Der Tenable Cloud and AI Security Risk Report 2026 liest sich wie ein Katalog systematischer Governance-Versäumnisse: 86% aller Organisationen betreiben Third-Party-Code-Pakete mit kritischen Schwachstellen, 82% laufen mit bekannten, exploitierten CVEs, und fast die Hälfte aller Identitäten mit Admin-Rechten sind seit Monaten inaktiv. Was als "AI-Velocity-Gap" beginnt, mündet in eine strukturelle Cloud-Exposure, die Angreifern direkte Pfade zu sensiblen Daten eröffnet. Für Investoren ist die Botschaft klar: Cloud-Security ist kein Nice-to-Have mehr, sondern kritische Infrastruktur – und Tenable ($TENB) liefert die Daten, die diese Dringlichkeit quantifizieren.
Die Anatomie der Cloud-Krise: Vier konvergierende Risiko-Vektoren
Tenable Research analysierte zwischen April und Oktober 2025 diverse Public-Cloud- und Enterprise-Umgebungen und identifizierte vier zentrale Exposures, die sich zu einem einheitlichen Angriffspfad verbinden:
1. AI Services Governance Gap (18% betroffen):
18% der Organisationen, die AWS-AI-Services wie SageMaker oder Bedrock nutzen, verfügen über überprivilegierte IAM-Rollen, die diese Services sofort annehmen können. 13% davon halten kritische, 8% hohe Excessive Permissions. Hinzu kommt: 73% der Default-Execution-Rollen für SageMaker und 70% für Bedrock sind inaktiv – "dormant identities", die nur darauf warten, kompromittiert zu werden. 3% der Organisationen exponieren AI-API-Keys (OpenAI, Anthropic) direkt im Cloud-Storage.
2. Supply Chain Exposure (86% betroffen):
86% aller Organisationen haben Third-Party-Code-Pakete mit kritischen Schwachstellen installiert. Jede achte Organisation (13%) hat mindestens ein kompromittiertes Paket direkt in die Cloud-Umgebung deployed. Das Risiko wird durch externe Zugriffe potenziert: 53% der Organisationen erlauben externen Accounts, kritische Excessive Permissions anzunehmen. Bei 14% sind über 75% aller Cloud-Ressourcen für externe Accounts erreichbar – ein massiver "Blast Radius" im Falle eines Vendor-Breaches.
3. Identity & Credentials Risk (49% dormant):
Least Privilege bleibt ein Lippenbekenntnis: Im Durchschnitt sind 49% aller Identitäten mit kritischen Permissions seit 90+ Tagen inaktiv. Non-Human-Identitäten (für Automation, ML/AI-Services, Agents) sind mit 52% noch stärker betroffen als menschliche Accounts (37%). 65% der Organisationen exponieren High-Value-Assets durch "vergessene" Cloud-Credentials – trotz Verbesserung gegenüber 84% im Jahr 2024. Besonders kritisch: 17% haben solche Keys mit administrativen Privileges verknüpft.
4. Workload Exposure (82% betroffen):
82% betreiben Cloud-Workloads mit bekannten, exploitierten kritischen CVEs. 57% betreiben Systeme at or near End-of-Life, die keine Security-Updates mehr erhalten. Diese "sitting duck"-Konstellation macht Umgebungen hochgradig anfällig für automatisierte Exploitation.
Die Business-Implikation: Engineering Velocity überholt Security Governance
Der Report diagnostiziert ein strukturelles Problem: Engineering Velocity outpaces Security Governance. AI-Tools werden mit Geschwindigkeit deployed, die klassische Control-Frameworks überfordert. Das Resultat: 55% der Organisationen nutzen AI-Tools für aktive Business-Needs (Stand 2025), aber 70% haben mindestens ein AI- oder Model Context Protocol (MCP) Third-Party-Paket integriert – oft ohne ausreichende Prüfung.
Die Konsequenz ist eine Governance-Lücke, die sich durch alle vier Risiko-Vektoren zieht: überprivilegierte Rollen für schnelle Deployment-Cycles, ungeprüfte Third-Party-Pakete für schnellere Entwicklung, dormant Identities als Altlasten aus schnellen Projekten, und unpatched Workloads als Kollateralschaden von DevOps-Geschwindigkeit.
Investment Thesis: Cloud Security als kritische Infrastruktur
Der Tenable Report quantifiziert, was viele Investoren intuitiv spüren: Cloud Security ist von "Best Practice" zu "kritischer Infrastruktur" mutiert. Die Zahlen sind eindeutig:
- $10,5 Billionen prognostizierte Cybercrime-Schäden bis 2025 (Cybersecurity Ventures)
- 3,5 Millionen unbesetzte Cybersecurity-Stellen weltweit (ISC²)
- 82% der Organisationen betreiben exploitierte CVEs – ein attraktives Ziel für automatisierte Angriffe
Für Tenable ($TENB) ist der Report gleichzeitig Produktmarketing und Market-Education: Die Cloud Security Plattform von Tenable adressiert alle vier identifizierten Risiko-Vektoren – von AI Identity Risk über Supply Chain Visibility bis zu Workload Vulnerability Management.
Financials (Q3 FY2025, Stand November 2025):
- Revenue: $224M (+11% YoY)
- Calculated Current Remaining Performance Obligations (cCRPO): $989M (+17% YoY)
- Operating Margin: 10% (GAAP), 28% (Non-GAAP)
- Free Cash Flow: $44M (20% Margin)
Die Zahlen zeigen: Tenable wächst solide im zweistelligen Bereich, aber die Bewertung reflektiert noch nicht die strukturelle Nachfrage, die Reports wie dieser offenlegen. Mit einer Marktkapitalisierung von ~$6B (bei ~$900M ARR) liegt Tenable deutlich unter den Multiples von Pure-Play-Cloud-Security-Anbietern wie Wiz (zuletzt $32B pre-Acquisition-Bewertung bei ~$500M ARR) oder Zscaler ($ZS, ~30x ARR).
Cross-Sector-Risiko: Wenn Supply Chain zum Single Point of Failure wird
Besonders bemerkenswert ist die Supply-Chain-Dimension: 86% mit kritischen Vulnerabilities in Third-Party-Paketen bedeutet, dass das Risiko nicht mehr intern kontrollierbar ist. Ein kompromittierter Vendor, ein malicious Package, ein vergessener External Account – und Angreifer haben direkten Zugriff auf 75%+ der Cloud-Ressourcen (bei 14% der Organisationen).
Historische Präzedenzfälle wie SolarWinds (2020) oder die Log4Shell-Krise (2021) haben gezeigt, dass Supply-Chain-Kompromittierungen zu den kostspieligsten und weitreichendsten Breaches gehören. Der Tenable Report zeigt: Die Exposure ist nicht kleiner geworden – sie ist strukturell geworden.
Mitigation Strategies: Von Reactive zu Proactive
Tenable empfiehlt einen Shift von reaktivem Patching zu proaktivem Exposure Management:
- AI Governance: Regelmäßige Audits von IAM-Rollen für AI-Services, automatisierte Rotation von API-Keys, Least-Privilege-Enforcement für Non-Human-Identities
- Supply Chain Visibility: Continuous Monitoring von Third-Party-Paketen, SBOM-basierte Vulnerability-Scans, strikte Access-Controls für externe Accounts
- Identity Hygiene: 90-Tage-Inaktivitäts-Reviews, automatisierte Deprovisioning-Workflows, Credential-Rotation-Policies
- Workload Hardening: Priorisierung von Known Exploited Vulnerabilities (KEV), EoL-Lifecycle-Management, Attack Path Analysis
Fazit: Der Report als Weckruf für Boardrooms und Portfolios
Der Tenable Cloud and AI Security Risk Report 2026 ist mehr als ein Security-Whitepaper – er ist ein Weckruf für Boardrooms und Investment-Portfolios. Die quantifizierten Exposures (86%, 82%, 49%, 18%) zeigen: Cloud-Security ist kein IT-Thema mehr, sondern ein Business-Continuity-Risiko.
Für Investoren bedeutet das: Exposure Management wird zur Pflichtausstattung. Unternehmen, die diese Gaps nicht schließen, riskieren nicht nur Breaches, sondern auch regulatorische Strafen (NIS2, DORA), Reputationsverlust und Geschäftsunterbrechungen. Anbieter wie Tenable, die diese Risiken quantifizieren und mitigieren können, werden strukturell profitieren.
Positionierung: Der Cybersecurity Leaders Fonds hält aktuell keine Position in Tenable ($TENB), beobachtet aber die Cloud-Security-Kategorie aktiv. Cross-Holdings wie CrowdStrike ($CRWD) und Palo Alto Networks ($PANW) adressieren verwandte Risiken (Endpoint, Network Security), während Pure-Plays wie Wiz (GOOGL-Acquisition) die Bewertungs-Benchmark setzen.
Ticker: $TENB, $CRWD, $PANW, $ZS, $GOOGL
Quelle: Tenable Cloud and AI Security Risk Report 2026 (Analyse April-Oktober 2025, AI-Findings bis Dezember 2025)
