{"id":34030,"date":"2026-03-26T08:51:30","date_gmt":"2026-03-26T08:51:30","guid":{"rendered":"https:\/\/cybercompare.com\/?p=34030"},"modified":"2026-03-26T08:55:59","modified_gmt":"2026-03-26T08:55:59","slug":"cybercompare-marktkommentar-39_de","status":"publish","type":"post","link":"https:\/\/cybercompare.com\/de\/cybercompare-marktkommentar-39_de\/","title":{"rendered":"CyberCompare Marktkommentar #39: Office Klone als Verhandlungshebel, Sicherheit von Passwortmanagern, KI im SOC + Crowdstrike Zahlen"},"content":{"rendered":"\n<p>Hallo zusammen,<\/p>\n\n\n\n<p>\u201e<em>Unser klares <strong>Ziel:<\/strong> <strong>Keine Preiserh\u00f6hungen von Microsoft mehr akzeptieren<\/strong>. Wir programmieren Office mit KI nach.\u201c<\/em><\/p>\n\n\n\n<p>So die recht selbstbewusste Aussage eines Enterprise Architekten auf dem Rethink! Event letzte Woche. Eigenbau ist wohl attraktiver als OpenDesk, LibreOffice o.\u00e4.. Angeblich werden bei seinem Arbeitgeber (einem europ\u00e4ischen Konzern) schon mittels Claude Code SW-Tools repliziert, anstatt die Lizenzen zu verl\u00e4ngern. Und weiter im O-Ton: \u201e<em>Bei rein internem Gebrauch ist der Entwicklungs- und Betriebs-Aufwand viel niedriger, als wenn man die SW extern verkaufen will. Einige der <strong>Security-Tools, die ich hier gesehen habe, sind aus meiner Sicht inzwischen unverk\u00e4uflich<\/strong>, die kann man einfach nachbauen\u201c<\/em>.<\/p>\n\n\n\n<p>Also, wem vor dem n\u00e4chsten Termin mit Microsoft oder Broadcom dr\u00e4ut: Ich stelle gerne den Kontakt zu den Verhandlungs-Profis her. Kann ja echt nicht so schwer sein, einen Hypervisor zu viben. \ud83d\ude09<\/p>\n\n\n\n<p>In der Tat schien allerdings auch mir bei einigen Demovorstellungen der Abstand zu KI-Bastel-Output recht \u00fcberschaubar. Um Daniel Miessler zu zitieren, <strong>viele kleinere<\/strong> <strong>Sec-Tools werden wahrscheinlich zu einer API \/ MCP Interface ohne eigene GUI<\/strong>. Die Zukunft bleibt spannend!<\/p>\n\n\n\n<p><strong>Checkmarx<\/strong> hat auf der gleichen Konferenz eine coole Umfrage unter 1500 Entwicklern u. Security-Verantwortlichen vorgestellt \u2013 u.a. kam heraus, dass <strong>80% der befragten SW-Entwickler wissentlich Code mit bekannten Schwachstellen in Produktionsumgebungen<\/strong> laufen lassen. 30% davon in der Hoffnung, dass das niemand auff\u00e4llt.<\/p>\n\n\n\n<p>Im Vortrag wurde auch darauf hingewiesen, dass laut <strong><a href=\"https:\/\/baxbench.com\/\">Baxbench<\/a><\/strong> 20-30% des von Opus\/GPT generierten Codes zwar logisch richtig, aber unsicher sei. Damit sollte nat\u00fcrlich die Notwendigkeit von AppSec-Tools belegt werden. Alles nachvollziehbar. Aber: Was ist denn eigentlich ein realistischer Zielwert heute, der bei vergleichbaren Ma\u00dfst\u00e4ben in einem guten SDLC und <strong>Snyk, Veracode, Sonarqube<\/strong> oder \u00e4hnlichen Tools erreicht werden kann? Das konnte\/wollte mir keiner sagen \u2013 falls da jemand Infos hat, gerne.<\/p>\n\n\n\n<p>Noch einige Infos aus einem Vortrag von <strong>BMW<\/strong>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>80% der Lieferanten mit Breaches hatten keine TISAX-Zertifizierung<\/strong><\/li>\n\n\n\n<li><strong>Time to Recovery bei Lieferanten mit Zertifizierung war durchschnittlich 3-4 Tage, bei denen ohne ~10 Tage <\/strong>=> Zertifikat ist eine notwendige, nicht hinreichende Bedingung. Deshalb werden weiterhin auch Anforderungen gestellt, die \u00fcber TISAX hinausgehen und auditiert werden<\/li>\n\n\n\n<li>Smarter Ansatz: BMW qu\u00e4lt Lieferanten nicht nur mit Gap Assessments \/ Audits, sondern stellt auch bei Vorf\u00e4llen technische Spezialisten vor Ort. Dabei gleiches Interesse wie Lieferant: Schneller Wiederanlauf<\/li>\n\n\n\n<li>Nebenbemerkung zur Security-Orga: BMW hat keinen zentralen CISO, sondern separate Verantwortlichkeiten f\u00fcr IS, IT-Sec, OT-Sec, Lieferantensecurity (letzteres beim Einkauf angesiedelt)<\/li>\n<\/ul>\n\n\n\n<p>Die <strong>ETH Z\u00fcrich<\/strong> hat einige <strong><a href=\"https:\/\/eprint.iacr.org\/2026\/058.pdf\">Passwortmanager<\/a><\/strong> darauf untersucht, ob der Hersteller trotz E2EE Claim wirklich nicht auf gespeicherte Kundenschl\u00fcssel zugreifen kann (z.B. im Fall einer Kompromittierung der Server oder im Rahmen von Insider Threats). Einige Takeaways daraus:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u00dcber Angriffe auf den Key Escrow Mechanismus konnten die Vaults von <strong>Bitwarden<\/strong> und <strong>LastPass<\/strong> vollst\u00e4ndig ausgelesen werden. <strong>DashLane<\/strong> bietet keinen entsprechenden Recovery-Service an => Sicherer, hei\u00dft aber nat\u00fcrlich auch, dass bei Verlust des Master Passwords die Vault verloren ist<\/li>\n\n\n\n<li>Hauptangriffsvektor war dabei die R\u00fccksetzung des Master PW von Kunden mittels des (Super-) Admin Public Keys, der seitens L\u00f6sung nicht authentifiziert wird und somit durch Angreifer einfach durch einen eigenen Schl\u00fcssel ersetzt werden kann<\/li>\n\n\n\n<li>Daneben konnte die R\u00fcckw\u00e4rts-Kompatibilit\u00e4t zu \u00e4lteren Client-Versionen mit schlechten Verschl\u00fcsselungsmethoden ausgenutzt werden<\/li>\n\n\n\n<li><strong>1Password<\/strong> hat einen Vorteil im kryptographischen Konzept gg\u00fc. Bitwarden, LastPass und Dashlane: F\u00fcr die Generierung des Vault Kundenschl\u00fcssels \u00fcber den Umweg eines kek (key encryption key) wird neben dem Master Password ein High Entropy Salt genutzt, nicht die triviale Kunden-Emailadresse wie bei den anderen 3 untersuchten L\u00f6sungen<\/li>\n\n\n\n<li>Die Anbieter haben die gefundenen Probleme wohl inzwischen teilweise behoben<\/li>\n<\/ul>\n\n\n\n<p><strong>Was k\u00f6nnen Kunden von SOC Anbietern durch den Einsatz von generativer KI erwarten?<\/strong> <a href=\"https:\/\/defensebench.ai\/runs\/20260312202331-8dy79p\/agents\/cc-claude-opus-4-6-interactive\">DefenseBench<\/a> zeigt anhand des Splunk Boss of the SOC Datasets den aktuellen Stand beim Einsatz von Agenten als SOC Analysten auf. Der Verlauf der Ein- und Ausgaben von Queries ist echt spannend. Die neuesten Modelle von Anthropic + OpenAI geben in ca. 50% der F\u00e4lle die exakt korrekten Antworten (nat\u00fcrlich etwas schneller als die meisten menschlichen MA). Bei den als \u201efalsch\u201c deklarierten Antworten ist oft nur die Syntax nicht ganz OK, in einigen F\u00e4llen (wie der Frage nach dem Prozessor-Typ des Webservers) &nbsp;enthalten die Antworten z.B. mehr Infos als notwendig. M.E. liegt die tats\u00e4chliche Rate der n\u00fctzlichen Antworten also vermutlich heute schon bei &gt; 80%. Wohlgemerkt, das sind die off-the-shelf Modelle, nicht trainiert auf Security Use Cases. Und der Prompt hat den Agent unter Zeitdruck gesetzt, d.h., explizit nicht auf Genauigkeit optimiert.<\/p>\n\n\n\n<p>Die Ergebnisse decken sich grob mit den Zusammenstellungen von Tests, die z.B. <strong><a href=\"https:\/\/www.wiz.io\/cyber-model-arena\">Wiz<\/a><\/strong> oder &nbsp;<strong><a href=\"https:\/\/www.cotool.ai\/research\/nyu-ctf\">Cotool<\/a><\/strong> regelm\u00e4\u00dfig ver\u00f6ffentlichen. Bei Cotool werden auch die <strong>Kosten pro Aufgabe<\/strong> angegeben (Aufgaben sind z.B. Code Entschleierung, Analyse von PCAPs, Skripten, Binaries oder die Suche nach verd\u00e4chtiger Kommunikation in Log-Dumps). Bisher gibt es noch keine Korrelation zwischen Ergebnissen und Kosten, da kann man also durch kluge Wahl des Modells echte Arbritrage-Gewinne erzielen, bis der Markt erwachsen wird.<\/p>\n\n\n\n<p><strong>Fazit<\/strong> f\u00fcr mich: <strong>Wer das nicht konsequent im SOC nutzt, verliert massiv an Wettbewerbsf\u00e4higkeit<\/strong>. Neben den bisherigen Schlagzeilen zu Analyse \/ Enrichment und enormen Fortschritten bei <a href=\"https:\/\/www.theregister.com\/2026\/03\/23\/google_dark_web_ai\/?utm_source=newsletter.danielmiessler.com&amp;utm_medium=newsletter&amp;utm_campaign=unsupervised-learning-no-521&amp;_bhlid=40e6c46d5ceffbbe7364403bbbd62f0cce189feb\">Dark Web Recherchen<\/a> sehe ich <strong>Threat Hunting zuk\u00fcnftig als Agent Aufgabe<\/strong>: Viel gr\u00fcndlicher, als es heute de facto durch menschliches Personal allein geleistet werden kann. Unterhalb der Schwellwerte von Detection Engines passiert immer mehr: Ca. die H\u00e4lfte aller Schwachstellen werden inzwischen vor oder binnen 24 Stunden nach Ver\u00f6ffentlichung ausgenutzt =&gt; Wir m\u00fcssen also mit einer Zunahme der erfolgreichen Kompromittierungen rechnen. Vielleicht werden wir auch bald neue Preisbrecher am Markt sehen, die die \u00dcberwachungs-Qualit\u00e4t von heute zu deutlich geringeren Kosten anbieten. Das w\u00e4re nicht nur f\u00fcr KMU bezahlbar, sondern auch f\u00fcr einige Organisationen mit erh\u00f6hten Anforderungen als zus\u00e4tzliche Abwehrschicht.<\/p>\n\n\n\n<p>Zu guter Letzt einige News aus dem Jahresabschluss von <strong>Crowdstrike<\/strong>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Starkes Jahr, Umsatz +22% auf 4,8 Mrd. USD. Davon ~600 Mio. Umsatz mit SIEM. Auftragseingang \u00fcber AWS liegt schon bei rund 1,5 Mrd. USD, also fast ein Drittel. Jetzt kommen auch noch Azure Marketplace Consumption Commitments dazu.<\/li>\n\n\n\n<li>Aufgrund weiterhin hoher Ausgaben f\u00fcr Marketing + Vertrieb (38%) und R&amp;D (29% v. Umsatz) steht unter dem Strich ein Verlust \u2013 aber die Firma ist nat\u00fcrlich Cash Flow positiv.<\/li>\n\n\n\n<li>Flex kommt als Vertragsart gut bei Kunden an => Sollten sich auch andere Anbieter an- und vielleicht abschauen. F\u00fcr die Souver\u00e4nit\u00e4ts-Freaks unter uns gibt es CS bald auch auf StackIT<\/li>\n<\/ul>\n\n\n\n<p><strong>Notable M&amp;A + Funding News:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>125 Mio. USD f\u00fcr \u201e<strong>Kai<\/strong>\u201c, das neue Startup von den <strong>Claroty<\/strong> + <strong>SecurityMatters<\/strong> Mitgr\u00fcndern. Ziel: \u00dcbergreifende Orchestrierung aller Tools, die Verteidigern zur Verf\u00fcgung stehen. Mit, man ahnt es schon, KI-Agenten<\/li>\n\n\n\n<li>Jeweils 120 Mio. f\u00fcr <strong>XBOW<\/strong> (Automatisiertes Pentesting) und <strong>Oasis<\/strong> (NHI Mgmt., inkl. KI Agenten)<\/li>\n\n\n\n<li>60 Mio. gibt es f\u00fcr <strong>Gambit<\/strong>, um mittels KI ein Mapping der IT Infrastruktur, Security Tools und Backup-\/Recovery L\u00f6sungen zu erstellen und dar\u00fcber L\u00fccken zu finden<\/li>\n\n\n\n<li>Back to on prem EDR: Palo Alto Gr\u00fcnder Nir Zuk sammelt zusammen mit einem der SentinelOne Gr\u00fcnder (Udi Shamir) 45 Mio f\u00fcr <strong>Cylake<\/strong> ein, um moderne Security minus the Cloud zu entwickeln. Wir sind gespannt!<\/li>\n\n\n\n<li><strong>OpenAI<\/strong> kauft <strong>Promptfoo<\/strong> (AI Sec Testing)<\/li>\n<\/ul>\n\n\n\n<p><strong>Anbietergespr\u00e4che:<\/strong><\/p>\n\n\n\n<p><strong>telent (Update):<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Spezialist f\u00fcr Netzwerk- und Prozessleittechnik (ca. 550 MA, davon ca. 150 im Service, geh\u00f6ren zwischenzeitlich zur Zech Gruppe), ich habe mir nat\u00fcrlich besonders die OT Security Abteilung angeschaut (vormals Koramis, d.h., seit ~10 Jahren in dem Segment t\u00e4tig)<\/li>\n\n\n\n<li>Beratung, Pen Tests, Systemimplementierung (z.B. Segmentierung mittels Cisco oder Fortigate, Umsetzung von FortiEDR auf Windows XP, FortiSIEM, Inventarisierung mittels Tenable OT, Rhebo NIDS, Fernzugriff), physische Sicherheit (u.a. mittels Kamera-\u00dcberwachung, Schaltschranksensorik) und OT SOC inkl. Schwachstellenmanagement<\/li>\n\n\n\n<li>SOC: 24\/7 \u00fcber Rufbereitschaft au\u00dferhalb B\u00fcrozeiten. Bisher seitens Kunde keine Eingriffe durch SOC Analysten gew\u00fcnscht, nur Alarmierung. Auch Erfahrung im Zusammenspiel mit parallelem IT MSOC<\/li>\n\n\n\n<li>> 100 Kunden, besonders nat\u00fcrlich KRITIS wie Verteilnetzbetreiber oder Schienenverkehr<\/li>\n\n\n\n<li>U.a. auch eine eigenentwickelte Datenschleuse f\u00fcr USB-Sticks<\/li>\n<\/ul>\n\n\n\n<p><strong>Digit Solutions:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Deutscher MSPP, ca. 200 MA, Standorte auch in \u00d6sterreich, VAE und S\u00fcdafrika<\/li>\n\n\n\n<li>SOC entweder deutschsprachig oder englisch aus Dubai<\/li>\n\n\n\n<li>Ca. 15 SOC Kunden, z.B. Stadtwerke Osnabr\u00fcck<\/li>\n\n\n\n<li>FortiSIEM, Crowdstrike, Vectra, Hornet, Halcyon als bevorzugter Tool-Stack<\/li>\n\n\n\n<li>Dazu noch Firewalling, Schwachstellen-Mgmt., PAM, Darknet Research als Managed Services<\/li>\n\n\n\n<li><strong>Code Blue<\/strong> als IR Partner<\/li>\n<\/ul>\n\n\n\n<p><strong>Teleport:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>US Scaleup f\u00fcr Just in Time Zugriffe (\u201eEphemeral Authorization\u201c, auch f\u00fcr NHI) optimiert f\u00fcr Cloud-Umgebungen, also grob verortet bei PAM<\/li>\n\n\n\n<li>Interessante Geschichte: War mal ein MSSP, von ehemaligen Rackspace-Leuten gegr\u00fcndet<\/li>\n\n\n\n<li>Inzwischen ~600 Kunden, u.a. Tesla, IBM, Bloomberg, Nasdaq, Databricks. Wohl auch einige Banken in der EU<\/li>\n\n\n\n<li>Eigene CA => Gibt kurzlebige Zertifikate f\u00fcr einzelne Sessions aus, mit denen getunnelte Zugriffe erfolgen. Ende der Session = Ablauf Zertifikatsg\u00fcltigkeit<\/li>\n\n\n\n<li>Kann entweder andere IdP (Entra\/Okta) als Golden Records nutzen, oder ein getrenntes ID-Verzeichnis anlegen (z.B. f\u00fcr Entwicklungsteams)<\/li>\n\n\n\n<li>Darstellung von Access Graphs \u00e4hnlich Cyberdesk m\u00f6glich<\/li>\n\n\n\n<li>Suchen nach Channel Partnern im DACH Raum, bei Interesse gerne melden<\/li>\n<\/ul>\n\n\n\n<p><strong>Proliance:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Kennen einige evtl. noch unter dem alten Namen <strong>Datenschutzexperte.de<\/strong><\/li>\n\n\n\n<li>Bieten seit einiger Zeit ISB as a Service und Beratung zu Zertifizierungen f\u00fcr ISO27001 oder NIS2, dazu eine eigenentwickelte ISMS-SW<\/li>\n\n\n\n<li>Klarer Fokus KMU (ca. 2.500 Kunden), ca. 80 MA => F\u00fcr einfache Anforderungen eine gute Alternative<\/li>\n<\/ul>\n\n\n\n<p>Wie immer gilt: Fragen, Anregungen, Kommentare, Erfahrungsberichte, Themenw\u00fcnsche und auch gegenl\u00e4ufige Meinungen oder Richtigstellungen gerne per Email. Dito f\u00fcr Abmeldungen vom Verteiler.<\/p>\n\n\n\n<p>F\u00fcr die Leute, die den Marktkommentar zum ersten Mal weitergeleitet bekommen haben: <strong><u><a href=\"https:\/\/cybercompare.com\/de\/jetzt-fuer-marktkommentar-anmelden\/\">Hier<\/a><\/u><\/strong>&nbsp;kann man sich bei Interesse anmelden oder im Archiv langfristig konservierte Beitr\u00e4ge lesen (alle noch topaktuell nat\u00fcrlich).<\/p>\n\n\n\n<p>Viele Gr\u00fc\u00dfe<\/p>\n\n\n\n<p>Jannis Stemmann<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Hallo zusammen, \u201eUnser klares Ziel: Keine Preiserh\u00f6hungen von Microsoft mehr akzeptieren. Wir programmieren Office mit [&hellip;]<\/p>\n","protected":false},"author":28,"featured_media":34029,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"set","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[521],"tags":[],"class_list":["post-34030","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-marktkommentar"],"_links":{"self":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/34030","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/users\/28"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/comments?post=34030"}],"version-history":[{"count":1,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/34030\/revisions"}],"predecessor-version":[{"id":34031,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/34030\/revisions\/34031"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/media\/34029"}],"wp:attachment":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/media?parent=34030"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/categories?post=34030"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/tags?post=34030"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}