nexalign

Decision guide · Cloud-Security-Posture und CNAPP

CSPM oder CNAPP auswählen: Cloud-Security-Stack konsolidieren

Cloud-Security-Stacks bestehen historisch aus 3-7 Einzeltools (CSPM, CWPP, CIEM, KSPM, DSPM, IaC-Scan). Gartner prägte 2021 die CNAPP-Kategorie als Konsolidierung. Die Tool-Entscheidung wird damit eine Plattform-Entscheidung mit 5-7 Jahren Horizont. Kriterien: Multi-Cloud-Tiefe, agentenlos vs. agentenbasiert, K8s-Reife, Data-Security, EU-Hosting, Integration in vorhandene SIEM/SOC-Pipelines.

TL;DR

CNAPP-Markt 2026 ist konsolidiert auf 5-7 echte Plattformen. Tool-Sprawl-Reduktion und Plattform-Mindset schlaegt Best-of-Breed-Strategie.

Who owns this decision

CISO mit Cloud-Architektur. Anwendungs-Owner und DevSecOps im Lenkungskreis.

Key criteria to weight

  • Multi-Cloud-Tiefe

    AWS, Azure, GCP, OCI, Alibaba; nicht alle Anbieter sind überall gleich tief.

  • Agentenlos und/oder agentenbasiert

    Agentenlos = schnellere Coverage. Agenten = tiefere Runtime-Sicht. Strategie pro Workload klären.

  • K8s und Container-Reife

    KSPM und Container-Runtime sind das schnellst-wachsende Subsegment.

  • Data-Security (DSPM)

    Data Security Posture Management wird 2026/2027 Pflicht-Bestandteil.

  • EU-Datenresidenz und SIEM-Integration

    Findings dürfen nicht US-only verarbeitet werden, müssen ins eigene SIEM.

  • TCO und Konsolidierungs-Hebel

    CNAPP soll 3-5 Tools ersetzen. Wenn nicht, ist die Auswahl falsch.

Step-by-step decision flow

  1. 1

    Cloud-Inventar und Workload-Map

    Welche Clouds, welche Workload-Typen, welche aktuellen Tools. Tool-Sprawl-Bestandsaufnahme.

  2. 2

    Use-Case-Definition

    Misconfig-Detection, Runtime-Threat-Detection, IAM-Right-Sizing, K8s-Posture, IaC-Pre-Deploy, Data-Discovery.

  3. 3

    Anbieter-Longlist

    Wiz, Palo Alto Prisma Cloud, CrowdStrike Falcon Cloud Security, Microsoft Defender for Cloud, Lacework, Sysdig, Orca Security, Aqua Security.

  4. 4

    PoC mit echten Workloads

    30-60 Tage Trial in eigener Cloud-Umgebung. Coverage, False-Positive-Rate, K8s-Tiefe, DSPM-Reife messen.

  5. 5

    Memo und Konsolidierungs-Plan

    Decision Memo plus Sunset-Liste der abgelösten Tools. TCO-Vergleich vor und nach Konsolidierung.

Compliance note

NIS2 Art. 21 Buchst. e fordert sichere Beschaffung und Wartung. DORA Art. 9 fordert ICT-Sicherheitsmaßnahmen einschließlich Konfigurations-Management. ISO 27002 A.5.23 Information Security for Use of Cloud Services. BSI C5 für den Cloud-Anbieter selbst, für das CSPM-Tool als ICT-Drittanbieter unter DORA Art. 28-30 zu prüfen.

Common pitfalls

  • !CNAPP wird eingeführt, aber alte Tools laufen weiter. Doppel-Kosten ohne Konsolidierungs-Hebel.
  • !Agenten-Strategie unklar. Tool deckt nicht alles ab.
  • !Findings stroemen ins SOC, aber niemand priorisiert. CNAPP-Fatigue.
  • !DSPM wird ignoriert. Daten-Risiken bleiben blind.

FAQ

Wann ist CSPM allein ausreichend, wann brauche ich CNAPP?

Wer in einer einzigen Cloud sitzt, wenige Workload-Typen hat und kein K8s/Container führt, kommt mit nativem CSPM (z.B. Defender for Cloud oder AWS Security Hub) weit. Wer Multi-Cloud, K8s und tiefe Runtime-Detection braucht, kommt zur CNAPP.

Welche Rolle spielt DSPM in CNAPP?

Data Security Posture Management findet sensitive Daten in Cloud-Stores (S3, Blob, BigQuery, RDS) und bewertet Zugriff und Verschlüsselung. 2026/2027 wird DSPM Pflicht-Bestandteil von CNAPP. Wer ohne DSPM kauft, kauft die Plattform 2027 nochmal.

EU-Hosting bei CNAPP, was muss ich prüfen?

Telemetrie-Endpunkt-Region, Speicher-Region der Findings, Schlüssel-Hoheit, Support-Datenzugriff (wo sitzt Support, kann er Findings sehen). Wiz, Palo Alto, Microsoft und Crowdstrike haben EU-PoPs, Detail-Vertraglich prüfen.

Run this decision in DecisionOS →What is DecisionOS?