SailPoint IPO 2025: Identity-Security-Pionier kehrt für zweiten Börsengang an die Nasdaq zurück

SailPoint kommt zum zweiten Mal an die Börse, und das ist der ungewöhnlichste Aspekt dieses IPOs. Das Identity-Security-Unternehmen aus Austin, Texas, war bereits von November 2017 bis August 2022 unter dem Ticker SAIL an der New York Stock Exchange gelistet. Im August 2022 übernahm der Private-Equity-Gigant Thoma Bravo das Unternehmen in einer Take-Private-Transaction und nahm es von der Börse. Keine drei Jahre später bringt Thoma Bravo SailPoint mit demselben Ticker, aber diesmal an die Nasdaq Global Select Market zurück an den öffentlichen Markt. Das S-1 wurde am 17. Januar 2025 eingereicht.

Die Kontinuität ist bemerkenswert: Gründer Mark McClain ist seit 2005 CEO und führt das Unternehmen zum zweiten Mal als börsennotierte Gesellschaft. In seinem Letter from the CEO schreibt er offen, wie selten es für einen Founding CEO sei, sein Unternehmen zum zweiten Mal an den öffentlichen Markt einzuführen. Er nutzt den Brief, um bewusst zwischen dem zu unterscheiden, was gleich geblieben ist (Mission, Kultur, Marktführerschaft im Identity-Bereich) und was sich verändert hat (Transformation zur SaaS-Plattform, Erweiterung von reiner Governance zur umfassenden Security-Plattform, AI-Integration).

Inhaltlich hat sich SailPoint zwischen den beiden IPOs massiv gewandelt. Beim ersten Börsengang 2017 war das Unternehmen primär ein Anbieter von Identity Governance Software, meist noch on-premise. Heute ist SailPoint eine SaaS-first-Plattform, deren Umsatzmix 2024 zu 92 Prozent aus wiederkehrenden Abonnementerlösen besteht. Die Gesamt-ARR wuchs von 374,6 Millionen US-Dollar (Januar 2022) auf 813,2 Millionen US-Dollar (Oktober 2024), die reine SaaS-ARR sogar von 166,9 Millionen auf 485,7 Millionen US-Dollar. Die strategische Frage für Anleger: Rechtfertigt dieses Wachstum die aggressive Bewertung, die ein solcher Second-IPO mit sich bringt, und vor allem die noch massivere Schuldenlast, die Thoma Bravo im Rahmen des Take-Private aufgesattelt hat?

An der Spitze steht weiterhin Mark McClain als CEO und Mitgründer. Er hat SailPoint 2005 mitgegründet, durch den ersten IPO 2017 geführt, bleibt während beider Thoma-Bravo-Akquisitionen (2014 und 2022) an Bord und führt das Unternehmen jetzt zum zweiten Börsengang. Diese Kontinuität über fast zwei Jahrzehnte hinweg ist im Enterprise-Software-Sektor außergewöhnlich.

McClain positioniert sich bewusst als Stabilitätsanker in einer transformierten Organisation. Im S-1 betont er, dass das Management-Team in den vergangenen Jahren gezielt durch neue Führungskräfte aus der Branche ergänzt wurde, um die erweiterten Produkt- und Marktanforderungen abzudecken. Die kulturelle Klammer bilden die sogenannten "Four I" Core Values: Integrity, Innovation, Impact und Individuals. SailPoint gibt an, in den vergangenen zwei Jahren rund 95 Prozent der identifizierten Top-Talente gehalten zu haben, was für ein Unternehmen nach einem Ownership-Wechsel ein solider Wert ist.

Nach dem IPO wird SailPoint ein "Controlled Company" nach den Nasdaq-Regeln sein, weil Thoma Bravo weiterhin die Mehrheit der Stimmrechte hält. Dazu wurde ein Director Nomination Agreement abgeschlossen, das Thoma Bravo umfangreiche Rechte bei der Besetzung des Boards einräumt. Solange Thoma Bravo mindestens 40 Prozent der ursprünglichen Beteiligung hält, darf der PE-Investor alle Board-Mitglieder nominieren. Die Governance-Schutzrechte für Minderheitsaktionäre sind damit deutlich eingeschränkt, sowohl bei der Zusammensetzung des Boards als auch bei der Besetzung von Compensation- und Nominating-Committees.

Der Markt für Identity Security hat sich seit SailPoints erstem IPO 2017 komplett gewandelt und ist heute einer der am schnellsten wachsenden Bereiche im Cybersecurity-Sektor. Laut Identity Defined Security Alliance haben 90 Prozent der befragten Organisationen 2023 einen identitätsbezogenen Sicherheitsvorfall erlebt. IBMs Cost of a Data Breach Report beziffert die durchschnittlichen Kosten eines Datenlecks auf rund 5 Millionen US-Dollar. Laut IDSA nennen 73 Prozent der befragten Unternehmen Identity Security als eine der drei wichtigsten Sicherheitsprioritäten, gleichzeitig verfügen laut KuppingerCole nur 40 Prozent über eine umfassende Identity-Security-Strategie. Diese Lücke definiert den adressierbaren Markt.

SailPoint selbst schätzt die Marktchance für 2024 auf rund 55 Milliarden US-Dollar, berechnet aus der Anzahl globaler Unternehmen mit mehr als 100 Mitarbeitern multipliziert mit der durchschnittlichen ARR pro SailPoint-Kunde in der jeweiligen Größenkategorie. Die Methodik ist optimistisch, aber die Richtung stimmt: Die Kombination aus wachsender Zahl von Identitäten (Mitarbeiter, Nicht-Mitarbeiter, Maschinen, AI-Agenten), steigender IT-Komplexität durch Multi-Cloud-Umgebungen und strengeren regulatorischen Anforderungen treibt die Nachfrage systematisch nach oben. Laut IDC wachsen strukturierte und unstrukturierte Unternehmensdaten zwischen 2023 und 2028 mit einer jährlichen Rate von 30 Prozent.

Die Wettbewerbslandschaft ist intensiv. SailPoint konkurriert mit CyberArk (fokussiert auf privilegierte Zugänge), Okta (Workforce und Customer Identity), Microsoft Entra ID (tief in Azure integriert), Oracle Identity Management und IBM Security Verify. Besonders spannend: Thoma Bravo hält neben SailPoint auch Ping Identity im Portfolio, was sowohl Synergien als auch Interessenkonflikte birgt. SailPoints Positionierung zielt auf die umfassendste Plattform für alle Identitätstypen, mit starkem Fokus auf Governance, Data Access und AI-Integration als Differentiatoren.

SailPoints Angebot ist technisch anspruchsvoll und hat sich in den vergangenen Jahren erheblich erweitert:

• •SailPoint Identity Security Cloud: Die SaaS-Variante, gebaut auf der Atlas-Plattform. Deckt Lifecycle Management, Compliance Management, Access Modeling, Analytics und weitere Module ab. Inzwischen die präferierte Option für neue Kunden.
• •IdentityIQ: Die kundengehostete Variante für Organisationen, die eine Cloud-Lösung nicht einsetzen können oder wollen. Bleibt relevant, aber Migrationen zur SaaS-Lösung sind ein wichtiger Wachstumstreiber.
• •Atlas Platform: Die einheitliche technische Basis, 2024 neu aufgesetzt. Mit modularer Architektur, tief integrierten AI- und Machine-Learning-Komponenten sowie der Identity Cube, einem proprietären Datenmodell, das 360-Grad-Sichten auf jede Identität liefert.
• •Identitäts-Abdeckung: SailPoint verwaltet vier Kategorien von Identitäten. Employees (klassische Mitarbeiter), Non-Employees (Berater, Partner, Contractor), Machine Identities (API-Konten, IoT, Application Accounts, Bots) und die neueste Kategorie AI Agents (autonome KI-Systeme).
• •Zusatzmodule: Data Access Security, Access Risk Management, Cloud Infrastructure Entitlement Management (CIEM), Password Management, Privileged Task Automation. Viele davon durch gezielte Akquisitionen wie Whitebox Security, Orkus, SecZetta, Osirium und Double Zero hinzugekommen.
• •Pre-Built Connectors: Integration mit Epic, Microsoft, Oracle, Salesforce, SAP, ServiceNow und Workday out-of-the-box. Die Konnektivität ist ein zentrales Differenzierungsmerkmal.

Die Kundenbasis ist beeindruckend: Rund 2.895 Organisationen nutzen SailPoint, darunter die Hälfte der Fortune 500 und 25 Prozent der Forbes Global 2000. Die Anzahl der Kunden mit mehr als 1 Million US-Dollar ARR wuchs um 67 Prozent im Jahresvergleich. Die Dollar-Based Net Retention Rate lag zum 31. Oktober 2024 bei 114 Prozent, was bedeutet, dass bestehende Kunden ihre Ausgaben bei SailPoint im Schnitt um 14 Prozent pro Jahr steigern.

Die Zahlen zeigen ein Unternehmen mit starkem Wachstum, aber auch mit erheblichen Altlasten aus der Take-Private-Transaktion. Für die ersten neun Monate des Geschäftsjahres 2024 (Ende 31. Oktober 2024) wies SailPoint einen Umsatz von 621,5 Millionen US-Dollar aus. Das GAAP-Nettoergebnis liegt allerdings bei minus 235,7 Millionen US-Dollar. Die GAAP-Operating-Margin liegt bei minus 26 Prozent, während die Adjusted Operating Margin bei plus 14 Prozent liegt. Diese Lücke erklärt sich vor allem durch nicht-cash-wirksame Effekte: 180,7 Millionen US-Dollar Abschreibungen in den neun Monaten sowie 72,2 Millionen US-Dollar equity-based Compensation.

Die wichtigsten Wachstumskennzahlen sprechen für das Geschäftsmodell. Die ARR wuchs vom Januar 2024 bis Oktober 2024 um knapp 20 Prozent auf 813,2 Millionen US-Dollar. Die SaaS-ARR wuchs im selben Zeitraum überproportional stark und erreichte 485,7 Millionen US-Dollar (plus 40 Prozent YoY). Die von SailPoint berechnete Rule-of-44 (ARR-Wachstum plus LTM Adjusted Operating Margin) liegt deutlich über dem klassischen Rule-of-40-Benchmark für gesunde SaaS-Unternehmen. 32 Prozent der Umsätze kommen aus dem Ausland, laut IDC entstehen rund 50 Prozent der weltweiten Cybersecurity-Ausgaben außerhalb der USA, was eine klare geografische Expansionsmöglichkeit markiert.

Die Wachstumsstrategie ruht auf fünf Säulen: Neue Kundengewinnung durch stärkere Sales-Kapazität, Expansion bestehender Kundenbeziehungen durch Up- und Cross-Selling, Ausbau des Partner-Netzwerks (aktuell über eine Million zertifizierte Professionals laut SailPoint), internationale Expansion und kontinuierliche Produktinnovation, insbesondere durch AI-Integration.

Die Schattenseite: Zum 31. Oktober 2024 lag die langfristige Verschuldung bei 1,57 Milliarden US-Dollar, der Barbestand nur bei 68 Millionen US-Dollar. Die Zinsaufwendungen in den ersten neun Monaten 2024 betrugen 140 Millionen US-Dollar, das frisst einen signifikanten Teil der operativen Cashflows. Die Eigenkapitalsituation ist durch die Take-Private-Struktur verzerrt: 5,83 Milliarden US-Dollar an redeemable convertible Units gegen einen negativen Partners Deficit von 754 Millionen US-Dollar. Diese Bilanzstruktur wird durch die Corporate Conversion vor dem IPO normalisiert, die Schulden bleiben aber bestehen. Der IPO soll genau hier Abhilfe schaffen, ein signifikanter Teil der Erlöse wird zur Tilgung des Term Loans verwendet.

SailPoint hat am 17. Januar 2025 sein S-1 bei der SEC eingereicht. Die konkrete Preisspanne und die Aktienzahl waren im ersten Filing noch nicht festgelegt und werden erst in einer späteren Amendment-Fassung veröffentlicht. Vor der Wirksamkeit der Registrierung wird SailPoint Parent, LP durch die sogenannte Corporate Conversion in eine Delaware-Aktiengesellschaft namens SailPoint, Inc. umgewandelt. Das ist eine Standard-Prozedur vor einem IPO von LP-strukturierten Unternehmen.

Als Konsortialführer wurden Morgan Stanley und Goldman Sachs mandatiert, zwei Bulge-Bracket-Banken, die typischerweise bei hochwertigen Tech-IPOs führen. Die Listing-Börse ist die Nasdaq Global Select Market, ein Wechsel weg von der NYSE, wo SailPoint beim ersten IPO 2017 gelistet war. Der Ticker SAIL bleibt derselbe.

Die Mittelverwendung ist klar fokussiert: Ein signifikanter Teil der Nettoerlöse wird für die Rückzahlung der Credit Facilities verwendet. Der Rest geht in allgemeine Unternehmenszwecke. Besonders beachtenswert: Thoma Bravo hält selbst 50 Millionen US-Dollar des SailPoint-Term-Loans. Das heißt, ein Teil der IPO-Erlöse fließt direkt zurück an den Hauptaktionär. Das ist legal und wird offen im S-1 ausgewiesen, zeigt aber die enge Verflechtung zwischen SailPoint und Thoma Bravo auch jenseits der Beteiligung.

Nach dem IPO hält Thoma Bravo weiterhin die Stimmrechtsmehrheit. SailPoint wird entsprechend als Controlled Company unter den Nasdaq-Regeln geführt und kann auf bestimmte Corporate-Governance-Anforderungen verzichten, darunter die Anforderung einer unabhängigen Board-Mehrheit sowie unabhängiger Compensation- und Nominating-Committees. Das Director Nomination Agreement gibt Thoma Bravo zusätzlich umfassende Besetzungsrechte, die mit sinkendem Anteil schrittweise reduziert werden.

Als nicht-Emerging-Growth-Company (SailPoint überschreitet bereits die Umsatzgrenze) unterliegt das Unternehmen den vollen SEC-Berichtspflichten, also quartalsweise 10-Q, jährlich 10-K und 8-K bei wesentlichen Ereignissen. Die Transparenz ist damit höher als bei vielen frischen Tech-IPOs, was ein positiver Faktor für Anleger ist.