Sind Cybersecurity-Aktien durch KI „zu Unrecht“ abgestraft worden? Morgan Stanley sieht eine Chance von 220 Milliarden US-Dollar

Das Narrativ, dass KI den Bereich der Cybersicherheit beeinflusst, wird derzeit neu bewertet.

In den vergangenen Wochen veröffentlichte Anthropic Claude Code Security und gab bekannt, dass das Mythos KI-Modell in seinem eigenen Cybersicherheits-Benchmarktest die volle Punktzahl erzielte, was zu Panik auf dem Markt hinsichtlich einer möglichen Disruption der Cybersicherheitsbranche durch KI führte. Die entsprechenden Aktien verzeichneten einen kumulierten Rückgang von etwa 25%.

Doch Morgan Stanley erklärte im aktuellen Bericht, dass dieser Ausverkauf strukturelle Fehleinschätzungen bezüglich der Bedrohung durch KI widerspiegelt und nicht eine tatsächliche Verschlechterung der Fundamentaldaten. Investoren unterschätzen die defensive Nachfrageexpansion, die KI erzeugt, überschätzen jedoch die Disruptionsgefahr gegenüber etablierten Anbietern – das zusätzliche Sicherheitsvolumen, das KI schafft, beträgt bis zu 220 Milliarden US-Dollar und übersteigt das Marktvolumen der von Disruptionsrisiken betroffenen Segmente um ein Vielfaches. Das Netto-Marktvolumen für Cybersicherheitssoftware wird voraussichtlich etwa 10% höher liegen als heute.

Auslöser dieses Ausverkaufs war eine Reihe von Ankündigungen KI-nativer Unternehmen. Laut MarketWatch veröffentlichte Anthropic Claude Code Security, und das Mythos KI-Modell erzielte die volle Punktzahl bei seinen eigenen Cybersicherheits-Benchmarks. Dies ließ Investoren befürchten, dass KI den Wert traditioneller Cybersicherheitslösungen erheblich mindern würde, was zu großflächigen Portfolioumstrukturierungen führte.

Morgan Stanley erklärt, einige KI-native Unternehmen haben bereits Modell-Vorabkooperationen mit ausgewählten Cybersicherheitsanbietern etabliert; Palo Alto Networks und CrowdStrike sind daran beteiligt, um gemeinsam Sicherheits-“Leitplanken” zu entwickeln, bevor die Modelle offiziell implementiert werden. Dieses Vorgehen zeigt, dass KI-Anbieter Cybersicherheit als Voraussetzung für die Skalierung ihrer Modelle begreifen und nicht als Ersatz.

Hinsichtlich der Meinungsverschiedenheiten innerhalb des Segments stellt Morgan Stanley fest, dass langfristig orientierte Investoren überwiegend optimistisch sind: Sie glauben, dass KI die Angriffskosten senkt und die Frequenz und Komplexität von Angriffen erhöht, wodurch das Budget für Sicherheit auf der Nachfrageseite gestärkt wird. Hedgefonds sind hingegen skeptischer und stellen die Fähigkeit traditioneller Anbieter, längerfristig gegen KI-native Konkurrenten zu bestehen, stärker in Frage.

Morgan Stanley ist der Ansicht, dass die aktuelle Debatte den früheren Narrativen rund um die Cloud-Migration gleicht (z.B. “Cloud-Anbieter werden die Sicherheitsbranche ersetzen”), die sich später als übertriebene Sorge erwiesen.

Berechnungen von Morgan Stanley zufolge beläuft sich das Volumen des Cybersicherheitsmarkts aktuell (inklusive Dienstleistungen) auf etwa 300 Milliarden US-Dollar, was 6 bis 7% des gesamten IT-Budgets ausmacht.

Das Disruptionsrisiko konzentriert sich vor allem auf die “präventive Sicherheit” – Aufgaben wie Schwachstellenmanagement, Anwendungssicherheitstests und Cloud-Konfigurationsmanagement können asynchron durchgeführt werden und sind tolerant gegenüber Verzögerungen, was KI-Modellen das Eindringen erleichtert. Dieser Bereich macht ca. 10% des Gesamtmarktes aus.

Gleichzeitig formt sich eine erhebliche Zusatznachfrage nach Sicherheit durch KI: Mit der großflächigen Einführung von KI-Modellen, intelligenten Agenten und Datenpipelines wächst der Bedarf, diese neuen Assets zu schützen, und damit auch das zusätzliche Sicherheitsbudget. Morgan Stanley schätzt, dass diese neue Nachfrage den Wegfall im Markt kompensieren und das Netto-Marktvolumen für Cybersicherheitssoftware gegenüber heute um etwa 10% erhöhen wird.

Daten von der Angriffsseite stärken die Nachfrageargumentation: Derzeit werden 80% bis 90% aller Angriffe von KI generiert, die Angriffskosten tendieren gegen null. Das schwächt nicht etwa die Rationalität von Sicherheitsausgaben, sondern stärkt das Bedürfnis nach Echtzeit-Erkennung, Reaktion sowie Identitätssicherheit grundlegend.

Morgan Stanley teilt den Cybersicherheitsmarkt in drei Ebenen: Präventive Sicherheit, Kontrollpunkt-/Grenzsicherheit und Laufzeitsicherheit. Die Verteilung der disruptiven Kräfte durch KI ist dabei zwischen diesen Ebenen sehr unterschiedlich.

Laufzeitsicherheit ist schwer zu disruptieren, da Bedrohungen wie Prompt Injection, Datenlecks und Model-Missbrauch im Produktionsumfeld in Echtzeit erkannt und behandelt werden müssen – sie können nicht bereits in der Entwicklungs- oder Trainingsphase eliminiert werden. Kontrollpunkte und Laufzeitsicherheit erfordern niedrige Latenz und deterministische Reaktionen, was fundamental im Widerspruch zu den probabilistischen KI-Modellen steht. CrowdStrike, Palo Alto Networks, Okta und SailPoint nutzen diese Herausforderung als Ansatzpunkt, indem sie ihre Fähigkeiten in Endpunkt-, Netzwerk- und Identitätssicherheit auf die KI-Ebene ausdehnen und für dynamische Sicherheits-“Leitplanken” rund um Echtzeit-KI-Systeme sorgen.

Auch die Kostenstruktur ist nicht zu unterschätzen. Morgan Stanley weist darauf hin, dass der Einsatz großer Sprachmodelle für Aufgaben wie E-Mail-Filterung oder Identitätsprüfung – also hochfrequente Sicherheitsaufgaben – zu erheblich höheren Rechenkosten im Vergleich zu den bestehenden Lösungen führen kann.

Derzeit werden E-Mail-Sicherheit und Identitätsplattformen meist mit niedrigen einstelligen Dollarbeträgen pro Nutzer pro Monat angeboten und verarbeiten Hunderttausende oder mehr Ereignisse, wobei die Grenzkosten pro Ereignis kaum einen Cent betragen; beim Einsatz von tokenbasierten KI-Modellen auf ähnlicher Skala steigen die Rechenkosten deutlich. Morgan Stanley sagt, kurzfristig wird KI eher als “Enhancement” in kostenempfindlichen, latenzarmen Szenarien agieren anstatt die bestehende Architektur komplett zu ersetzen.

Die Verbreitung von KI steigert die strategische Bedeutung der Identitätssicherheit fortlaufend. Die Anzahl von APIs, Maschinenidentitäten und autonomen Agenten (“Non-Human Identity”, NHI) nimmt rapide zu, wodurch traditionelle, auf menschliche Nutzer ausgerichtete Identitätsmanagement-Frameworks neuen Risiken nicht mehr ausreichend begegnen können.

Morgan Stanley weist darauf hin, dass KI-gestützte Systeme oft mit hohen Berechtigungen ausgeführt werden und über verteilte Umgebungen auf sensible Daten zugreifen, was die Angriffsfläche für Missbrauch von Zugangsdaten, Privilegienausweitung und unerwartete Zugangspfade deutlich erweitert.

Identitätssicherheit entwickelt sich von reiner “Authentifizierung” weiter hin zu einer Echtzeit-Kontrollschicht, die kontinuierliche Validierung, granulare Zugriffskontrolle und vollständiges Lebenszyklusmanagement umfasst. Sobald KI-Agenten eigenständig Datenbankabfragen ausführen, Workflows initiieren und mit externen Systemen interagieren, wird Identität zum zentralen Mechanismus für Vertrauensgrenzen und Policy-Steuerung.

TD Cowen Analyst Shaul Eyal betont ebenfalls, dass jeder KI-Agent auf jeder KI-Plattform Identitätsnachweise benötigt und Okta sowie SailPoint derzeit die einzigen börsennotierten Spezialisten für reine Identitätssicherheit darstellen und daher von besonderem Wert sind.

Nach Ansicht von Morgan Stanley sollten hochwertige Cybersicherheitsunternehmen im Zeitalter der KI drei Kernmerkmale aufweisen: einen klaren Fahrplan für Agenten-Sicherheit und schnelle KI-Produkteinführung; ein flexibles, verbrauchsorientiertes Pricing (z.B. CrowdStrikes Falcon Flex), um die Einführung neuer Fähigkeiten für Kunden zu erleichtern; und ein Gesamt-Wertversprechen, das auf Laufzeitausführung, proprietären Daten und Kosteneffizienz basiert.

Unter Berücksichtigung der Budgettrends erwartet Morgan Stanley, dass sich Investitionen von fragmentierten Einzellösungen auf integrierte Plattformen verlagern werden; langfristig wird die ständige Ausweitung der Angriffsfläche Cybersicherheit zu einer der defensivsten Prioritäten innerhalb der IT-Ausgaben machen – die CIO-Umfrage der Bank zeigt, dass Cybersicherheitssoftware in keiner anderen IT-Kategorie so selten gekürzt wird.