CNAPP-Lücken für europäische Cloud-Anbieter: IT-Sicherheit im Spannungsfeld
Agentenbasierte vs. agentenlose Sicherheit für Cloud-native Infrastrukturen – Marktübersicht und Compliance-Hinweise
En resumen
- Der Artikel analysiert die Herausforderungen der Cloud-nativen IT-Sicherheit, insbesondere das Fehlen von CNAPP-Lösungen für mittelständische EU-Anbieter wie Scaleway, OVH und STACKIT.
- Während Kubernetes und Serverless-Architekturen schnelle Deployment-Zyklen ermöglichen, hinken klassische Sicherheitskonzepte hinterher.
- Die Fusion von CSPM und CWPP zur CNAPP adressiert zwar viele Probleme, doch für Unternehmen, die bei europäischen Mittelständlern hosten, bleibt eine Lücke.
Resumen generado por IA
Por qué importa
Cloud-native Architekturen wie Kubernetes und Serverless ermöglichen Deployment-Frequenzen im Minutenbereich. Traditionelle Sicherheitskonzepte können damit nicht Schritt halten. Die Bedrohungslage hat sich verschoben: Angreifer nutzen nicht mehr nur Fehlkonfigurationen, sondern komplexe Identitätsketten und Schwachstellen in Laufzeitumgebungen.
Die IT-Sicherheit befindet sich in einem permanenten Spannungsfeld zwischen der Notwendigkeit granularer Kontrolle und dem Drang nach operativer Geschwindigkeit. Während Containerorchestrierung per Kubernetes und Serverless-Architekturen die Deployment-Frequenz in den Minutenbereich drücken, hinken klassische Sicherheitskonzepte oft Monate hinterher.
Der Markt antwortet mit der Fusion ehemals getrennter Disziplinen – Cloud Security Posture Management (CSPM) und Cloud Workload Protection Platform (CWPP) – zur Cloud-native Application Protection Platform (CNAPP). Allerdings eine schlechte Nachricht für Firmen, die souverän bei EU-Anbietern hosten: Keine CNAPP-Lösung analysiert die mittelständischen Anbieter wie Scaleway, OVH, STACKIT et cetera. Für selbst oder bei mittelständischen Anbietern betriebene Kubernetes-Cluster sieht es besser aus, hier helfen die auf CWPP spezialisierten Werkzeuge.
Zur Absicherung von Cloud-native-Infrastrukturen hat man die Wahl zwischen agentenlosen Scannern und agentenbasierten Wächtern und somit zwischen reiner Sichtbarkeit und aktiver Gefahrenabwehr zur Laufzeit. Compliance ist Pflicht: Alle Maßnahmen sollten auf den BSI-Grundschutz abgestimmt sein. Die finanzielle Stabilität und die R&D-Quote der Anbieter sind kritische Indikatoren für die Zukunftsfähigkeit; die Implosion der Bewertung von Lacework dient als Warnsignal gegen einen vorschnellen Vendor Lock-in.
Fragte die erste CSPM-Tool-Generation noch systematisch Cloud-APIs ab, um den Ist- gegen den Sollzustand zu prüfen, hat sich die Bedrohungslage fundamental verschoben. Angreifer nutzen nicht mehr nur simple Fehlkonfigurationen, sondern komplexe Identitätsketten und Schwachstellen innerhalb der Laufzeitumgebung aus. Die bloße API-Abfrage, die einen offenen Port meldet, ist wertlos geworden ohne den Kontext, welcher Prozess dort lauscht, welche Bibliotheken geladen sind und welche Rechte die damit verknüpfte Serviceidentität besitzt.
Preguntas abiertas
- Welche konkreten CNAPP-Anbieter unterstützen mittelständische EU-Cloud-Provider?
- Wie bewerten Unternehmen die Balance zwischen agentenloser Sichtbarkeit und agentenbasierter Gefahrenabwehr?
- Welche alternativen Sicherheitslösungen existieren für Scaleway, OVH und STACKIT?





