Newsletter · · Ashutosh Agarwal

Palo-Alto-CEO betont Plattform-Marktanteilsgewinne, während OAuth-Datenleck und FortiBleed die Sicherheitsnachfrage ankurbeln

Cybersecurity-Newsletter für die Woche vom 23. Juni 2026. Nikesh Arora von Palo Alto lieferte harte Zahlen zur Plattform-Story (Cyber-Marktanteil von unter 2 % auf 8 bis 9 %, wobei noch 60 % der Marktkapitalisierung zu holen seien), während ein OAuth-Token-Leck und FortiBleed die Nachfragegenerierung für Identity Governance und Zero Trust praktisch von selbst übernahmen.

Palo Alto Networks (PANW)

Woche vom 23. Juni 2026: Palo-Alto-CEO betont Plattform-Marktanteilsgewinne, während OAuth-Datenleck und FortiBleed die Sicherheitsnachfrage ankurbeln


Das Wichtigste in Kürze

  • Palo Altos CEO unterlegte die Plattform-Story mit harten Zahlen: Der Cyber-Marktanteil ist von "unter 2 %" auf "8 oder 9 %" gestiegen, wobei "noch 60 % der Marktkapitalisierung zu holen" seien. Das ist ein Argument für zukünftiges Wachstum, kein Hinweis auf eine Obergrenze.
  • Ein einzelner gestohlener OAuth-Token führte still und leise zu einem Einbruch bei Tanium, Huntress, Recorded Future und weiteren, über Salesforce, ganz ohne Passwort, ganz ohne MFA-Aufforderung. Nicht-menschliche Identitäten sind mittlerweile die weiche Flanke, und ihre Zahl explodiert durch Agenten.
  • FortiBleed legte Zugangsdaten von rund 74.000 Fortinet-Geräten offen, etwa die Hälfte der im Internet erreichbaren Flotte. Die Lesart "Firewall als Haftungsrisiko" ist für FTNT unschön, für Zero Trust dagegen leise bullisch.

Was ist neu

Arora lieferte den Bullen eine Zahl, ausgerechnet in einem VC-Podcast. Im Gespräch mit Harry Stebbings rahmte Palo Altos Nikesh Arora die Konsolidierung als dauerhaften Rückenwind: "Die Leute erkennen, dass sie nicht 40 bis 60 Cybersecurity-Unternehmen selbst verwalten können, deshalb treiben wir diesen Trend zur Plattformisierung schon seit 24 bis 36 Monaten voran." Dann der entscheidende Satz: Als er anfing, hatte Palo Alto "weniger als 2 % Marktanteil" am gesamten Cyber-Umsatz und nähert sich jetzt "8 oder 9 %", wobei "noch immer 60 % der Marktkapitalisierung offen" seien. Das ist das Management, das einem sagt: Der Plattform-Landgrab steckt noch in einer frühen Phase, nicht in einer späten. Quelle: The Twenty Minute VC (20VC) - Nikesh Arora über das Frontier-Model-Problem, Nikesh Arora, Chairman & CEO, Palo Alto Networks (Operator).

Der Agentic-Security-Keil ist nun eine explizite Produktthese. Arora beschrieb den Kauf "eines Gateway-Anbieters für agentische KI vor sechs Monaten", mit der Logik, dass, sobald Unternehmen sich zunehmend agentisch aufstellen, "der einzige Weg", Agenten zu steuern und abzusichern, darin bestehe, "den Agenten-Traffic über ein Gateway oder eine Firewall zu bündeln". Übersetzt heißt das: Die nächste Angriffsfläche sind Agenten, und der etablierte Anbieter mit dem Netzwerk-Flaschenhals kann sie bepreisen, was direkt mit Oktas Pitch zu nicht-menschlichen Identitäten und CyberArks Story rund um Maschinenidentitäten kollidiert. Quelle: The Twenty Minute VC (20VC) - Nikesh Arora, Nikesh Arora, CEO, Palo Alto Networks (Operator).

KI ist derzeit ein Nachfragekatalysator, kein Nachfragekiller. Arora sagte, Palo Alto habe ein Frontier-Modell gegen den eigenen Code laufen lassen und "in sechs Wochen gefunden, wofür wir sonst fünf bis sechs Jahre gebraucht hätten", aber das Modell könne die gefundenen Probleme nicht sicher selbst beheben; setze man es offensiv ein, würde es "30 % von Dingen patchen, die gar nicht falsch sind". Sein Fazit: KI habe "unter Sicherheitspraktikern ein Feuer entfacht" und beschleunige damit die Ausgaben, statt sie auszuhöhlen. Quelle: The Twenty Minute VC (20VC) - Nikesh Arora, Nikesh Arora, CEO, Palo Alto Networks (Operator).

Ein gestohlener Token ist der neue Datenleck-Vektor, und er skaliert. Die Marktdaten-Plattform Clue wurde über ein aufgegebenes Legacy-Zugangsdatensatz kompromittiert; die Angreifer entwendeten die OAuth-Tokens, die sie mit den Salesforce-Organisationen der Kunden verknüpften, und führten "in 15 Minuten fast tausend Abfragen" gegen Opfer wie Huntress, Recorded Future, Tanium und Gong aus, "ohne Passwort, ohne MFA-Aufforderung". Moderator David Shipley brachte es so auf den Punkt: "Nicht-menschliche Identitäten explodieren geradezu in ihrer Verbreitung, dank agentischer KI ... Sperren Sie Ihre nicht-menschlichen Identitäten ab, vorausgesetzt, Sie wissen überhaupt, welche existieren." Eine frühere Version dieser Kampagne traf direkt Cloudflare, Google, Palo Alto Networks und Zscaler; für diesen Fall wurde CrowdStrike für die Incident-Response hinzugezogen. Die Nachfragethese für Identity Governance, konkret gemacht. Quelle: Cybersecurity Today - Gestohlene OAuth-Tokens treffen Sicherheitsfirmen, David Shipley, Moderator (Kommentator).

FortiBleed ist der Albtraum eines Firewall-Anbieters. Die CISA gab eine dringende Warnung heraus, nachdem Forscher Zugangsdaten für rund 74.000 Fortinet-Geräte gefunden hatten, "etwa die Hälfte aller im Internet erreichbaren Fortinet-Geräte". Kevin Beaumont bestätigte die Echtheit ("Die Daten sind echt"), und SOC Radar erklärte, mehr als 30.000 seien bereits verifizierte, funktionierende Zugangsdaten, die schon gegen Ziele getestet und, wie das Inventar eines Initial-Access-Brokers, nach Branche und Umsatz katalogisiert wurden. Das untermauert das strukturelle Argument gegen Perimeter-Appliances und für Zero Trust. Quelle: Cybersecurity Today - FortiBleed-Notfall: 74.000 Fortinet-Logins offengelegt, Jim Love, Moderator (Kommentator), mit Mike Sweeney, Silent Push (Operator).

Die Debatte

Bullen-Sichtweise: KI erweitert das adressierbare Marktvolumen der Security-Branche (mehr Angriffsfläche, mehr Agenten, mehr zu prüfende Daten) und zementiert die Position der Plattform-Marktführer, weil sich Automatisierung erst im großen Maßstab mit konsolidierten Daten wirklich auszahlt. PANW, CRWD und ZS bekommen größere Budgets, keine kleineren.

Bären-Sichtweise: KI-native Newcomer und kostenlose bzw. gebündelte Hyperscaler-Tools lassen die Pro-Nutzer-Ökonomie kollabieren. Warum X Dollar pro Endpunkt zahlen, wenn ein agentisches SOC plus ein Microsoft-E5-Bundle 80 % der Arbeit erledigen? Budgetkonsolidierung trifft zuerst den Legacy-Stack, nicht den neuen.

"Es gibt allein über 54 [AI-SOC-Start-ups] in der Start-up-Welt, und dabei zähle ich nicht einmal all die traditionellen Plattformen mit, die auf AI-SOC umgeschwenkt sind." - Aqsa Taylor, Chief Security Evangelist, ExaForce, im Cloud Security Podcast - Die 4 Säulen des AI SOC (Operator).

Meine Einschätzung diese Woche: leicht bullisch. Die Belege, Aroras Aussagen und die OAuth-/Identity-Geschichte, weisen in dieselbe Richtung: Die Bedrohungsfläche wächst schneller, als Budgets schrumpfen können, und die Flaschenhälse (Netzwerk, Identität) begünstigen die etablierten Anbieter, die die Daten besitzen. Ja, mittlerweile hat jeder Anbieter ein "AI SOC"; nein, die 54 und mehr Start-ups werden nicht alle überleben, und ein derart überfülltes Feld endet in der Regel in einer Konsolidierung, von der die Plattformen profitieren. Die Bären-These ist nicht tot, Arora räumte das selbst ein ("irgendjemand wird eine bessere Mausefalle bauen"), sie hat nur eine deutlich längere Zündschnur, als es die Aktienkurse vermuten lassen.

Aktien im Fokus

PANW, Bulle: Der CEO rahmt die 8 bis 9 % Marktanteil als frühe Phase ein, mit Plattformisierung und der Optionalität eines agentischen Gateways. Bär: Dass ein Modell in sechs Wochen Schwachstellen im eigenen Code findet, zeigt, dass der Burggraben ständig neu ausgehoben werden muss. Beobachten: Kommentare zur Modul-Attach-Rate beim nächsten Quartalsbericht im Verhältnis zur "60 % der Marktkapitalisierung offen"-Rahmung.

CRWD, Bulle: Als Incident-Responder beim Clue/Salesforce-Datenleck hinzugezogen, Marke der Wahl in einer akuten Krise. Bär: Nichts Neues von Operator-Seite zu Falcon Flex oder Netto-Neu-ARR. Beobachten: Ob Identitätsvorfälle die Attach-Rate von Falcons Identitätsschutz nach oben ziehen.

ZS, Bulle: FortiBleed ist ein Werbeplakat für die zentrale Zero-Trust-Botschaft. Bär: Diese Woche keine frischen Operator-Kommentare zum Netto-Neu-ARR. Beobachten: Fortschritte im Bundesgeschäft und bei AI-SOC/Avalor im nächsten Update.

OKTA, Bulle: Die Angriffsfläche nicht-menschlicher Identitäten wurde diese Woche zum Mainstream-Thema, genau Oktas Expansionsnarrativ. Bär: Keine Operator-Stimme zum Auth0-Cross-Selling; die Nachfrage zeigt sich in Datenlecks, nicht in Kommentaren. Beobachten: Die Rahmung des agentischen/nicht-menschlichen Identitäts-TAM beim nächsten Quartalsbericht.

FTNT, Bulle: Eine große, bereits gepatchte installierte Basis bedeutet Verhandlungsmacht bei Verlängerungen. Bär: FortiBleed ist eine Reputationssteuer auf das Appliance-Modell. Beobachten: Ob der Zyklus der Zugangsdaten-Zurücksetzung zum Erneuerungskatalysator oder zum Abwanderungsauslöser wird.

Weiterwirkungen

SentinelOne (S), diese Woche kein neues Operator-Signal.

Fortinet (FTNT), negativ: Zugangsdaten von rund 74.000 Geräten offengelegt (etwa die Hälfte der im Internet erreichbaren Flotte) laut CISA, Belastung durch Appliance-Vertrauensfrage.

Cloudflare (NET), unter den Opfern früherer OAuth-Kampagnen genannt; Erinnerung daran, dass selbst sicherheitsnahe Anbieter Ziele sind.

CyberArk (CYBR), keine direkte Erwähnung, aber das Thema OAuth/nicht-menschliche Identität ist genau ihr Terrain, positive Weiterwirkung.

Hyperscaler (MSFT/GOOGL/AMZN), Bündelungsdruck blieb theoretisch; das Argument "Microsoft E5 erledigt 80 %" bekam Aufmerksamkeit, aber keine frischen Belege für tatsächliche Verdrängung.

Was sich gegenüber der Vorwoche verändert hat

Dies ist die erste Ausgabe, es gibt keine Vorwoche zum Vergleich. Die Ausgangslage: Der Ton auf Operator-Seite (über Arora) ist selbstbewusst bullisch zur Konsolidierung; die aktuelle Bedrohungslage (OAuth-Tokendiebstahl, FortiBleed) übernimmt die Nachfragegenerierung praktisch von selbst; AI-SOC ist überfüllt und steht vor einem Shakeout. Wir werden von hier an Verschiebungen bei Operator-Stimmen, neuen Produkteinführungen und Marktstimmung nachverfolgen.