Cybersecurity: The ultimate industry to provide very lucrative but ineffective solutions, schreibt die FT mit Augenzwinkern und dem Verweis darauf, dass die Anzahl erfolgreicher Angriffe trotz ständig steigender Security-Ausgaben zunimmt. Shlomo Kramer (CEO, CATO Networks) wird darin mit der Aussage „This entire economy in security is broken, and it’s getting worse and worse” zitiert. Mal sehen, was die Zukunft bringt – evtl. sehen wir ja tatsächlich mehr ergebnisbasierte Vergütungsmodelle.
Auch interessant: Der offene Brief von CISO- und CISSP-Urgestein Ira Winkler, in dem er ISC2 vorwirft, Statistiken zur Anzahl offener Cybersecurity-Stellen um mehrere Größenordnungen zu hoch widerzugeben (man darf annehmen, mit Absicht).
Ein paar Zahlen, die aus dem Diskurs hervorgehen:
- Weltweit verdienen zwar aktuell schätzungsweise ~5 Mio. Vollzeitkräfte ihr Geld mit Cybersecurity
- Aber: Die Anzahl der Beschäftigten stagniert, im Gegensatz zu landläufigen Behauptungen
- In Europa und Nordamerika geht die Zahl der Security-Beschäftigten sogar seit 3 Jahren zurück
- Paradebeispiel Deutschland: 2024 gab es einen Rückgang um ~4% auf ca. 440.000 Beschäftigte (evtl. hilft uns hier ja NIS-2 und CRA kurzfristig)
Was dazu passt: Alle reden von Security als einem großen Wachstumsmarkt. Aber wenn ich Security-Experten unter 4 Augen frage, ob sie glauben, dass es in Deutschland in 20 Jahren mehr Beschäftigte in der Security geben wird als heute, dann ist die fast einhellige Meinung: Nein.
Die im Wesentlichen genannten Gründe, vielleicht zu einem späteren Zeitpunkt mal in mehr Ausführlichkeit:
- Zunehmende Standardisierung + Automatisierung (nicht nur von Security, sondern der zugrundeliegenden IT-Infrastruktur)
- Als Unterpunkt davon: Cloud-Migration => Produktivitätssteigerung durch Zentralisierung
- Anbieterkonsolidierung
- Verlagerung von Tätigkeiten in östliche EU-Länder
- Verbote/Einschränkungen von Ransomware-Zahlungen
Eine besonders hohe Diskrepanz zwischen der Werbung von Trainings-Anbietern wie SANS, privaten Hochschulen mit Cybersecurity-Fernstudiengängen („Keine technischen Vorkenntnisse notwendig“) und der Realität sehe ich bei Einstiegspositionen und den dafür in Aussicht gestellten Gehältern. Grosso modo werden Experten mit Berufserfahrung gesucht. Quereinsteiger ohne solide IT-Kenntnisse mit Schnellbleiche über eine generische Security-Grundausbildung werden i.A. weder auf Anwender- noch auf Anbieterseite einfach einen gut bezahlten Job ergattern. Gut bezahlt im Sinne von: Besser bezahlt als ein IT Administrator. Das ist ja auch logisch: In den meisten Unternehmen gibt es nur kleine Security-Teams, für die die Genehmigung jedes zusätzlichen Headcounts ein aufreibender Kampf gegen die Hüter der Budgetobergrenzen ist. Wer stellt da Newbies ein? Und selbst im Vertrieb gibt es inzwischen genug Leute, die vielleicht wenig Fachwissen haben, aber das mit einem guten Netzwerk bei IT-Entscheidungsträgern aufwiegen.
Übrigens hat Forbes die Story über Gili Ranaan und Cyberstarts aufgegriffen. Seit Juni wurde die Vergütung von CISOs, wenn ihre Arbeitgeber die Produkte des VC-Fonds kauften („Sunrise“), ausgesetzt. In der Vergangenheit wurden wohl bis zu 250k USD ausgezahlt. Zumindest mich könnte man auch schon mit weniger bestechen, aber in den USA bekommt man dafür ja gerade noch einen kleinen Kaffee.
Thoma Bravo war mal wieder fleißig: Das Portfoliounternehmen Proofpoint hat den Data Security Posture Management (DSPM) Anbieter Normalyze übernommen. Was kann so ein DSPM Tool eigentlich?
- Daten automatisch klassifizieren (Vermeidung von manuellem Tagging)
- Je nach Klassifizierung und kundenindividuellen Regeln (z.B. Berücksichtigung von Security-Maßnahmen) werden die Daten dann automatisch zu Risiken zugeordnet
- Je nach Risikoklasse können dann die Konfigurationen von z.B. Cloud Storagediensten ggü. Benchmarks geprüft werden
- Im Gegensatz zu CASB/DLP Tools findet keine Erkennung oder Blockierung von Zugriffen/Downloads statt
- Neben Standalone DSPM Tools wie Varonis haben sich viele Anbieter durch Übernahmen mit ähnlichen Funktionen verstärkt, z.B. Palo Alto mit Dig, Tenable mit Eureka, Fortinet mit Next DLP und Crowdstrike mit Flow
Sophos (bzw. auch wieder Thoma Bravo) hat Secureworks (Haupteigentümer Dell) für ~860 Mio USD gekauft – ein ansehnliches Multiple für einen Managed Service Anbieter, dessen Umsatz ggü. dem Vorjahr um 20% geschrumpft (auf ~370 Mio. USD), der seit min. 5 Jahren unprofitabel ist und auch auf der Cash Flow Seite manchmal das falsche Vorzeichen hat. Da muss einiges an Synergien eingepreist sein. Wahrscheinlich auf der Kundenseite (US/UK) und bei der Entwicklung. Die Pressemitteilung liest sich danach, dass Sophos in Zukunft auf die Secureworks „Taegis“ XDR Plattform setzen wird. Sophos bietet ihren MDR Service bisher auch schon auf Basis Microsoft Defender an, eine recht individuelle Strategie in der Herstellerlandschaft, die eher wenig Vertrauen in die Überlegenheit der eigenen Tech-Plattform ausgedrückt hat.
Nebenbei bemerkt, sieht man anhand Broadcom/VMWare, dass sich Entscheidungen zum Produkt ganz schön ziehen können: Auf der it-sa wurde mir gesagt, dass immer noch beide EDR Lösungen Carbon Black und Symantec parallel angeboten werden und bisher keine Integration oder Zusammenführung der Entwicklung geplant ist. Wer das versteht, kann sich gerne melden.
Crowdstrike und ZScaler haben eine Vertiefung ihrer bestehenden Allianz angekündigt und wollen damit eine umfassende Zero Trust Alternative zum MS Defender/Entra/Purview Ökosystem aus einer Hand bieten. Ob wir hier in Zukunft eine Übernahme sehen? Ich schätze, eher nicht. Im Moment ist ZScaler noch mit ~20 Mrd. USD bewertet, dafür kann Crowdstrike auch viel CASB / SASE Funktionalität selbst entwickeln. Und die stärkere Marke haben sie sowieso schon. Dafür spricht auch, dass kurz danach auch eine neue Partnerschaft mit Fortinet publiziert wurde. Da hält man sich offenkundig alle Optionen hinsichtlich Network Security offen und sieht auch eine Zukunft bei Perimeter Firewalls.
Was mich mal wieder überrascht hat: Armis ist auf Basis der neuen Fundingrunde inzwischen mehr als 4 Mrd. USD wert (Faktor ~20 auf den Umsatz). Das VC-Cybersecurity-Spiel ist echt die Reise nach Jerusalem, oder? Hauptsache, man erwischt noch einen Stuhl, wenn die Musik aufhört.
Bevor es mit den üblichen Notizen aus Vendor Briefings weitergeht, noch ein „Shoutout“ an einen Solo-Entrepreneur im Bereich Detection Engineering, der von unseren Kunden hochgelobt wird: Alex Teixeira. Wer sein eigenes SIEM und/oder EDR betreibt, kennt ihn vielleicht schon – genau wie wahrscheinlich auch seinen Kumpel Kostas von DFIR Report, der nebenbei EDR Telemetrie vergleicht (s. auch den Screenshot anbei – lohnt sich, da ab und zu mal reinzuschauen, aktuell wird an den Linux-Versionen gearbeitet). Zur Vertiefung in das Thema bietet sich auch Awesome Threat Detection an, ein umfassenderes Kompendium geht wahrscheinlich nicht. Jetzt aber ab in den Notizblock:
EON.IO:
- Amerikanisches Startup für Cloud Backup and Recovery (d.h., für Backups von Cloud-Datenquellen)
- Typische Probleme bei Cohesity, Commvault, VEEAM oder Rubrik, die EON.IO lösen will: In jedem Cloud Segment müssen Agenten installiert werden, manuelles Tagging + Konfiguration der Daten ist notwendig, Snapshots sind nicht durchsuchbar, keine Wiederherstellung von einzelnen Dateien möglich
- Ohne Agenten, die installiert werden müssen
- Neu erstellte Ressourcen (z.B. eine Datenbank auf einer EC2 Instanz) werden automatisch erkannt, die Daten klassifiziert (z.B. PII) und mit Backup Policies (wie Frequenz, Object Lock) verknüpft
- Backups können dann sogar z.B. mit SQL Queries durchsucht werden => Hatte den Eindruck, dass das gar kein Unterschied mehr zu einem normalen Data Lake war
- Aktuell noch Fokus auf AWS, andere Cloud Anbieter sind auf der Roadmap
- ISO27001 + SOC2 zertifiziert
- Ca. 50 MA, 130 Mio USD Funding, aber noch fast keine Kunden
- Kosten wohl 20-50% geringer als die Standard Snapshot-Backups von AWS oder Azure
D3 (Update):
- Kanadischer SOAR-Anbieter (Alternative zu z.B. Palo Alto XSOAR oder OTRS STORM)
- Ca. 160 Unternehmenskunden, u.a. Disney, Cummins, S&P Global, und natürlich viele MSSPs (auch einige in der EU)
- Flexibles Deployment on prem/hybrid/SaaS
- Response Playbooks für jede einzelne MITRE ATT&CK TTP (die angebundenen Tools müssen natürlich jeweils konfiguriert werden)
- Drag&Drop GUI für Erstellung von eigenen Workflows
- Die Secret Sauce ist anscheinend die Normalisierung unterschiedlicher Datenmodelle mit unterschiedlichen Namenskonventionen
- Lizenzkosten nur abhängig von Anzahl Nutzern (d.h., nicht von Logvolumen, Anzahl Playbooks / Integrationen o.ä.)
- KI Assistenz noch in „Beta“, konnte ich mir nicht ansehen
Dragos (Update):
- Kennen bestimmt viele aus dem OT NIDS / ICS Anomaliedetektion und Schwachstellenmanagement Markt (d.h., ähnlich Claroty, Nozomi, Rhebo, Cisco, Omicron…)
- Daneben aber auch starker Fokus auf OT-spezifischer Threat Intelligence, Architekturberatung, Notfallübungen, Managed Detection + Incident Response und Incident => Vorteil also, viele OT Security Themen abzudecken
- Auf Basis der eigenen TI werden einzelne Events relativ trennscharf zu Incidents gruppiert oder als harmlos eingeordnet, was eine gute Priorisierung ermöglicht
- Inzwischen > 500 MA und > 400 Kunden, wie üblich bei OT viel kritische Infrastruktur darunter, bis hin zur NATO. Im Healthcare-Sektor wohl noch eher schwächer. Referenzkunden im DACH Raum u.a. Deutsche Bahn und Lindt & Sprüngli
- Architektur wie üblich: optionale Edge Kollektoren als Docker Container auf Switches/Routern, Sensor als Hardware Appliance an Switch mit Voranalysefunktion und Deduplizierung des Datenverkehrs, zentrale Engine on prem oder in (ggf. private) Cloud
- Lizenzmodell etwas ungewöhnlich: Nicht abhängig von Anzahl Assets, sondern von Bandbreite auf den Eingangsports
- Suchen auch noch weitere Channelpartner und SOC-Partner, die sich punktuell mit OT Expertise verstärken wollen (auch als Whitelabel möglich) => Bei Interesse stelle ich den Kontakt gerne her
Horizon3 (Update):
- „Autonome Pen Tests“ mit harmlosen Exploit Code (ähnlich Pentera oder AttackIQ)
- Entweder gezielter Test von einzelnen Schwachstellen möglich, oder „explorativ“ mit anderem Automatisierungs-Ansatz als die Wettbewerber: „Wahrscheinlichster nächster Schritt des Angreifers in diesem Kontext“ anstatt „Alle möglichen Angriffsketten vorprogrammiert“
- Hatte anhand von ein paar Beispielen den Eindruck, dass spätestens 2 Wochen nach Bekanntgabe einer neuen kritischen Schwachstelle der entsprechende Exploit mit Test bei Horizon3 verfügbar war. Allerdings hat man als Kunde keinen Anspruch darauf, dass für jede relevante Schwachstelle ein Exploit entwickelt wird.
- Detailliertes Logging der ausgeführten Aktionen => Damit lässt sich zumindest manuell dann die Wirksamkeit von EDR/NDR/SIEM etc. prüfen
- Leider noch fast keine out of the Box Integrationen mit Security Tools (bisher nur Splunk), da sollen aber noch mehr dazukommen
- Identity Attack Surface: AWS oder Azure Entra ID Pentests (Start mit normalen User-Credentials, dann Test, ob Privilege Escalation möglich ist). Scheint noch ausbaufähig.
- Tripwires: Das sind Deception „Köder“ (Beispiel: AWS Credential File, Datenbank-Dumps), die auf ausnutzbaren Assets abgelegt werden, und die bei Zugriffen Alarme auslösen. Kannte ich in der Kombination mit einem Pen Test Tool noch gar nicht. Quasi eine Art Zwischenlösung bis zum Patch.
- Ca. 100 Unternehmenskunden in der EU, vorrangig natürlich Konzerne mit eigenen Red Teams. Wird auch viel von MSSPs (wie EY, Deloitte) genutzt, weil multimandantenfähig und gut skalierbar
- Was noch durch manuelle Tests ergänzt werden muss: Z.B. gezielte Szenarien, in denen Admin-Credentials für SAP, Firewalls oder Backupsysteme erbeutet werden sollen, oder Tests von kundenindividuellen Webapplikationen
- Lizenzpreise abhängig von Anzahl IP-Adressen. Business Case geht wahrscheinlich auf, sobald 2-3 manuelle Pen Tests pro Jahr ersetzt werden können
- Irgendwann muss ich mir MITRE Caldera (Open Source, „Adversary Emulation Platform“) mal im Detail anschauen. Damit sind inzwischen auch komplexere Pen Tests semi-automatisiert möglich, und offenkundig arbeitet eine Community an der ständigen Weiterentwicklung. Falls da jemand Erfahrung hat => Gerne Hand heben
Wie immer gilt: Fragen, Anregungen, Kommentare, Erfahrungsberichte und auch gegenläufige Meinungen, Richtigstellungen gerne per Email. Und nochmal großes Dankeschön an alle Gesprächspartner, die für meine Fragen ein offenes Ohr hatten!
Wer sich für die weiteren Marktkommentare an- oder abmelden will, oder unser Archiv z.B. nach Anbieternamen durchsuchen möchte: Jetzt für Marktkommentar anmelden – CyberCompare
Viele Grüße
Jannis Stemmann