Der SIEM-Markt wartet seit Jahren auf einen Herausforderer. Unternehmen haben Milliarden in Splunk, IBM QRadar und Microsoft Sentinel gesteckt — in Architekturen, die Log-Daten aufwendig einlesen, speichern und mit statischen Regeln durchkämmen. Das Ergebnis: explodierende Ingestion-Kosten, Alert-Flut ohne verwertbare Insights, Reaktionszeiten, die gegen KI-gestützte Angriffe schlicht nicht mithalten. Gestern trat ein New Yorker Startup aus dem Stealth-Modus — und beansprucht, genau dieses Problem zu lösen. Name: Artemis.
Das SIEM-Problem: Eine Architektur aus der Vor-KI-Ära
Security Information and Event Management ist ein 6,4-Milliarden-Dollar-Markt (2025), der bis 2029 auf 13,55 Milliarden Dollar anwachsen soll. Die Grundarchitektur stammt aus den frühen 2000ern: Telemetrie zentral sammeln, in einem riesigen Data Lake speichern, mit vordefinierten Regeln durchsuchen. Mehr Daten, mehr Kosten.
Das strukturelle Problem: Regeln, die eine Woche Entwicklungszeit brauchen, sind beim Rollout bereits veraltet. KI-gestützte Angreifer mutieren in Echtzeit — keine Attacke sieht zweimal gleich aus. Legacy-SIEM wurde für Angriffe gebaut, die in Minuten oder Stunden ablaufen. Heute laufen sie in Sekunden.
Die Artemis-Architektur: Federated Queries statt Ingestion-Falle
Artemis löst das Problem mit einem grundlegend anderen Ansatz. Statt alle Daten in eine zentrale Plattform zu ziehen, greift die Software via Federated Queries direkt auf die Datenquellen zu — dort, wo die Logs bereits liegen: in der Cloud, auf Endpoints, in Identity-Systemen. Keine mehrstufigen Daten-Pipelines, keine Speicher-Eskalation, keine Datenbanklizenzen als versteckte Kostenfalle.
Artemis beziffert die Betriebskosten für Kunden auf ein Fünftel gegenüber traditionellen SIEM-Plattformen.
Auf dieser Infrastruktur baut ein dynamisches Datenmodell auf, das aus der eigenen Telemetrie jedes Kunden eine Baseline des normalen Unternehmensbetriebs erstellt. Wenn ein Privilege-Escalation-Event in Okta gleichzeitig mit ungewöhnlicher API-Aktivität in AWS auftritt, korreliert Artemis beide Signale automatisch und liefert eine zusammenhängende Angriffs-Narrative — statt zwei isolierter Alerts, die ein Analyst manuell verknüpfen müsste.
Das Gründerteam: Die SOAR-Schöpfer sind zurück
- *Shachar Hirshberg** (CEO) baute zuvor Sicherheitsoperationsplattformen bei Palo Alto Networks — genauer: bei Demisto, dem Startup, das die **SOAR-Kategorie (Security Orchestration, Automation and Response) erfunden** und in einer der größten Pure-Play-Security-Transaktionen der Geschichte an Palo Alto verkauft hat. Danach leitete er bei AWS den Aufbau von **GuardDuty** — dem weltweit größten Cloud-Angriffserkennungssystem.
- *Dan Shiebler** (CTO) promovierte in Machine Learning an der Universität Oxford und leitete zuletzt KI und ML bei **Abnormal AI**, einer der am schnellsten wachsenden E-Mail-Security-Plattformen am Markt.
Beide haben nicht nur die akademischen Credentials — sie haben direkt in den Segmenten gearbeitet, die sie jetzt angreifen. Hirshberg hat SOAR gebaut. Shiebler hat KI-native Erkennung bei Abnormal skaliert. Artemis ist kein theoretisches Konstrukt.
$70 Millionen in sechs Monaten — und der CrowdStrike-SIEM-Insider investiert
Am 15. April 2026 gab Artemis seine kombinierten Seed- und Series-A-Runden bekannt: insgesamt 70 Millionen Dollar, sechs Monate nach der Gründung.
- **Series A:** geführt von Felicis (Jake Storm, General Partner)
- **Seed & Series A:** Brightmind (Gur Talpaz, General Partner)
- **First Round Capital** (Beteiligung an beiden Runden)
- **Angel-Investoren:** Führungskräfte von Microsoft und Okta
Bemerkenswert ist die Rolle von Gur Talpaz. Der Brightmind-Partner begleitete seinerzeit die Humio-Akquisition durch CrowdStrike — jene Transaktion, die zum Fundament für CrowdStrikes Next-Gen SIEM wurde. Talpaz dazu: «Ich habe die Nachfrage nach einer modernen, hochkomplementären Schutzplattform aus erster Hand von den weltgrößten Unternehmen gehört.»
Diese Investorenkonstellation ist kein Zufall. Talpaz hat aus nächster Nähe gesehen, wie CrowdStrike mit Next-Gen SIEM einen milliardenschweren Markt aufgebaut hat — und wettet jetzt auf eine Neuauflage.
Produktionsbetrieb nach sechs Monaten
Artemis verarbeitet nach eigenen Angaben bereits Milliarden von Events pro Stunde für Enterprise-Kunden aus Technologie, Banking und Financial Services — allesamt im Produktionsbetrieb, nicht in Pilotprojekten.
Zwei Case Studies aus dem Pressematerial:
- *Technologieunternehmen (Tausende Mitarbeiter):** Beim ersten Scan durch Artemis wurden mehrstellige Cloud-Ausgabeneinsparungen sichtbar, dazu sogenannte «Shadow Activity»: überprivilegierte Konten, undokumentierte Integrationen, APIs mit erhöhten Rechten — Sicherheitslücken, die mit bestehenden Tools unsichtbar blieben.
- *Reguliertes Unternehmen (Zehntausende Mitarbeiter):** Die durchschnittliche Untersuchungszeit sank von mehreren Stunden auf **unter fünf Minuten** — eine Reduktion von **96 Prozent**. Security-Teams erstellen Detektionsregeln jetzt in Minuten statt Wochen.
Was das für den SIEM-Markt bedeutet
Die etablierten Anbieter haben strukturelle Probleme:
- Splunk (jetzt Cisco) kostet Unternehmen oft siebenstellige Jahresbeträge — allein für Daten-Ingestion
- Microsoft Sentinel ist eng an Azure gebunden, architektonisch aber ähnlich datenhungrig
- IBM QRadar gilt als technisch veraltet und operativ aufwendig
- CrowdStrike Next-Gen SIEM ist leistungsstärker, aber tief ins Falcon-Ökosystem eingebettet
Artemis bezeichnet sich nicht als «SIEM-Ersatz», sondern als komplementäre Schutzplattform. Der Kostenvorteil von 5:1, kombiniert mit Echtzeit-KI-Korrelation und dem Wegfall von Datensilos, dürfte mittelfristig dennoch Budgets umlenken.
Für Investoren führt der Exit-Pfad entweder über einen Börsengang in vier bis sechs Jahren oder eine strategische Akquisition. Kaufkandidaten mit klarem Motiv: Microsoft, CrowdStrike ($CRWD) und Palo Alto Networks ($PANW) — alle drei haben strategische Gründe, eine AI-native Detection Platform zu integrieren.
Der größere Trend: KI gegen KI als neue Norm
Artemis ist nicht allein. Die vergangenen Wochen zeigen, wie viel Kapital in AI-native Security-Plattformen fließt: Armadin ($189,9M), Tenex ($250M), Censys ($70M von Morgan Stanley) — und jetzt Artemis ($70M). Der gemeinsame Nenner: KI auf der Angreifer-Seite erzwingt KI auf der Verteidiger-Seite.
Die alten SOC-Workflows — Alert sichten, Ticket öffnen, manuell korrelieren — sind nicht mehr skalierbar. Unternehmen, die weiterhin in Legacy-SIEM investieren, kaufen sich Zeit auf einem Auslaufmodell. Die Frage ist nicht ob, sondern wann der Paradigmenwechsel vollzogen ist.
Fazit
Artemis ist ein seltener Fall im Startup-Universum: ein Gründerteam, das die SOAR-Kategorie erfunden, das weltweit größte Cloud-Angriffserkennungssystem aufgebaut und ML-Erfahrung aus einem der am schnellsten wachsenden Security-Unicorns mitgebracht hat. Flankiert von einem Investor, der die SIEM-Disruption bei CrowdStrike aus erster Reihe beobachtet hat.
Für den 13,55-Milliarden-Dollar-SIEM-Markt dürfte Artemis einer der relevantesten Herausforderer des Jahrzehnts werden. Die Architektur — günstiger, adaptiv, AI-nativ — adressiert Schwächen, an denen Legacy-SIEM seit Jahren scheitert. Die nächsten 18 bis 24 Monate zeigen, ob Artemis seine frühen Enterprise-Ergebnisse auf breiter Front replizieren kann.
Quellen
- SiliconAngle: «Artemis reels in $70M to make breach remediation more efficient with AI» (15. April 2026)
- Morningstar/AccessWire: «Artemis Emerges from Stealth with $70M to Rebuild Security Operations for AI-Powered Attacks» (15. April 2026)
- Fortune: «Exclusive: Artemis raises $70M to help fight AI-powered attacks with AI» (15. April 2026)
- PRNewswire: «Modern SIEM Market to Reach $13.55 Billion by 2029» (Marktdaten)
Investmentansatz
Vom Research zur Allokation
Der Cybersecurity Leaders Fonds investiert gezielt in ausgewählte Unternehmen aus Cybersecurity und digitaler Infrastruktur. Die Analysen auf dieser Seite beleuchten Trends, Geschäftsmodelle und Marktverschiebungen, die für langfristige Investmententscheidungen in diesem Sektor relevant sein können. Investmentansatz ansehen →
Keine Anlageberatung. Inhalte dienen der Information und Einordnung.
