Newsletter · · Ashutosh Agarwal
Macquarie stuft Zscaler als Kauf ein, während Okta sich für KI-Agenten rüstet
Wöchentlicher Rückblick zu Enterprise Software, SaaS und Cybersicherheit für die Woche vom 30. Juni 2026. Macquarie setzte das erste klare Kaufsignal der Sell-Side für den stark abgestraften Zscaler, Okta und SentinelOne ließen Führungskräfte im Wettlauf um KI-Agenten-Identitäten öffentlich Stellung beziehen, und FortiBleed erreichte internetweite Dimensionen, während Fortinet die Charttabelle dennoch anführte.
Enterprise Software, SaaS und Cybersicherheit im KI-Zeitalter
Woche vom 30. Juni 2026: Macquarie stuft Zscaler als Kauf ein, während Okta sich für KI-Agenten rüstet
Kurz zusammengefasst
- Macquarie-Analyst Steve Koenig vergab ein "Outperform"-Rating mit Kursziel 172 US-Dollar für Zscaler, das im laufenden Jahr über 40 % verloren hat, und bezeichnete den Titel als Zero-Trust-"Alternative zu Palo Alto". Die erste klare Sell-Side-Zahl für die Gruppe seit Wochen.
- Der Wettlauf um Agenten-Identitäten bekam Stimmen aus der Praxis: Sowohl Oktas KI-Sicherheitschef als auch der CEO von SentinelOne äußerten sich öffentlich. Letzte Woche stand Arora noch allein da, jetzt ist es ein ganzer Chor.
- FortiBleed hat sich massiv ausgeweitet, von 74.000 exponierten Fortinet-Geräten auf eine Kampagne mit 110 Millionen erbeuteten Zugangsdaten, die Oracle, Chevron, FedEx und NATO-Zulieferer trifft. Und dennoch bezeichnete ein Chart-Desk Fortinet gerade als "den am besten aussehenden Cybersecurity-Titel". Das sollte man zweimal lesen.
Was ist neu
Zscaler bekam endlich seine Zahl. Macquarie-Analyst Steve Koenig setzte ein Zeichen beim am stärksten abgestraften Titel der Gruppe: ein "Outperform"-Rating mit Kursziel 172 US-Dollar für Zscaler, das "allein in diesem Jahr über 40 % verloren hat". Die Logik ist strukturell: Der Titel habe "in diesem Jahr eigentlich nicht vom positiven Cybersecurity-Trend profitiert", bleibe aber "ein wichtiger Plattformanbieter, gewissermaßen eine Alternative zu Palo Alto, wenn es darum geht, Anwendungen und Netzwerke in einer Zero-Trust-Umgebung abzusichern" (Schwab Network, Koenig: Software-Bewertungsreset bietet Chance, ZS stark im Cybersecurity-Bereich), Steve Koenig, Macquarie (Kommentator).
Okta sagt, die neue Sicherheitsgrenze habe ein Gehirn. Oktas KI-Sicherheitschef Harish Peri lieferte bislang die klarste Formulierung der These der nicht-menschlichen Identität und schoss dabei direkt gegen Aroras These vom Netzwerk als Engpass. "Software hat kein Gehirn. Agenten haben ein Gehirn", sagte er; genau diese Nicht-Determiniertheit mache die Kontrolle des Zugriffs eines Agenten "deutlich anspruchsvoller". Die Nachfrage kommt von außen: "Das ist einer der wenigen Fälle, in denen der Markt geradezu überwältigend auf uns zukam", wobei Kunden bereits vor etwa acht Monaten sagten: "Wir wissen, dass hier ein Sicherheitsrisiko besteht, bitte helft uns." Seine Einordnung ist entscheidend für die Debatte PANW gegen OKTA: Es handle sich um "ein Autorisierungsproblem ... das viel eher in der Anwendungsschicht als in der Netzwerkschicht angesiedelt ist" (The Road to Accountable AI, Harish Peri (Okta)), Harish Peri, VP of AI Security, Okta (Praktiker).
"Software hat kein Gehirn. Agenten haben ein Gehirn." Harish Peri, Okta
SentinelOnes CEO lieferte Kennzahlen zum agentenbasierten SOC. Tomer Weingarten präsentierte den konkretesten Praxis-Datenpunkt der Woche: Purple AI verkürzt die Triage von Alarmen "von Stunden und Tagen auf buchstäblich Minuten", bei einer Genauigkeit, die "einem erfahrenen menschlichen Team entspricht", und arbeitet einen täglichen Rückstand von 100 Alarmen "noch am selben Tag" ab. Seine Warnung ist die Bull-These im Umkehrschluss: Die nächste Angriffsfläche sind die Agenten selbst. "Man braucht nicht zwingend eine Zero-Day-Schwachstelle, um eine laufende autonome KI-Workload zu überzeugen, zu verändern oder ihr Befehle unterzuschieben", und jeder Agent "kann jederzeit außer Kontrolle geraten." Automatisierung zahlt sich nur bei Skalierung mit konsolidierten Daten aus, genau das Verkaufsargument der etablierten Anbieter (Tech Disruptors, SentinelOne-CEO zu Sicherheitsveränderungen und KI-Agenten), Tomer Weingarten, CEO, SentinelOne (Praktiker).
FortiBleed wurde vom Vorfall zur Anklage gegen das Appliance-Modell. Die Kampagne, die wir vor einer Woche bei rund 74.000 Geräten markiert hatten, hat inzwischen internetweite Dimensionen erreicht: Berichte dieser Woche beziffern sie auf über 430.000 betroffene Fortinet-Geräte und rund 110 Millionen erbeutete Zugangsdaten. Network Break nannte Oracle, Chevron, FedEx und NATO-Zulieferer als betroffen, mit der unverblümten Einschätzung, dass "alle eure Sicherheitsanbieter zu Hauptzielen werden". Ein strukturelles Argument gegen Perimeter-Appliances und leise auch für Zero Trust (Network Break, Brute-Force-Passwortangriff trifft Fortinet), Scott Robohn (Kommentator); und (Cybersecurity Today, FortiBleed: Fortinet sagt, es sei kein Bug), David Shipley (Kommentator).
Identität ist der Angriffspunkt, jetzt explizit ausgesprochen. TokenCore-CEO Kevin Surace verknüpfte die Nachfragethese mit einer harten Kennzahl: Rund 90 % der erfolgreichen Eindringungen in den Daten von Palo Altos Unit 42 hätten "die Identität gehackt, und fast alle davon betrafen MFA- und Authentifizierungs-Apps". Sein Punkt: MFA und Authenticator-Apps sind 20 Jahre alte Infrastruktur, und erst jetzt, seit Salesforce und Microsoft sie verpflichtend machen, industrialisieren Angreifer ihre Angriffe darauf mit KI-generierten, "pixelgenauen" Phishing-Relays. "Praktisch jeder größere Hack läuft nach demselben Muster ab. Und es geht immer um den Angriff auf die Identität" (The ITSPmagazine Podcast, Die Identitätslücke hinter fast jedem Sicherheitsvorfall), Kevin Surace, CEO, TokenCore (Praktiker).
Die Debatte
Bullische Sichtweise. KI vergrößert den adressierbaren Sicherheitsmarkt (mehr Angriffsfläche, mehr Agenten, mehr zu prüfende Daten) und festigt die Stellung der Plattform-Marktführer, weil Automatisierung sich nur bei Skalierung mit konsolidierten Daten auszahlt. PANW, CRWD und ZS bekommen größere, nicht kleinere Kundenbudgets.
Bärische Sichtweise. KI-native Newcomer sowie kostenlose oder gebündelte Tools der Hyperscaler brechen die Wirtschaftlichkeit pro Sitzplatz auf. Warum pro Endpunkt zahlen, wenn ein agentenbasiertes SOC zusammen mit einem Microsoft-E5-Bundle 80 % der Arbeit erledigt? Budgetkonsolidierung kürzt zuerst den alten Stack, nicht den neuen.
Meine Einschätzung diese Woche: tendenziell bullisch, aber der Kursverlauf widerspricht dem, und genau das ist das eigentliche Signal. Die Fundamentaldaten deuten in eine Richtung: ein Kauf-Rating für ZS, zwei Praktiker, die bestätigen, dass sich das Budget für Agenten-Identität öffnet, und FortiBleed, das kostenlose Nachfragegenerierung für Zero Trust betreibt. Und dennoch nannte ein Chart-Desk das gehackte Fortinet "den am besten aussehenden Cybersecurity-Titel", weil er "bei den Zahlen positiv überrascht" habe, während "Palo Alto und CrowdStrike nach den Zahlen eher nachgegeben haben" (Stock Market Today With IBD), Kommentator. Wenn der gehackte Appliance-Anbieter im Chart führt und die Konsolidierer hinterherhinken, ist die Plattformkonsolidierung real, aber noch nicht im Konsens eingepreist, genau die Lücke, auf die Koenig hinweist.
Aktien im Fokus
PANW. Bullisch: Oktas Rahmen der "Autorisierung auf Anwendungsebene" räumt implizit ein, dass PANW die Netzwerkebene beherrscht; Unit 42 bleibt die meistzitierte Datenquelle. Bärisch: kein Kommentar von Praktikern, "nach den Zahlen nachgegeben". Beobachten: Traktion des Agenten-Gateways als Kennzahl im nächsten Bericht.
CRWD. Bullisch: "Identität ist der Angriffspunkt" zieht den Absatz von Falcon-Identitätsschutz nach sich. Bärisch: keine Praktiker-Kommentare, Nachzügler nach den Zahlen. Beobachten: Netto-neues ARR und jeder Datenpunkt zu Charlotte AI / Falcon Flex.
ZS. Bullisch: frisches "Outperform"-Rating von Macquarie mit Kursziel 172 US-Dollar, die Zero-Trust-Alternative zu PANW, mit FortiBleed als lebendiger Werbetafel. Bärisch: 40 % im Jahresverlauf verloren, das ganze Jahr hinter dem Cybersecurity-Trend zurückgeblieben. Beobachten: Wiederbeschleunigung des Netto-neuen ARR.
OKTA. Bullisch: die eigene Führungskraft sagt, die Nachfrage nach Agenten-Identität sei "geradezu überwältigend auf uns zugekommen", der adressierbare Markt wandelt sich von Theorie zu konkreten Anfragen. Bärisch: Revierkampf mit PANW und CyberArk darüber, wer Agenten abrechnet. Beobachten: Rahmung der nicht-menschlichen Identität und Auth0-Cross-Selling bis zum nächsten Quartalsbericht.
FTNT. Bullisch: Chart-Spitzenreiter der Gruppe trotz des Sicherheitsvorfalls. Bärisch: 430.000 offengelegte Geräte und 110 Millionen kompromittierte Zugangsdaten sind eine Reputationssteuer für das Appliance-Modell. Beobachten: Zyklus des Zugangsdaten-Resets, ob er zum Erneuerungskatalysator oder zum Abwanderungsauslöser wird.
Ableitungen für andere Titel
SentinelOne (S). Positiv: Der CEO lieferte harte Zahlen zu Purple AIs agentenbasiertem SOC und untermauerte damit den Burggraben aus Datenskalierung.
Fortinet (FTNT). Gemischt: Der Sicherheitsvorfall hat internetweite Dimensionen erreicht, dennoch ist die Aktie der technische Spitzenreiter, eine seltene Divergenz zwischen Fundamentaldaten und Kursverlauf.
Cloudflare (NET). Neutral: erwähnt im Zusammenhang mit Bot-Übernahmen, Edge-KI und Anti-Scraping-Identitätstoken, angrenzend an das Thema Identität, aber nicht Kern der These.
CyberArk (CYBR). Keine direkte Erwähnung, aber Agenten-/Maschinenidentität und "Identität ist der Angriffspunkt" liegen genau auf ihrem Terrain, positiver Übertragungseffekt.
Hyperscaler (MSFT/GOOGL/AMZN). Zurückhaltend bei Bundles; das einzige Signal wies in die andere Richtung: LLMs als "Ergänzung zu den großen Plattformanbietern", Koexistenz statt Verdrängung.
Was sich seit letzter Woche geändert hat
Drei Verschiebungen. Die Bank der Praktiker wurde breiter: Letzte Woche trug Arora die Bull-These noch allein, diese Woche äußerten sich Führungskräfte von Okta und SentinelOne öffentlich, während PANW schwieg. Die Bullen bekamen eine Zahl: Macquaries "Outperform"-Rating für ZS mit Kursziel 172 US-Dollar, der erste konkrete Sell-Side-Aufruf seit Wochen. Und FortiBleed hat sich im Umfang etwa versechsfacht (von 74.000 auf 430.000 Geräte), doch die Aktie führt weiterhin den Chart an, was die Divergenz eher verschärft als auflöst. Neue Kategorie: Post-Quanten-Kryptografie wurde konkret, mit einer Bundesregelung, wonach Vertragspartner bis zum 31. Dezember 2030 die NIST-Post-Quanten-Standards erfüllen müssen (Fastest 5 Minutes), sowie eine Tiefenanalyse zum Muster "jetzt sammeln, später entschlüsseln", die zu kryptografischer Agilität aufruft (CISO Tradecraft #290), Marcus Sachs.