- *Eine handverlesene Riege von Top-Investoren setzt auf ein sechs Monate altes Startup — und sendet damit ein klares Signal über die Zukunft der Security Operations.**
Artemis Security hat am 15. April 2026 den Stealth-Modus verlassen und dabei 70 Millionen Dollar eingesammelt — in einer kombinierten Seed- und Series-A-Runde. Lead-Investor Felicis Ventures brachte First Round Capital, Brightmind, Theory VC, Two Sigma Ventures und Lockstep mit an den Tisch. Das Unternehmen existiert seit sechs Monaten. Es ist bereits in Produktion bei Enterprise-Kunden aus Technologie, Banking und Financial Services.
In einer Branche, in der Pre-Revenue-Startups oft Jahre brauchen, um institutionelle Tickets dieser Größenordnung zu erhalten, ist das ungewöhnlich. Es spiegelt nicht nur Vertrauen in das Gründerteam — es zeigt, wo der Markt gerade am stärksten unter Druck steht.
Das Problem: Statische Regeln gegen dynamische Angriffe
Klassische SIEM-Systeme wurden für eine andere Bedrohungswelt gebaut. Splunk, IBM QRadar — alle funktionieren nach demselben Prinzip: regelbasierte Erkennung. Analysten schreiben Queries, definieren Schwellenwerte, priorisieren Alerts. Das funktioniert, solange Angreifer bekannte Muster nutzen.
Das tun sie immer seltener. KI-gestützte Angriffe sind schneller, kontextbezogener und adaptiver als jede statische Erkennungsregel. Angreifer personalisieren Phishing-Mails mit Sprachmodellen, automatisieren die laterale Bewegung durch Netzwerke und bauen Privilege-Escalation-Ketten quer durch Okta, AWS und Azure AD — innerhalb von Minuten.
Das Ergebnis: Sicherheitsteams ersticken in Alerts. Laut Artemis dauert eine typische Incident-Investigation bei vielen Enterprise-Kunden im Schnitt über 100 Minuten — und das nur für die Fälle, die überhaupt als solche erkannt werden. Die eigentlich gefährlichen Signale verschwinden im Rauschen.
Die Lösung: Federated Queries statt zentralem Datengrab
Artemis verfolgt einen grundlegend anderen Ansatz. Klassische SIEMs ingesten alle Daten zentral — das treibt die Kosten. Artemis setzt stattdessen auf ein federated Query-Modell: Daten verbleiben in der bestehenden Cloud-Infrastruktur des Kunden — S3, Azure Blob, GCS — und werden on-demand abgerufen.
Das spart laut Artemis bis zu 80 Prozent der Infrastrukturkosten gegenüber konventionellen Architekturen. Der Preis-Angle ist kein Nebenaspekt. Er ist strategisch: CISOs stehen unter Budgetdruck, SIEM-Lizenzen kosten regelmäßig sieben- bis achtstellige Jahresbeträge.
Kern der Plattform ist ein kundenspezifisches Verhaltensmodell: Artemis kombiniert Log-Daten über User, Maschinen, Cloud-Workloads und Applikationen mit Business-Kontext — und generiert daraus automatisch individuelle Detektionen. Keine generischen Regeln von der Stange, sondern Erkennung, die sich an der eigenen Umgebung kalibriert.
Ein konkretes Beispiel: Das System verknüpfte eine Privilege-Escalation in Okta mit ungewöhnlicher API-Aktivität in AWS und präsentierte beides als einen einzigen kohärenten Incident — statt als zwei separate Alerts. Ein menschliches Team hätte die Verbindung möglicherweise erst Stunden später hergestellt.
Dazu kommt eine Natural-Language-Investigationsschicht: Analysten befragen Umgebungen in Klartext, ohne komplexe Query-Sprachen zu erlernen. Custom Detections lassen sich in Minuten erstellen — bisher ein Prozess, der in vielen SOCs Tage oder Wochen dauert.
Das Team: Operative Tiefe trifft AI Research
Dass Felicis und Co. so früh und mit solcher Überzeugung investiert haben, hängt maßgeblich am Gründerduo.
- *Shachar Hirshberg** (CEO) baute bei Palo Alto Networks Security-Operations-Produkte und begleitete die Demisto-Akquisition, bevor er zu AWS wechselte und dort GuardDuty leitete — Amazons zentralen Cloud-Threat-Detection-Service. Genau diese operative Tiefe ist es, die in der Security-Branche den Unterschied zwischen Konzept und Produkt ausmacht.
- *Dan Shiebler** (CTO) leitete zuletzt Machine Learning und AI bei Abnormal AI — einem der prominentesten Email-Security-Startups der letzten Jahre — und promovierte in Machine Learning an der University of Oxford. Sein Hintergrund ist nicht Security-first, sondern AI-first. Das ist Programm: Artemis will keine Security-Company sein, die AI hinzufügt. Es soll eine AI-Company sein, die Security löst.
Gur Talpaz von Brightmind — zuvor bei CrowdStrike für die Humio-Akquisition mitverantwortlich, die zur Basis des heutigen Next-Gen SIEM wurde — nennt das Timing explizit als Investitionsgrund: *"AI-powered attacks require a fundamentally new approach to defense with AI at the foundation."*
Investment-Thesis: Drei Faktoren, die gerade konvergieren
- *1. AI-Angriffe treiben die Nachfrage.** Agentic AI macht automatisierte Angriffskampagnen im industriellen Maßstab zugänglich. Security-Teams mit manuellen Playbooks verlieren strukturell gegenüber Angreifern, die Automatisierung nutzen.
- *2. Legacy-SIEM-Verträge laufen aus.** Viele Enterprises haben mehrjährige Splunk- oder IBM-Verträge, die 2025–2027 zur Verlängerung anstehen. CrowdStrikes Falcon Next-Gen SIEM und Palo Altos XSIAM zeigen: Der Markt ist offen für Plattformwechsel.
- *3. Das Kostenargument hat Gewicht.** In einem Umfeld steigender Cybersecurity-Budgets bei gleichzeitiger Skepsis gegenüber Tool-Proliferation gewinnen Lösungen, die günstiger und einfacher sind — ohne Qualitätsabstriche.
Der globale Security-Operations-Markt — SIEM, SOAR, MDR — wird bis 2027 auf über 25 Milliarden Dollar geschätzt. Artemis zielt ins Zentrum.
Competitive Landscape: Incumbents unter Druck
Die etablierten Spieler werden das registrieren:
- **CrowdStrike ($CRWD)** hat mit Falcon Next-Gen SIEM bereits erheblich in den SOC-Markt investiert — die Humio-Übernahme 2021 war ein strategisches Vorgreifen auf genau diesen Trend. Artemis ist eine direkte Herausforderung dieser Positionierung.
- **Palo Alto Networks ($PANW)** baut mit XSIAM an einem AI-nativen SOC-Produkt. Die Koi-Akquisition für rund 400 Millionen Dollar unterstreicht den Fokus auf Agentic Security.
- **SentinelOne ($S)** positioniert sich mit Purple AI im gleichen Segment, hat aber historisch stärker auf EDR gesetzt.
- **CyberArk ($CYBR)** ist weniger direkt betroffen, berührt aber die Konvergenz von Identity und SOC, die Artemis adressiert.
Für Investoren bedeutet das: Artemis ist sowohl potenzielles Akquisitionsziel als auch potenzielle Bedrohung für die Marktanteile der Großen.
Ausblick: Der eigentliche Test kommt noch
Die Wachstumskapital-Frage ist vorerst gelöst. Die nächste Phase wird zeigen, ob das frühe word-of-mouth-Wachstum sich in einen skalierbaren Go-to-Market übersetzen lässt. Enterprise-Security ist ein Segment mit langen Sales-Zyklen und hohen Compliance-Anforderungen — beides Hürden, die Kapital allein nicht überwindet.
Die frühen Zahlen sind dennoch bemerkenswert: Ein Technologieunternehmen mit tausenden Mitarbeitern fand im ersten Scan millionenschwere Cloud-Ausgaben-Optimierungen und bisher unsichtbare Shadow-Activity. Ein reguliertes Unternehmen reduzierte seine durchschnittliche Investigationszeit um 96 Prozent — von über 100 Minuten auf unter fünf.
Wenn sich diese Ergebnisse reproduzieren lassen, ist Artemis keine Nischenlösung. Dann ist es ein potenzieller Marktdefinierer.
Der 70-Millionen-Dollar-Bet von Felicis und Co. ist eine klare Aussage: Sie glauben, dass Artemis genau das werden kann.
- Relevante Ticker: $CRWD, $PANW, $S, $CYBR*
- Quellen: Fortune Exclusive (15.04.2026), SecurityBrief UK (16.04.2026), SC Media (16.04.2026)*
Investmentansatz
Vom Research zur Allokation
Der Cybersecurity Leaders Fonds investiert gezielt in ausgewählte Unternehmen aus Cybersecurity und digitaler Infrastruktur. Die Analysen auf dieser Seite beleuchten Trends, Geschäftsmodelle und Marktverschiebungen, die für langfristige Investmententscheidungen in diesem Sektor relevant sein können. Investmentansatz ansehen →
Keine Anlageberatung. Inhalte dienen der Information und Einordnung.
