ServiceNow hat die größte Übernahme seiner Unternehmensgeschichte abgeschlossen. Für $7,75 Milliarden in bar übernimmt der Workflow-Gigant den Cybersecurity-Spezialisten Armis — und signalisiert damit: Die Grenze zwischen IT-Management und Cybersecurity löst sich auf. Für Anleger stellt sich die Frage, ob der Deal den richtigen Preis hat und was er für den gesamten Sektor bedeutet.
Der Deal im Überblick
Am 20. April 2026 gab ServiceNow (NYSE: NOW) den Abschluss der Armis-Übernahme bekannt. Armis, 2015 in Israel gegründet, hat sich auf Cyber-Exposure-Management spezialisiert und trackt in Echtzeit knapp 7 Milliarden vernetzte Geräte — von klassischer IT über OT und IoT bis hin zu Medizintechnik, physischer KI und Cloud-Infrastruktur.
Der Kaufpreis von $7,75 Milliarden wurde vollständig in bar finanziert, durch eine Kombination aus Cash-Reserven und Fremdkapital. Tidal Partners fungierte als Lead Financial Advisor, unterstützt von J.P. Morgan und Barclays.
Die Übernahme baut auf ServiceNows Veza-Akquisition vom März 2026 auf, die KI-native Identity-Intelligence in die Plattform brachte. Zusammen sollen Armis und Veza den adressierbaren Markt (TAM) für ServiceNows Security- und Risk-Lösungen mehr als verdreifachen.
Warum Armis? Die strategische Logik
ServiceNows Kernargument ist architektonisch: Traditionelle Security-Tools erkennen Risiken, können sie aber nicht beheben. Und die Tools, die Risiken beheben, sehen nicht das vollständige Bild. Diese Lücke zwischen Erkennung und Reaktion wächst exponentiell — besonders im Zeitalter agentenbasierter KI.
Armis schließt die Visibility-Lücke. Das Unternehmen bietet non-invasive Discovery über alle Asset-Typen hinweg und wird bereits von 9 der Fortune-10 sowie über 35 Prozent der Fortune-100 eingesetzt. Viele dieser Unternehmen sind gleichzeitig ServiceNow-Kunden — die Integration war also keine Frage des «Ob», sondern des «Wann».
Mit Veza (Identity-Intelligence) und Armis (Asset-Intelligence) speist ServiceNow nun zwei kritische Datenströme in seine «Context Engine» ein. Das Ergebnis: automatisierte Risikopriorisierung, autonome Remediation und ein vollständiger Audit-Trail für jede Aktion. ServiceNow lanciert zusätzlich ein «AI Center for Cyber Defense» — ein globaler Hub für die nächste Generation autonomer Cyber-Abwehr.
Die Zahlen hinter dem Deal
ServiceNows Security- und Risk-Geschäft überschritt bereits in Q3 2025 die Marke von $1 Milliarde Annual Contract Value (ACV). Das Unternehmen meldete zudem sein größtes OT-Quartal aller Zeiten in Q4 2025. Der organische Wachstumspfad war also bereits vor Armis intakt.
Im gerade veröffentlichten Q1 2026 lieferte ServiceNow solide Ergebnisse:
- Umsatz: $3,77 Milliarden (+22% YoY)
- Subscription Revenue Guidance: 21-21,5% Wachstum (währungsbereinigt)
- EPS: $0,97 (non-GAAP, inline mit Konsens)
Dennoch brach die NOW-Aktie am 23. April um 17,7% ein — der größte Tagesverlust in der Unternehmensgeschichte. Der Auslöser: Eine Bruttomarge-Guidance von 81,5% lag unter den erwarteten 82,1%, und das Management verwies auf Deal-Verzögerungen im Zusammenhang mit geopolitischen Spannungen. Raymond James senkte das Kursziel von $160 auf $130, Citizens JMP von $260 auf deutlich niedrigere Niveaus.
Bei einem Kurs von $84,78 (Schlusskurs 23. April) und einer Marktkapitalisierung von rund $108 Milliarden handelt die Aktie mittlerweile 60% unter ihrem 52-Wochen-Hoch von $211,48.
Konsolidierungswelle: Wer kauft als nächstes?
Die Armis-Übernahme ist kein Einzelfall, sondern Teil einer Branchenkonsolidierung historischen Ausmaßes:
- Palo Alto Networks schloss am 14. April 2026 die Koi-Akquisition ab, um Agentic-Endpoint-Security zu stärken — ein direkter Reflex auf die wachsende Angriffsfläche durch KI-Coding-Agents und Frontier-Modelle
- Momentum Cyber meldete für Q1 2026 Cybersecurity-Finanzierungen von $3,8 Milliarden — ein Plus von 33% gegenüber dem Vorjahr
- Check Point tätigte Ende 2025 gleich drei Übernahmen in schneller Folge
- TekStream übernahm am 21. April das Cybersecurity-Geschäft von ImagineX
Das Muster ist eindeutig: Plattform-Anbieter kaufen spezialisierte Security-Capabilities zu, um End-to-End-Stacks aufzubauen. Die Ära der Best-of-Breed-Einzellösungen weicht einer Plattform-Ökonomie, in der Integration trumpft.
Was bedeutet der Preis für Cybersecurity-Bewertungen?
$7,75 Milliarden für Armis — das ist ein Premium-Preis. Armis wurde zuletzt privat bei rund $7 Milliarden bewertet. ServiceNow zahlte also nur einen moderaten Aufschlag, was darauf hindeutet, dass die Verhandlungen eher strategisch als kompetitiv verliefen.
Zum Vergleich: Googles Wiz-Übernahme für $32 Milliarden und Ciscos Splunk-Deal für $28 Milliarden setzten 2024/2025 die Benchmark für Mega-Deals im Cybersecurity-Bereich. Armis liegt eine Preiskategorie darunter, bietet aber einen einzigartigen Asset: Echtzeit-Visibility über 7 Milliarden Geräte, die kein anderer Anbieter in dieser Breite abdeckt.
Für den breiteren Cybersecurity-Sektor signalisiert der Deal, dass Bewertungen für spezialisierte Security-Plattformen hoch bleiben — vorausgesetzt, sie lösen ein klar definiertes Problem für Enterprise-Kunden.
Implikationen für Anleger
ServiceNow (NOW): Der 17,7%-Einbruch nach soliden Q1-Zahlen zeigt, wie nervös der Markt bei SaaS-Bewertungen geworden ist. Die leicht schwächere Margen-Guidance und geopolitische Deal-Verzögerungen reichten, um die Aktie auf Niveaus zurückzuwerfen, die seit Mitte 2024 nicht mehr gesehen wurden. Für langfristige Investoren könnte das ein attraktiver Einstiegspunkt sein — sofern man an die These glaubt, dass ServiceNow mit Armis und Veza zur dominanten Security-Plattform wird.
Palo Alto Networks (PANW): Bleibt der direkte Wettbewerber im Plattform-Kampf. Die Koi-Übernahme zeigt, dass auch PANW den Agentic-AI-Vektor ernst nimmt.
CrowdStrike (CRWD): Als Pure-Play-Security-Anbieter steht CrowdStrike vor der Frage, ob organisches Wachstum reicht oder ob eine transformative Akquisition nötig wird, um mit den Plattform-Builds von ServiceNow und Palo Alto mitzuhalten.
Cybersecurity-ETFs: Die Konsolidierungswelle stützt die These, dass der Sektor langfristig von strukturellen Treibern profitiert — Fachkräftemangel, KI-Wettrüsten, explodierende Angriffsflächen. ETFs wie der L&G Cyber Security UCITS oder der First Trust NASDAQ Cybersecurity bieten breiten Zugang.
Fazit: Integration als neue Verteidigungslinie
Die Armis-Übernahme ist mehr als ein M&A-Deal. Sie markiert den Übergang von fragmentierten Security-Silos zu integrierten Plattformen, die Visibility, Identity und Remediation aus einem Guss liefern. ServiceNow positioniert sich damit als «AI Control Tower» nicht nur für Business-Workflows, sondern für die gesamte Cyber-Abwehr.
Ob der Markt diese Vision belohnt, hängt von der Execution ab. Die Integrations-Roadmap, die Margen-Entwicklung nach der Übernahme und die Fähigkeit, Cross-Selling zwischen Armis- und ServiceNow-Kunden zu realisieren, werden die entscheidenden Metriken der nächsten Quartale sein.
Eines ist sicher: Im Cybersecurity-Markt 2026 gewinnt nicht der beste Einzelspieler — sondern die beste Plattform.
Quellen: ServiceNow/BusinessWire (20.04.2026), Momentum Cyber Q1 2026 Market Review, Palo Alto Networks PR (14.04.2026), Motley Fool (23.04.2026), MarketBeat (23.04.2026)
Ticker: NOW, PANW, CRWD | Tags: M&A, Cybersecurity, Plattform-Konsolidierung
Investmentansatz
Vom Research zur Allokation
Der Cybersecurity Leaders Fonds investiert gezielt in ausgewählte Unternehmen aus Cybersecurity und digitaler Infrastruktur. Die Analysen auf dieser Seite beleuchten Trends, Geschäftsmodelle und Marktverschiebungen, die für langfristige Investmententscheidungen in diesem Sektor relevant sein können. Investmentansatz ansehen →
Keine Anlageberatung. Inhalte dienen der Information und Einordnung.
