CyberCompare Marktkommentar #31: Mailfilter im Praxistest, SIEM Magic Quadrant und Crowdstrike Strategie

Marktkommentar /

Hallo zusammen,

das Wichtigste zuerst: OpenAI und Nvidia haben gerade eine großangelegte Partnerschaft mit CyberCompare veröffentlicht. Zusammen investieren wir in 2 GPUs, die 2035 installiert werden.

Sam und Jensen leihen uns das Geld dafür und erhalten im Gegenzug 198% des Unternehmens in Form von Optionsscheinen.

Außerdem wird Sydney Sweeney unsere neue Werbebotschafterin, damit mal etwas Schwung in den hiesigen Security-Markt kommt. Läuft 😉.

Deutlich seriösere Berichterstattung kommt zum Glück von At-Bay. At-Bay ist ein US-israelischer Anbieter eines „Rundum-Sorglos“-Konzepts aus Cyberversicherung, MDR, IR und präventiver Beratung.

Der Ansatz macht jede Menge Sinn und trifft offenkundig einen Nerv: In knapp 10 Jahren wurden schon > 35.000 Unternehmen als Kunden überzeugt, insb. KMU.

In einem Erfahrungsbericht wurden jetzt ein paar Insights geteilt und auch Email-Security-Lösungen bewertet:

  • Mimecast und Proofpoint haben als Emailfilter bessere Ergebnisse (~30% niedrigere Schadensquoten) als der Durchschnitt geliefert
  • Kunden mit M365 oder Exchange hatten ein 3mal so hohes Risiko von Emailbasierten Sicherheitsvorfällen (Phishing, BEC, sonstiger Betrug) wie Nutzer von Google Workspace
  • Durch Optimierung der DNS MX Record Konfiguration hätten ~7% der Schadenfälle vermieden werden können, da so die Email Gateways teilweise umgangen wurden

Langfristig ist alles ein Toaster. Toaster waren vor ~100 Jahren mal Hightech-Gadgets, die sich nur Reiche leisten konnten. Heute ist selbst bei mir Zuhause einer zu finden, dem technischen Fortschritt und Skaleneffekten sei Dank.

Cisco hilft jetzt dabei, OT Security erschwinglicher zu machen: Die OT NIDS Lösung (Cyber Vision) enthält ab sofort ohne Aufpreis auch die Fernzugriffslösung. Und auf den Switches der „Rugged Series“ sind OT NIDS und Secure Remote Access gleich mitinbegriffen, zumindest für ein paar Endpunkte. Dazu passt, dass der Nozomi Gründer Edgard Capdevielle anlässlich des Verkaufs an Mitsubishi verlauten ließ, dass (a) Nozomi erst seit 2024 einen positiven Free Cash Flow erwirtschaftet hat, und (b) der einzige profitable Anbieter in der OT Sec Branche wäre. Ob Letzteres so stimmt, kann ich nicht beurteilen, einige Anbieter veröffentlichen keine Zahlen speziell für das OT Sec Segment. Es würde aber zu meinem Eindruck passen, dass die Preise nur eine Richtung kennen… und zwar gen Süden, nicht nur im Winter.

Crowdstrike hat auf der Investorkonferenz einige bemerkenswerte Punkte erwähnt:

  • Neuer Fokus auf mittelgroße Unternehmen (ab 250 MA) und den öffentlichen Sektor, nachdem ca. 40% der Großkonzerne bereits Kunden sind
  • CS wird zur Bank: ~230 Mio. USD Kreditvolumen zur Vorfinanzierung für Kunden bereitgestellt. Das funktioniert , weil die Free Cash Flow Marge bei ~30% liegt
  • „Flex“ als Vertragsmodell kommt gut an – dabei schließen Kunden ein Commitment an Kosten über die Vertragslaufzeit. Innerhalb dieses Commitments to Consume können die Kunden dann flexibel die Module abrufen, die z.B. noch innerhalb der Vertragslaufzeit entwickelt werden (ähnliche Modelle gibt es ja z.B. bei Microsoft oder AWS). Das erleichtert den Einkaufsprozess.
  • Agentic AI ist der große Wachstumstreiber, mit dem in einem geschätzten TAM von 300 Mrd. USD 2030 10 Mrd. für CS drin sein sollten. Dabei geht es um den Schutz von und vor KI Agenten, und natürlich um die weitere Automatisierung von SecOps.

Es gibt einen neuen Magic Quadrant für SIEMs – rechts oben sind Splunk, Microsoft und Google

  • Dazu haben es noch Exabeam, Securonix und Gurucul (aus Indien, aufgestiegen seit dem letzten MQ, spielt in der EU noch keine Rolle) in die Leader-Box geschafft
  • IBM ist komplett raus, dafür sind jetzt Palo Alto und Crowdstrike drin, ähnlich positioniert wie Fortinet. Wichtig für Ausschreibungen bei DORA regulierten Banken/Versicherungen. Hier muss ggü. der Aufsichtsbehörde nachgewiesen werden, dass ein SIEM eingesetzt wird. Und die BAFIN ist wohl Gartner-Abonnent
  • M.E. deckt sich die Darstellung mit dem Trend, den wir in Ausschreibungen sehen.Große Kunden wollen zunehmend lieber 1 Plattform für EDR/XDR/SIEM/SOAR statt Best of Breed
  • Anton Chuvakin (Google Chronicle/SecOps, früher Analyst bei Gartner) weist darauf hin, dass die Positionierung im MQ fast nie etwas damit zu tun hat, wieviel der Anbieter an Gartner überweist. Und auch nichts mit technischen Fähigkeiten, sondern nur mit der Marktdurchdringung.
  • Wer generell an der Aussagekraft von Hype Cycle, Magic Quadrant oder sonstigen Analystenbericht zweifelt, der kann sich bei Gartner’s Grift Is About To Unravel in seiner Meinung bestätigt fühlen („Boomer C-Suites who fancy themselves Enterprise Tech executives were happy buying off the Gartner catalog and then hitting the golf course… Meanwhile, Gartner’s home page is just an incessant amount of increasingly irrelevant “Gartner Says”). Persönlich bin ich immer noch beeindruckt davon, was Gideon Gartner aus einer kleinen Beratung für IBM Kaufentscheidungen aufgebaut hat

Sicher beobachten alle mit Interesse, wie sich KI praktisch für Security Use Cases einsetzen lässt.

Ein weiteres cooles Paper dazu kommt von Crowdstrike + Meta (das erste Mal, dass ich die Kombi lese):

  • Erst wurden Malware Samples in der Falcon Sandbox ausgeführt (u.a. EDR/AV Killer, Ransomware, Infostealer)
  • Dann wurden die JSON Logs in das KI Modell gespeist
  • Anschließend wurden ~600 Multiple Choice Fragen zur Analyse gestellt (z.B. „Was sollte der nächste Schritt sein, um von IP Adresse XY zu bestimmen, ob sie von Angreifern genutzt wird?“)
  • Die besten Modelle (Claude Sonnet, Llama4) haben in ungefähr 25% der Fälle die Fragen richtig beantwortet. Auf den ersten Blick niedrig, aber wie wäre der Quervergleich mit menschlichen Analysten ausgefallen? Die Ergebnisse sind ungefähr 10x so gut wie bei zufälligem Raten. Und die Modelle waren ja noch nicht mal auf Security Use Cases trainiert, sondern die Standard LLMs. Persönlich wäre ich wahrscheinlich in bester FDP Manier an der 5% Hürde gescheitert
  • Ähnliche Tests wurden auch daraufhin durchgeführt, Threat Intelligence Berichte auszuwerten. Wie zu erwarten, waren die Ergebnisse hier noch besser (40-50% für alle getesteten Modelle), da die wesentlichen Infos schon alle im CTI Text stecken.
  • Alle Testdaten sind öffentlich verfügbar, um weitere Benchmarks zu erlauben
  • Microsoft bietet ebenfalls eine Testumgebung für KI Modelle mit Sentinel Logdaten und Incidents an (ExCyTIn-Bench). Wenn ich das richtig verstanden habe, sind die veröffentlichten Modell-Benchmarks aber mit Vorsicht zu genießen: Bei der Generierung von Fragen und richtigen Antworten wurde GPT benutzt (und keine menschlichen Analysten). Das macht es zumindest etwas verdächtig, dass GPT auch beim Benchmark vorne liegt.

M&A Corner:

  • Jamf (Apple MDM) wird durch Francisco Partners (PE) für 2,2 Mrd. USD gekauft
  • VEEAM kauft Securiti (DSPM/DLP) für rund 1,7 Mrd USD
  • Dataminr (Threat Intelligence / Kriseninformationen) kauft den CTI Wettbewerber ThreatConnect für ~300 Mio. US$
  • Imprivata (Healthcare Security) kauft Verasint (ITDR)
  • Panther (SIEM) kauft Datable (Pipeline Mgmt.)

Notizen aus Anbietergesprächen

Mitigant.IO:

  • Deutsches Startup für Cloud Security: Und zwar nicht nur CSPM und KSPM, sondern im Kern eine Angriffsemulation (also gleiches Spielfeld wie Picus, Safebreach, AttackIQ, XMCyber, SentinelOne, Pentera, Hadrian, Horizon3…)
  • ~5 Kunden, u.a. auch einen DORA-regulierten Leasinganbieter
  • Nutzt die Konfigurationsdaten der Cloudumgebungen (abgegriffen über API, d.h., keine Agenteninstallation), um Angriffe zu testen
  • Dabei Fokus auf Fehlkonfigurationen, die mittels API Calls ausgenutzt werden (nicht auf PoC Exploit Code von CVEs in Anwendungen oder OS)
  • Änderungen lasen sich natürlich über Rollback rückgängig machen
  • Decken geschätzt schon 80% von MITRE ATT&CK Cloud Matrix und MITRE ATLAS ab
  • Roadmap: Integration in gängige EDR/SIEM (für Regelerstellung) und CI/CD Pipelines (für DevSecOps), Tests in digitalem Zwilling statt der Produktivumgebung
  • Haben auch schon (Vertriebs-)Partnerschaften mit Genua und Secunet geschlossen => Für die Kunden, die gerne mit größeren Playern arbeiten. Insgesamt Hut ab, sehr cool!

Moabi (Update):

  • Kleiner, aber feiner französischer Anbieter von Product Security Lösungen – hochaktuell natürlich aufgrund CRA
  • Moabi war einer der ersten Anbieter für die Source Code Composition Analyse von Binaries im IIoT Umfeld, d.h., auch von Embedded Steuergeräten. Wettbewerber z.B. Cybellum, Black Duck oder OneKey
  • Ca. 10 Unternehmenskunden, u.a. Airbus, MBDA, Thales, Renault, Forvia
  • Besonderheit: Auch ohne vorhandenem Source Code ist durch Reverse Engineering die Erstellung der SBOM, Schwachstellenerkennung und Auflistung notwendiger Lizenzen möglich
  • Dabei werden unterschiedliche OS (inkl. RTOS), Prozessorarchitekturen (z.B. Motorola 68xyz), Sprachen und Dateiformate berücksichtigt, um unsicheren Code zu identifizieren (theoretisch auch 0-Days) und die Ausnutzbarkeit von Schwachstellen zu validieren
  • Neben SaaS und private Cloud ist auch on prem und airgapped Betrieb (mit offline bereitgestellten Updates, speziell für Aerospace&Defense) möglich. Damit ist sichergestellt, dass der eigene Code oder Infos zu vorhandenen Schwachstellen in den eigenen Steuergeräten/Sensoren o.ä. nicht geteilt wird
  • Automatisierte Risikoanalysen gem. ISO 27005 für einzelne Dateien sind auch enthalten
  • Lizenzierung anhand Festpreise, also unabhängig von Anzahl Scans, User oder Entwicklungsprojekte
  • Könnten eine Verstärkung des Vertriebsteams gebrauchen. Wer hätte gedacht, dass ich sowas jemals sage 😉

Revel8:

  • Awareness-Startup spezialisiert auf KI-gestützte Cyberangriffe (gibt es noch andere?) aus Deutschland, ähnlich Adaptive
  • Knapp 100 Unternehmenskunden, ca. 25 MA
  • Playlist von Deepfake-Angriffsszenarien individuell für jedes Unternehmen und für jeden MA, z.B. Videoanruf zu Lohnabrechnung, Helpdesk, Änderung Bankverbindung
  • Deckt auch Kanäle wie WhatsApp und LinkedIn ab
  • Ruhig mal ausprobieren: In der Demo wurde ich von einem Bosch GF angerufen, der mich davon überzeigen wollte, eine Rechnung an einen SW-Anbieter zu überweisen.
  • Bei Kunden können dann nicht nur öffentliche Videos etc. zu Trainingszwecken genutzt, sondern dedizierte Aufnahmen verwendet werden, damit die Sprache noch natürlicher wirkt (und nicht leicht gestelzt wie in den meisten öffentlichen Auftritten)
  • Gründer kommen alle von Celonis

Anbei auch mein aktueller Bildschirmhintergrund, der mir aus unerfindlichen Gründen von KollegInnen eingerichtet wurde, nachdem sie meinen Aktientipps gefolgt sind. Eventuell ja passend für Besserwisser im eigenen Bekanntenkreis.

Wie immer gilt: Fragen, Anregungen, Kommentare, Erfahrungsberichte, Themenwünsche und auch gegenläufige Meinungen oder Richtigstellungen gerne per Email. Dito für Abmeldungen vom Verteiler.

Für die Leute, die den Marktkommentar zum ersten Mal weitergeleitet bekommen haben: Hier kann man sich bei Interesse anmelden oder die Unveränderbarkeit des Archivs testen.

Viele Grüße

Jannis Stemmann

Sind Sie bereit, Ihr Security Sourcing auf die nächste Stufe zu bringen?

CyberCompare ist Ihr unabhängiger Partner, um IT-, OT- und IoT-Sicherheit einfacher, klarer und erschwinglicher zu machen.

Mit unserem etablierten Cybersecurity-Ökosystem erreichen Sie Cybersecurity-Exzellenz und erhöhen Ihre Widerstandsfähigkeit: Mit uns sparen Sie Zeit und Geld, ohne den Fokus zu verlieren.

Jetzt anfragen

Jetzt anfragen

Associations and industry collaboration

Nach oben scrollen