die agents draait op een endpoint, voert tool-calls uit, benadert bestanden, roept API's aan en verplaatst data op procesniveau. Zoals Kurtz uitlegde: "Om AI-dreigingen in real-time te detecteren en erop te reageren, heb je een runtime-sensor nodig op de plek waar AI wordt uitgevoerd — en dat is Falcon."
Het structurele voordeel is evident. Concurrenten kunnen AI-zichtbaarheid bieden op de applicatie- of API-laag, maar alleen een sensor op de runtime-laag kan dreigingen detecteren, blokkeren en bestrijden daar waar AI daadwerkelijk wordt uitgevoerd. CrowdStrike bezit die 'real estate' al dankzij zijn bestaande EDR-installatiebasis. De eind-ARR van AIDR groeide sequentieel met meer dan 250% en de pijplijn voor het tweede kwartaal overschrijdt nu al de $50 miljoen. Kurtz merkte op dat dit cijfer in minder dan twee kwartalen van nul naar dit niveau steeg en voegde eraan toe: "In mijn hele carrière heb ik adoptie nog nooit zo snel zien gaan." Met een wereldwijde AI-uitgave die naar verwachting de $2,5 biljoen zal overschrijden en slechts een klein percentage organisaties dat beschikt over een geavanceerde AI-beveiligingsstrategie, vertegenwoordigt de kloof tussen AI-implementatie en AI-beveiliging, in de woorden van Kurtz, "de grootste asymmetrie in beveiliging sinds de overstap naar de cloud, en het gaat alleen maar sneller."
Het Mythos-kantelpunt: Toen de Frontier AI-labs als eerste CrowdStrike belden
De katalysator voor de vraag die ten grondslag ligt aan de verhoogde verwachtingen heeft een naam: het Mythos-moment. In april bracht Anthropic een nieuw frontier-model uit met directe relevantie voor cybersecurity — specifiek het vermogen om meerdere kwetsbaarheden te ketenen om wat Kurtz "dodelijke cyberaanvallen" noemde, te construeren. CrowdStrike was vanaf het begin betrokken via Project Glasswing, een coalitie van toonaangevende bedrijven die is samengesteld om marktgereedheid te garanderen. Kort daarna lanceerde OpenAI GPT-5.5-Cyber, intern bekend als Daybreak, en selecteerde CrowdStrike als stichtend lid van zijn Trusted Access for Cyber-programma. CrowdStrike is het enige cybersecuritybedrijf dat door zowel Anthropic als OpenAI is geselecteerd voor hun respectievelijke introductieprogramma's.
Het praktische gevolg was een golf van vraag die Kurtz als ongekend omschreef. "De duizenden interacties die we met klanten hebben gehad tijdens Mythos-briefings en onze Project QuiltWorks zijn ongelooflijk geweest," zei hij. QuiltWorks is de coalitie van CrowdStrike — waaronder nu Accenture, EY, IBM, Kroll, Cognizant, Infosys, Wipro, TCS, NTT Data, KPMG en HCL Tech aan de dienstverlenende kant, en Coalition, Liberty Mutual, Lockton, Resilience en Marsh aan de verzekeringskant — die is ontworpen om bedrijven te mobiliseren via een gefaseerd proces van het ontdekken van kwetsbaarheden, prioritering, herstel en communicatie op bestuursniveau. Eén samenwerking tussen EY en een Fortune 100-klant bracht meer dan 45 miljoen kwetsbaarheden aan het licht met behulp van Falcon Exposure Management en frontier-modellen, wat tegelijkertijd de adoptie van next-gen SIEM binnen hetzelfde account versnelde.
Kurtz was helder over wat er op strategisch niveau is veranderd: "Voor het eerst in mijn carrière is de blik van de markt op de rol van cybersecurity verschoven van risk management, compliance en bescherming naar erkenning als strategische versneller en kritieke enabler van AI-adoptie." CEO's, zo merkte hij op, belden hun CISO's in het weekend met de vraag of de Mythos-dreiging reëel was. De directiekamer is op een manier bij het gesprek betrokken die historisch ongekend is in cybersecurity.
De cijfers: Records op elke belangrijke metriek
Tegen die achtergrond waren de financiële resultaten van het eerste kwartaal onmiskenbaar sterk. De netto nieuwe ARR kwam uit op $255,8 miljoen, een stijging van 32% op jaarbasis en boven de bovenkant van de verwachtingen. De eind-ARR bereikte $5,51 miljard, een versnelling naar meer dan 24% groei. De totale omzet van $1,39 miljard groeide met 26% op jaarbasis, het vierde opeenvolgende kwartaal van sequentiële versnelling. Het non-GAAP bedrijfsresultaat van $325,7 miljoen vertegenwoordigde een marge van 24%, een stijging van 530 basispunten op jaarbasis. De vrije kasstroom bereikte een record van $468,5 miljoen, oftewel 34% van de omzet, wat leidde tot een 'Rule of 40'-score van 59% — eveneens een record en het vierde opeenvolgende kwartaal van verbetering op die metriek. CFO Burt Podbere merkte op dat de non-GAAP abonnementsbrutomarge een Q1-record van 81% bereikte, een stijging van 90 basispunten op jaarbasis door voortdurende cloudoptimalisatie.
Het bedrijf rondde in het kwartaal ook de overnames van SGNL en Seraphic af, wat in totaal $7,8 miljoen aan netto nieuwe ARR toevoegde, binnen de verwachte bandbreedte van $5 miljoen tot $8 miljoen. CrowdStrike kocht voor $176 miljoen aan eigen aandelen in tegen een gemiddelde prijs van $365,63, waardoor er nog ongeveer $1,3 miljard beschikbaar is onder het inkoopprogramma.
Verwachtingen fors verhoogd — maar de verschuiving in seizoensinvloeden vereist aandacht
De herziening van de verwachtingen is de meest concrete uiting van het vertrouwen van het management. CrowdStrike verhoogde de jaarverwachting voor de netto nieuwe ARR met $52 miljoen naar een middelpunt van $1,291 miljard, wat neerkomt op een groei van 27,7% op jaarbasis — een stijging van 520 basispunten ten opzichte van de eerdere prognose — en geeft expliciet aan dat de groei van de netto nieuwe ARR in FY2026 zal versnellen. Voor het tweede kwartaal ligt de verwachting voor de netto nieuwe ARR op $284 miljoen tot $286 miljoen, wat wijst op een groei van 28% tot 29% op jaarbasis. De omzetverwachting voor het hele jaar ligt op $5,915 miljard tot $5,959 miljard, een groei van 23% tot 24%, met een non-GAAP bedrijfsresultaat van $1,452 miljard tot $1,48 miljard.
Een nuance die het vermelden waard is, is de herziening van de seizoensinvloeden. Het management verwacht nu dat 42% van de netto nieuwe ARR voor het hele jaar in de eerste helft zal vallen en 58% in de tweede helft. Gezien de sterke prestaties in het eerste kwartaal impliceert dit een profiel dat in de tweede helft zwaarder weegt, wat consistent is met historische patronen, maar nog steeds een aanzienlijk deel van de jaarlijkse verhoging laat waarvoor het bewijs nog moet worden geleverd. Burt Podbere was duidelijk in zijn uitleg dat het vertrouwen voortkomt uit de recordpijplijn voor het tweede kwartaal, de sterke adoptie van modules en de bruto- en nettoretentiepercentages — niet uit deals die al gesloten zijn.
Platformmodules: SIEM overschrijdt $600 miljoen, Identity-ARR verviervoudigd, Endpoint versnelt opnieuw
Naast AIDR bleven verschillende platformonderdelen schalen. Next-gen SIEM overschreed de $600 miljoen aan eind-ARR en heeft, in de woorden van Kurtz, CrowdStrike getransformeerd tot "het besturingssysteem van de AI SOC." Charlotte AI, de 'reasoning engine' van het platform, automatiseert nu de triage van waarschuwingen, correleert telemetrie over verschillende domeinen en voert onderzoeken uit op machinesnelheid. In het kwartaal werd ook AgentWorks gelanceerd, een ecosysteem van speciaal gebouwde AI-agents op basis van Falcon-data in samenwerking met Accenture, AWS, Anthropic, Deloitte, NVIDIA, OpenAI en Salesforce.
De identity-tak zag de groei van de netto nieuwe ARR voor next-gen identity versnellen ten opzichte van het vierde kwartaal. Falcon Shield-ARR groeide bijna 4x op jaarbasis. De overname van SGNL, dat granulaire autorisatie op basis van beleid levert voor agent-gebaseerde workloads, genereert al terugkerende klanten — Kurtz vertelde over een ontmoeting met een CISO op RSA die SGNL bij een vorig bedrijf had ingezet en direct overging tot implementatie bij zijn nieuwe werkgever, waarbij hij opmerkte dat het opzetten van een nieuwe identiteit van twee weken naar twee minuten was gegaan. Bij endpoint hield de versnelling voor het derde kwartaal op rij aan, ondersteund door het feit dat Gartner CrowdStrike voor het zevende jaar op rij als leider benoemde en het voor het vierde opeenvolgende jaar het hoogst rangschikte op beide assen van het Magic Quadrant.
Falcon Flex-accounts, die bijna $2 miljard aan eind-ARR naderen, groeiden met 99% op jaarbasis. Het "Reflex"-mechanisme — klanten die hun abonnement vernieuwen en uitbreiden vóór de officiële verloopdatum — wordt een betekenisvol commercieel signaal. Het aantal Reflex-klanten bereikte 480, wat bijna 25% van alle Flex-klanten vertegenwoordigt. De gemiddelde Reflex-stijging was 26%, gemiddeld zeven maanden vóór de contractverlengingsdatum. Meer dan 130 klanten hebben meerdere keren 'ge-Reflexed', met een gemiddelde ARR-stijging ten opzichte van het oorspronkelijke Flex-contract van 51%.
Incrementele uitgaven, geen herallocatie — en nog steeds in de beginfase
Brian Essex van JPMorgan vroeg of de door AI aangedreven vraagstijging staat voor een netto nieuw budget of voor een herallocatie van budgetten bij legacy-leveranciers. Kurtz was onomwonden: "Twee jaar geleden waren er geen grote token-budgetten. Opeens zijn die er wel, mensen vinden het geld en het is incrementeel." Hij legde het oorzakelijk verband duidelijk uit — de uitgaven aan tokens groeien in een verbazingwekkend tempo en de uitgaven aan beveiliging volgen de helling van die adoptiecurve. Zijn formulering is het herhalen waard voor beleggers die de kans inschatten: "Als je AI wilt creëren, heb je GPU's nodig. Als je AI wilt gebruiken, heb je beveiliging nodig."
Tegelijkertijd was Kurtz voorzichtig om niet te overdrijven waar bedrijven momenteel staan in hun AI-implementatietraject. "We zitten nog in de beginfase," erkende hij, waarbij hij opmerkte dat de adoptie van AI binnen bedrijven nog niet bedrijfsbreed is — het lijkt op de begindagen van EDR, waar een divisie of regio als eerste adopteerde. "Zodra het echt mainstream wordt en hele bedrijven het bij al hun werknemers en workloads inzetten, denk ik dat je weer een incrementele toename in kansen zult zien." Dat genuanceerde kader is belangrijke context voor beleggers die het verschil proberen te maken tussen enthousiasme in de pijplijn en duurzame, meerjarige omzetconversie.
Nieuwe aanwinsten, aandelensplitsing en het AI-besluit van de Amerikaanse overheid
Kurtz kondigde aan dat Dr. Bartley Richardson, voorheen werkzaam bij NVIDIA waar hij leiding gaf aan Agentic AI en cybersecurity-AI, is toegetreden tot het leiderschapsteam van CrowdStrike als Chief AI and Autonomous Systems Officer. De aanstelling versterkt de samenwerking met NVIDIA en wijst op een doelbewuste verticalisering van AI-talent binnen de security-stack.
CrowdStrike kondigde ook zijn eerste aandelensplitsing ooit aan als beursgenoteerd bedrijf — een 4-voor-1 splitsing. Aandeelhouders die na het sluiten van de markt op 25 juni 2026 geregistreerd staan, ontvangen drie extra aandelen voor elk aandeel dat zij bezitten, waarbij de handel op basis van de gesplitste koers op 2 juli 2026 begint. De non-GAAP winst per aandeel (EPS) voor het tweede kwartaal na de splitsing wordt geschat op ongeveer $0,29 op circa 1,034 miljard verwaterde aandelen.
Over het besluit van de Amerikaanse overheid om federale systemen te upgraden voor geavanceerde AI was Kurtz ondersteunend maar gematigd. Hij noemde de aanpak van het Witte Huis gebalanceerd en merkte op dat het mandaat "uiteindelijk een rugwind zal creëren voor bedrijven als CrowdStrike, omdat deze federale overheden hun cyberverdediging op een modernere manier moeten versnellen en prioriteren." Hij deed geen uitspraken over de kwantificering van eventuele voordelen voor de federale omzet op korte termijn, en Podbere heeft geen speculatieve federale winsten in de verwachtingen opgenomen.