Marktkommentar #25: Das profitabelste Security-Produkt, Renewals und unsouveräne Telefone

Wer die Gewinnmargen mit Crowdstrike, Okta, Elastic oder sonstigen (fast) reinrassigen Security-Playern vergleicht, stellt fest: Dort sind überall Minuszeichen vor dem EBIT, selbst bei Milliardenumsätzen. Nichts ist so lukrativ wie digitale Brandmauern.

Bei Fortinet et al. können wir zudem getrost davon ausgehen, dass das Legacy Firewall Geschäft die Expeditionen in wettbewerbsgefährdete Territorien wie EDR/SIEM etc. finanzieren muss, die Firewall-Margen also nochmal deutlich höher als die veröffentlichten Zahlen sind.

Eine Erklärung könnte sein, dass es offenkundig weniger Wettbewerb bei Firewalls für Enterprise-Kunden gibt, als in anderen Securitybereichen. Und dass keiner der Wettbewerber Microsoft heißt. Dazu kommt die höhere Stickiness von zugriffszentrierten Security-Lösungen vs. z.B. erkennungsbasierten Lösungen. Zugriffskontrolle ist immer in Geschäftslogik und Workflows eingebettet und somit per Definition schwieriger abzulösen, als Tools, die nur durch das Security-Team genutzt werden.

Der übelste Security-Einkäufer des Planeten schlägt wieder zu, und zwar beim Thema Renewals:

• „Successfully negotiating renewals is a lot like demanding a raise. It’s more effective when you’ll walk away. You don’t have to want to, but you need to mean it. You need to have the alternatives, the plans, and, crucially, the spiteful rage to drive you down the alternative path. If you don’t, you’ll be halfhearted, the vendor will sense it, and you won’t get very far. But if you can channel the hate, you’ll get those 90% discounts. I promise.”
• Interessantester Aspekt dabei: Vertriebsteams bekommen bei Lizenzverlängerungen häufig keine Provision mehr auf das bisherige Vertragsvolumen, sondern nur auf die Netto-Erhöhung des Kundenumsatzes (durch zusätzliche User, Module, Preiserhöhungen). Damit spielt es für Verkäufer keine Rolle, ob der Kunde damit droht, die Lizenzen nur bei Preissenkung zu verlängern – so oder so hilft das nicht bei der Quotenerfüllung und Take Home Pay. Im Endeffekt führt diese Provisionsregelung also dazu, dass Vertriebsteams der schon eingesetzten Anbieter bei Renewals weniger motiviert sind als die Konkurrenten, die ggf. einen Neukunden gewinnen können.
• Dazu passt als „anecdotal evidence“ das Ergebnis einer aktuellen Ausschreibung eines MDR Service auf Basis Defender XDR Suite: Kunde mit ~5000 Endpunkten, Preisreduzierung von 65% erreicht bei Wechsel des Anbieters ggü. aktuellem Service (gecovered nur EDR, d.h., geringere Abdeckung ), und das bei gleichen SLA wie Reaktion/Response/Hunting.

Als Zwischenlösung von XDR und SIEM bieten einige MSSP jetzt die Kombination aus XDR für Echtzeiterkennung + Data Lakes für Protokollanalyse in Verdachtsfällen an.

Data Pipeline Tools wie Cribl, Datadog, Databahn oder Tenzir sind dafür die aktuellen Tools der Wahl. Allerdings hat auch Microsoft schon den Trend erkannt und fängt an, einen Sentinel Data Lake auszurollen, der ggü. dem Log Analytics Speicher 85% Kostenreduzierung erreicht, und trotzdem Hunting mittels Queries erlaubt.

Während Trump die CISA restrukturiert, wird beim BSI das Budget um 50% erhöht. A propos BSI: Ein Kollege hat mich darauf hingewiesen, dass es neben der Liste der qualifizierten APT Dienstleister auch eine BSI Liste zertifizierter Dienstleister für den „Geltungsbereich Vorfallsbearbeitung“ gibt. Hier scheint eine wichtige Anforderung die Bereitstellung eines ausreichend großen Teams von Vorfall-Experten, die einen überregionalen Einsatz ermöglichen. Stand heute sind darin nur 4 Anbieter aufgeführt: Secunet, Hisolutions, TÜV Trust IT und Deutsche Telekom. Ich gehe mal davon aus, dass die Liste weiter wachsen wird, wenn sie bekannter wird.

Fani Akbar (AWS Pen Test Crack) hat sich im Rahmen eines kürzlichen umfassenden Red Teamings mit AWS Logquellen (Cloudtrail, VPC Flow, Guardduty…) befasst, diese der Wichtigkeit nach geordnet und auch gleich einige Detection (Real Time und UEBA) + Response Rules (wie Deaktivierung User) mitgeliefert. Sehr verständlich geschrieben. S3 Access Logs und Eventbridge wurden dabei als tendenziell unwichtig eingestuft. Spannend auch der Ansatz, die Effektivität der Erkennungsregeln zu bewerten: Über die Kombination der Trendanalyse von True und False Positive Raten sowie das Anschlagen auf synthetische Daten, die Angriffstechniken enthalten (also quasi eine Bibliothek von Logs mit versteckten IoA / IoC). DORA regulierte Kunden kennen ja die Problematik, dass die Wirksamkeit der Erkennungsregeln nachweisbar sein muss. Auf einer etwas höheren Flugebene hat die Palo Alto Unit42 einen sehr guten Überblick zu Cloud Logquellen auf Steuerungs- und Daten-Layer erstellt (s. anbei).

Digitale Souveränität: Die europäischen Cloud Anbieter verweisen laut empört auf ein Verhör vor dem französischen Parlament, in dem der Außenminister von Microsoft zugegeben hat, dass die US-Regierung auch bei der „European Sovereign Cloud“ Zugriff auf Kundendaten erhalten könnte. Stichworte Cloud Act, Patriot Act. Meiner Meinung nach lässt sich dieses Problem ja über eine kundeneigene Verschlüsselung lösen. Viel fraglicher ist doch die Abhängigkeit beim Betrieb, solange der Quellcode unbekannt ist, oder?

Aber ganz ehrlich: Ich überweise mein Schutzgeld am Monatsersten lieber an Microsoft als nach Moskau. In der ganzen Debatte wird ja auch die Abhängigkeit bei Mobilgeräten vermieden. Wer außer dem Bundeskanzler nutzt denn ein Telefon mit europäischer Hard- u. Software? Und wer in der Zeitung auch mal die Wirtschaftsnachrichten liest, dem fällt wahrscheinlich auf, dass Vorstände in der DACH Region flächendeckend mit Problemen wie Absatzeinbrüchen, Gewinnwarnungen und Arbeitsplatzabbau beschäftigt sind – sehr konkret im Hier und Jetzt. Für die Behandlung theoretischer Risiken bleibt da wenig finanzieller Spielraum. Vermutlich werden sich die meisten Unternehmen nur dann für digital autarke Lösungen entscheiden, wenn dies entweder ohne Mehrkosten möglich oder gesetzlich vorgeschrieben ist.

Laufen wir in die Security-Sättigung? Einfach nur die Welle absurfen reicht auf jeden Fall nicht (mehr). Weniger als die Hälfte aller Security-Anbieter ist im ersten Halbjahr 2025 überhaupt gewachsen, meldet IT Harvest. Und im aktuellen IBM Data Breach Report versteckt sich eine interessante Zahl: Zum ersten Mal haben weniger als die Hälfte aller Organisationen, die Opfer eines Angriffs („Breach“) wurden, danach ihr Security-Budget erhöht. Das kann ja nur bedeuten, dass die Mehrzahl der Opfer weitere Investitionen in Security trotz Vorfall als nicht rentabel bewertet haben. Im Bericht werden auch Security-Maßnahmen quantitativ nach Risikominderung bewertet. Top 1 ist der Erhebung zufolge DevSecOps, Top 2 „AI driven insights“, Top 3 ist ein SIEM. Überhaupt einen CISO zu haben, landet auf Platz 20 von 21 😉.

Keine Sättigung hingegen, was Geld auf der Finanzierungsseite angeht: Im ersten Halbjahr 2025 ist das Funding für Security-Unternehmen auf ca. 10 Mrd. USD gestiegen, das sind ggü. Vorjahr ca. 20% mehr. #UnstoppableBullMarket.

Konkrete News aus dem M&A Ressort dazu:

• Die große Headline ist natürlich die Übernahme von CyberArk durch Palo Alto:

• • Für 25 Mrd. USD, das ist das ca. 20fache des Umsatzes, Faktor 80-100 auf Free Cash Flow und ca. 25% Prämie auf den Aktienkurs vor Angebot
  • Kein Deal für Value Investoren: CyberArk ist immer noch nicht profitabel (s. above), u.a. werden ~48% des Umsatzes für Vertrieb+Marketing ausgegeben
  • Mit 10.000 Kunden, 4.000 MA, ~30% Umsatzwachstum und einer der führenden IAM/IGA/SSO/PAM/NHI-Lösungen eine starke Ergänzung für die Plattform, die PAN bieten will. Die Integration wird eine Her- und Fraukulesaufgabe!
  • Davor gab es Gerüchte um eine Übernahme von SentinelOne durch PAN, was dem Aktienkurs von S1 kurzzeitig zur Trendwende verholfen hat. IDC schätzt die Marktanteile im EDR Markt bei Enterprise Kunden übrigens wie folgt ein: Microsoft ~25%, Crowdstrike ~18%, SentinelOne ~10%, Palo Alto ~5% und der Rest verteilt sich auf Trend Micro, Sophos, Broadcom etc.

• Der italienische Rüstungskonzern Leonardo kauft

• • 25% von SSH Communications (PAM-Lösung aus Finnland, gegründet vor 30 Jahren vom Erfinder des SSH-Protokolls). SSH wird insgesamt mit ~100 Mio. EUR bewertet – bei ca. 20 Mio. Umsatz und mit wechselndem Vorzeichen beim Gewinn.
  • Und Axiomatics, einen schwedischen Anbieter für kontextbasierte Zugriffskontrolle

• LevelBlue (MSSP aus USA, Tochter von AT&T) ist weiter auf Einkaufstour – nach der Cybersecurityberatung von AON wurde jetzt Trustwave übernommen. Trustwave ist auch ein MDR-Anbieter und hatte vor ca. 1 Jahr auch mal Ambitionen, Cybereason zu kaufen. Der Merger wurde dann aber abgesagt.
• Axonius (Schwachstellenmanagement) kauft Cynerio (OT/MIoT NIDS mit Fokus auf Healthcare, ähnlich Asimily)
• Vanta (GRC) holt sich nochmal 150 Mio. Funding, zu einer Bewertung von ~4 Mrd. USD

Notizen aus Anbietergesprächen:

Defenderbox:

• Deutsches Startup, Funding von NRW, schon 50 Kunden (von KMU mit 25 MA bis Bank)
• Kombiniert Nessus Scans + Horizon3 Pen Tests von innen und außen sowie Darknetrecherchen nach kompromittierten Credentials
• Deployment intern über physische oder virtuelle Appliance
• Natürlich alles vollautomatisiert (wöchentliche Intervalle), als Managed Service mit priorisierten Handlungsempfehlungen
• Zusatzmodule wie AD Audit (Purple Knight)
• Preis ab 500 EUR/Mt.

Maze:

• UK Startup für die automatische Priorisierung von Schwachstellen
• Cooler Ansatz: KI, die von Security Spezialisten bei der Risiko-Analyse von Schwachstellen trainiert wurde. Schade, dass ich die Idee nicht hatte! Eigentlich ja offenkundig, und ein Problem, dass alle Organisationen haben
• Keine Agenteninstallation, und kein eigener Scanner, sondern nutzen die Scanergebnisse von Tenable o.ä.
• Bewertet Impact und Voraussetzungen der Ausnutzbarkeit (z.B., ob verwundbare Softwarekomponenten überhaupt geladen werden) mittels theoretischer Prüfung der Angriffsvektoren => ~98% Reduktion der zu behebenden Schwachstellen
• In der Demo war ein Beispiel, dass der AWS Nitro Hypervisor die Ausnutzung einer Linux Kernel Schwachstelle verhindert, weil es keinen virtuellen USB Port gibt, und daher die Behebung depriorisiert werden kann.
• In einem anderen Fall hatte die WAF (natürlich) Ausnahmen für interne IP-Adressen, die gespooft werden können => Ausnutzbar, hohes Risiko von Exfiltration sensibler Daten
• Bisher nur für IaaS Systeme
• AWS Bedrock Hosting in EU Tenant => Kundendaten werden nicht mit LLM-Anbietern geteilt
• Gründer war davor Entwicklungsleiter bei Tessian (an Proofpoint verkauft)
• Early Stage, noch keine zahlenden Kunden

Ultrared:

• CTEM Plattform aus Israel, bootstrapped, profitabel
• Interessant dabei: Nach Aussage des Gründers (ist schon sein 2. Security-Startup) ist es in Japan deutlich einfacher, Enterprise Kunden zu gewinnen, als in EU oder USA. Der Marketing-Craze in Japan ist wohl noch nicht so ausgeprägt
• ~100 Unternehmenskunden (Endanwender + MSSP), auch in der EU
• Agentless, Outside-in Scans für Asset & Schwachstellen Discovery. Also voll im Wettbewerb zu ca. 30 anderen Lösungen in der Kategorie, von Tenable über Bitsight bis zu Cymulate (und natürlich jetzt auch XBOW)
• Fokus darauf, Falschpositiv-Meldungen möglichst klein zu halten mittels safe PoC exploits. Die Validierung wird transparent angezeigt und kann so überprüft werden
• Graphische Darstellung der verbundenen Assets
• KI Assistent zur Erzeugung von SIEM Regeln auf Basis gefundener Verwundbarkeiten
• Suchen noch nach Channel Partnern für den DACH Raum (Distributor Aqaio)

Wie immer: Fragen, Anregungen, Kommentare, Erfahrungsberichte, Themenwünsche und auch gegenläufige Meinungen oder Richtigstellungen gerne per Email. Dito für Abmeldungen vom Verteiler.

Für die Leute, die den Marktkommentar zum ersten Mal weitergeleitet bekommen haben: Hier kann man sich bei Interesse anmelden oder das Archiv für KI-Trainingszwecke absaugen.

Viele Grüße

Jannis Stemmann