CNAPP-Lücken für europäische Cloud-Anbieter: IT-Sicherheit im Spannungsfeld
Agentenbasierte vs. agentenlose Sicherheit für Cloud-native Infrastrukturen – Marktübersicht und Compliance-Hinweise
Auf einen Blick
- Der Artikel analysiert die Herausforderungen der Cloud-nativen IT-Sicherheit, insbesondere das Fehlen von CNAPP-Lösungen für mittelständische EU-Anbieter wie Scaleway, OVH und STACKIT.
- Während Kubernetes und Serverless-Architekturen schnelle Deployment-Zyklen ermöglichen, hinken klassische Sicherheitskonzepte hinterher.
- Die Fusion von CSPM und CWPP zur CNAPP adressiert zwar viele Probleme, doch für Unternehmen, die bei europäischen Mittelständlern hosten, bleibt eine Lücke.
KI-generierte Zusammenfassung
Warum es wichtig ist
Cloud-native Architekturen wie Kubernetes und Serverless ermöglichen Deployment-Frequenzen im Minutenbereich. Traditionelle Sicherheitskonzepte können damit nicht Schritt halten. Die Bedrohungslage hat sich verschoben: Angreifer nutzen nicht mehr nur Fehlkonfigurationen, sondern komplexe Identitätsketten und Schwachstellen in Laufzeitumgebungen.
Die IT-Sicherheit befindet sich in einem permanenten Spannungsfeld zwischen der Notwendigkeit granularer Kontrolle und dem Drang nach operativer Geschwindigkeit. Während Containerorchestrierung per Kubernetes und Serverless-Architekturen die Deployment-Frequenz in den Minutenbereich drücken, hinken klassische Sicherheitskonzepte oft Monate hinterher.
Der Markt antwortet mit der Fusion ehemals getrennter Disziplinen – Cloud Security Posture Management (CSPM) und Cloud Workload Protection Platform (CWPP) – zur Cloud-native Application Protection Platform (CNAPP). Allerdings eine schlechte Nachricht für Firmen, die souverän bei EU-Anbietern hosten: Keine CNAPP-Lösung analysiert die mittelständischen Anbieter wie Scaleway, OVH, STACKIT et cetera. Für selbst oder bei mittelständischen Anbietern betriebene Kubernetes-Cluster sieht es besser aus, hier helfen die auf CWPP spezialisierten Werkzeuge.
Zur Absicherung von Cloud-native-Infrastrukturen hat man die Wahl zwischen agentenlosen Scannern und agentenbasierten Wächtern und somit zwischen reiner Sichtbarkeit und aktiver Gefahrenabwehr zur Laufzeit. Compliance ist Pflicht: Alle Maßnahmen sollten auf den BSI-Grundschutz abgestimmt sein. Die finanzielle Stabilität und die R&D-Quote der Anbieter sind kritische Indikatoren für die Zukunftsfähigkeit; die Implosion der Bewertung von Lacework dient als Warnsignal gegen einen vorschnellen Vendor Lock-in.
Fragte die erste CSPM-Tool-Generation noch systematisch Cloud-APIs ab, um den Ist- gegen den Sollzustand zu prüfen, hat sich die Bedrohungslage fundamental verschoben. Angreifer nutzen nicht mehr nur simple Fehlkonfigurationen, sondern komplexe Identitätsketten und Schwachstellen innerhalb der Laufzeitumgebung aus. Die bloße API-Abfrage, die einen offenen Port meldet, ist wertlos geworden ohne den Kontext, welcher Prozess dort lauscht, welche Bibliotheken geladen sind und welche Rechte die damit verknüpfte Serviceidentität besitzt.
Offene Fragen
- Welche konkreten CNAPP-Anbieter unterstützen mittelständische EU-Cloud-Provider?
- Wie bewerten Unternehmen die Balance zwischen agentenloser Sichtbarkeit und agentenbasierter Gefahrenabwehr?
- Welche alternativen Sicherheitslösungen existieren für Scaleway, OVH und STACKIT?





