CyberCompare Marktkommentar #44: Egal, wieviel KI – am Ende zählt, dass jemand die Verantwortung für Ergebnisse übernimmt

Marktkommentar /

Hallo zusammen,

an wen sollten CISOs berichten? An CEO, CFO, CIO, CRO oder direkt an die LinkedIn Fanboys?

Im DACH Raum scheint noch das tradierte Modell mit dem CIO als Vorgesetzten zu überwiegen. Bei DoorDash ist das Security-Team dagegen Teil der Rechtsabteilung, nach Aussage des CISOs eine gute Lösung – vermutlich, weil der Umgang mit Kundendaten und Compliance (z.B. Zahlungsabwicklung) im Vordergrund steht. Ausnahmetatbestand? Oder Vorbote eines üblicher werdenden Modells, nämlich vornehmlich vertraglich festgelegter Security-Ergebnisse?

Dazu passt die Schlagzeile der FT: „McKinsey is under pressure from clients to tie its fees to outcomes achieved”. Kunden stellen nach einem Blick in den Chatbot den Mehrwert von Berater-Ratschlägen in Frage. Und den zeitlichen Aufwand, der für die Erarbeitung dieser Ratschläge sowie von ansehnlichen PowerPoint-Folien veranschlagt wird. Ehrlicherweise ist das eine Entwicklung, die schon vor geraumer Zeit eingesetzt hat. Konzernriegen sind voll mit Alumni von McK, Bain oder BCG, die in ihren neuen Rollen die Proposal-Letter ihrer Ex-KollegInnen kritisch beäugen.

Nachvollziehbar messbare Leistungen wie konkrete Implementierungen statt generischer Strategien nerven Seniorpartner, die sich die goldenen Zeiten zurückwünschen. In denen man als Trusted Advisor des CEOs Handshake-Deals in Millionenhöhe vereinbaren konnte. Ohne Beauty Contests von lästigen Einkäufern. Um Prof. Fink (WGMB) zu zitieren: „Der erfolgsabhängige Teil der Honorare wird immer öfter erst dann fällig, wenn sich der Erfolg auch wirklich eingestellt hat.“ Krass 😉.

Auch erste Software-Hersteller wie Salesforce stellen ihre Bezahlmodelle um – statt Pauschallizenzen pro Nutzer bezahlen Kunden zukünftig pro (agentisch) erledigtem Workflow.

Im Security-Marketing überwiegen allerdings bisher blumige Botschaften: Unser SOC nutzt KI! Wir haben die beste Threat Intelligence! Wir machen regelmäßig Threat Hunting! Bei uns gibt es adaptive Härtung! Unsere XDR Plattform zieht über 35 Module alle Signale zusammen und korreliert in Nanosekunden, um auch identitätsbasierte Angriffe zu erkennen! Das Netzwerk lügt nicht, deshalb NDR! Phishingresistentes MFA! Unser SIEM kommt mit 200 vorkonfigurierten Use Cases out of the box, die alle Angriffspfade abdecken! Wir haben ein BSI C5 Testat! Unser CEO war Gründungsmitglied der Unit 8200!

Ketzerische Frage: Who cares? Am Ende zählt doch für Kunden, dass Schäden durch Cyberangriffe vermieden werden. Umso erstaunlicher, dass das Gros der Werbebotschaften keine Aussagen dazu enthält. Die meisten Claims zu differenzierenden Merkmalen sind gar nicht differenzierend, können durch Kunden kaum geprüft werden und vermeiden jegliche Garantie der Wirksamkeit. Auf gut deutsch: Bitte nicht darauf verlassen, wir übernehmen keine Verantwortung.

Es gibt aber auch rühmliche Ausnahmen. Den Anfang in eine aus meiner Sicht gute Richtung hat (glaube ich) 2016 SentinelOne mit der ersten Breach Warranty gemacht, Crowdstrike hat schnell nachgezogen. Inzwischen bieten ~10 MDR/MSOC Provider (von ~130 im DACH Markt) eine ähnliche Zusage. Rubrik, VEEAM und NetApp und wahrscheinlich ein paar andere bieten Ausgleichszahlungen, falls die Wiederherstellung doch nicht gelingen sollte. Aikido bietet eine Geld-zurück-Garantie, falls bei Pen Tests keine High Severity oder Critical Findings aufgedeckt werden. Einige physische Sicherheitsdienste bieten variable Komponenten in Abhängigkeit davon, ob Audits erfüllt oder Red Teaming Übungen erfolgreich bestanden werden.

Natürlich steckt der Teufel in Details von Terms & Conditions, insb. Ausschlüssen und Obliegenheitspflichten der Kunden. Kein Anbieter will einen Rechtsstreit mit dem Kunden. Und selbstverständlich ist eine Ausgleichszahlung in den bisher üblichen Höhen nur ein Trostpflaster, wenn man in den Trümmern der ehemaligen IT Infrastruktur steht. Aber bei einfallsreicher Ausgestaltung bleibt eine stärkere Verknüpfung der Ziele von Kunden und Anbieter. Im Idealfall sind die Erfolgskriterien die gleichen, die auch der CISO in seiner Bonusvereinbarung hat. So sind die Risiken für Security-Anbieter tragbar und es entsteht eine echte Partnerschaft: Diese setzt nämlich immer eine Interessengemeinschaft voraus.

Hypothese daher: Wir werden einen Trend zu ergebnisbasierter Vergütung sehen, der Forderung nach Garantien in Ausschreibungen und eine engere Kopplung zwischen Cyberversicherungen und Security-Maßnahmen. Aus meiner Sicht eine Riesenchance für alle, die Verantwortung übernehmen wollen und können. Für die breite Masse der Anwenderseite werden technische Details hinter einem Vertrag verschwinden wie ölverschmierte Nockenwellen unter der schicken Kunststoff-Motorraumabdeckung mit Markenlogo. Hauptsache, es läuft.

Dass wir gemeinsam viel zu tun haben, zeigen auch Indikatoren im 2026 Verizon DBIR Bericht:

  • Ausnutzung von Schwachstellen ist jetzt Top 1 Initial Access Vector (31% aller Breaches), weit vor geklauten Passwörtern und Phishing
  • Dazu passt: Anbieter von Firewalls, Fernzugriffslösungen und SD-WAN reagieren als Sofortmaßnahme immer häufiger mit Empfehlungen zu ACL und Konfigurationsanpassungen anstatt mit Patches
  • Das durchschnittliche Security-Team muss im Vergleich zum Vorjahr jetzt jeden Monat 50% mehr kritische Schwachstellen beheben. Nicht überraschend: Die Zeit bis zur Abhilfe steigt. Selbst für das Patchen von KEV werden im Durchschnitt 43 Tage benötigt.
  • Positiv: In weniger als einem Drittel aller Ransomware-Fälle wird noch Lösegeld bezahlt

Wie läuft es eigentlich bei Trend Micro? Ein Blick in die Zahlen zeigt:

  • Ca. 1,5 Mrd. EUR Umsatz, cashflow-positiv und hochprofitabel mit ca. 200 Mio. EUR Gewinn (Zahlen 2025 und 2024 ähnlich, Wachstum war nur ~1%)
  • Von ~7.000 MA arbeiten jeweils ein Drittel in R&D und Sales & Marketing
  • Heimatmarkt Japan macht ca. 25% des Umsatzes aus, der Rest ist über die Kontinente gleichmäßig verteilt. In Europa spielt das Consumer-Business von Trend aber keine Rolle
  • Marktkapitalisierung ~5 Mrd. EUR, Aktienkurs liegt immer noch ca. 70% unter dem Allzeithoch während der Dot.Com-Blase vor 25 Jahren
  • Ein Grund dafür vielleicht: „We are mainly focusing our business in the field of cyber security business based on antivirus software”. Wenn es wenigstens “AI antivirus” wäre.
  • CEO ist aktuell noch Eva Chan, die Schwägerin vom Gründer Steve Chang => Eine Art Familienunternehmen
  • Das OT Security Business wurde vor ein paar Monaten als TXOne abgespalten. Im B2B Umfeld, wo Plattformen gesucht werden, m.E. keine gute Idee

Auch SentinelOne baut trotz starkem Wachstum (> 20%) ca. 8% des Personals von derzeit ca. 3000 MA ab. Im DACH Raum hilft bestimmt nicht, dass der bisher starke Partner SVA jetzt auch auf Crowdstrike setzt.

M&A:

  • ZScaler kauft Symmetry Systems (Zugriffsgraphen auf Basis von Logdaten inkl). Ziel: Zero Trust auch für agentische KI. Die ZScaler Aktie ist an einem Tag um 30% abgeschmiert, der Marktwert damit binnen einen Jahres um 70% gesunken – trotz eigentlich hervorragendem Zahlenwerk. Grund ist der Ausblick: „Nur“ noch ~17% Wachstum. Ein Satz aus dem Q3 Shareholder Letter zur Red Canary Akquisition, der mir in’s Auge gesprungen ist:  „Keep in mind that MDR businesses like Red Canary tend to significantly have higher churn than Zscaler’s core business.“
  • Nextron Systems (CTI und Forensik, kennen evtl. einige über Thor Scanner) wird mehrheitlich vom französischen PE Player Eurazeo übernommen
  • Cyera besorgt sich zu einer 12 Mrd. Bewertung nochmal 600 Mio. USD Funding und kauft damit u.a. Genie (DLP Startup aus Israel, 7 Leute) für ~50 Mio. USD
  • NinjaOne (inzwischen mit ~500 Mio. Umsatz / Jahr, profitabel) erhält weitere 400 Mio. USD
  • Checkpoint kauft Deepchecks (Qualitätssicherung für KI Systeme)
  • Dragos übernimmt Phosphorus (IoT Security)
  • Akamai begibt Wandelanleihen im Wert von ~3 Mrd. USD, um Aktie zurückzukaufen und die Kasse weiter aufzufüllen
  • Socket (Analyse von Open Source Packages) bekommt ~60 Mio. USD neues Funding. Und mit der IBM / Red Hat Initiative „Project Lightwell“ einen Riesenwettbewerber, der ebenfalls eine Clearingstelle für sichere Open Source Software bereitstellen wird.

Anbieterbriefings:

DoIT Solutions:

  • Deutscher MSSP, ca. 30 MA, gehören zur französischen I-TRACING (global aufgestellter MSSP / Cybersec-Beratung mit ~1000 MA). Übrigens nicht zu verwechseln mit der DoIT GmbH
  • Knapp 100 Unternehmenskunden, z.B. Dachser, Heraeus, Fanuc und auch Banking und Defense-Sektor
  • SOAR (intern genutzt) mit allen Kundendaten (jeder Kunde in eigenem Mandant natürlich) in D
  • „SOC-in-a-Box“ Standard auf Basis Sekoia SIEM + CTI, empfohlenes EDR HarfangLab
  • Ansonsten flexibel, betreiben z.B. auch Elastic on prem im RZ des Kunden, Splunk, Sentinel oder alle möglichen EDR/NDR/XDR Lösungen. Corelight+Gatewatcher für OT
  • SOC Analysten sitzen vornehmlich in D (bei 24/7 mit Rufbereitschaft), ansonsten kundenspezifisch auch andere Standorte (z.B. USA, Malaysia, China) für 24/7 Schichtbetrieb möglich
  • Bieten auch Incident Response aus D (Listung beim BSI ist beantragt)
  • Andere Services wie Pen Tests, Product/Application Sec werden ggf. aus der Muttergesellschaft zugekauft

Security Journey:

  • SDLC Trainings für Entwickler (“Secure Coding in the Age of AI”) aus den USA
  • Schon ~400 Unternehmenskunden, auch in der EU / DACH
  • Insbesondere Programmierübungen mit Videoformaten
  • Trainings sind für ~50 Programmiersprachen verfügbar, jeweils mit Fortschrittsmessung entlang von Lernpfaden (z.B. LLM Applikatonen, iOS Developer, Cloud Engineer, PCI Compliance)
  • Gibt auch ein Curriculum speziell für den CRA
  • Integrationen mit den gängigen Lernplattformen

Ticura:

  • „Spotify für Threat Intelligence“ aus D, und zwar vom ehemaligen IBM X-Force Team, das sich 2022 selbständig gemacht hat
  • Sammeln + analysieren > 1300 TI Quellen (Open Source + kommerziell, inkl. Darkweb Montoring) kontinuierlich und stellen diese kundenspezifisch gefiltert (z.B. branchenspezifisch, regional) in einem Stream für gängige XDR-/SIEM-/SOAR-Plattformen (und jetzt auch MCP Server) zur Verfügung
  • Kunden vornehmlich MSSPs, schon 50% in USA
  • Können auch CTI Feeds benchmarken
  • Wer ein SOC betreibt: Ruhig mal anschauen, Feedback welcome

Wie immer gilt: Fragen, Anregungen, Kommentare, Erfahrungsberichte, Themenwünsche und auch gegenläufige Meinungen oder Richtigstellungen gerne per Email. Dito für Abmeldungen vom Verteiler.

Für die Leute, die den Marktkommentar zum ersten Mal weitergeleitet bekommen haben: Hier kann man sich bei Interesse anmelden oder einen DDoS-Angriff auf das Archiv testen. Übrigens: Mit Klick rechts oben auf das Flaggensymbol kann man von der maschinell übersetzten englischen auf die handwerkliche deutsche Originalfassung wechseln.

Viele Grüße Jannis Stemmann

Sind Sie bereit, Ihr Security Sourcing auf die nächste Stufe zu bringen?

CyberCompare ist Ihr unabhängiger Partner, um IT-, OT- und IoT-Sicherheit einfacher, klarer und erschwinglicher zu machen.

Mit unserem etablierten Cybersecurity-Ökosystem erreichen Sie Cybersecurity-Exzellenz und erhöhen Ihre Widerstandsfähigkeit: Mit uns sparen Sie Zeit und Geld, ohne den Fokus zu verlieren.

Jetzt anfragen

Jetzt anfragen

Associations and industry collaboration

Nach oben scrollen