CyberCompare Marktkommentar #39: Office Klone als Verhandlungshebel, Sicherheit von Passwortmanagern, KI im SOC + Crowdstrike Zahlen

Marktkommentar /

Hallo zusammen,

Unser klares Ziel: Keine Preiserhöhungen von Microsoft mehr akzeptieren. Wir programmieren Office mit KI nach.“

So die recht selbstbewusste Aussage eines Enterprise Architekten auf dem Rethink! Event letzte Woche. Eigenbau ist wohl attraktiver als OpenDesk, LibreOffice o.ä.. Angeblich werden bei seinem Arbeitgeber (einem europäischen Konzern) schon mittels Claude Code SW-Tools repliziert, anstatt die Lizenzen zu verlängern. Und weiter im O-Ton: „Bei rein internem Gebrauch ist der Entwicklungs- und Betriebs-Aufwand viel niedriger, als wenn man die SW extern verkaufen will. Einige der Security-Tools, die ich hier gesehen habe, sind aus meiner Sicht inzwischen unverkäuflich, die kann man einfach nachbauen“.

Also, wem vor dem nächsten Termin mit Microsoft oder Broadcom dräut: Ich stelle gerne den Kontakt zu den Verhandlungs-Profis her. Kann ja echt nicht so schwer sein, einen Hypervisor zu viben. 😉

In der Tat schien allerdings auch mir bei einigen Demovorstellungen der Abstand zu KI-Bastel-Output recht überschaubar. Um Daniel Miessler zu zitieren, viele kleinere Sec-Tools werden wahrscheinlich zu einer API / MCP Interface ohne eigene GUI. Die Zukunft bleibt spannend!

Checkmarx hat auf der gleichen Konferenz eine coole Umfrage unter 1500 Entwicklern u. Security-Verantwortlichen vorgestellt – u.a. kam heraus, dass 80% der befragten SW-Entwickler wissentlich Code mit bekannten Schwachstellen in Produktionsumgebungen laufen lassen. 30% davon in der Hoffnung, dass das niemand auffällt.

Im Vortrag wurde auch darauf hingewiesen, dass laut Baxbench 20-30% des von Opus/GPT generierten Codes zwar logisch richtig, aber unsicher sei. Damit sollte natürlich die Notwendigkeit von AppSec-Tools belegt werden. Alles nachvollziehbar. Aber: Was ist denn eigentlich ein realistischer Zielwert heute, der bei vergleichbaren Maßstäben in einem guten SDLC und Snyk, Veracode, Sonarqube oder ähnlichen Tools erreicht werden kann? Das konnte/wollte mir keiner sagen – falls da jemand Infos hat, gerne.

Noch einige Infos aus einem Vortrag von BMW:

  • 80% der Lieferanten mit Breaches hatten keine TISAX-Zertifizierung
  • Time to Recovery bei Lieferanten mit Zertifizierung war durchschnittlich 3-4 Tage, bei denen ohne ~10 Tage => Zertifikat ist eine notwendige, nicht hinreichende Bedingung. Deshalb werden weiterhin auch Anforderungen gestellt, die über TISAX hinausgehen und auditiert werden
  • Smarter Ansatz: BMW quält Lieferanten nicht nur mit Gap Assessments / Audits, sondern stellt auch bei Vorfällen technische Spezialisten vor Ort. Dabei gleiches Interesse wie Lieferant: Schneller Wiederanlauf
  • Nebenbemerkung zur Security-Orga: BMW hat keinen zentralen CISO, sondern separate Verantwortlichkeiten für IS, IT-Sec, OT-Sec, Lieferantensecurity (letzteres beim Einkauf angesiedelt)

Die ETH Zürich hat einige Passwortmanager darauf untersucht, ob der Hersteller trotz E2EE Claim wirklich nicht auf gespeicherte Kundenschlüssel zugreifen kann (z.B. im Fall einer Kompromittierung der Server oder im Rahmen von Insider Threats). Einige Takeaways daraus:

  • Über Angriffe auf den Key Escrow Mechanismus konnten die Vaults von Bitwarden und LastPass vollständig ausgelesen werden. DashLane bietet keinen entsprechenden Recovery-Service an => Sicherer, heißt aber natürlich auch, dass bei Verlust des Master Passwords die Vault verloren ist
  • Hauptangriffsvektor war dabei die Rücksetzung des Master PW von Kunden mittels des (Super-) Admin Public Keys, der seitens Lösung nicht authentifiziert wird und somit durch Angreifer einfach durch einen eigenen Schlüssel ersetzt werden kann
  • Daneben konnte die Rückwärts-Kompatibilität zu älteren Client-Versionen mit schlechten Verschlüsselungsmethoden ausgenutzt werden
  • 1Password hat einen Vorteil im kryptographischen Konzept ggü. Bitwarden, LastPass und Dashlane: Für die Generierung des Vault Kundenschlüssels über den Umweg eines kek (key encryption key) wird neben dem Master Password ein High Entropy Salt genutzt, nicht die triviale Kunden-Emailadresse wie bei den anderen 3 untersuchten Lösungen
  • Die Anbieter haben die gefundenen Probleme wohl inzwischen teilweise behoben

Was können Kunden von SOC Anbietern durch den Einsatz von generativer KI erwarten? DefenseBench zeigt anhand des Splunk Boss of the SOC Datasets den aktuellen Stand beim Einsatz von Agenten als SOC Analysten auf. Der Verlauf der Ein- und Ausgaben von Queries ist echt spannend. Die neuesten Modelle von Anthropic + OpenAI geben in ca. 50% der Fälle die exakt korrekten Antworten (natürlich etwas schneller als die meisten menschlichen MA). Bei den als „falsch“ deklarierten Antworten ist oft nur die Syntax nicht ganz OK, in einigen Fällen (wie der Frage nach dem Prozessor-Typ des Webservers)  enthalten die Antworten z.B. mehr Infos als notwendig. M.E. liegt die tatsächliche Rate der nützlichen Antworten also vermutlich heute schon bei > 80%. Wohlgemerkt, das sind die off-the-shelf Modelle, nicht trainiert auf Security Use Cases. Und der Prompt hat den Agent unter Zeitdruck gesetzt, d.h., explizit nicht auf Genauigkeit optimiert.

Die Ergebnisse decken sich grob mit den Zusammenstellungen von Tests, die z.B. Wiz oder  Cotool regelmäßig veröffentlichen. Bei Cotool werden auch die Kosten pro Aufgabe angegeben (Aufgaben sind z.B. Code Entschleierung, Analyse von PCAPs, Skripten, Binaries oder die Suche nach verdächtiger Kommunikation in Log-Dumps). Bisher gibt es noch keine Korrelation zwischen Ergebnissen und Kosten, da kann man also durch kluge Wahl des Modells echte Arbritrage-Gewinne erzielen, bis der Markt erwachsen wird.

Fazit für mich: Wer das nicht konsequent im SOC nutzt, verliert massiv an Wettbewerbsfähigkeit. Neben den bisherigen Schlagzeilen zu Analyse / Enrichment und enormen Fortschritten bei Dark Web Recherchen sehe ich Threat Hunting zukünftig als Agent Aufgabe: Viel gründlicher, als es heute de facto durch menschliches Personal allein geleistet werden kann. Unterhalb der Schwellwerte von Detection Engines passiert immer mehr: Ca. die Hälfte aller Schwachstellen werden inzwischen vor oder binnen 24 Stunden nach Veröffentlichung ausgenutzt => Wir müssen also mit einer Zunahme der erfolgreichen Kompromittierungen rechnen. Vielleicht werden wir auch bald neue Preisbrecher am Markt sehen, die die Überwachungs-Qualität von heute zu deutlich geringeren Kosten anbieten. Das wäre nicht nur für KMU bezahlbar, sondern auch für einige Organisationen mit erhöhten Anforderungen als zusätzliche Abwehrschicht.

Zu guter Letzt einige News aus dem Jahresabschluss von Crowdstrike:

  • Starkes Jahr, Umsatz +22% auf 4,8 Mrd. USD. Davon ~600 Mio. Umsatz mit SIEM. Auftragseingang über AWS liegt schon bei rund 1,5 Mrd. USD, also fast ein Drittel. Jetzt kommen auch noch Azure Marketplace Consumption Commitments dazu.
  • Aufgrund weiterhin hoher Ausgaben für Marketing + Vertrieb (38%) und R&D (29% v. Umsatz) steht unter dem Strich ein Verlust – aber die Firma ist natürlich Cash Flow positiv.
  • Flex kommt als Vertragsart gut bei Kunden an => Sollten sich auch andere Anbieter an- und vielleicht abschauen. Für die Souveränitäts-Freaks unter uns gibt es CS bald auch auf StackIT

Notable M&A + Funding News:

  • 125 Mio. USD für „Kai“, das neue Startup von den Claroty + SecurityMatters Mitgründern. Ziel: Übergreifende Orchestrierung aller Tools, die Verteidigern zur Verfügung stehen. Mit, man ahnt es schon, KI-Agenten
  • Jeweils 120 Mio. für XBOW (Automatisiertes Pentesting) und Oasis (NHI Mgmt., inkl. KI Agenten)
  • 60 Mio. gibt es für Gambit, um mittels KI ein Mapping der IT Infrastruktur, Security Tools und Backup-/Recovery Lösungen zu erstellen und darüber Lücken zu finden
  • Back to on prem EDR: Palo Alto Gründer Nir Zuk sammelt zusammen mit einem der SentinelOne Gründer (Udi Shamir) 45 Mio für Cylake ein, um moderne Security minus the Cloud zu entwickeln. Wir sind gespannt!
  • OpenAI kauft Promptfoo (AI Sec Testing)

Anbietergespräche:

telent (Update):

  • Spezialist für Netzwerk- und Prozessleittechnik (ca. 550 MA, davon ca. 150 im Service, gehören zwischenzeitlich zur Zech Gruppe), ich habe mir natürlich besonders die OT Security Abteilung angeschaut (vormals Koramis, d.h., seit ~10 Jahren in dem Segment tätig)
  • Beratung, Pen Tests, Systemimplementierung (z.B. Segmentierung mittels Cisco oder Fortigate, Umsetzung von FortiEDR auf Windows XP, FortiSIEM, Inventarisierung mittels Tenable OT, Rhebo NIDS, Fernzugriff), physische Sicherheit (u.a. mittels Kamera-Überwachung, Schaltschranksensorik) und OT SOC inkl. Schwachstellenmanagement
  • SOC: 24/7 über Rufbereitschaft außerhalb Bürozeiten. Bisher seitens Kunde keine Eingriffe durch SOC Analysten gewünscht, nur Alarmierung. Auch Erfahrung im Zusammenspiel mit parallelem IT MSOC
  • > 100 Kunden, besonders natürlich KRITIS wie Verteilnetzbetreiber oder Schienenverkehr
  • U.a. auch eine eigenentwickelte Datenschleuse für USB-Sticks

Digit Solutions:

  • Deutscher MSPP, ca. 200 MA, Standorte auch in Österreich, VAE und Südafrika
  • SOC entweder deutschsprachig oder englisch aus Dubai
  • Ca. 15 SOC Kunden, z.B. Stadtwerke Osnabrück
  • FortiSIEM, Crowdstrike, Vectra, Hornet, Halcyon als bevorzugter Tool-Stack
  • Dazu noch Firewalling, Schwachstellen-Mgmt., PAM, Darknet Research als Managed Services
  • Code Blue als IR Partner

Teleport:

  • US Scaleup für Just in Time Zugriffe („Ephemeral Authorization“, auch für NHI) optimiert für Cloud-Umgebungen, also grob verortet bei PAM
  • Interessante Geschichte: War mal ein MSSP, von ehemaligen Rackspace-Leuten gegründet
  • Inzwischen ~600 Kunden, u.a. Tesla, IBM, Bloomberg, Nasdaq, Databricks. Wohl auch einige Banken in der EU
  • Eigene CA => Gibt kurzlebige Zertifikate für einzelne Sessions aus, mit denen getunnelte Zugriffe erfolgen. Ende der Session = Ablauf Zertifikatsgültigkeit
  • Kann entweder andere IdP (Entra/Okta) als Golden Records nutzen, oder ein getrenntes ID-Verzeichnis anlegen (z.B. für Entwicklungsteams)
  • Darstellung von Access Graphs ähnlich Cyberdesk möglich
  • Suchen nach Channel Partnern im DACH Raum, bei Interesse gerne melden

Proliance:

  • Kennen einige evtl. noch unter dem alten Namen Datenschutzexperte.de
  • Bieten seit einiger Zeit ISB as a Service und Beratung zu Zertifizierungen für ISO27001 oder NIS2, dazu eine eigenentwickelte ISMS-SW
  • Klarer Fokus KMU (ca. 2.500 Kunden), ca. 80 MA => Für einfache Anforderungen eine gute Alternative

Wie immer gilt: Fragen, Anregungen, Kommentare, Erfahrungsberichte, Themenwünsche und auch gegenläufige Meinungen oder Richtigstellungen gerne per Email. Dito für Abmeldungen vom Verteiler.

Für die Leute, die den Marktkommentar zum ersten Mal weitergeleitet bekommen haben: Hier kann man sich bei Interesse anmelden oder im Archiv langfristig konservierte Beiträge lesen (alle noch topaktuell natürlich).

Viele Grüße

Jannis Stemmann

Sind Sie bereit, Ihr Security Sourcing auf die nächste Stufe zu bringen?

CyberCompare ist Ihr unabhängiger Partner, um IT-, OT- und IoT-Sicherheit einfacher, klarer und erschwinglicher zu machen.

Mit unserem etablierten Cybersecurity-Ökosystem erreichen Sie Cybersecurity-Exzellenz und erhöhen Ihre Widerstandsfähigkeit: Mit uns sparen Sie Zeit und Geld, ohne den Fokus zu verlieren.

Jetzt anfragen

Jetzt anfragen

Associations and industry collaboration

Nach oben scrollen