Überschrift und Einstieg
Sicherheitsabteilungen in der Cloud haben längst kein Sichtbarkeitsproblem mehr, sondern ein Priorisierungsproblem. Die Tools sagen ihnen heute schon, dass alles verwundbar ist – ständig. Was fehlt, ist der Kontext: Was ist jetzt wirklich gefährlich? Die neue Finanzierungsrunde von Upwind über 250 Millionen US‑Dollar bei einer Bewertung von 1,5 Milliarden ist eine Wette darauf, dass genau diese »Runtime‑Lücke« die nächste große Plattformverschiebung in der Cloud-Security wird.
Im Folgenden analysieren wir, was Upwind tatsächlich verkauft, warum Investoren selbst in einem abgekühlten Markt solche Beträge in Security stecken, wie sich dadurch der überfüllte CNAPP‑Markt verschiebt und was das »inside‑out«‑Modell für Unternehmen in der DACH‑Region bedeutet – im Spannungsfeld von NIS2, DORA, GDPR und einem explosiven Wachstum von AI‑Workloads.
Die Nachricht in Kürze
Laut einem Bericht von TechCrunch hat das in Israel gegründete Unternehmen Upwind Security 250 Millionen US‑Dollar in einer Series‑B‑Runde zu einer Bewertung von 1,5 Milliarden US‑Dollar eingesammelt. Angeführt wurde die Runde von Bessemer Venture Partners, beteiligt waren außerdem Salesforce Ventures und Picture Capital.
Upwind entwickelt eine Plattform für Runtime‑Cloud-Security. Anstatt Cloud‑Umgebungen nur von außen zu scannen, wertet die Lösung interne Signale wie Netzwerkverkehr, API‑Aufrufe und Prozesse aus, um Sicherheits-Teams bei der Priorisierung von Schwachstellen und Bedrohungen zu unterstützen – mit dem Fokus auf das, was in Echtzeit tatsächlich ausnutzbar ist.
Wie TechCrunch berichtet, ist das Unternehmen seit seiner Series‑A‑Runde über 100 Millionen US‑Dollar im Jahr 2024 stark gewachsen. Upwind spricht von 900 % Umsatzwachstum im Jahresvergleich und einer Verdoppelung der Kundenzahl. Zu den Kunden zählen unter anderem Siemens, Peloton, Roku, Wix, Nextdoor und Nubank. Neben den Kernmärkten USA, Großbritannien und Israel ist Upwind inzwischen auch in Australien, Indien, Singapur und Japan aktiv.
Das neue Kapital soll in die Weiterentwicklung der Plattform, in AI‑gestützte Sicherheitsfunktionen und in eine stärkere Ausrichtung auf Entwickler fließen, um Fehlkonfigurationen bereits vor dem Go‑Live abzufangen.
Warum das wichtig ist
Upwind sitzt genau dort, wo sich drei Entwicklungen treffen: Cloud‑Native‑Komplexität, Alarmmüdigkeit und die anhaltende Investorenbegeisterung für Cybersecurity als eine der letzten echten Wachstumsstories.
Erstens der technische Aspekt. In den letzten zehn Jahren bedeutete »Cloud-Security« vor allem CSPM und später CNAPP – Plattformen, die Infrastructure-as-Code, Cloud‑Konten und Container auf Fehlkonfigurationen scannen. Diese Werkzeuge sind hervorragend darin, bunte Dashboards voller »Critical«‑Balken zu erzeugen, aber deutlich schlechter darin, eine einfache operative Frage zu beantworten: Welche dieser tausend kritischen Findings wird in dieser Woche mit hoher Wahrscheinlichkeit zu einem Sicherheitsvorfall?
Upwinds Runtime‑Ansatz zielt genau auf diese Lücke. Durch die Beobachtung von Live‑Traffic, laufenden Workloads und API‑Mustern kann die Plattform beispielsweise bewerten: »Ja, dieses Container‑Image hat eine schwere Schwachstelle, aber der Dienst ist nicht öffentlich erreichbar, verarbeitet keine sensiblen Daten und lebt nur wenige Minuten«, im Gegensatz zu »dieser unscheinbare Konfig‑Fehler betrifft eine öffentlich erreichbare API, die Zahlungsdaten verarbeitet«. Genau dieser Kontext ist es, für den CISOs bereit sind, signifikante Budgets zu verschieben.
Zweitens der geschäftliche Aspekt. Auch im vorsichtigeren Finanzierungsumfeld 2025/2026 bleibt Security eine Sonderkategorie. Große Unternehmen können den Einsatz von Cloud, AI‑Workloads und schnellerer Software‑Auslieferung nicht zurückdrehen, wohl aber die Zahl der Anbieter. Upwind positioniert sich deshalb bewusst nicht als weiteres Nischenprodukt, sondern als breite Plattform, die mehrere bestehende Tools ersetzen will.
Die Gewinner sind klar: Cloud‑reife Organisationen mit vielen Microservices, Multi‑Cloud‑Setups und sensiblen Daten – Banken, SaaS‑Anbieter, Industrie, Gaming, FinTech. Verlierer sind Anbieter, die ausschließlich auf den klassischen »outside‑in«‑CSPM‑Ansatz setzen oder sehr eng geschnittene Tools, die ihren Beitrag zur tatsächlichen Risikoreduktion nicht belegen können. Für diese ist diese Finanzierungsrunde ein weiteres Signal, dass der Markt sich von reiner Sichtbarkeit in Richtung Runtime‑Wirkung bewegt.
Der größere Kontext
Upwinds Runde ist Teil einer größeren Marktverschiebung, die wir in der Cloud-Security seit einigen Jahren sehen.
CNAPP‑Konvergenz und Plattform‑Landgrab. Anbieter wie Wiz, Orca Security, Palo Alto Networks und andere drängen auf umfassende End‑to‑End‑Plattformen: Kombinationen aus CSPM, Workload‑Schutz, Kubernetes‑Security, Data Security und mehr. Der Trend ist eindeutig: CISOs wollen weniger, aber stärkere Plattformpartner statt eines Zoos sich überlappender Lösungen. Upwind steigt in dasselbe Rennen ein – mit Runtime‑Beobachtung als Kern-Differenzierung.
Agentless vs. Agent – mit mehr Grautönen. Die letzte Hype‑Welle in der Cloud-Security war »agentless«: Scans über Cloud‑APIs ohne Software auf den Workloads. Das lässt sich leicht ausrollen und nimmt SRE‑Teams die Angst vor Performance‑Einbußen. Doch, wie aus den Aussagen der Gründer gegenüber TechCrunch hervorgeht, stößt der reine Außenblick schnell an Grenzen: Man sieht viel, versteht aber wenig. Upwinds These, dass man interne Signale aus laufenden Systemen braucht, deutet auf eine pragmatischere Zukunft hin: hybride Modelle, in denen agentlose Verfahren den Einstieg bilden und gezielte Runtime‑Hooks dort hinzukommen, wo das Risiko am größten ist.
Von statischer zu dynamischer Risikobetrachtung im AI‑Zeitalter. AI‑Agenten, Serverless‑Funktionen, kurzlebige Container und datenintensive Pipelines sorgen dafür, dass sich Infrastrukturen im Minutentakt verändern. Klassische Sicherheitsscans sind Momentaufnahmen. Runtime‑Security ist im Kern kontinuierliche Security – ein Live‑Stream darüber, wie sich Code, Daten und Nutzer tatsächlich verhalten. Das erinnert stark an den Wandel auf Endpoints vor einigen Jahren, als der Markt von Antivirus zu EDR/XDR wechselte.
Für den Gesamtmarkt lassen sich zwei Aussagen treffen. Erstens sehen Investoren gerade in Cloud‑ und AI‑Infrastruktur‑Security weiterhin Multi‑Milliarden‑Potenzial. Zweitens steigt die Messlatte für Differenzierung. »Noch ein CNAPP« allein reicht 2026 nicht mehr für 250 Millionen. Gefragt ist eine glaubwürdige Story, wie man Alarmmüdigkeit reduziert, sich in Entwickler‑Workflows integriert und AI‑getriebene Infrastrukturen in großem Maßstab absichert.
Die europäische / DACH-Perspektive
Für Unternehmen in Deutschland, Österreich und der Schweiz ist diese Nachricht eng mit Regulierung, Datenschutzkultur und Souveränitätsfragen verknüpft.
Mit NIS2, der DORA‑Verordnung für den Finanzsektor und natürlich der GDPR/DSGVO verschiebt sich der Fokus: Weg von reinen Konfig‑Checks hin zur Fähigkeit, echte Vorfälle schnell zu erkennen, nachzuvollziehen und zu melden. »Wir scannen unsere Cloud‑Konten einmal pro Woche« ist gegenüber Aufsichtsbehörden längst kein überzeugendes Argument mehr.
Runtime‑Security kann hier zum Missing Link werden. Wer permanent nachvollziehen kann, welche Services mit welchen Datenbanken sprechen, wo personenbezogene Daten tatsächlich fließen und welche APIs exponiert sind, kann Audit‑ und Reporting‑Pflichten deutlich besser erfüllen. Für eine von DORA betroffene Bank in Frankfurt oder Zürich ist ein Werkzeug, das den Runtime‑Zustand kritischer Zahlungsstrecken visualisieren kann, ein starkes Governance‑Instrument.
Gleichzeitig ist da die Souveränitätsdimension. Gerade in Deutschland ist das Misstrauen gegenüber ausländischen Cloud‑Anbietern und Security‑Tools tief verwurzelt – nicht zuletzt aufgrund der anhaltenden Debatten um Cloud‑Act, Schrems‑II und Datentransfers in die USA. Wenn Plattformen wie Upwind zum »zentralen Nervensystem« der Cloud werden, steigt die Sensibilität noch einmal: Wo liegen Logs und Telemetriedaten? Unter welcher Gerichtsbarkeit? Wer kann im Ernstfall zugreifen?
Für europäische Wettbewerber eröffnet das Chancen. Anbieter aus der DACH‑Region oder Frankreich, die Runtime‑Fähigkeiten mit souveräner Infrastruktur (z. B. in Rechenzentren von IONOS, OVHcloud, Swisscom) und DSGVO‑by‑Design kombinieren, können sich differenzieren – auch wenn sie das Feature‑Tempo von globalen Playern wie Upwind nicht in allen Bereichen mitgehen.
Für mittelständische Unternehmen, die das Rückgrat der DACH‑Wirtschaft bilden, lautet die praktische Konsequenz: Runtime‑Kontext wird zunehmend Voraussetzung. Wer kritische Prozesse in die Cloud verlagert, ohne zur Laufzeit zu verstehen, was dort geschieht, wird es bei Banken, Versicherern oder Automobil‑OEMs als Kunde oder Lieferant schwerer haben.
Blick nach vorn
Wie entwickelt sich dieser Markt in den nächsten Jahren weiter?
1. Runtime wird CNAPP‑Pflichtprogramm. Innerhalb von zwei bis drei Jahren dürfte »Runtime‑Awareness« in den meisten CNAPP‑Ausschreibungen als Muss‑Kriterium auftauchen. Anbieter, die heute nur IaC‑ oder Konfig‑Scans liefern, werden Runtime‑Funktionalität zukaufen oder bauen – über Übernahmen, Agent‑Technologien, eBPF oder Integrationen in Observability‑Stacks.
2. Konsolidierung und Übernahmen. Die Zahl gut finanzierter Cloud‑Security‑Startups ist auf Dauer nicht tragfähig. Wenn das Wachstum nachlässt oder die Börsenfenster geschlossen bleiben, werden große Security‑Häuser auf Einkaufstour gehen. Hyperscaler (AWS, Azure, Google Cloud) haben zwar eigene Security‑Dienste, sind aber durch ihre Plattformrolle limitiert. Daher sind Player wie Palo Alto Networks, CrowdStrike oder auch Observability‑Anbieter naheliegende Käufer. Upwinds Größe und Profil machen das Unternehmen sowohl zu einem potenziellen Käufer als auch zu einer attraktiven Übernahmezielscheibe.
3. Entwickler‑Integration als Schicksalsfrage. Upwind betont, näher an Entwickler heranrücken zu wollen. Das ist entscheidend. Bleibt Runtime‑Security ein reines »Post‑Deployment«‑Werkzeug, landet sie als weiteres lautes Dashboard im SOC. Der Erfolgsweg lautet: Muster aus der Produktion erkennen und daraus handhabbare Leitplanken für CI/CD‑Pipelines, IaC‑Vorlagen und API‑Gateways ableiten. Also: eine Feedback‑Schleife zwischen Produktionsrealität und Build‑Zeit‑Kontrollen schaffen.
4. Regulierung fokussiert Telemetrie. Je tiefer Runtime‑Plattformen in Anwendungen und Datenflüsse hineinsehen, desto stärker rücken Datenschutzbehörden und Betriebsräte in den Fokus. Enthalten Logs personenbezogene Daten? Werden sie pseudonymisiert? In welchem Land liegen sie? Welche Drittparteien können im Incident‑Fall zugreifen? Anbieter, die Datenschutz, Datenminimierung und regionales Hosting nicht nur in Marketingfolien, sondern in der Architektur ernst nehmen, werden in der DACH‑Region im Vorteil sein.
Das zentrale Risiko für Upwind ist ein altbekanntes: als »nice to have« statt als geschäftskritische Plattform wahrgenommen zu werden. Um das zu vermeiden, muss das Unternehmen fortlaufend zeigen, dass seine Runtime‑Insights Vorfälle verhindern, Reaktionszeiten verkürzen und Compliance‑Kosten senken – nicht nur, dass sie hübsche Grafiken produzieren.
Fazit
Upwinds 250‑Millionen‑Runde steht weniger für ein einzelnes Startup, sondern für einen Paradigmenwechsel: weg vom reinen Konfigurations‑Scanning hin zum Verstehen des tatsächlichen Verhaltens von Cloud‑Systemen. Runtime‑Security nach dem Prinzip »inside‑out« dürfte zum neuen Standard für ernstzunehmende Cloud‑Programme werden – besonders in stark regulierten Branchen der DACH‑Region.
Die Chance und die Herausforderung liegen auf der Hand. Wenn Plattformen wie Upwind Alarmrauschen wirklich reduzieren, verwertbare Erkenntnisse in die Entwicklung zurückspiegeln und gleichzeitig europäische Datenschutz‑ und Souveränitätsanforderungen respektieren, prägen sie das nächste Jahrzehnt der Cloud-Security. Wenn nicht, sind sie nur das nächste Dashboard in einem ohnehin überlasteten SOC. Die Frage an CISOs lautet daher: Sichern Sie noch Konfigurationen – oder bereits die Realität?
