CyberCompare Marktkommentar #32: NIS2 Fragezeichen + Hoffnung, KI als weiterer Faktor für die Konsolidierung im MSSP Markt

Marktkommentar /

Hallo zusammen,

wir freuen uns nicht nur über die ersten Weihnachtsfeiern, sondern auch über NIS2. LinkedIn hat die Infosec-Community (bestehend zu min. 75% aus Ragebaitern und erhobenen Zeigefingern) voll am Wickel, die Äußerungen schwanken auf dem Spektrum zwischen

  • „Lange überfällig! Endlich müsst Ihr mal was machen, Ihr widerborstigen Geschäftsführungs-Trottel! #SecurityistChefsache. By the way, wir helfen Euch gerne bei der Umsetzung.“
  • „Das geht noch lange nicht weit genug, voll die Enttäuschung, wo sind die Kommunen und warum wird nicht allen explizit ein Managed SIEM vorgeschrieben?“
  • „Ver… Bürokratie, wer nicht selbst vorsorgt, hat es nicht besser verdient!!! Wir brauchen nicht noch mehr Gesetze, sondern mehr unternehmerische Freiheit!“

Ein paar Eindrücke abseits wilder Diskussionen und Empörungsposts rund um die Verabschiedung:

  • Konkrete Ausgestaltung in vielen wichtigen Punkten nach Jahren immer noch unklar:
  • Am Ende wissen wir alle noch nicht, wie Auditoren die Anforderungen auslegen werden. Beispiel: Was bedeutet Cyberhygiene? Was bedeutet Schwachstellenmanagement?
  • Meldepflichten bei Standorten in mehreren EU-Ländern noch undefiniert bzw. „in der Verantwortung der Unternehmen“
  • Interne IT Dienstleister: Sind da die selben strengen Vorgaben anzulegen, wie bei Anbietern von öffentlichen Cloud- oder Telekom-Diensten? (Meine aktuelle Interpretation: Ja, wenn der IT Dienstleister in einer eigenständigen GmbH ausgegliedert ist, und der Geschäftszweck den RZ Betrieb für andere Unternehmen vorsieht)
  • Ich bin kein Experte für Gesetzgebungsverfahren und maße mir kein Urteil darüber an, ob Vorgaben zu Brandschutz o.ä. in der Vergangenheit handwerklich besser gemacht wurden. Die NIS2 wirkt auf mich aber unnötig verwirrend bei einem so langen Verfahren. Der CRA zeigt ja, dass man zumindest EU-weit einheitliche Cybersecurity-Vorgaben machen kann.
  • Gleichzeitig bemüht sich das BSI darum, die Anforderungen mit FAQ etc. zunehmend zu konkretisieren. Beispiele:
  • Geschäftsleiterschulungen: Konkrete Handreichung durch das BSI vorhanden. Zeitaufwand 1h (wichtige) bzw. 4h (besonders wichtige) als ausreichend angegeben
  • Eigene Stromerzeugung z.B. über PV Anlagen: Auch in Zukunft nur dann KRITIS, wenn > 104 MW Leistung installiert sind
  • Das BSI darf bei allen betroffenen Einrichtungen Schwachstellenscans der öffentlich erreichbaren Systeme durchführen – allerdings nur auf bekannte Schwachstellen
  • Alle Maßnahmen sollen angemessen sein: Dabei sind explizit auch die Kosten zu berücksichtigen
  • Eine Indikation für den angemessenen Aufwand von Maßnahmen lässt sich durchaus aus den Kostenschätzungen („Erfüllungsaufwände“) und deren Begründungen ableiten, die in den Dokumenten vergraben sind:
  • Es wurde nämlich angenommen, dass bereits ca. 1/3 aller betroffenen Einrichtungen die NIS-2 Anforderungen sowieso erfüllen, und deshalb keine bzw. vernachlässigbare Zusatzkosten entstehen
  • Für alle anderen gilt:
    • Bei wichtigen (also den kleineren) Einrichtungen werden im ersten Jahr im Durchschnitt zusätzliche Kosten für NIS-2 von rund 50 TEUR, in den Folgejahren ~25 TEUR/a geschätzt
    • Für besonders wichtige Einrichtungen wurden ~120 TEUR Zusatzaufwand im ersten Jahr und dann ~60 TEUR in Folgejahren angenommen
  • In der Ausführung wird der Begriff der „Einhaltung eines Mindestniveaus an IT-Sicherheit“ verwendet. Aus meiner Sicht deutet das zusammen mit den o.g. eher niedrigen Zahlen aktuell darauf hin, dass das BSI an die meisten Unternehmen keine Anforderungen stellt, die über die Voraussetzungen zum Erhalt einer Basis-Cyberversicherung hinausgehen, und dies auch nicht besonders streng geprüft werden wird
  • Trotzdem: Falls die Schätzungen halbwegs zutreffen, würde das deutschlandweit pro Jahr ~2,2 Mrd. EUR an zusätzlichen Ausgaben bedeuten, das wäre mit dem groben Daumen gepeilt ein Plus von 20% für den hiesigen Cybersecurity-Markt. Im ersten Jahr (2026) sogar ungefähr doppelt so viel. Ich stelle den Champagner schonmal kalt, reibe mir die Hände und freue mich auf die fetten Jahresabschluss-Parties der Anbieter (wobei, zu den richtig guten werde ich wahrscheinlich gar nicht eingeladen bei meinem Glück)
  • Ein kleiner Boom tut unserer Branche wahrscheinlich auch gut: Gefühlt hat sich der deutsche Security-Jobmarkt zusammen mit dem Rest der Wirtschaft in Richtung Gefrierpunkt abgekühlt. Ein Manager sprach davon, dass bei einer ausgeschriebenen IR Position 1000 Bewerbungen eingingen. Ein größeres IR Team in Deutschland hat angeblich gerade fast die Hälfte der Mannschaft abgebaut. Bitdefender reduziert die Belegschaft um ~7%, Axonius um ~10%. 

Zum Jobmarkt passt ein Erfahrungsbericht von eSentire, MDR Anbieter aus Kanada mit ~2000 Unternehmenskunden, zum praktischen Einsatz von KI:

  • Bei vergleichbarer Beurteilungsqualität wie ein „Senior SOC Analyst“ von ~95% Präzision bei Ursachenfeststellung und Maßnahmenempfehlung konnten ca. 40mal soviele Analysen in der gleichen Zeit erledigt werden
  • Dabei griffen die agentischen Workflows auf EDR, Netzwerk-Flows, Logs, Verzeichnisdienste und Schwachstellendaten zu
  • Aufgaben: Anreichern von Incidents mit Infos aus verteilten Einzelsystemen, Untersuchung von Prozessbäumen, Log-Queries, Korrelation mit alten ähnlichen Incidents, Matching mit CTI Feeds
  • Ergebnisse wurden mit Kunden zusammen verifiziert, viele davon Betreiber kritischer Infrastrukturen
  • Genutzt wird Claude auf AWS Bedrock mittels LangGraph Framework
  • Aus meiner Sicht wird das ganze Thema KI weiter zu Konsolidierung im MSSP Markt führen: Große SOC Player können sich die Entwicklung reifer Systeme leisten, die tatsächlich in der Praxis einen Mehrwert bringen und haben auch eigene Trainingsdaten dafür. Kleinere MSSP müssen auf vorkonfektionierte Plattformen zurückgreifen und werden über die zunehmenden Fähigkeiten der Systeme austauschbarer. Wer sich mit AWS etc. befasst, dem ist schon lange klar: Bezahlbare Sicherheit bedingt Automatisierung. Automatisierung erhöht den Fixkostenblock => Markteintrittsbarriere und Vorteil für die Großen.  

Vor ein paar Wochen habe ich mal die These vertreten, dass Firewalls die profitabelsten Security-Produkte sind. In der Auflistung der Hersteller habe ich allerdings F5 übersehen.

Das ist mir klar geworden, als ich bei F5 in die Zahlen geschaut habe, nachdem die gerade ja selber Opfer eines Cyberangriffs wurden. Dabei wurde auch Source Code der BIG IP Produkte (Load Balancer, WAF, Perimeter FW…) kompromittiert. Interessant dabei: Die chinesischen Angreifer haben nach dem Initial Access > 1 Jahr gar nichts gemacht, wahrscheinlich, damit die übliche Datenvorhaltezeit von Logs überschritten wurde. Anyway, F5 hat immer noch eine traumhafte EBIT Marge um die 25%.

Varonis (DSPM/DLP, ca. 600 Mio. USD Umsatz, an der Gewinnschwelle, ~100 Mio. Free Cash Flow, ~4 Mrd. Market Cap) kündigt die on prem Lösung ab und reduziert daraufhin die kurzfristige Umsatz(wachstums)prognose – und schon rauscht der Aktienkurs um > 30% in die Tiefe.

Ein kleines Indiz dafür, dass die derzeit hohen Bewertungen auf ebenso hohen Erwartungen fußen, was natürlich auch zu wahnsinnigem Druck auf die Vertriebsmannschaften führt. Alleine die Marktkapitalisierung von Palo Alto Networks und Crowdstrike ist zusammen schon deutlich höher als der globale Cybersecurity-Markt.

M&A News:

  • Palo Alto ist weiter auf Shoppingtour und holt sich Chronosphere (Data Pipeline Mgmt., vergleichbar Onum/Observo/Databahn/Cribl/Tenzir) für ~3 Mrd. USD
  • Bestätigt den Eindruck, dass das Tooling für Observability (Performance Management) und Security zusammenwächst
  • Und natürlich wollen die großen XDR/SIEM Hersteller keinen Drittanbieter mitten im Stack sitzen haben.
  • Sehe hier auch eine große Chance für MSSP:
  • Die Komplexität und der Nutzen des Tech Stacks steigen. Damit einhergehend greifen Skaleneffekte noch besser
  • Die bestehenden Kundenbeziehungen können gehebelt werden
  • Bei umsatzrelevantem Application / System Monitoring ist der Lockin-Effekt m.E. höher als bei reinen Security-Leistungen, u.a. weil auf der Kundenseite Ansprechpartner aus verschiedenen Fachabteilungen involviert sind
  • Dazu ergibt sich ein klarer Business Case für Kunden, wenn die astronomischen Kosten für (Cloud-) Log-Ingest und -Storage reduziert werden können
  • ArcticWolf übernimmt Upsight (Ransomware Block + Rollback auf lokalen Endpunkten, ähnlich Deep Instinct)
  • ZScaler kauft SPLX (Security für kundeneigene KI-Anwendungen)
  • Bugcrowd übernimmt Mayhem (KI-basierte DAST + API Tests) => 90% der einfachen Schwachstellen sollen in Zukunft von der KI gefunden werden, die Bug Bounty Jäger können sich auf den anspruchsvollen Rest konzentrieren
  • Pentera kauft EVA (kleinerer Pen Test / Red Teaming Service Anbieter)
  • SAFE (Cyber Risk Quantification) kauft Balbix (CTEM/ASM)
  • Databricks wird in der neuen Fundingrunde mit ~130 Mrd. USD bewertet

Notizen aus Vendor Briefings:

Trustspace:

  • ISMS/GRC Software und ISMS Beratung inkl. ISB as a Servce aus Deutschland, ca. 15 MA
  • Kundenfokus v.a. Startups + KMU im DACH Raum mit geringer organisatorischer Komplexität (~70 Unternehmenskunden)
  • Deshalb auch Frameworks vornehmlich ISO27x, NIS2, TISAX (also z.B. noch nicht mit SOC2, NIST CSF, DORA). Als Nächstes kommt wohl CRA
  • Einfaches Onboarding mit ~100 Fragen => Auf der Basis werden die ISMS Dokumente entworfen und die Maßnahmenplanung angestoßen
  • Lieferantenmanagement: Für große Software-Anbieter werden die Infos aus dem Trust Center automatisiert erfasst, für alle anderen kann man Fragebögen verschicken + nachfassen
  • Auf der Roadmap: Schulungstool für Security Awareness + Policy Inhalte

NACView:

  • Wie der Name schon sagt, eine NAC Lösung 😉, also rein on prem, und zwar aus Polen
  • Referenzkunden insb. polnische Behörden und Betreiber kritischer Infrastrukturen
  • Authentifizierungsmethoden 802.1x Zertifikate, MAC-Adressen
  • MAC Spoofing wird über zusätzliche Abfragen (Identitäts-Merkmale, Endgeräte-Konfiguration) erschwert, kann aber natürlich nicht vollständig verhindert werden
  • Interessant: Viele der kleinen Kunden nutzen aus Kostengründen Switches von chinesischen Herstellern, und setzen das NAC dann als zusätzliche Sicherheitsschicht ein
  • Punkten ggü. Wettbewerbern wie Cisco, Aruba, Forescout etc. natürlich über niedrigere Lizenzkosten (insb. bei Kunden mit vielen Standorten) bei vergleichbaren Features und dem EU-HQ
  • Bieten auch Kauflizenzen (perpetual) an. Größenordnung für 2000 Endpunkte ~20 TEUR/a inkl. Support
  • Suchen noch Channelpartner im DACH Raum

Forcepoint:

  • DSPM / DLP / DDR inkl. Firewalls + Email Gateways aus USA
  • Ca. 2.000 MA, ~12.000 Unternehmenskunden, u.a. viele Hochschulen / Forschungsinstitute im DACH Raum (wegen IP-Schutz)
  • On prem first Strategie (z.B. auch Fileshares als Datenquelle). SaaS bei weitestgehend gleichen Features möglich
  • Bei Discovery + Klassifizierung wird ein KI-generierter Vorschlag zur Einstufung von Dateien auf Basis Inhalt + Kontext gemacht. Die KI kann dann kundenindividuell trainiert werden
  • Dazu können veraltete / redundante Daten direkt gelöscht werden
  • Überwachung von Löschfristen bei sensiblen Daten
  • Risikobewertung auf Basis von Konfigurationen und Zugriffsrechten (z.B. Teilen per Link erlaubt?)
  • Automatische Ausführung unterschiedlicher Reaktionen (Bestätigung, Alarm, Verschlüsselung auf neuem Speicherort, Block) auf Basis von Nutzeraktionen (z.B. Massendownload vs. einzelne Datei)
  • Neue Kundenanfragen wohl getrieben durch M365 Sharepoint / Teams / OneDrive + KI-Anwendungen
  • DSPM (Anfang des Jahres zugekauft) und DLP Produkte noch nicht vollständig miteinander integriert, kommt aber natürlich noch. Bietet aber auch Vorteile, falls jemand z.B. schon ein anderes DLP System einsetzt
  • Typischer Rollout über Einführung in HR Abteilung (=wenig Nutzer) zum Test
  • Partner u.a. Orange, Computacenter

Cogent Security:

  • Schwachstellenmanagement-Startup aus USA, ca. 20 Kunden, klang ähnlich Vulcan, Brinqa, Axonius etc.
  • Ingest von verschiedenen Scan- und Assetinventardaten
  • Deduplizierung von Asset- und Schwachstellendaten
  • Agentic Workflows zur Priorisierung und Behebung => Hier spielt die Musik. Mal schauen, wie gut das in der Praxis funktioniert, Erfahrungen gerne

Wie immer gilt: Fragen, Anregungen, Kommentare, Erfahrungsberichte, Themenwünsche und auch gegenläufige Meinungen oder Richtigstellungen gerne per Email. Dito für Abmeldungen vom Verteiler.

Für die Leute, die den Marktkommentar zum ersten Mal weitergeleitet bekommen haben: Hier kann man sich bei Interesse anmelden oder im Archiv einen Adventskranz aufstellen.

Viele Grüße

Jannis Stemmann

Sind Sie bereit, Ihr Security Sourcing auf die nächste Stufe zu bringen?

CyberCompare ist Ihr unabhängiger Partner, um IT-, OT- und IoT-Sicherheit einfacher, klarer und erschwinglicher zu machen.

Mit unserem etablierten Cybersecurity-Ökosystem erreichen Sie Cybersecurity-Exzellenz und erhöhen Ihre Widerstandsfähigkeit: Mit uns sparen Sie Zeit und Geld, ohne den Fokus zu verlieren.

Jetzt anfragen

Jetzt anfragen

Associations and industry collaboration

Nach oben scrollen