Hallo zusammen,
Zum Jahresabschluss heute mal eher ein leichtgewichtiger Einstieg zum generellen Amusement, auch wenn es nur peripher mit Security zu tun hat. Das haben wir uns alle verdient, finde ich. Und zwar geht es um hohe Börsenkurse (auch, aber nicht nur von Security-Firmen) und meine beeindruckende Talentlosigkeit, an diesen mitzuverdienen. Vielleicht leiden ja einige in der Leserschaft unter ähnlichen Symptomen – Falls ja, fühlt Ihr Euch hoffentlich ein wenig besser beim Gedanken daran, nicht allein arm zu sein 😉. Und der Rest kann sich einfach heimlich freuen oder mir eine Postkarte von der Privatinsel schicken.
Seit ~2017 läuft bei mir nämlich jedes Jahr depottechnisch ungefähr nach folgendem Muster ab:
- Ich denke mir, die Bewertungen besonders im Tech-Sektor sind schon relativ hoch, das ganze Wachstum ist schon eingepreist, also mal abwarten, bestimmt normalisiert sich der Hype bald und dann bieten sich vernünftige Einstiegskurse. Bitcoin ist die neue Tulpenzwiebel (wo ist denn da die Dividende, bitteschön?!), Bäume wachsen auch bei den besten Geschäftsmodellen nicht in den Himmel, NVIDIA und Microsoft bekommen bestimmt bald Wettbewerb, Google hat den Quantencomputer und mischt die Karten neu, der Kurs von Tesla ist sowieso nicht nachvollziehbar.
- Als nächstes steigen dann genau diese von mir als überbewertet eingeschätzten Aktien nochmal um 30-300%.
- Meine Nachbarn und KollegInnen werden durch gehebeltes Daytrading Crypto-Milliardäre, während mein Portfolio mit Buffett-Style-Value-Schätzchen ähnlich gut performt wie die FDP oder der FC Köln.
- Goto 1
Für diejenigen unter uns, die der finanziellen Unabhängigkeit zügig entgegenstreben, empfehle ich daher einfach meine Anlagetipps als zuverlässigen Kontraindikator (bei Interesse bitte melden).
Wer schon die Dotcom-Blase miterlebt hat, kennt wahrscheinlich folgendes Zitat von Scott McNealy, ehemaliger CEO von Sun Microsystems, aus einem Interview 2002:
“At 10 times revenues, to give you a 10-year payback, I have to pay you 100% of revenues for 10 straight years in dividends. That assumes I can get that by my shareholders. That assumes I have zero cost of goods sold, which is very hard for a computer company. That assumes zero expenses, which is really hard with 39,000 employees. That assumes I pay no taxes, which is very hard. And that assumes you pay no taxes on your dividends, which is kind of illegal. And that assumes with zero R&D for the next 10 years, I can maintain the current revenue run rate. Now, having done that, would any of you like to buy my stock at $64? Do you realize how ridiculous those basic assumptions are? You don’t need any transparency. You don’t need any footnotes. What were you thinking?“
Eigentlich ganz schlüssig hergeleitet, warum ein Multiple von 10 auf den Umsatz sportlich ist – selbst bei ordentlichem Wachstum und bei niedrigen variablen Kosten, die ja die meisten SaaS-Anbieter für sich in Anspruch nehmen können. Allerdings scheint das die Mehrzahl der Anleger komplett anders zu sehen, wenn man sich die aktuellen Bewertungen anschaut (der Fachbegriff an der Stelle ist wohl „Hold my beer“):
Unternehmen | Multiple Marktkapitalisierung / Umsatz |
|---|---|
Crowdstrike | 24x |
Broadcom | 20x (Private Funding) |
Abnormal | 20x (Private Funding) |
Bracelet | 17x |
Palo Alto Networks | 13x |
Fortinet | 13x |
Microsoft | 13x |
ZScaler | 13x |
1Password | 13x (Private Funding) |
SentinelOne | 11x |
Tanium | 11x (Private Funding) |
Rubric | 10x |
Elastic | 9x |
Palantir | 63x |
Ist das jetzt eine Bubble? Wer weiß, s. oben. Meine tiefschürfende Analyse der konkret wahrnehmbaren Auswirkungen in unserer Branche: Generelle Börseneuphorie (natürlich vorrangig ein amerikanisches Phänomen, in Europa haben wir ja praktisch keine Tech-Giganten, sondern punkten eher über Steuergesetzgebung) => Hohe Bewertungen auch für Cybersecurity-Unternehmen => Mehr Funding über Venture Capital + Private Equity => Angebot höher als tatsächliche Nachfrage => Horrende Ausgaben für Marketing und Vertrieb in der Hoffnung, damit die überzogenen Wachstumserwartungen erfüllen zu können => Hostessen, die auf Security-Events CISOs verfolgen.
Übrigens muss ich den besagten Event-Anbieter nachträglich in Schutz nehmen: Einige Teilnehmer haben da wohl die Funktion des Chips im Kärtchen falsch interpretiert. Der Chip war ein RFID-Blocker und wurde selbstverständlich nicht zur Ortung genutzt (die erfolgt rein konventionell ohne elektronische Hilfsmittel). Das wäre auf einer Security-Veranstaltung ja auch absurd gewesen. Falls jemand noch ein Original hat, aber gerne für eine forensische Analyse zu uns schicken.
Der französische Cyberversicherer Stoïk hat wohl angefangen, den deutschen Markt aufzumischen, u.a. mit einem Inhouse CERT und Präventionsleistungen wie Schwachstellenscans (Danke für den Hinweis, Klaus!). Dadurch hat der Versicherer natürlich einen sehr transparenten Blick auf die Wirksamkeit von bestimmten Security-Maßnahmen. Auf jeden Fall haben sie einen leicht lesbaren Bericht zu den verarbeiteten Cyber-Schadensfällen (Fokus auf KMU 2023) herausgebracht, ein paar Zahlen/Aussagen daraus:
- Über den gesamten Versicherungsbestand wurden innerhalb eines Jahres bei ca. 4% der Unternehmen ein Cyber-Schaden gemeldet, die meisten davon eine Kompromittierung von Mailboxen ohne weitere Auswirkungen
- Ca. 1% der Unternehmen erlitten einen Ransomware-Angriff (ähnlich hoch wie die Anzahl erkannter Betrugsfälle)
- In ca. 75% der Ransomware-Fälle konnte das betroffene Unternehmen innerhalb weniger als 1 Woche den Betrieb wieder aufnehmen. Dabei 100% Korrelation mit funktionierenden Backups und getesteter Recovery.
- Bei Verhandlungen konnte im Mittel eine 50%ige Reduzierung der Lösegeldforderung (auf dann durchschnittlich 700 TEUR) erreicht werden
Ich denke, wir werden in den kommenden Jahren seitens Versicherungswirtschaft viel klarere Empfehlungen bekommen, welche Maßnahmen in der Vorbeugung effektiv und effizient sind – so, wie es bei Brandschutz oder Einbruchsschutz schon heute der Fall ist.
Bei den M&A News gab es (sofern ich das mitbekommen habe) wenig Weltbewegendes, abgesehen vom Zusammenschluss von Veritas mit Cohesity (insgesamt dann ~12.000 Kunden). Deshalb hier die Überleitung zu den Notizen aus Vendor Briefings:
Bitdefender (Update):
- Sicher bekannt, einer der wenigen EPP/EDR/XDR Hersteller aus EU (Rumänien, wo auch die MDR Analysten für EU-Kunden sitzen), und die darüber hinaus auch noch eine on prem Variante anbieten
- Aufgrund der zunehmend besseren Bewertung bei MITRE Tests und dem jetzt verfügbaren MDR Service auch öfter mal auf Longlist bei EDR/XDR-Projekten von größeren Kunden
- Inzwischen auch Module für Identity Protection (lokales AD + Entra ID), Schwachstellenscans, Mailfilter, CSPM, CWP und ein eigenes NDR (hier scheint die Funktionalität aber noch eingeschränkt, z.B. Mustererkennung bei verschlüsseltem Datenverkehr)
- Tatsächlich gibt es (noch) große Unterschiede zwischen der on premise und der SaaS-Lösung: Beispielsweise gibt es nur in der Cloudvariante die Integration mit dem Email-Gateway oder einen Agenten für EC2, aber dafür keine Überwachung einiger Hypervisor-Typen
- Und wie bei allen EDR-Lösungen hat der Agent auf Linux-Systemen eine eingeschränkte Funktionalität, hier z.B. keine echte Tamper Protection oder Sandbox
- Interessant: OEM-Lösungen für andere Endpunktlösungen und IoT-Gerätehersteller. Die AV Engine steckt als Whitelabel-Lösung beispielsweise auch in den Produkten von Withsecure, Cybereason, Trellix, Acronis, Cisco und G-Data. Dazu gibt es auch Threat Intelligence-Feeds für MSSPs.
Exeon:
- Schweizer Hersteller für NDR (allerdings mit einem eher ungewöhnlichen Ansatz). War zwar schon in einigen unserer RfPs dabei, das haben aber immer Kollegen bearbeitet => Deshalb habe ich mir das mal näher angeschaut
- Bei knapp 100 Kunden im Einsatz, Referenzen u.a. Swiss, Schweizer Post, Uni Bern, Win GD (Winterthur Gas+Diesel). Zum Vergleich: Darktrace wirbt mit inzwischen 10.000 Unternehmenskunden. Zeigt mal wieder die monumentalen Herausforderungen, vor denen innovative europäische Anbieter stehen.
- Rein softwarebasiert, wird on prem auf VM installiert (alle Hypervisoren incl. KVM möglich). Darüber werden Netflow- und Syslogdaten von (Segmentierungs-)Firewalls, Switches, Datendioden, DNS-Servern oder Proxies gesammelt. Dazu kommen optional noch Logs vom IdP oder anderen Security-Tools wie EDR/IDS/Schwachstellenscanner o.ä..
- Keine Verbindung zu zentraler Cloud-Engine notwendig. Neue Releases nur ~4x/Jahr, da keine Signaturen genutzt werden, sondern nur Anomalieerkennung
- Vorfälle, die erkannt werden können: Fehlgeschlagene und ungewöhnliche Anmeldeversuche, z.B. auf VPN Server => Darüber eben Erkennung von auffälligen lateralen Bewegungen möglich
- Natürlich Visualisierung des Netzwerks möglich
- Kein Aufbruch von verschlüsseltem Netzverkehr, keine Deep Packet Inspection oder Application Layer Analyse, keine PCAP-Mitschnitte (da kein Traffic Mirroring über TAP/SPAN). Kann aber teilweise über eine Corelight-Integration abgebildet werden.
- Kann ein SIEM nicht vollständig ersetzen, weil einige Use Cases wie die Erkennung von Konfigurationsänderungen nicht abbildbar sind
- Aber insbesondere für mittelständische bzw. mittelgroße Infrastrukturen gute Ergänzung zu EDR, wenn ein „richtiges“ SIEM zu teuer/aufwändig wäre. Oder eben für Kunden im Finanzsektor, die aus regulatorischen Gründen ein NDR einsetzen müssen.
- Lizenzierung anhand Anzahl IP-Adressen
- MSSP Partner u.a. EnBW Cybersecurity, Eviden und Magellan
LayerX (Danke an Ben für die Empfehlung + Einordnung!):
- Enterprise Browser Extension aus Israel, d.h., Alternative zu VDI, hilft gegen (AI) Data Leakage und Browsing Risiken wie Phishing oder Password/Session Cookie Reuse
- Erst dachte ich, dass sei quasi das Gleiche wie Island. Aber der Clou bei LayerX ist, dass es eine Browser Extension ist (kein eigener Browser), d.h., funktioniert mit den gängigen Desktop Browsern und in naher Zukunft auch bei Mobilgeräten
- Die Nutzung kann bei gemanagten Geräten natürlich erzwungen werden
- Für ungemanagte Geräte muss über den IdP eine Regel eingebaut werden, die dann z.B. beim Zugriff auf Salesforce o.ä. die Nutzung von LayerX erzwingt. Hier ist also eine zweiseitige Integration notwendig (oder der Weg über einen Reverse Proxy). Damit wäre das dann auch mehr als nur ein Schutz vor Insider Threats
- Interessant auch:
-
- Unabhängig von der Applikation kann MFA für den Login bei allen Web-Apps erzwungen werden (keine Integration notwendig)
- Webseiten können mit Wasserzeichen angezeigt werden => Damit dann auf Photos sichtbar, die mit dem Handy gemacht werden
- Dazu noch zentrale Discovery und Management aller sonstigen Browser Extensions (wie z.B. SearchGPT) über Nutzer hinweg
- Jede Anlage von Nutzerkonten bei Web Apps kann registriert werden, um darüber ein Inventar von „Schattenkonten“ zu erzeugen. Hört sich nach etwas an, dass man wahrscheinlich besser vorher mit dem Betriebsrat abstimmt.
- Noch in der frühen Phase des Markteintritts in der EU, aber schon größere Kunden in US und UK (insgesamt wohl > 1 Mio Nutzer)
- Ballpark Number 25 EUR / Nutzer / Jahr
OneTrust (Update für IT + Security Risk Management):
- Haben wir bzw. meine Kollegin Janina (Danke dafür!) uns kürzlich im Rahmen eines Angebotsvergleichs für GRC-Tools nochmal angeschaut. Janina hat früher auch mit OneTrust gearbeitet
- Verknüpfungen (Parent/Child) zwischen Geschäftsprozessen, verwendeten Software-Tools und Organisationseinheiten modellierbar (=> Beantwortet die Frage: Wer verwendet was in welchem Prozess wo auf der Welt?)
- Bei Imports von Asset-Inventaren: Fehlerhafte Records werden aufgezeigt, d.h., teilweiser Import und gezielte Fehlerbehebung / Nachtrag von Feldern oder Attributen möglich
- Security Controls (Maßnahmen)
-
- können über Prozesse auf andere Assets / Org-Einheiten vererbt werden
- werden auf Aufgaben (Task)-Ebene dedupliziert: Beispiel MFA => Bei 2 notwendigen Standards (wie HIPAA und ISO) jeweils unterschiedlich als separate Controls formuliert und definiert, aber als nur 1 Task enthalten. Wenn diese Task abgearbeitet ist, sind beide Controls erfüllt
- Benutzerdefinierte Kontrollen können einfach über den Import von Excel-Tabellen hochgeladen werden
- Geführte Risiko- und Bedrohungsanalysen mit Vorschlägen für typische Unternehmens-Assets zur Erstellung von Heat Maps (Eintrittswahrscheinlichkeit/Auswirkungen) und als Basis für das Risikomanagement, natürlich verknüpft mit Non-IT-Risiken. Sicher skalierbarer als die typischen Excel-Sheets.
- Risk Register: Risiken können unternehmensweit als „Library“ vorgegeben und durch Org-Einheiten ausgewählt werden, um einheitliche Benennung und Kategorisierung sicherzustellen. Aber noch keine Monte Carlo Simulation von Szenarien möglich
- Fragebögen für Maturity-Assessments oder Lieferantenbewertungen können natürlich individuell konfiguriert oder anhand von Standards erstellt werden. Wie immer ist die Bewertung der Maßnahmenwirksamkeit extrem aufwendig, wenn es sich nicht um eine technische Maßnahme handelt, die automatisiert abgefragt werden kann. Hier ist also wichtig, dass Kunden prüfen, ob für die bei ihnen eingesetzten Security-Tools wie IAM, Firewalls, Schwachstellenscanner etc. native Konnektoren existieren. Insgesamt starkes TPRM Modul, welches flexible Erfassungsoptionen bietet (z.B. Massen-Uploads, Integrationen mit bestehenden Tools) und das Review durch direktes Markieren der pot. Risiken und erstellen von Taks / Follow-Ups erleichtert.
Wie immer: Fragen, Anregungen, Kommentare, Erfahrungsberichte und auch gegenläufige Meinungen oder Richtigstellungen gerne per Email.
Ich freue mich jetzt auf die Weihnachtspause, und wünsche vorab schonmal allen eine erholsame Zeit und dann einen guten Start in das neue Jahr!
Viele Grüße
Jannis Stemmann
