CyberCompare Marktkommentar #45: Security Startup vs. Enterprise Sales Zyklen, Cyber-Schäden, Sovereign Cloud Compass etc. pp.

Hallo zusammen,

heute mal wieder ein Potpourri aus zusammenhanglosen Gedanken und Beobachtungen, bei dem mir der semantische Brückenbau bisher nicht gelungen ist.

Los geht es mit einem Erfahrungsbericht von Alex Chantavy (CEO von SubImage, Cloud Asset Visibility) über die ersten Wochen im Inkubator Y Combinator. Ermutigend und gleichzeitig angsteinflößend für alle, die darüber nachdenken, ihren sicheren Job für die Gründung eines Security Startups aufzugeben. Die Sollbruchstelle im Fundingprozess ist der lange Enterprise Sales Zyklus bei Security-Produkten, der im Widerspruch zur Erwartungshaltung von Investoren bzgl. schneller nachgewiesener Traktion steht.

 

Kenne ich aus eigener leidvoller Erfahrung: Bei Gründung von CyberCompare habe ich in unübertroffener Naivität und als „unforced Error“ unserer Konzernmutter-GF eine Mindest-Anzahl Kundenabschlüsse in unserem ersten Halbjahr zugesagt. Und dann Blut und Wasser geschwitzt, als wir in der ersten SteerCo zwar viele vielversprechende Anbahnungsgespräche und warme (virtuelle) Händedrücke, aber genau 0 Vertragsunterzeichnungen vorzuweisen hatten. An dieser Stelle nochmals unendlich Dank an alle Kunden der ersten Monate (Ihr wisst, wer Ihr seid!), ohne deren Vertrauen wir direkt wieder als fehlgeschlagenes Experiment im Hinterhof der Schillerhöhe verbuddelt worden wären. Ein nett gemeintes Feedback in der Marktstudie ist eben doch ein anderes Commitment, als eine durch den Einkauf freigegebene Bestellung. Passt auch zu der Beobachtung, dass immer mehr Security Startups von 2nd oder 3rd time Foundern und/oder mit Seed Investments der großen Plattformen hochgezogen werden.

Bei Heise Security Pro (insgesamt übrigens empfehlenswert) bin ich auf einen interessanten Thread zum Thema Cyberangriffs-Fallzahlen gestoßen. Anstoß dazu war die Diskrepanz zwischen den vom Bitkom proklamierten Schäden (O-Ton CISO: „Fantastrillionen“) und den Zahlen vom BSI oder TÜV, die um Größenordnungen niedriger liegen. Einige CISOs berichten von zunehmenden Schwierigkeiten dabei, den Vorstand damit noch für eine Aufstockung des Security-Budgets zu begeistern, selbst wenn enthusiastisch auf die Dunkelziffer verwiesen wird. Aus der Untersuchung des TÜV von ~500 deutschen Unternehmen ging z.B. hervor, dass

  • zwar 15% binnen eines Jahres (2024) von einem erfolgreichen Cyberangriff betroffen waren
  • aber die überwiegende Mehrheit davon gar keine Schäden und 93% davon keine schweren Schäden davontrug.
  • wer also als Wirtschaftsgrande beim Rotary Club den Nebensitzer fragt, wird tendenziell zu hören bekommen, dass die Konkurrenz aus China oder die SPD ein größeres Problem als Cyberkriminalität ist.

 

Meine 0,02 EUR dazu: Die besten Zahlen haben Versicherer, denn die haben „Skin in the Game“. Die MunichRe hat z.B. im Jahresbericht für 2025 zum ersten Mal die Profitabilität der Cybersparte veröffentlicht, diese liegt bei ungefähr 3% (bei ~9 Mrd. Umsatz). Umfasst nach meinem Verständnis Erstversicherung (über z.B. Ergo) und Rückversicherung. Ich vermute daher, die Prämien sind relativ nah am tatsächlichen Risiko (also dem durchschnittlich erwartbaren jährlichen Schaden) bei gegebenem Security-Niveau, welches ja vor Angebot einer Police durch den Versicherer eingeschätzt wird. Ich denke auch, dass die Fragebögen und Risikodialoge der Versicherer grosso modo die wirkungsvollsten Maßnahmen prüfen. Im Umkehrschluss: Was nicht abgefragt wird, bringt im Zweifelsfall auch keine große Risikominderung. Die Argumentation über Versicherungsdeckungen und Policenhöhe (in Abhängigkeit von Selbstbeteiligung etc.) ist meiner Erfahrung nach auch ein gangbarer Weg, um ggü. dem CFO eine Budgetanpassung nach oben zu rechtfertigen.

 

IT Capital Partners bietet mit dem European Sovereign Cloud Compass einen tiefgehenden Vergleich von 17 Cloud Anbietern hinsichtlich politisch/rechtlicher und technischer Unabhängigkeitskriterien. Hut ab für die detaillierte Recherche!

  • Bisher scheint die Deutsche Telekom das im Gesamtbild souveränste Angebot zu haben, dicht gefolgt (je nach Gewichtung von Anforderungen) von StackIT, SysEleven, AWS und OVH
  • Unterscheidungsmerkmale bzgl. Security sind insb. Schlüsselverwaltung (BYOK mit EU-betriebenem KMS u. HSM), Zugriffsmöglichkeiten des Cloudbetreibers (ggf. auf Hardware-Ebene) oder Root CA in der EU
  • Ein Mapping auf das C3A gibt es auch, alle Bewertungen sind mit Quellenangaben öffentlich
  • Dazu gibt es auch ein RfP Template oder die Möglichkeit, direkt eigene Vergleiche anzustellen.

In meiner Wahrnehmung gibt es bisher nur bei Bundesbehörden und im Verteidigungssektor eine Zahlungsbereitschaft für diese Angebote. Konzerne prüfen vereinzelt in PoCs die Umstellung von Teilbereichen, ggf. auch, um in eine bessere Verhandlungsposition ggü. den Hyperscalern zu kommen. Es wird aber vermutlich noch einige Jahre dauern, bis das in die Breite der kommunalen Einrichtungen und Unternehmen diffundiert ist.

 

Von der CISA kommt eine Direktive für amerikanische Behörden, aus der sich anhand von 4 Kriterien für Schwachstellenpriorisierung und -behebung pragmatisch KPIs für die eigene Orga ableiten lassen (Danke für den Hinweise, Wolfgang!). Beispiel:

  • Top Prio sind KEV, die aus dem Internet erreichbar sind, von Angreifern automatisiert ausgenutzt werden können und vollständige Kontrolle der Opfersysteme erlauben (z.B. über RCE)
  • Dafür wird ein SLA von 3 Tagen für die Behebung + zusätzliche forensische Triage (=Threat Hunting nach meinem Verständnis) gefordert
  • Vorteil: Security Teams müssen nur prüfen, ob das Asset aus dem Internet erreichbar ist. Alle restlichen Infos werden mit den CVE/KEV Berichten mitgeliefert

 

Hypothese dazu: Wenn die Kosten für Schwachstellenerkennung gegen Null gehen, die Zahl neu entdeckter Schwachstellen steigt und das Patchen (aufgrund Verfügbarkeit Patch + interner Prozesse) regelmäßig länger dauert als die Programmierung von Exploits, dann lohnen sich virtuelle Patches und Mikrosegmentierung via IPS/WAF/NDR mehr. Gerne mal Bezug nehmen, ob das Sinn macht und wir da evtl. einen neuen Trend sehen werden.

 

Und wie gut sind autonome Pen Test Lösungen aus der Brille einer Pen Test Boutique? DoyenSec hat XBOW und Aikido dazu in einem Web App Test verglichen:

  • Kosten pro Test lagen bei ~4k USD (bei beiden Lösungen gleich)
  • Beide Lösungen erreichten eine False Positive Rate von ~5% im Durchschnitt der Tests. Die Findings wurden tendenziell kritischer eingeschätzt als durch menschliche Reviewer. Die True Negative Rate wurde leider nicht eingeschätzt
  • Doyensec kommt zum Schluss, dass beide Lösungen aktuell ein besseres Preis-/Leistungsverhältnis als die etablierten SAST-/DAST-Scanner bieten
  • Dazu passt die folgende Anekdote mit eventuell breiterer Gültigkeit: Ein Kunde kritisiert aktuell eine renommierte PenTest Firma, weil diese dem Kunden keine systematische Doku dazu liefert, welche Systeme mit welchen Methoden geprüft wurden (und welche nicht). Hier also klarer Vorteil automatisierter Pen Test Tools. Klingt fast wie die Leidensgeschichte von einigen Premium Autoherstellern, die irgendwann den technischen Fortschritt verpasst und nur noch auf Marke und Kundenträgheit gesetzt haben. Funktioniert erstaunlich lange, und dann plötzlich nicht mehr.

 

M&A:

 

Mal wieder eine lange Liste. Insgesamt finde ich es erstaunlich, dass trotz Gen AI immer noch so hohe Beträge für Startups ohne Kundenbasis bezahlt werden. Man sollte denken, dass nicht nur Hobby Vibe Coder, sondern auch die großen Anbieter rein technische Features einfach(er) nachprogrammieren können und deshalb die Preise dafür sinken. Aber anscheinend bin ich da wie üblich mit Vollgas auf dem Holzweg unterwegs, wie man an den Bewertungen sieht.

 

  • Databricks (seit einiger Zeit mit Lakewatch SIEM im Security Geschäft, u.a. Anthropic als Kunde) kauft Panther (AI SIEM/SOC), vermutlich für > 3 Mrd. USD. Die Vision: Automatisierte SOC Prozesse auf einer gemeinsamen Plattform für Geschäftsprozesse, Observability und Security.
  • Accenture investiert ~4 Mrd. EUR in OT/IoT Security: Neben einer Mehrheitsbeteiligung an Dragos wird dazu Netrise (IIoT Firmware Analyse) und RunZero (Exposure Management „from the cloud to the field controller“) übernommen. Dragos hat ein großes Servicegeschäft (z.B. Incident Response) und unter den OT NIDS Anbietern sicher den besten Zugang zum Weißen Haus / Pentagon.
  • Rubrik kauft Strata (IAM/IGA inkl. Agentic Identities)
  • Sailpoint übernimmt Entro (NHI Sec)
  • 1Password kauft Apono (JIT IGA)
  • Cisco übernimmt Widefield (ITDR)
  • F5 kauft Surepath.AI (AI Governance)
  • Dream (eine Art Palantir-Alternative von Ex-Bundeskanzler Sebastian Kurz) sammelt bei einer 3-Mrd.-Bewertung nochmal ~250 Mio. ein
  • Ent (Ergänzung zu EDR, soll Absichten von Programmen und Agenten erkennen und ggf. an Ausführung hindern) erhält 100 Mio. USD. Gründer hat schon RiskIQ aus der Taufe gehoben und an Microsoft verkauft, und davor Dome9 an Check Point)
  • Twenty Technologies („Software that wins in war, built for conflict, victory is the only metric”) bekommt 100 Mio. Funding für offensive cyber operations
  • Newcore (Identity Discovery + Security via aufgeteilten Schlüsseln) sammelt ~66 Mio. USD ein

 

Anbieterbriefings:

 

Lupovis:

  • Deception und CTI aus UK (genauer: Schottland)
  • Ca. 100 Kunden, i.A. alle ziemlich sophisticated (z.B. eine Versicherung oder MSP wie Orange, Eviden)
  • Typische Frage der Kunden, die beantwortet werden soll: Welche Schwachstellen sind in den letzten 6 Stunden neu ausgenutzt worden?
  • 3 Ansätze, von außen nach innen:
  • Digitale Zwillinge von bestimmten Firewalls oder VPN Gateways o.ä. werden als Täuschkörper durch Lupovis in’s Netz gestellt, um Angriffe darauf zu beobachten und den Kunden die Infos dazu als CTI zur Verfügung zu stellen
  • Erstellung von Honey Subdomains, deren Nutzung (gefiltert) überwacht wird
  • Überwachung von Honeypots/-tokens wie Dateien, API oder Fake Endpunkten, die vom Kunden in der on prem Infrastruktur verteilt werden
  • Suchen noch nach Channel Partner im DACH Raum

 

Orca (Update):

  • CNAPP (agentless oder via Sensor, Kernwettbewerber zu Wiz). Lohnt sich insbesondere bei Multicloud-Umgebungen
  • Inzwischen ~900 Kunden, in der EU u.a. SAP, Bayer, Clariant, Erste Bank und Nestlé
  • Bei der Usability hat sich in den letzten 12 Monaten viel getan
  • Compliance-Frameworks haben im Quervergleich die Möglichkeit für feingranularere Anforderungen
  • Scans inkl. Backend-Engine können in Kundenumgebung ohne Datenabfluss erfolgen (z.B. für Public Sector). Dafür werden Spot-VM genutzt (keine K8-Cluster => geringere Kosten/Wartungsaufwand). Falls die VM Instanz seitens Hyperscaler gecancelt wird, startet der Prozess neu
  • Bei der Angriffspfadvisualisierung werden nicht nur die möglichen Gegenmaßnahmen zu den CVE/Fehlkonfiguration (z.B. VM-Zugriff an ZTNA Lösung vorbei möglich) angezeigt, sondern auch die positiven Auswirkungen auf das Risiko bei Umsetzung
  • AppSec-Modul natürlich mit Codegenerierung (verschiedene LLM möglich, auch kundeneigene Modelle über MCP)
  • EU Sovereign Clouds kommen jetzt in den nächsten Monaten, startet mit CSPM
  • Suchen noch MSSP / Channel Partner für den DACH Raum (bisher u.a. DoIT Solutions)

 

ProLion:

  • Data Security Lösungen (wie Anti-Ransomware) aus Österreich für unstrukturierte Daten (keine Datenbanken) auf Storage von NetApp, Dell und Windows Fileserver
  • Ca. 100 MA, ca. 1000 Kunden, u.a. Stadt Nürnberg, Stadt Karlsruhe, viele Kliniken
  • Ausschließlich on prem auf VM
  • Blockiert Schreiboperationen auf bestimmte Dateiendungen, die für Ransomware typisch sind
  • Verhaltensbasierte Anomalieerkennung von Lese-/Schreibzugriffen auf Dateien und Zugriffssperre (für lokales AD)
  • Protokollierung aller Zugriffe + Änderungen
  • Wiederherstellung von einzelnen Dateien möglich
  • Azure Local / VM u. Distributed File System auf Roadmap
  • Dazu Lösungen für Speicherkostenoptimierung und Hochverfügbarkeit

 

Sonrai Security:

  • US Lösung für Cloud PIM inkl. AI Agent Security als Ergänzung zu CNAPP – Funktionen ähnlich wie Entra ID P2, aber eben mit Fokus auf Azure, AWS und GCP
  • Kernproblem, das gelöst werden soll: Überprivilegierte NHI und Nutzerkonten inkl. Zombie Accounts + ungenutzte Services
  • Ca. 35 Unternehmenskunden, alle sehr groß (u.a. Wells Fargo, Pfizer, American Airlines)
  • Erzwingt u.a. vorherige Freigabe von kritischen Zugriffen durch Kollegen oder über Approval Workflows. Die Zugriffe sind dann zeitlich begrenzt
  • Register aller 3rd Party Nutzer mit Accounts
  • Bieten ein kostenloses Assessment, bei dem z.B. auch KI Agenten in Cloud-Umgebungen inventarisiert werden

Wie immer gilt: Fragen, Anregungen, Kommentare, Erfahrungsberichte, Themenwünsche und auch gegenläufige Meinungen oder Richtigstellungen gerne per Email. Dito für Abmeldungen vom Verteiler.

Für die Leute, die den Marktkommentar zum ersten Mal weitergeleitet bekommen haben: Hier kann man sich bei Interesse anmelden oder im Archiv eine Klimaanlage installieren.

 

Viele Grüße

Jannis Stemmann

Nach oben scrollen