Compliance-Management: Cloud-Apps absichern – mit oder ohne Agenten

Wer Container und Infrastrukturen bei Hyperscalern absichern möchte, steht vor der Wahl zwischen agentenlosen und agentenbasierten Werkzeugen.

Artikel verschenken

(Bild: Cathrin Kapell / iX)

20.04.2026, 07:00 Uhr

Lesezeit: 29 Min.

iX Magazin

Von

Christoph Puppe

Compliance-Management: Cloud-Apps absichern – mit oder ohne Agenten
- Architektur: Agentless versus Agent und eBPF
CNAPP konsolidiert Infrastruktur und Workloads
Die Disruptoren: Agentless, Graphtechnologie und Tempo
Wächter der Laufzeit: Container- und Kubernetes-Spezialisten
Die Transformation der Endpoint-Giganten
ID und Schwachstellen: Spezialisierung als Strategie
Fazit und Marktübersicht

Artikel in iX 5/2026 lesen

Die IT-Sicherheit befindet sich in einem permanenten Spannungsfeld zwischen der Notwendigkeit granularer Kontrolle und dem Drang nach operativer Geschwindigkeit. Während Containerorchestrierung per Kubernetes und Serverless-Architekturen die Deployment-Frequenz in den Minutenbereich drücken, hinken klassische Sicherheitskonzepte oft Monate hinterher. Der Markt antwortet mit der Fusion ehemals getrennter Disziplinen – Cloud Security Posture Management (CSPM) und Cloud Workload Protection Platform (CWPP) – zur Cloud-native Application Protection Platform (CNAPP).

Allerdings eine schlechte Nachricht für Firmen, die souverän bei EU-Anbietern hosten: Keine CNAPP-Lösung analysiert die mittelständischen Anbieter wie Scaleway, OHV, STACKIT et cetera. Für selbst oder bei mittelständischen Anbietern betriebene Kubernetes-Cluster sieht es besser aus, hier helfen die auf CWPP spezialisierten Werkzeuge.

Zur Absicherung von Cloud-native-Infrastrukturen hat man die Wahl zwischen agentenlosen Scannern und agentenbasierten Wächtern und somit zwischen reiner Sichtbarkeit und aktiver Gefahrenabwehr zur Laufzeit.
Compliance ist Pflicht: Alle Maßnahmen sollten auf den BSI-Grundschutz abgestimmt sein.
Die finanzielle Stabilität und die R&D-Quote der Anbieter sind kritische Indikatoren für die Zukunftsfähigkeit; die Implosion der Bewertung von Lacework dient als Warnsignal gegen einen vorschnellen Vendor Lock-in.

Fragte die erste CSPM-Tool-Generation noch systematisch Cloud-APIs ab, um den Ist- gegen den Sollzustand zu prüfen, hat sich die Bedrohungslage fundamental verschoben. Angreifer nutzen nicht mehr nur simple Fehlkonfigurationen, sondern komplexe Identitätsketten und Schwachstellen innerhalb der Laufzeitumgebung aus. Die bloße API-Abfrage, die einen offenen Port meldet, ist wertlos geworden ohne den Kontext, welcher Prozess dort lauscht, welche Bibliotheken geladen sind und welche Rechte die damit verknüpfte Serviceidentität besitzt.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Elektro-Kleinwagen Cupra Raval: Mehr Dynamik zum Einstieg

Der Cupra Raval ist die dynamischere Variante der günstigen Elektro-Einstiegsmodelle VW ID. Polo und Skoda Epiq – sogar ein Sportmodell hat Cupra angekündigt.

Eigene Wetterstationen liefern lokales Wetter

Wetterstationen für Garten und Balkon mit iPhone-Anbindung im Test

Eigene Wetterstationen messen Temperatur, Luftfeuchtigkeit und mehr vor Ort und liefern die Werte ans iPhone. Wir haben 7 Stationen mit Außensensor getestet.

Analyse: Probleme der deutschen Energiewende und wie sie sich lösen ließen

Der hohe Anteil an wetterabhängiger Stromerzeugung erzeugt ungewöhnliche Probleme. Zum Glück gibt es jeweils Lösungen, die der Markt schon aufdrängt.

Gehaltsreport: Was IT-Profis und KI-Spezialisten wirklich verdienen

Welches Gehalt bekommen die Kollegen? Wir zeigen, was IT-Profis verdienen – vom Supporter bis zum CIO.

KI-Bilder lokal generieren: Stable Diffusion auf dem Raspberry Pi einsetzen

Das Bildgenerierungsmodell Stable Diffusion lässt sich auf dem Raspberry Pi ausführen. So erhalten Sie KI-Bilder mit minimaler Hardware und ohne Cloud-Zwang.