VergleichSelf-Serve vs. Enterprise

Self-Serve, bis es nicht mehr reicht.
Dann Enterprise.

Lucairns Self-Serve-Tarife (Developer und Pro) liefern dasselbe Protokoll wie Enterprise — gleiche Ed25519-Signatur, gleicher Rekor-Anchor, gleiches Beleg-Schema. Was sich unterscheidet, ist alles um das Protokoll herum: wo es deployt wird, wer die Schlüssel hält, ob das PII-Modell generisch oder auf Ihre Daten trainiert ist und was der Vertrag sagt, wenn ein Prüfer fragt. Diese Seite ist die Linie zwischen beiden Pfaden.

TL;DR

Self-Serve passt, wenn Sie unter Audit shippen, das Audit aber generisch ist. Enterprise passt, wenn einer dieser Punkte zutrifft: kundenseitige Witness-Schlüssel sind nicht verhandelbar, Sie brauchen Air-Gapped- oder Sovereign-Deployment, Ihre Daten haben branchenspezifische Identifier, die ein generischer PII-Shield übersieht, Sie brauchen NIS-2-Framework-Support, mehr als ein Entwickler braucht Zugriff oder Ihr Procurement-Team braucht einen maßgeschneiderten AVV. Enterprise bekommt einen kunden-trainierten PII-Shield (preislich nach Scope), einen Self-hosted Runtime und einen dedizierten Solutions Architect — kein anderes Protokoll.

Vergleich ansehen Preisübersicht
01Drei Tarife, ein Protokoll

Gleiches Protokoll.
Andere Oberfläche.

Jeder Tarif erzeugt identische Belege — gleiche Ed25519-Signatur, gleicher Sigstore-Rekor-Anchor. Was sich unterscheidet, ist alles um das Protokoll herum: wo es deployt wird, wer die Schlüssel hält, ob der PII-Shield generisch oder auf Ihre Daten trainiert ist, und was Ihr AVV sagt.

Tarif 01

Developer (Kostenlos)

Self-Service-Anmeldung. 500 Belege / Monat, BYOK zu Ihrem LLM-Anbieter, On-Gateway-Pseudonymisierung bevor Ihr LLM die Anfrage sieht, öffentlicher Rekor-Anchor. 30-Tage-Retention. Einzelner Entwickler; Community-Support.

Passt für Evaluation, Nebenprojekte und Engineering-Observability. Reicht nicht für regulierungs-konforme Produktion.

Tarif 02

Pro (Warteliste)

50.000 Belege / Monat, Audit-Log-Export, Lucairn Certificates, P7Y-Retention. Gleicher Ed25519- + Sigstore-Rekor-Stack wie Enterprise. SaaS-Form: Lucairn betreibt den Runtime; On-Gateway-Pseudonymisierung bevor Ihr LLM die Anfrage sieht; Witness-Schlüssel sind Lucairn-verwaltet.

Passt für Solo-Entwickler und Berater, die unter Audit shippen, wenn EU-Region-SaaS für Ihr Procurement akzeptabel ist.

Tarif 03 · Enterprise

Enterprise

Self-hosted Gateway, Bridge und Witness in Ihrer Umgebung — keine rohen Identitätsdaten verlassen Ihre Umgebung. Kundenseitige Witness-Schlüssel (BYO HSM). Kunden-trainierter PII-Shield auf Ihrem de-identifizierten Domänen-Korpus, preislich nach Scope. Air-Gapped-Rekor-Mirror-Option. Maßgeschneiderte Sanitizer-Regeln, Custom-Entity-Typen, dedizierter Solutions Architect. Lizenzierung pro aktiver Workflow-Vertikale; Custom Features mit zusätzlichem Scope verfügbar.

Passt, wenn Procurement, Regulator oder Branchendaten kundenseitige kryptografische Aussagen, Sovereign-Deployment oder branchenspezifische PII-Erkennung erzwingen.

02Vergleich

Fünfzehn Kriterien,
drei Tarife.

Die Kriterien unten sind die, auf die Procurement-, Security- und Compliance-Teams tatsächlich drängen. Die Enterprise-Spalte ist ehrlich darüber, was sie hinzufügt, nicht nur „mehr vom Gleichen“.

Fähigkeit
Developer
Pro
Enterprise
Belege / Monat
500
50.000
Unbegrenzt
Beleg-Retention
P30D
P7Y
Pro Deployment konfigurierbar
Öffentliches Rekor-Anchoring
Ja
Ja
Ja
Air-Gapped-Rekor-Mirror
Privater Mirror
Witness-Schlüssel-Verwahrung
Lucairn-verwaltet
Lucairn-verwaltet
Kundenseitig · BYO HSM
Deployment-Form
EU-Region-SaaS
EU-Region-SaaS
On-prem · VPC · Sovereign · Air-Gapped
PII-Shield-Modell
Standard (On-Gateway-Pseudonymisierung)
Standard (On-Gateway-Pseudonymisierung)
Kunden-trainiert auf Ihrem Domänen-Korpus
Custom-Entity-Typen (NHS_NUMBER usw.)
Per Support anfragen
Im Assessment hinzugefügt
Sanitizer-Regelwerk
Standardregeln
Standardregeln
Maßgeschneidert · pro Deployment getunt
Compliance-Trace-Steuerung
Im Dashboard ansehen
Ansehen + exportieren
Ansehen + exportieren + eigene Steuerung
NIS-2-Framework-Support
Nur Enterprise
Vier-Augen-Prinzip für Re-Linkage-Governance (DSGVO-Auskunft / Betrug / Beschlagnahmung)
✓ Zwei-Genehmiger-Workflow
Workspace-Größe
1 Entwickler
1 Entwickler
Unbegrenzt · SCIM/SSO
Procurement-Security-Pack (SIG / CAIQ)
Auf Anfrage
Inklusive
Solutions Architect / Quartalsreview
Dediziert
Preismodell
Kostenlos
Pauschal pro Workspace
Lizenz pro Vertikale · Custom Features extra
03Nur Enterprise

Zehn Fähigkeiten,
die Pro nicht hat.

Das sind keine „mehr Belege“ oder „längere Retention“ — das sind quantitative Unterschiede in der Vergleichstabelle oben. Das sind kategorisch andere Deliverables, die mit der Enterprise-Engagement-Motion kommen.

Kunden-trainierter PII-Shield

Das Level-3-PII-Shield-Modell, fine-tuned auf Ihrem de-identifizierten Domänen-Korpus — medizinische Aktennummern, interne Account-Formate, Fall-Klassifikationen, branchenspezifische Identifier, die ein generischer Matcher übersieht. Das Training läuft in Ihrer Umgebung auf dedizierter GPU; Trainingsdaten verlassen Ihre Umgebung nie. Preislich nach Scope als Teil der Enterprise-Engagement.

Custom Presidio-Entity-Typen

Erweitert die Standard-PII-Erkenner (PERSON, IBAN, PHONE) mit branchenspezifischen Entity-Typen: NHS_NUMBER, MEDICAL_RECORD_NUMBER, SWIFT_CODE, INTERNAL_CASE_ID, BUNDESBANK_LEI. Im Assessment basierend auf Ihrer realen Datenform definiert.

Maßgeschneiderte Sanitizer-Regeln

Deployment-skopierte Konfiguration, pro Workflow getunt: welche Entity-Typen geblockt, pseudonymisiert oder mit k-Anonymität-Generalisierung weitergegeben werden. Unterschiedliche Regelsätze pro Workflow werden unterstützt (z. B. klinische Notizen vs. Schadenbearbeitung).

Self-hosted Runtime

Lucairn deployt in Ihrer Umgebung — On-prem, VPC, Sovereign Cloud (Bundescloud, OVHcloud, T-Systems) oder vollständig air-gapped. Helm-Umbrella-Chart mit Subcharts. Kundenseitig betrieben; Lucairn liefert die Architektur-Spezifikation, das Deployment-Manifest und das Quartalsreview. Keine rohen Identitätsdaten verlassen Ihre Umgebung.

Kundenseitige Witness-Schlüssel (BYO HSM)

Der Witness-Schlüssel — der einzige Schlüssel, der gültige Belege erzeugt — wird in Ihrem HSM (YubiHSM, AWS CloudHSM, Azure Dedicated HSM, beliebige PKCS#11) erzeugt und verlässt es nie. Lucairn kann keine gültige Signatur gegen Ihren veröffentlichten Witness-Public-Key produzieren. Selbst eine Runtime-Kompromittierung kann keine Belege fälschen.

Air-Gapped-Rekor-Mirror

Für Deployments, die nicht im öffentlichen Sigstore Rekor verankert werden können (Sovereign Cloud, klassifizierte Workloads, Air-Gap), unterstützt Lucairn das Betreiben einer internen Rekor-Instanz. Trade-off: Prüfer verifizieren gegen Ihr Log statt das öffentliche. Die meisten regulierten Kunden betreiben beides: öffentliches Log für externe Prüfer, interner Mirror für Offline-Procurement-Reviews.

NIS-2-Framework-Support

Aktuell nur Enterprise. Das NIS-2-Evidenz-Pack-Template benötigt einen privaten Rekor-Mirror (per Art. 24 European-Certification-Scoping) und kundenseitige Witness-Schlüssel (per Art. 21 Risikomanagement) — beides Enterprise-Fähigkeiten. Self-Serve-Tarife können in ihrem compliance_trace keine NIS-2-Kontrollen beanspruchen.

Maßgeschneiderte Compliance-Anhänge

Kunden-spezifischer AVV, Sub-Verarbeiter-Manifest, Exit-Bedingungen, Frist für Vorfall-Meldung und beliebige Framework-Anhänge, die Ihr Legal-Team verlangt. Pro liefert mit einem Standard-AVV; Enterprise verhandelt.

Lizenzierung pro Vertikale

Enterprise wird nach aktiver Workflow-Vertikale lizenziert — ITSM, HR/HRSD, GRC, Customer Service und Ihre branchenspezifischen Workflows. Eine Vertikale ist die Basis; jede zusätzliche Vertikale wird additiv auf die Lizenz aufgeschlagen. Erlaubt Ihnen, mit dem wichtigsten Workflow zu starten und zu expandieren, ohne den gesamten Vertrag neu zu verhandeln.

Solutions Architect + Quartalsreview

Benannter technischer Kontakt erreichbar zu Geschäftszeiten. Quartalsreview von Beleg-Ketten-Integrität, Anchor-Gesundheit, Sanitizer-Performance und kommenden Framework-Änderungen (DORA-Vollzug, EU-AI-Act-Hochrisiko-Klassifikation usw.).

04Wo die Linie verläuft

Drei Signale,
drei Antworten.

Wenn wir „immer Enterprise“ sagen würden, wäre das Verkaufen. Die ehrliche Sicht: Die meisten Teams sollten den leichtesten Tarif wählen, den ihr Audit, Procurement und ihre Datenform akzeptieren. Hier ist die Linie.

Bleiben Sie auf Pro, wenn…
  • Volumen liegt komfortabel unter 50.000 Belegen / Monat
  • Einzelner Entwickler; keine Anforderung an Team-Mitglied-Zugriff
  • Generische PII-Kategorien decken Ihre Daten ab (PERSON, EMAIL, IBAN, PHONE)
  • EU-Region-SaaS ist für Procurement akzeptabel
  • Standard-AVV ist für Ihr Legal-Team akzeptabel
  • EU-AI-Act- und DSGVO-Scope (nicht NIS 2)
Auf Enterprise wechseln, wenn…
  • Branchenspezifische Identifier (interne IDs, Klassifikationsmarken, Freitext-Quasi-Identifikatoren) erfordern einen kunden-trainierten PII-Shield
  • Mehr als ein Entwickler braucht Workspace-Zugriff
  • Ihr Prüfer drängt auf kundenseitige Witness-Schlüssel
  • DORA Art. 28 Sub-Outsourcing-Prüfung steht Ihnen bevor
  • NIS-2-Evidenz ist erforderlich
  • Procurement verlangt ein Security-Pack (SIG, CAIQ)
  • Sie brauchen einen maßgeschneiderten AVV / Sub-Verarbeiter-Manifest
Enterprise vom ersten Tag an, wenn…
  • Sovereign- oder Air-Gapped-Deployment ist nicht verhandelbar
  • BYO HSM ist eine Procurement-Anforderung
  • BSI-IT-Grundschutz-Scope oder gleichwertige nationale Baseline
  • Kunden-kontrollierter Rekor-Mirror erforderlich
  • Kritische-Infrastruktur-NIS-2-Entity
  • Procurement verlangt eine schriftliche Zusicherung, dass keine rohen Identitätsdaten Ihre Umgebung verlassen
05Häufige Fragen

Self-Serve vs. Enterprise — Fragen,
beantwortet.

Können wir auf Pro starten und später auf Enterprise upgraden?

Ja — das ist der häufigste Pfad. Belege, die Sie auf Pro signiert haben, bleiben für immer verifizierbar (die Sigstore-Rekor-Inklusionsbeweise sind unabhängig von Ihrem Abonnement). Beim Wechsel auf Enterprise integriert sich Ihre bestehende Beleg-Kette in den neuen Self-hosted Runtime; neue Belege nutzen Ihren kundenseitigen Witness-Schlüssel. Prüfer verifizieren beide über denselben Public-Key-Verifikationspfad.

Trainiert Enterprise wirklich einen kunden-spezifischen PII-Shield auf unseren Daten?

Ja, optional, und das Training verlässt Ihre Umgebung nie. Der Level-3-PII-Shield wird auf de-identifizierten gelabelten Beispielen, die Sie bereitstellen, fine-tuned; das Fine-Tuning läuft in Ihrer Zone auf dedizierter GPU. Lucairn liefert die Trainings-Pipeline, die Labelling-Guidelines und das Evaluation-Harness; Ihre Daten und die resultierenden Modell-Gewichte bleiben bei Ihnen. Der kunden-trainierte PII-Shield ist ein Enterprise-Add-on, preislich nach Scope; Developer und Pro nutzen immer die Standard-On-Gateway-Pseudonymisierung.

Was ist der Unterschied zwischen Custom Training und maßgeschneidertem Sanitizer-Regelsatz?

Der Regelsatz ist Konfiguration; das kunden-trainierte Modell sind Gewichte. Der maßgeschneiderte Regelsatz ist eine YAML-Konfiguration, die entscheidet, welche Entity-Typen geblockt / pseudonymisiert / generalisiert werden — kein Modell-Retraining nötig. Das kunden-trainierte Modell ist ein Fine-Tune des Level-3-PII-Shields auf Ihrem Domänen-Korpus — es erkennt Identifier, für die Regeln keine Muster definieren können (kontextabhängige PII, Freitext-Identifier in klinischen Notizen, transaktionale Details, die Kunden quasi-identifizieren). Die meisten Enterprise-Deployments nutzen beides; beides ist Enterprise-only.

Was passiert, wenn Pro unseren Use-Case tatsächlich abdeckt?

Bleiben Sie auf Pro. Wir drängen Enterprise nicht auf Teams, die es nicht brauchen — der operative Aufwand eines Self-hosted Deployments ist real, und „Enterprise als Overkill“ ist für beide Seiten ein schlechteres Ergebnis. Pro ist ein vollständiges Produkt, kein abgespecktes Enterprise. Die Linie verläuft dort, wo einer der Punkte aus der mittleren Spalte oben nicht verhandelbar wird, nicht früher.

Was deckt die Enterprise-Assessment-Gebühr ab?

Zwei bis vier Wochen abgegrenzte Arbeit: PII-Expositions-Analyse auf Ihren echten Daten, Architektur-Eignungs-Memo, Deployment-Form-Empfehlung, Custom-Entity-Definition, Sanitizer-Regelsatz-Entwurf, Pilot-Scope und Erfolgskriterien. Die Gebühr ist fix und wird auf Ihre Jahreslizenz angerechnet, wenn Sie zum Piloten übergehen. Wenn nicht, behalten Sie die Deliverables — der Expositionsbericht allein ist oft die Gebühr wert.

Können wir Self-hosted haben, aber das Custom Training überspringen?

Ja — nicht jedes Enterprise-Deployment nutzt den kunden-trainierten PII-Shield. Self-hosted + kundenseitige Witness-Schlüssel + maßgeschneiderter Regelsatz ist eine vollständige Enterprise-Konfiguration; das kunden-trainierte Modell ist optional, je nachdem ob Ihre Daten es rechtfertigen. Viele Finanz-Deployments nutzen nur das Standardmodell mit Custom-Entity-Typen und einem eng getunten Regelsatz. Das Assessment zeigt, ob sich das Custom-Training auszahlt.

Wie funktioniert die Enterprise-Lizenzierung?

Enterprise wird pro aktiver Workflow-Vertikale lizenziert — ITSM, HR/HRSD, GRC, Customer Service und beliebige branchenspezifische Workflows. Die Basislizenz deckt eine Vertikale; jede zusätzliche Vertikale wird additiv aufgeschlagen. Custom Features außerhalb des Standardprodukts (maßgeschneiderte Integrationen, dedizierte Workflows, framework-spezifische Anpassungen, kunden-trainierte PII-Shields) werden im Assessment separat skopiert und als Engagement-Arbeit abgerechnet. Konkrete Preise werden in scope-spezifischen Procurement-Gesprächen genannt, nicht auf der Marketing-Seite.

06Loslegen

Vom Assessment
in die Produktion.

Lassen Sie das Self-Service-Assessment gegen Ihren KI-Workflow laufen und sehen Sie, ob Self-Serve es abdeckt oder die Linie zu Enterprise verläuft. 15 Minuten. Ergebnis geht an Ihren DSB.

Assessment starten Vertrieb kontaktieren