CyberCompare Marktkommentar #33: Werbung für den Bundesverband IT Sicherheit; Handreichung zum Stand der Technik 2025; Frohe Weihnachten!

Marktkommentar /

Hallo zusammen,

in den letzten Wochen konnte ich einige meiner zahlreichen eklatanten Bildungslücken schließen (es bleiben trotzdem noch genug übrig), und zwar u.a. durch meine erste Teilnahme an der Mitgliederversammlung des Bundesverbands IT-Sicherheit (Teletrust). Da sind wir zwar schon seit Gründung Mitglied, aber bisher nur wegen der hoffentlich irgendwie bei Kunden positiv wahrgenommenen Siegel „IT Security Made in Germany / Made in EU“. Vermutlich geht das insgeheim vielen der ~400 Mitglieder so.

Und daher an dieser Stelle das Bekenntnis eines bereuenden Fernbleibers: Tolle Veranstaltung, kann ich nur empfehlen. Vor Ort waren ca. 50 TN – und trotzdem gab es kein Aufplustern und kein Verkaufsgespräch, denn man ist ja im Branchenverband unter sich. Stattdessen Austausch auf Augenhöhe, offene Gespräche mit einer Abteilungsleiterin des BSI (Luise Kranich), und dazu phänomenales Catering. Da sind unsere Mitgliedsbeiträge gut angelegt.

Übrigens war eine Erkenntnis aus der Diskussion, dass es seitens BSI (noch) gar kein konkretes Zielbild bzgl. digitaler Souveränität gibt. Als nachgeordnete Stelle ist man mit den Innen- und Digitalministerien noch in Abstimmung. Schade – mir und wahrscheinlich auch vielen anderen würde ein „How does good look like“ einer anerkannten Institution als Orientierung helfen. Ohne Sollzustand kein PDCA-Zyklus.

Bei dem Event ist mir dann auch aufgefallen, dass ich die Teletrust Handreichung zum Stand der Technik 2025 noch gar nicht gelesen hatte (habe ich natürlich just in dem Moment siedend heiß bemerkt, als mich einer der Autoren nach meiner Meinung dazu gefragt hat…). Das habe ich jetzt mal nachgeholt, um mir weitere Peinlichkeiten zu ersparen. Was war auffällig?

  • Grundsätzlich ist das Kompendium (~140 Seiten netto) ein sehr vollständiger Katalog an möglichen technischen und organisatorischen Maßnahmen, und dazu eine gute Argumentationshilfe, um Budget für Security-Maßnahmen mit dem Verweis auf den Stand der Technik zu rechtfertigen. „Stand der Technik“ bei Informationssicherheit wird ja oft als Begriff referenziert, ist aber m.W. an keiner anderen Stelle bisher beschrieben
  • Einzigartig auch die Einordnung jeder Maßnahme entlang von „Anerkennung durch Fachexperten“ und „Bewährung in der Praxis“. Auch das kann man wahrscheinlich mal bei Diskussionen über die Notwendigkeit von Investitionen heranziehen.
  • Streckenweise gehen die beschriebenen Maßnahmen weit über die gängigen Anforderungen von Cyberversicherungen und auch die ISO27002 Controls hinaus: z.B. werden PKI, Verschlüsselung auf Layer 1, PAM-Lösung, Darkweb-Monitoring, SIEM/SOC und alle denkbaren Cloud Security-Tools empfohlen

    Beispiel: „Zusammenfassend sind die empfohlenen Maßnahmen einer Cloud-Sicherheitsplattform mindestens:
  • Prüfung von Infrastructure-as-Code vor der Bereitstellung von Ressourcen (Compliance, Fehlkonfigurationen (IaC / Code Security)  
  • Compliance-Prüfung und Erkennung von Fehlkonfigurationen in Cloud (CSPM) und Kubernetes (KSPM) Ressourcen gegen relevante Compliance und Recommended Best Practices Frameworks
  • Priorisierte Schwachstellenanalyse von der Entwicklung bis zur Laufzeit (Vulnerability Management)
  • Darstellung von möglichen Angriffspfaden, Verkettung von Schwachstellen, Berechtigungsschlüssel und Fehlkonfigurationen (CASM)
  • Inventarisierung von Cloud-Infrastrukturkomponenten
  • Prüfung von Berechtigungen (CIEM)
  • Verhaltensanalyse und frühzeitige Erkennung schädlicher Aktivitäten innerhalb von Cloud Accounts (UEBA)
  • Unmittelbare Erkennung von schädlichen Aktivitäten durch Sensorik innerhalb aktiver Workloads, inkl. Malwareerkennung und File Integrity Monitoring (CWPP)“
  • Es wird aber eingangs auch klar festgestellt, dass die Beurteilung der Verhältnismäßigkeit von Maßnahmen und Risiken in der Verantwortung des jeweiligen Betreibers liegt und nicht pauschal eingeordnet werden soll
  • Daraus ergibt sich dann natürlich die Frage, in welcher Situation das Dokument tatsächlich eine konkrete Entscheidungshilfe bietet => Im Einzelfall muss eben doch jeweils der Schutzbedarf der Werte mit Kosten und Nutzen der Maßnahmen abgewogen werden
  • Bei Pen Tests scheint sich die Branche noch uneinig, ebenso wie bei SOC/MDR ist das Thema nur mit 1 Satz beschrieben. Natürlich auch sehr umfangreich und heterogen. Ergänzungen dazu sind angekündigt.
  • Beim Abschnitt „Sensibilisierung der Anwender“ bin ich über den Schritt „Sicherheits-Hygiene“ gestolpert, hier ist geschrieben: „Zunächst sind die eigenen Regelungen auf tatsächliche und praktische Umsetzbarkeit zu prüfen. Niemandem darf zugemutet werden, Regeln zu befolgen, die im Kontext der eigenen Tätigkeit nicht oder nur unter erheblichen Erschwernissen umzusetzen sind.“ Ist das, was bei NIS-2 als Cyberhygiene gefordert wird? Hatte ich bisher anders interpretiert. Vielleicht kann mich da jemand bzgl. Hygienestandards unterrichten.
  • Interessant auch die Gegenüberstellung der ISO27000 Normenreihe (~100 Seiten, ca. 100 abstrakte Forderungen) und des BSI IT Grundschutzkatalogs (~4000 Seiten, ca. 1100 konkrete Maßnahmen)

Übrigens hat wohl auch der Bundesverband mit Mitgliederschwund aufgrund der Wirtschaftskrise zu kämpfen… hoffen wir mal, dass das wieder besser wird.

Die neue MITRE ATT&CK EDR Evaluierung ist veröffentlicht worden. Mit unserer Auswertung sind wir auch durch, warten bei ein paar Rückfragen zu Details aber noch auf Antworten des MITRE Teams. Außerdem habe ich so gleich ein Thema für Januar und mache mir das Leben leichter. Wer dringend vor Weihnachten noch eine Entscheidung zwischen Crowdstrike, Cynet, Trend Micro, Sophos und Co. treffen will, kann sich aber natürlich für einen Sneak Preview melden. Leider haben diesmal Microsoft, SentinelOne und Palo Alto nicht teilgenommen.

Insofern nur noch ein paar zusammenhanglose News, die mir in’s Auge gesprungen sind:

  • Fortinet legt bei der Transparenz zu OT NIDS/IPS die Messlatte wieder höher: Zu jedem lesbaren OT Protokoll wird genau angegeben, exakt welche Funktionscodes über DPI erkannt werden können (z.B. können bei Siemens S7 47 verschiedene Befehle erkannt werden, bei BACnet 130 und bei GOOSE nur, dass das Protokoll verwendet wurde).
  • Es rumort nicht nur in der deutschen Autoindustrie, sondern auch bei Aqua Security (~350 MA, ~1 Mrd. Bewertung): Die beiden Gründer haben ihre CEO+CTO Rollen abgegeben, das neue Management führt die Restrukturierung und den Stellenabbau weiter fort
  • Wem dieser ganze KI-Kram in den Fachabteilungen zuviel wird, der kann jetzt zumindest mit dem Verweis auf Gartner dem Einsatz von KI Browsern (z.B. OpenAI Atlas, Perplexity Comet) einen Riegel vorschieben: Cybersecurity Must Block AI Browsers for Now. Oder andersherum, man muss sich im Ernstfall vielleicht die Frage gefallen lassen, warum der Einsatz trotz bekannter und sich überschlagender Schwachstellen im eigenen Unternehmen zugelassen wurde. Kinder und KI-Agenten nicht unbeaufsichtigt auf den Spielplatz lassen.

Ich sammle noch Predictions für 2026 – wer Ideen hat, gerne melden. Für meine Hypothesen 2025 würde ich mich selbst aktuell noch mit einer 4- benoten, da hoffe ich aber mal auf die letzten paar Tage im Jahr.

M&A:

  • ServiceNow kauft Veza (Berechtigungsverwaltung/Authorisierung, ähnlich z.B. Cyberdesk nach meinem Verständnis und natürlich IdM-Suiten wie Sailpoint, Ping, CyberArk etc.)
  • Spannend: Identity is the new perimeter, wie es durch Marketingtröten auf den Punkt gebracht wird. AI Agents verschärfen das Problem von NHI-Management (z.B. Angriffe auf delegated OAuth Tokens => Golden Agent)
  • Zusammen mit dem schon seit längerem angebotenen GRC Modul entwickelt sich Servicenow also zum Operations+Security Anbieter
  • Huntress (US Managed SOC auf Microsoft Tech Stack, insb. für KMU) kauft Inside Agent (Identity TDR)
  • Allurity (PE aus Schweden, Fokus auf Cybersec) kauft Monti Stampa Furrer & Partners (Schweizer OT Sec Beratung)
  • Checkpoint besorgt sich am Anleihemarkt fast 2 Mrd. USD neues Kapital => Da Checkpoint extrem profitabel ist, kündigt das vermutlich eine weitere Übernahme an
  • Savyint (IAM) holt sich in einer neuen Fundingrunde ~700 Mio. USD bei einer Bewertung von ca. 3 Mrd. USD
  • Proofpoint legt nochmal eine Schippe drauf, um den Deal mit Hornet über die Ziellinie zu bringen: Der Kaufpreis liegt jetzt bei 1,8 Mrd. (statt ursprünglich ~1 Mrd.) USD, das ist ungefähr das 9fache des Umsatzes. Die Erfolgsgeschichte von Hornet zeigt mal wieder, dass das KMU Segment über einen starken Channel-Vertrieb attraktivere Margen als das Enterprise-Geschäft ermöglicht. Zitat des GF eines anderen Anbieters in der Branche: „Die Entscheidung läuft bei kleinen Kunden nicht über den Preis oder über Features. Da wird die Lösung gekauft, die das Systemhaus mitbringt und sagt, das funktioniert“.

Vendor Briefings:

Onekey (Update):

  • Kleines deutsches Juwel für Software und Services rund um IoT/Product Security, insb. zur Erfüllung des CRA, IEC 62443, UNECE WP.29 (Automotive Security) o.ä.
  • Ca. 100 Unternehmenskunden, u.a. Resideo, Nestlé (Kaffeemaschinen), Deutsche Bahn, Swisscom, Phoenix Contact, Zyxel, Piaggio
  • Fast alle TÜV Organisationen und Bureau Veritas nutzen die OneKey SW
  • SCA für Binaries (Firmware Images) und SBOMs. Kernfeatures dabei die Zuordnung von Textfragmenten zu Software-Komponenten, und die Erfassung von Abhängigkeiten (wiederum entscheidend bei Updates)
  • Die Extraktion der Komponenten erfolgt dabei nicht mit Binwalk, sondern mittels eigenentwickelter Engine. Damit ist das Aufzeigen von blinden Flecken (z.B. verschlüsselten Partitionen) trennscharf möglich
  • Optionales Reverse Engineering von kompiliertem Code
  • Lässt sich on prem installieren und über API in die bestehenden Entwicklungs-Toolchains integrieren => Vorteil, dass der eigene Source Code den Perimeter nicht verlässt. Sonst auch SaaS möglich
  • Automatisches Assessment von Firmware auf Basis von Compliance-Frameworks
  • Kann Verwundbarkeiten auf Basis von kundenindividuellen Risikoprofilen (aus TARAs) priorisieren
  • Sind noch auf der Suche nach Vertriebspartnern – das sollten aber Spezialisten für IoT Produktentwicklung / DevSecOps sein

Orca (Update):

  • CNAPP Wettbewerber zu Wiz, Palo Alto, CS etc.
  • >1000 Unternehmenskunden, u.a. SAP, Raiffeisen Bank, MAN Energy, 7Eleven, Carlsberg und Hunters (der SIEM Hersteller)
  • „Agentless first“: Security Kontext wie Zugriffsrechte, Security Groups, Segmentierung, Events & Logs, Container Registries etc. wird über die Control Plane APIs abgefragt (A/C/D/KSPM, CIEM). Was fehlt noch Stand heute: SSPM für gängige Anwendungen, bisher Fokus auf IaaS/PaaS
  • Daneben können Snapshots von Workloads (Container, VM) und Source Codes inkl. Libraries auf Schwachstellen gescannt werden (SAST, SCA)
  • Das alles wird herangezogen, um Risiken von Assets zu bewerten und Maßnahmen abzuleiten
  • Für Cloud/Application Detection + Response gibt es auch einen Sensor (oder die von SentinelOne, CS, PAN etc. können eingebunden werden)
  • Backend kann von Kunden im eigenen AWS Account gehostet werden
  • Charmant: Aus Orca kann auch direkt gepatcht oder z.B. die Terraform Codebase geändert werden, ohne die GUI wechseln zu müssen
  • Sonstige Features: Angriffspfaddarstellung, Compliance Reporting für gängige Frameworks
  • Suchen noch MSSP Partner im DACH Raum, bei Interesse gerne melden (allerdings auch anspruchsvoll, sollte Erfahrung mit SW Entwicklung und den üblichen Toolchains haben)

Secfix:

  • Einfache GRC Lösung aus Deutschland (Finanzierung u.a. durch Commerzbank), Fokus auf ISO27001 / NIS2 / DSGVO etc. für Startups + kleinere Unternehmen
  • Im Wesentlichen natürlich Checklisten der Frameworks + die Verlinkung zu Nachweisen mit Statusanzeige
  • Integrationen mit den Cloud Hyperscalern, M365, Jira etc.
  • Ca. 5 Jahre am Markt, zwischenzeitlich schon 350 KMU als Kunden

Tenfold:

  • IGA aus Österreich, Riesenerfolgsgeschichte + dazu noch sehr sympathisch: Nur ca. 35 FTE, aber fast 2000 Bestandskunden über alle Kontinente
  • Ideal für KMU: Keine Skriptkenntnisse für Integrationen notwendig, vergleichsweise einfaches Onboarding mittels Wizard
  • Rechteverwaltung für M365 Gruppen (z.B. AAD DC Admins) möglich
  • Revisionssichere Rechteerteilung bzw. -Entzug in Self-Service, Mehraugenprinzip + ohne ITSM Tool
  • Periodische Rezertifizierung (Rechteprüfung) von Anwendungen, Fileservern, externen MA => Hier fehlen mir noch Assistenzfunktionen für Führungskräfte, um eine Entscheidungshilfe zu bieten (ist die Kombination noch plausibel, was bedeutet die SAP-Berechtigung, was war die ursprüngliche Begründung bei der Rechtebeantragung, Rückfragemöglichkeiten…)
  • Übersicht aller Zugriffsrechte für jeden Nutzer oder für ein bestimmtes Asset wie Verzeichnisse möglich
  • Bieten auch noch Perpetual Licenses mit Wartungsverträgen an (wird aber wohl nur noch im DACH Raum nachgefragt)

Wie immer gilt: Fragen, Anregungen, Kommentare, Erfahrungsberichte, Themenwünsche und auch gegenläufige Meinungen oder Richtigstellungen gerne per Email. Dito für Abmeldungen vom Verteiler.

Für die Leute, die den Marktkommentar zum ersten Mal weitergeleitet bekommen haben: Hier kann man sich bei Interesse anmelden oder einen Weihnachtsgruß an den Archivar schicken.

Besten Dank für die treue Aufmerksamkeit + die zahlreichen Rückmeldungen, viele Grüße, allen erholsame Feiertage und dann einen guten Start in das neue Jahr!

Jannis Stemmann

Sind Sie bereit, Ihr Security Sourcing auf die nächste Stufe zu bringen?

CyberCompare ist Ihr unabhängiger Partner, um IT-, OT- und IoT-Sicherheit einfacher, klarer und erschwinglicher zu machen.

Mit unserem etablierten Cybersecurity-Ökosystem erreichen Sie Cybersecurity-Exzellenz und erhöhen Ihre Widerstandsfähigkeit: Mit uns sparen Sie Zeit und Geld, ohne den Fokus zu verlieren.

Jetzt anfragen

Jetzt anfragen

Associations and industry collaboration

Nach oben scrollen