CyberCompare Marktkommentar #36: LinkedIn Müll; Microsoft und ESET Zahlen

Marktkommentar /

Hallo zusammen,

Albert Einstein wusste, dass 3 Dinge unendlich sind:

  1. Das Universum (nicht ganz sicher)
  2. Die menschliche Dummheit
  3. Die Anzahl KI-generierter LinkedIn-Posts von Security-Aposteln.

Einmal Daumen hoch und schon hängt man in der Dauerschleife von Security-Kalendersprüchen. Wer heute ausnahmsweise noch nicht befördert wurde und auch keine Rede auf einem Workshop mit 5 Kollegen und dem Bürohund geschwungen hat, der kann mir gerne Belanglosigkeiten in die Timeline spülen. Ich spende zu allem Applaus und stimme immer zu, versprochen. Neuester Angriffsvektor auf meine Aufmerksamkeit, und gleichzeitig Gipfel der Denkfaulheit: Newsletter durch Chatbots umformulieren lassen, die Attribution „vergessen“ und dann nonchalant als eigenes geniales Gedankengut veröffentlichen. Das ist so dreist, dass ich dabei unwillkürlich grinsen muss, also danke dafür!

Egal wie nervig, an LinkedIn kommt in der B2B-Werbewelt keiner mehr vorbei (oder man findet einfach nicht statt, auch ein Weg). Größter Profiteur beim Kampf um Reichweite ist natürlich Eigentümer Microsoft, die damit inzwischen ~20 Mrd. USD Umsatz machen und in lupenreiner Plattformlogik alle Konkurrenten aus dem Feld geschlagen haben. Das wissen wir, weil der größte Security-Anbieter der Welt (O-Ton: „planet-scale systems“) die Zahlen für das Kalenderjahr 2025 veröffentlicht hat. Strg+F „Security“ auf der Microsoft Investor Relations Seite und Analystenberichten verrät weiterhin Folgendes:

  • Der Umsatz mit Sentinel, Defender, Purview & Co. liegt laut Schätzungen bei ungefähr 37 Mrd. USD oder knapp 15% der Gesamterlöse (zum Vergleich: Palo Alto ist als N. 2 bei ~10 Mrd., der Gesamtmarkt wird irgendwo bei ~200 Mrd. eingeordnet).
  • 1,5 Mio. Kunden für Security-Produkte – die Zahl beinhaltet allerdings auch das Consumergeschäft (s. Proxy-Statement). Meine Vermutung: Ca. 900k davon sind Geschäftskunden. Das sind nämlich die, die min. 4 Security-SKUs im Einsatz haben
  • Für MS ist natürlich die Sicherheit von Windows, Azure etc. strategisch viel wichtiger als der Verkauf von reinen Security-Lösungen. Cybersecurity Oversight ist deshalb inzwischen Top1 Aufgabe des Aufsichtsrats
  • Ohne exakte Messgrößen zu nennen, ist die Security der eigenen Produkte seit 2025 bonusrelevant für Vorstände. Bei Satya Nadella macht die Erfüllung der Security-Vorgaben z.B. 10% des Bonus aus
  • 34.000 Entwickler arbeiten dediziert an Security-Aufgaben, das entspricht ca. 15% der Belegschaft und ist mehr als die Entwicklungskapazitäten von PAN, Fortinet, Crowdstrike und den 10 nächstgrößeren Anbietern zusammen
  • Die Ausgaben für Vertrieb + Marketing sind nur 9% vom Gesamtumsatz und sinken prozentual => Sollte niemand überraschen bei einem Quasi-Monopol. Aber jedem Wettbewerber Respekt einflößen.
  • Erfahrung aus aktuellen Projekten: Die Vorbereitung vor Kundenterminen mit strukturierten Test Case Demos war verbesserungswürdig => Eröffnet dem Wettbewerb Chancen

Sicher waren vor ein paar Tagen alle genauso erleichtert wie ich, zu erfahren, dass Polen nach eigenen Angaben den bisher schwersten Cyberangriff auf die Energie-Infrastruktur erfolgreich abwehren konnte. Wie peinlich, dass quasi zeitgleich Saboteure mittels selbstgebautem Brandsatz einen tagelangen Stromausfall in unserer H A U P T S T A D T verursacht haben. Ja, wir müssen alle einen Beitrag zu digitaler Resilienz leisten. Aber es erscheint doch so, als ob zumindest in Deutschland der nächste Euro beim konventionellen Brandschutz von Kabelbrücken auch gut angelegt wäre.

Durch die Brille eines Marktbeobachters gibt es ein paar interessante Aspekte in den Berichten zum o.g. Angriff auf die Windenergie- u. Solaranlagen, vorrangig dem des CERT Polska:

  • Initial Access ist über Fortigate Firewalls/VPN Gateways in den Trafostationen erfolgt.
    • Diese waren aus dem Internet erreichbar und ohne MFA konfiguriert
    • M.E. also entweder grobes Versäumnis der Betreiber, oder (wahrscheinlicher): 2FA war technisch nicht praktikabel, das Risiko war bekannt und wurde durch Ausgleichsmaßnahmen verringert. Auf jeden Fall kein Verschulden des Herstellers erkenntlich, auch wenn man über die Anzahl gefundener Schwachstellen (auch diese im Bericht erwähnt) natürlich beliebig streiten kann
  • Nach meinem Verständnis wurde in der Infrastruktur kein OT NIDS oder NDR genutzt
  • Eine Malware (“LazyWiper”) wurde mittels LLM programmiert, scheint aber keine Auswirkungen gehabt zu haben
  • Dragos hat bei der Incident Resonse unterstützt
  • Die jetzt vielzitierte Kernanalyse der Kern-Malware („Dynowiper“, vermutlich by Sandworm) wurde aber nicht von einem der gängigen OT Player durchgeführt, sondern von ESET, deren EDR Lösung nachweislich die Ausführung verhindert hat.

Das hat mich dazu angeregt, mich mal bzgl. ESET ajour zu bringen und einen Blick in die Geschäftsberichte  der Holding und ESET Deutschland zu werfen.

  • Mit der Zentrale in Bratislava näher an einem potenziellen Frontverlauf als wir hier, aber v.a. natürlich einer der wenigen EU EDR/XDR/MDR Anbieter (Hauptwettbewerber Bitdefender u. Sophos, würde ich sagen) und eine schöne europäische Erfolgsgeschichte seit Gründung 1987:
  • Umsatz aktuell ~ 700 Mio. EUR, 2.500 MA, weltweit in > 170 Ländern aktiv, unglaubliche 500k Unternehmenskunden
  • Profitabel mit Nettogewinnmarge > 10%, Cashflow ähnlich positiv
  • Der deutsche Markt wächst mit 6-7%, insb. getrieben durch KMU- und MDR-Business. Privatkunden wachsen auch, aber mit dem Hinweis „Freeware und aggressive Preise der Wettbewerber drücken hierbei die erzielbaren Verkaufspreise“
  • In Privatbesitz. Zwei der drei Gründer sind noch im Aufsichtsrat, der CEO hält ca. 12% der Anteile
  • Wäre für einen amerikanischen oder indischen Player nach meinem Dafürhalten locker 5-10 Mrd. USD wert. Die Eigentümerstruktur ist noch nicht zu zersplittert, wäre damit dealtauglich. Könnte mir auch gut vorstellen, dass irgendwann ein IPO erfolgt
  • Leider bei den MITRE ATT&CK Auswertungen weit hinter den Marktführern. Übrigens hier nochmal unterstrichen: Die MITRE Evaluierungen sind bestimmt nicht perfekt, aber m.W. das Gründlichste, Unabhängigste und Vergleichbarste, was es an öffentlichen Labortests zu AV/EDR gibt – wer hierzu andere Infos hat, immer gerne
  • In unseren Angebotsvergleichen und Ausschreibungen spielt ESET bisher keine große Rolle. Evtl. ändert sich das, falls digitale Souveränität tatsächlich mal ein Kaufkriterium wird

Und zum Abschluss noch interessante Gedanken eines Lesers (auszugsweise):

  • „Wenn ich mir den Aufwand, Kosten und die Risiken bzgl. der Mail-Infrastruktur anschaue, bin ich mir tatsächlich nicht sicher, ob die Versendung wichtiger Dokumente in Papierform inzwischen nicht wieder günstiger wäre. Das Verhältnis von Signal/Noise, Risiko/Nutzen steht in keinem gesunden Verhältnis mehr.“
  • „Schadcode ist auch immer einfacher zu entwickeln. Er kann unstabil, schlecht getestet und unwartbar sein. Er muss ja nur einen Effekt generieren. Bei der Defense muss immer alles aufeinander abgestimmt, koordiniert, wartbar und stabil sein. Eine Steinschleuder (Onager) ist auch einfacher und billiger zu bauen als eine Burg.

M&A News:

  • LevelBlue kauft nach den großen Akquisitionen von Cybereason und Trustwave jetzt auch noch das MDR Geschäft von Fortra (Alert Logic)
  • Heydata (GRC aus Berlin, ca. 2000 Kunden) bekommt 15 Mio. Funding
  • Pictet (Finanzinvestor) beteiligt sich an QGroup (MDR/IR, Spezialisten für SentinelOne)
  • Varonis (DSPM+DLP) kauft AllTrue.AI (Ai Agent Governance, d.h., von Discovery bis Policy Enforcement) => Makes a ton of sense
  • IMHO

Notizen aus Anbietergesprächen:

Imprivata (Update):

  • Bekannt ja im Healthcare Sektor für alle möglichen IAM-/PAM-Lösungen, ca. 5.000 Kunden weltweit, ~1.500 MA. Sicher Marktführer in diesem Segment, Abdeckung von Kliniken im DACH Raum z.B. um die 50%. Daneben auch bei Banken, Behörden, Defense o.ä. im Einsatz
  • Decken Identity Lifecycles Verwaltung, Mobile Device + Account Mgmt, Fernzugriffe über eigenen Gateway (z.B. mit privatem Laptop Zuhause, ohne Installation SW, mit Face-ID), Compliance-Einhaltung (Zugriff auf sensible Patientendaten nur unter bestimmten Voraussetzungen) ab. In Krankenhäusern ist der 2. Faktor typischerweise die ID Karte
  • Dazu auch sehr spezielle Lösungen wie eine Dockingstation, mit der Smartphones automatisch auf eine bestimmte Rolle provisioniert werden (z.B., wenn die gleiche Person in verschiedenen Abteilungen arbeitet)
  • Jetzt soll auch die Bekanntheit in anderen Branchen, insb. Produktion, gesteigert werden
  • Angeschaut habe ich mir insb. die FIDO2 konforme SSO- und MFA-Lösung für OT. In vielen Werken sind ja noch Gruppenaccounts und Passwörter auf Post-Its gängige Praxis, um schichtübergreifendes Arbeiten auf Altsystemen zu ermöglichen. Im Normalfall gibt es auch keine Anbindung an das IT AD
  • Das wird über Shared Workstations / Mobilgeräte abgebildet. Conditional Access möglich (z.B. noch zusätzlich zur ID Karte oder einem Chip-Armband in Reinräumen eine vierstellige PIN).
  • Bietet Möglichkeit, Bildschirm einer Anwendung zu zeigen (z.B. Chart eines laufenden Prozesses), aber ohne Zugriffe zu erlauben
  • Dazu können mehrere MA gleichzeitig eingeloggt sein (= Art von Terminalserver-Funktion auch mit normalen Industrie-PCs)
  • Auch clever: Automatischer Logout, wenn der MA (bzw. seine ID-Karte) nicht mehr in der Nähe der Maschine ist („Proximity based secure walk away“)
  • Lizenzierung anhand von Anzahl Nutzern und Mobilgeräte
  • Alle Lösungen werden nicht nur als SaaS/PaaS, sondern auch noch on prem angeboten
  • Thoma Bravo bereitet wohl gerade den Verkauf oder IPO vor, berichtet Reuters. Angestrebte Bewertung ~7 Mrd. USD

Alpenshield:

  • Österreichisches Startup für eine sehr spezielle Lösung: Ein Gesamtsystem für MSSP und Inhouse SOCs zwischen SIEM und Analysten (Referenzkunde u.a. A1)
  • Wichtig: Stellen selbst keine Analysten 24/7 bereit, sondern eben die gesamte Tool-Chain (Detection Library, Workflow Automatisierung / SOAR, TI, Ticketing) für SOCs in 1 Oberfläche („SOC Guru“)
  • Optimiert für MS Sentinel + Defender Suite
  • CTI von RST Cloud, Azure LogicApps/Automation als SOAR, Darknet Credential Monitoring via SysLeaks
  • Multimandanten- und Levelfähig aufgebaut (um Konzernstrukturen abzubilden)
  • Angebots- und Rechnungsstellung als begleitender Support
  • Bauen die KI-Fähigkeiten natürlich stetig aus. Dynamische Analyse von Incidents funktioniert schon einigermaßen, Remediation steht auf der Roadmap
  • Lizenziert nach Anzahl IT User. Die Microsoft-Lizenzen bleiben beim MSSP

Permiso:

  • US Startup für Zugriffsvisualisierung (Access Graph für jede Identität, inkl. NHI, ähnlich CyberDesk oder Veza) und -Monitoring
  • Kernfrage, die beantwortet werden soll: Erfolgt der Zugriff zwar mit gültigen Credentials, aber unbefugt?
  • Ca. 20 Unternehmenskunden
  • Verarbeitet natürlich alle Infos und Logs von IdP, IGA und Cloud-Plattformen. On prem nicht im Fokus bisher
  • CSPM und CTI wird auch berücksichtigt, um Risiken zu priorisieren
  • Hat auf mich wie ein kleines SIEM gewirkt, eben mit Fokus auf Logins, User-Anlagen etc. => Ideal für kleinere entwicklungslastige Unternehmen
  • Dazu auch Support Services für Analyse (noch nicht 24/7 MDR, aber auf der Roadmap)
  • Stelle mir hingegen schwer vor, das im Enterprise-Segment zu verkaufen. Wenn jemand einen anderen Blick dazu hat, gerne melden.

Wie immer gilt: Fragen, Anregungen, Kommentare, Erfahrungsberichte, Themenwünsche und auch gegenläufige Meinungen oder Richtigstellungen gerne per Email. Dito für Abmeldungen vom Verteiler.

Für die Leute, die den Marktkommentar zum ersten Mal weitergeleitet bekommen haben: Hier kann man sich bei Interesse anmelden oder im Archiv nach Tippfehlern suchen.

Viele Grüße

Jannis Stemmann

Sind Sie bereit, Ihr Security Sourcing auf die nächste Stufe zu bringen?

CyberCompare ist Ihr unabhängiger Partner, um IT-, OT- und IoT-Sicherheit einfacher, klarer und erschwinglicher zu machen.

Mit unserem etablierten Cybersecurity-Ökosystem erreichen Sie Cybersecurity-Exzellenz und erhöhen Ihre Widerstandsfähigkeit: Mit uns sparen Sie Zeit und Geld, ohne den Fokus zu verlieren.

Jetzt anfragen

Jetzt anfragen

Associations and industry collaboration

Nach oben scrollen