Crowdstrike hat sich das ambitionierte Ziel gesetzt, mit Hilfe des Einer-für-Alle- / Alle-für-Einen-Prinzips jegliche Hackerangriffe zu verhindern. Was es damit auf sich hat und wie Crowdstrike im hart umkämpften Cybersecurity-Markt positioniert ist, erfahrt ihr in der heutigen Unternehmensanalyse.
1. Der Unternehmenshintergrund – Worum geht es überhaupt?
Crowdstrike wurde 2011 von George Kurtz, Dmitri Alperovitch und Gregg Marston in Sunnyvale (Kalifornien) gegründet und bietet Lösungen zur Endpoint Protection an. Als einer der ersten Mitarbeiter wurde Shawn Henry, ein ehemaliger FBI-Ermittler, rekrutiert. Ihm wurde damals vor allem die Verantwortung für den Geschäftszweig Crowdstrike Services übertragen, welcher sich mit der Incident Response beschäftigt. Mehr zum genauen Leistungsangebot und zum Führungsteam aber wie gewohnt später.
2013 wurde das erste Produkt gestartet: Crowdstrike Falcon. Diese Plattform bildet heute das Rückgrat der gesamten Crowdstrike-Sicherheitslösung. Nur wenige Monate nach der Markteinführung unterstütze Crowdstrike damit das United States Department of Justice bei der Überführung von chinesischen Hackern im Zusammenhang mit Wirtschaftsspionage bei US-Unternehmen. Im gleichen Jahr half Crowdstrike zudem bei der Ermittlung von Hackern aus der PLA Unit 61486. Aber damit noch nicht genug aus China: Im Jahr 2015 konnte Crowdstrike beweisen, dass einige chinesische Hacker eine Reihe an Technologie- und Pharmaunternehmen angegriffen hatten – trotz eines zuvor geschlossenen „Nicht-Angriff-Paktes“ zwischen Barack Obama und Xi Jinping.
2017 und 2018 wurde Crowdstrike jeweils in die Forbes-Cloud-100 Liste sowie zu den CNBC Disruptor 50 gewählt. Mitte 2018 gab Crowdstrike bekannt, dass alle Kunden Anspruch auf eine Schadensersatzzahlungen von bis zu 1 Million USD haben, falls Hacker – trotz Crowdstrike-Schutz – sensible Unternehmensdaten ergattern sollten.
2018 veröffentlichte Crowdstrike den Zeitbedarf, den die „führenden“ Hacker-Organisationen der Welt für einen Angriff benötigten. Aus den nachfolgend abgebildeten Break-out-Zeiten sehen wir, dass die russische Hackergruppe Bear, auch bekannt als Sofacy Group, die schnellsten Angriffe durchgeführt hatte: [1]
Diese Breakout-Zeiten sind vor allem aufgrund der Ergebnisse aus einer Umfrage von die Crowdstrike und Vanson Bourne aus dem Jahr 2019 ziemlich „besorgniserregend“. Denn aus den Antworten von rund 1900 Senior IT decision-makers wurde deutlich, dass Unternehmen im Durchschnitt 162 (!) Stunden benötigen, um Data Breaches zu erkennen und um darauf zu reagieren. [2]
Im Juni 2019 erfolgte dann das IPO an der NASDAQ wobei bis dahin insgesamt 480 Mio. USD an Venture Capital eingesammelt worden waren. Namhafte Investoren waren dabei CapitalG (Google) und Accel. Letzteres ist ein Early-Stage Growth-VC, der u. a. auch Facebook, Slack, Atlassian, Spotify, Flipkart und Etsy mitfinanziert hatte.
2. Das Produkt – Was verkauft das Unternehmen?
Wie bereits eingangs erwähnt, begann Crowdstrike mit der Falcon-Plattform zur Endpoint Protection (EP). Durch diese EP-Plattform sollen Hacker-Angriffe identifiziert, eliminiert und von vornherein verhindert werden. Mittlerweile bietet Crowdstrike diesen Schutz für eine Vielzahl an Geräten an. Dazu gehören:
Laptops und Desktop-PCs
Smartphones
Point-of-Sale-Geräte
Rechenzentren und Server
Switches
Andere Internet-of-Things-Geräte
Die Falcon-Plattform wurde wiederum über die Jahre hinweg durch immer neue Funktionalitäten erweitert. Zum IPO sah das Leistungsangebot wie folgt aus: [3]
Das Fundament bildet die Falcon-Plattform. Diese besteht wiederum aus zwei Teilen: Zum einen dem sog. Lightweight Agent und zum anderen einer cloudbasierten, dynamischen Graph-Database (Stichwort: Google Analyse Teil 1), dem sog. Threat Graph.
Der Lightweight Agent ist auf jedem Endgerät installiert und sammelt dort Informationen, die er dann in verschlüsselter Form an die Cloud überträgt. Darüber hinaus ermöglicht er local detection and prevention capabilities.
Der Threat Graph verarbeitet wiederum alle endpunktbezogenen Daten in Echtzeit und indiziert alle zugehörigen Aktivitäten in der Graph-Database. Im Zuge dessen analysiert er außerdem auffällige Handlungsmuster über Graph Analytics, behavioral pattern-matching und KI-Algorithmen, um so Entscheidungen in Echtzeit treffen zu können. Über den Threat Graph hat Crowdstrike Anfang 2020 bereits über 3 Billionen an endpunktbezogenen Ereignissen pro Woche, weltweit und in Echtzeit verarbeitet.
Die KI-Anwendungen werden von Crowdstrike als cloud-scale-AI bezeichnet und profitieren von einer "Besonderheit": Crowdstrike wertet die Daten von ALLEN verbundenen Endgeräten in Echtzeit aus.
Zum einen wird die Crowdstrike-Lösung auf diese Weise umso wertvoller, je mehr Organisationen bzw. je mehr Endgeräte die Falcon-Plattform nutzen. Dazu kommt, dass Crowdstrike über seine Cloud-Architektur umgehend reagieren kann: Denn sollte es bei einem Gerät aus der CROWD zu einem Vorfall kommen, kann Crowdstrike alle anderen Nutzer umgehend informieren und sofort entsprechende Aktualisierungen vornehmen. Crowdstrike bezeichnet Falcon in diesem Zusammenhang als die erste Sicherheitslösung, die komplett cloud-native, also komplett cloudbasiert ist. Ein weiterer Vorteil ist, dass die Crowdstrike-Lösung durch die Cloud-Architektur schneller und einfacher implementiert und verwaltet werden.
Allerdings können nicht nur diejenigen Workloads geschützt werden, die selbst direkt in der Cloud ausgeführt werden. Stattdessen bietet Crowdstrike einen Schutz für workloads across on-premise, virtualized, and cloud-based environments. Crowdstrike hält zu seinem cloudbasierten Sicherheitskonzept übrigens eine interessante Analogie bereit. Auf dem nachfolgenden Bild sehen wir, dass sich das Unternehmen als die „logische“ Fortsetzung zu drei anderen Cloud-Pionieren sieht [4]. Alle drei haben mit ihrem cloud-native-Ansatz sog. on-premise bzw. hybride Konkurrenzangebote verdrängt.
Im Jahr 2017 begann Crowdstrike zudem seine Sicherheitslösung nicht mehr länger als Gesamtpaket, sondern als über einzelne Module zu vermarkten. Aktuell sind dabei 10 Module erhältlich, die sich in die drei Kategorien Endpoint Security, Security and IT-Operations und Threat Intelligence einordnen lassen. Die einzelnen Module lassen sich dabei wiederum so umschreiben:
Endpoint Security
Falcon Prevent bietet als Next-Generation Antivirus einen umfassenden Schutz gegen Malware und dateilose Eingriffe
Falcon Insight ermöglicht im Rahmen der Enterprise Detection and Response Echtzeit-Auswertungen zu Aktivitäten an den verknüpften Endgeräten
Falcon Device Control gibt den Administratoren einen Überblick und gezielte Eingriffsmöglichkeiten zu angeschlossenen USB-Geräten
Security and IT Operations
Falcon OverWatch beinhaltet die Dienste der sog. Threat Hunters von Crowdstrike, die 365 Tage im Jahr und rund um die Uhr verfügbar sind.
Falcon Discover nutzt den Falcon-Agent um Prozess-Transparenz über alle IT-Vorgänge zu schaffen
Falcon Complete bietet Managed-Security-Services, die insbesondere für Unternehmen mit geringen Security-Kompetenzen eine wertvolle Unterstützung darstellen
Falcon Spotlight soll mögliche Schwachstellen im Zusammenhang mit unternehmensspezifischen Endgeräten frühzeitig aufdecken
Threat Intelligence
Falcon X integriert Threat Intelligence beim Schutz der Endpunkte über automatisierte Analysen, Machine Learning und KI-Anwendungen.
Falcon Search bietet Kunden eine Suchmaschine zu über 300 TB an Malware-Daten, die im Crowdstrike-Netzwerk gesammelt wurden.
Falcon Sandbox ermöglicht noch umfassendere und automatisierte Malware-Analyse.
Ergänzt werden diese 10 Module außerdem noch durch den sog. Crowdstrike-Store, welcher der erste Platform-as-a-Service-Ansatz (PaaS) im Cybersecurity-Segment ist. Dadurch können Kunden zusätzliche Applikationen von Partnern erwerben. Zudem bietet Crowdstrike Falcon on GovCloud an, was eine spezielle Lösung für den öffentlichen Sektor darstellt.
Durch diese Module bietet Crowdstrike einen individuell konfigurierbaren Schutz für alle Endgeräte. Die Falcon-Sicherheitslösung verfügt dabei durch die vollständige Cloud-Konzeption über eine besonders „schlanke“ Architektur, die eine hohe Nutzerfreundlichkeit und flexible Anwendung ermöglicht. Erwähnenswert ist außerdem noch, dass die Plattform nicht nur gegen Angriffe eingesetzt werden kann, die von außerhalb auf das IT-System einer Organisation verübt werden. Vielmehr erkennt Crowdstrike auch bedrohliche Aktivitäten, die vom firmeneigenen IT-Netzwerk ausgehen.
3. Der Markt – An wen will das Unternehmen verkaufen?
+
4. Der Product-Market-Fit – Sind Kunden wirklich zufrieden?
Zunächst einmal gehört Crowdstrike zu den Unternehmen, die grundsätzlich stark von Digitalisierung, Remote Work und Internet-of-Things (IoT) profitieren werden. Denn je mehr dezentrale und miteinander kommunizierende Endpunkte existieren, desto anfälliger ist das gesamte IT-System gegenüber Hackerangriffen. In diesem Zusammenhang zeigt die nächste Grafik die Zunahme an IoT-Geräten bis zum Jahr 2025 [5]. So wird sich diese Zahl beispielsweise allein in den nächsten fünf Jahren mehr als verdoppeln.
Darüber hinaus ist es natürlich schon länger kein Geheimnis mehr, dass Cybersecurity im Digitalzeitalter eine immer wichtigere Rolle für ALLE Unternehmen spielt. Diesen Umstand veranschaulicht auch die nachfolgende Grafik. Darin sehen wir, dass die weltweiten Ausgaben allein bis 2023 gegenüber 2020 um weitere 35% zunehmen werden. [6]
Da Crowdstrike zunächst aber natürlich nicht den gesamten Cybersecurity-Markt bedienen wird, ist der aktuell TAM etwas kleiner als die angegebenen 184 Mrd. USD für 2020. Derzeit wird der Zielmarkt vom Unternehmen selbst entsprechend der nächsten Abbildung aufgeschlüsselt. [7]
Dabei wird zum einen deutlich, dass der 2020 adressierbare Markt mit knapp 27 Mrd. USD nur etwa 15% des gesamten Cybersecurity-Markt ausmacht. Dazu kommt, dass allein schon deswegen ein beträchtliches Expansionspotential besteht, da Crowdstrike mit einem Umsatz von rund 563 Mio. USD erst 2% des "Untermarktes" für sich beanspruchen kann.
Ein wirklich innovatives Unternehmen zeichnet sich aber ohnehin durch die Fähigkeit aus, seinen TAM kontinuierlich zu erweitern. Um grob abzuschätzen, ob diese Fähigkeiten vorhanden sein KÖNNTEN, ist ein Blick auf die bisherige Innovationsdynamik ganz aufschlussreich. Bei einem Blick auf Crowdstrikes (junge) Entwicklungs-Historie können wir zumindest schon einmal erkennen, dass seit 2017 viele neue Sicherheits-Features vorgestellt wurden.
Darüber hinaus hat ein vor kurzem veröffentlichter Bericht von International Data Corporation (IDC) ergeben, dass Crowdstrike seinen Marktanteil im letzten Jahr verdoppeln konnte. Noch bemerkenswerter ist in diesem Zusammenhang der Umstand, dass der Marktanteil der „top three vendors in the corporate endpoint segment“ im gleichen Zeitraum, also von 2018 auf 2019, zurückging.
Selbstverständlich wollen aber auch noch ein paar andere Unternehmen ein Stück vom stark wachsenden Cybersecurity-Kuchen abhaben. Um ein Gefühl für die wichtigsten Akteuren zu bekommen, ist ein Blick auf die Einschätzungen von Forrester bzw. von Gartner ganz hilfreich. Diese beiden Unternehmen gehören zu den renommiertesten Anbietern von Marktforschungsergebnissen für den IT-Sektor. Zuerst werfen wir hier einen Blick auf die sog. Forrester Wave für Enterprise Detection and Response. Darin sehen wir, dass Crowdstrike, Trend Micro und Microsoft (aktuell) als technologische Führer gelten [8].
Ein ähnliches Bild zeichnet das Magic Quadrant von Gartner. Hier werden als Ergänzung zu den soeben genannten Anbietern außerdem noch Symantec und Sophos als Leader genannt. [9]
Symantec – mittlerweile in NortonLifeLock unbenannt – konnte seit Jahren kein Umsatzwachstum mehr verzeichnen (bzw. der Umsatz geht sogar zurück). Das bereits seit 1985 bestehende Sophos hat wiederum allein zwischen 2011 und 2017 sieben Übernahmen getätigt. Eine derart hohe M&A-Aktivität deutet für mich nicht auf eine große Entwicklungskompetenz hin. Dazu kommt, dass eine stimmige Integration von derart vielen Produktlinien in der Regel sehr häufig misslingt. Beide sehe ich daher aktuell nicht als wirkliche Bedrohung an.
Darüber hinaus sind die Ergebnisse aus einer Umfrage von J. P. Morgan ganz interessant. Darin wurden 130 CIOs, welche wiederum 88 Mrd. USD in annual enterprise IT spending verantworten, gefragt, mit welchen Cloud-Service-Anbieter sie besonders zufrieden sind. Hier zeigt die Liste unterhalb, dass Crowdstrike sich – zusammen mit Slack – mit 5,4% der Antworten über einen erfreulichen, zweiten Platz hinter ServiceNow freuen kann. [10]
Zusätzlich zum Magic Quadrant können bei Gartner außerdem die Produkt- und Service-Bewertungen von zahlreichen Kunden eingesehen werden. Hier zeigt sich, dass CrowdStrike im direkten Vergleich bessere Zufriedenheitswerte als Microsoft vorweisen kann.
Da Microsoft in nahezu jedem Unternehmen einen Fuß in der Tür hat, sehe ich den Windows-Verkäufer trotzdem als den gefährlichsten Konkurrenten. Dabei verfolgt Microsoft mit seinem Security-Angebot, der Advanced-Threat-Protection (ATP), das gleiche Ziel wie mit MS-Teams. Die große Mehrheit der bereits existierenden Kunden soll über eine Good-enough-Innovation noch stärker an das Microsoft-Ökosystem gebunden werden. Ob dieses Good-Enough allerdings wirklich ausreicht, bleibt abzuwarten. So wurde beispielsweise erst vor wenigen Monaten bekannt, dass bei Microsoft 250 Millionen Kundendatensätze aus den letzten 14 Jahren online – ohne Passwortschutz – einsehbar waren. Nicht gerade die beste Publicity für einen IT-Security-Anbieter.
Auch beim Vergleich zum zweiten Anbieter, der von beiden Marktforschungsanbietern genannt wird – Trend Micro, fällt hier auf, dass Crowdstrike höhere Zufriedenheitswerte erreichen konnte.
Ein anderes Indiz für die Überlegenheit der Crowdstrike-Sicherheitslösung zeigt die nachfolgende Grafik [11]. Daraus erkennen wir, dass die Falcon-Plattform fast doppelt so viele ungewöhnliche Aktivitäten aufspüren konnte als die besten Alternativen. Als Grund dafür nennt Crowdstrike einerseits seinen cloud-native Ansatz, der einen schnelleren und direkteren Überblick über alle Endgeräte ermöglicht. Zum anderen sei “CrowdStrike’s combination of machine learning, behavioral detection, and Falcon OverWatch managed hunting (MDR) is uniquely effective” um auffällige Vorgänge sofort zu identifizieren.
Nun wäre es aber natürlich äußerst ungünstig, wenn eine hohe Zahl an Detections viele, sog. False-Positives hervorruft. In solchen Situationen würde die Sicherheitslösung „Alarm“ schlagen, obwohl gar keine Notwendigkeit dazu besteht. Und ein solcher „Alarm“ bindet – wenn auch nur temporär – wertvolle Ressourcen. Hierfür untersuchte AV Comparatives unterschiedliche Anbieter bezüglich deren False-Positives-Verhalten. Aus der nachfolgenden Grafik wird hierzu deutlich, dass Crowdstrike im Test nur einen einzigen Fehlalarm auslöste. Dagegen war dies bei Microsoft 38 und bei Trend Micro 22 der Fall. [12]
Zur Problematik der False-Positives sagte CEO Kurtz erst vor wenigen Monaten:
"The security team at this company was frustrated by the incumbent’s product due to the large volume of false positives, insufficient endpoint fidelity to triage and remediate alerts and limited functionality across operating systems on top of that lackluster customer support… CrowdStrike “crushed” the competitive takeoff against both next-gen and legacy players and won the business..”
In einem anderen Test untersuche AV Comparatives zudem die Lösungen von 16 verschiedenen Anbietern. Die Ergebnisse dazu sind in der nachfolgenden Tabelle abgebildet [13]. Hier fällt zum einen auf, dass Crowdstrike – zusammen mit einigen anderen Anbietern – das höchste Test-Score erreichen konnte. Zudem fällt der große Unterschied im sog. Impact Score – insbesondere gegenüber Microsoft und Trend Micro auf. Dabei wird untersucht, wie stark eine Sicherheitsanwendung die generelle Performance des IT-Systems beeinträchtigt. Dies ist erneut ein Indiz für die Überlegenheit des cloud-native- und light-weight-Ansatz. Um außerdem die Implementierung noch reibungsloser zu gestalten, bietet Crowdstrike außerdem in Zukunft in Kooperation mit Google auf der Google Cloud eine automatisierte Einrichtung der Falcon-Plattform an.
In einem anderen Test – diesmal durchgeführt von MRG-Effitas – erhielt Crowdstrike ebenfalls Bestnoten. Aus der nächsten Grafik erkennen wir, dass Crowdstrike – aber auch Microsoft – als Level-1-Anbieter eingestuft wurden. [14]
Zudem verursachte die Falcon-Lösung diesmal sogar gar keinen False-Positive, während Microsofts Sicherheitslösung fast 60% der Vorfälle fälschlicherweise "verteidigt" hatte (Seite 15). Dazu kommt, dass Crowdstrike gegenüber den beiden Wettbewerbern bei dateilosen Testangriffen deutlich besser abgeschnitten hat. Die entsprechenden Ergebnisse sind in der nächsten Grafik dargestellt. [15]
Neben der zuvor beschriebenen, technischen Überlegenheit verfügt Crowdstrike über einen einzigartigen Data-Moat und Economies-of-Scale-Moat. Denn immer, wenn an einem Endgerät eines Kunden eine bestimmte Gefahr oder eine Unregelmäßigkeit identifiziert wird, werden sofort alle anderen Crowdstrike-Kunden entsprechend angepasst. Je mehr Unternehmen dabei an die Falcon-Plattform angebunden sind, desto mehr Daten werden in Echtzeit verarbeitet und ausgewertet. Damit kann dann wiederum einerseits die gesamte Kundenbasis besser geschützt werden und andererseits kann Crowdstrike dadurch seine KI- und Machine-Learning-Anwendungen effektiver trainieren.
Ein weiterer Wettbewerbsvorteil ergibt sich aus den hohen Wechselkosten, da ein Wechsel zu einem anderen Sicherheitsanbieter mit einem erheblichen, organisatorischen Aufwand verbunden ist. Im Gegensatz dazu ist die Einrichtung der Falcon-Lösung vergleichsweise einfach. So sagt beispielsweise der ehemalige CSO von Automatic Data Processing:
“After 18 months of testing, Crowdstrike was selected. What proved that we were right is the fact that any major program in a large multinational will take years…Crowdstrike was deployed in 3 months…It went so well that in the following year we were able to deploy Crowdstrike as the primary endpoint technology for our desktops. 6 month end to end and that’s 200K devices across the globe”
Was den Kundenstamm betrifft, kann Crowdstrike übrigens eine nette Liste an „Referenzen“ vorweisen. So nutzen mittlerweile beispielsweise…
44 der Fortune 100 Unternehmen
9 der 20 größten Banken
37 der größten 100 Unternehmen der Welt
5 der 10 größten Gesundheitsunternehmen
7 der 10 größten Energieversorger
... die Falcon-Plattform zum Schutz der Endgeräte.
Darüber hinaus ist vor allem auch die Wiederkaufverhalten der bestehenden Kunden sehr aufschlussreich. So zeigt die nächste Grafik, dass die Net Customer Retention in den letzten 8 Quartalen konstant über 120% lag [16]. Die Gross Retention sagt wiederum aus, wie viele Kunden aus einer bestehenden Gruppe effektiv gewechselt sind. Die Tatsache, dass nur 2% der Kunden, die vor einem Jahr gewonnen wurde, Crowdstrike den Rücken gekehrt haben, ist sehr beeindruckend.
Die hohen Gross/Net Retention Rates untermauern – neben der hohen Kundenzufriedenheit – vor allem auch das Upselling- und Cross-Selling-Potential. Dieses wird durch die Tatsache, dass Unternehmen die Zahl ihrer Softwarelieferanten möglichst gering halten möchten, weiter verstärkt.
Das erfolgreiche Up-Selling/Cross-Selling von Crowdstrike wird außerdem durch die Zahl der Kunden deutlich, die vier oder mehr Module beziehen. Während – entsprechend der nächsten Grafik – die Zahl vor zwei Jahren nur bei 9% lag, lag dieser Wert im letzten Quartal bei 55%. 35% der Kunden nutzen wiederum mittlerweile sogar mindestens das halbe Modulangebot. [17]
Dass immer mehr Kunden von Crowdstrikes Leistungsangebot überzeugt ist, lässt sich auch aus dem Zuwachs an Kunden erkennen. Im Dezember 2019 wurde beispielsweise ein Kundenwachstum von 112% YoY vermeldet. Im letzten „Corona-Quartal“ konnte die Zahl der subscription customers wiederum um 830 neue Kunden erweitert werden, was einem Zuwachs von 105% auf genau 6261 Kunden entspricht. Interessant ist hierzu vor allem auch die folgenden Aussagen von CEO Kurtz aus dem Earnings Call:
„[…] we believe work from home and digital transformation are sustainable trends for our business. […] We continue to win business with large enterprises and closed the vast majority of this quarter's seven figure deals in the second half of the quarter after the shelter in place orders were in effect.”
Zu dieser beschleunigten Transformation passt außerdem auch die Tatsache, dass erst Anfang Juni die Guidance für das Umsatzwachstum im Fiskaljahr 2021 von 51% auf 59% erhöht wurde.
5. Das Geschäftsmodell – Wie verkauft das Unternehmen?
Crowdstrike verwendet ein SaaS-Geschäftsmodell, bei dem das gewünschten Produkt gegen eine monatliche Gebühr aus der Cloud angeboten wird. Da ich die Vorteile von diesem Geschäftsmodell bereits in meiner Slack-Analyse näher beschrieben habe, werde ich hier nicht mehr näher darauf eingehen.
Und ähnlich wie Slack bietet auch Crowdstrike seine Module in verschiedenen Paketen an. Um das damit verfolgte Land-and-Expand-Modell noch weiter zu optimieren, biete Crowdstrike außerdem zweiwöchige (kostenlose) Test-Abos an. Wer das Bild unterhalb zu den verfügbaren Pakten außerdem etwas genauer betrachtet, erahnt vielleicht, warum sich Crowdstrike zu einer wahren Cash-Maschine entwickeln könnte: [18]
In den drei Standard-Paketen resultieren die Gebühren aus der Anzahl an zu schützenden Endgeräten. Und da diese Zahl in den nächsten Jahren beträchtlich zunehmen sollte, besteht für Crowdstrike ein nennenswertes Umsatzpotential.
6. Die „DNA“ des Unternehmens – Wer und was treibt das Unternehmen an?
Kurtz, der nach eigenen Angaben das Programmieren bereits in der vierten Klasse begann, beschäftigt sich bereits seit über 25 Jahren mit IT-Sicherheit. Ende der 90er Jahre startete er das Cybersecurity-Unternehmen Foundstone, welches sich auf das sog. vulnerability management fokussiert hatte. Im Zuge dessen entwickelte er eine anerkannte Methodik, mit der auf entsprechende Vorfälle im IT-Netzwerk reagiert wurde. Als Kurtz das Unternehmen dann 2004 an McAfee für 86 mio USD verkaufte, waren viele der damaligen Fortune 100 Unternehmen Kunden von Foundstone. Bis 2011 hatte Kurtz dann verschiedene Führungspositionen bei McAfee inne. So wurde er 2009 beispielsweise zum Chief Technology Officer ernannt.
Auch Alperovitch kann einen recht beachtlichen Track-Record in der IT-Sicherheitsbranche vorweisen. Erste Erfahrungen sammelte er u. a. bei einem E-Mail Security-Startup names CipherTrust, welches 2006 von Secure Computing aufgekauft wurde. Dort leitete er das Entwicklungsteam und verantwortete insbesondere auch den Start eines SaaS-Produktes. Im Zuge der späteren Übernahme von Secure Computing durch McAfee wurde Alperovitch zum dortigen Vice President of Threat Research ernannt.
Nachdem Kurtz und Alperovitch in einem anderen Forschungsprojekt bei McAfee im Bereich Threat Research zusammengearbeitet hatten, gründeten sie im Jahr 2011 Crowdstrike mit einem einfachen Ziel: No more data breaches. Zu diesem Ziel formulierten sie im damaligen S1-Filing von Crowdstrike die etwas provokante Unternehmenszielsetzung:
We don't have a mission statement—we are on a mission to protect our customers from breaches. We founded CrowdStrike in 2011 to reinvent security for the cloud era. When we started the company, cyberattackers had a decided, asymmetric advantage over existing security products.
Anfang 2020 gab Alperovitch allerdings seinen Abschied von Crowdstrike bekannt. Dazu schrieb er auf LinkedIn:
“I have left CrowdStrike to launch a non-partisan, non-profit policy accelerator. Since founding CrowdStrike and during my tenure, I helped transform the cybersecurity industry and want to apply the same ingenuity and a venture approach to galvanize solutions to pressing cybersecurity and national security and foreign policy challenges.”
Warum lege ich also überhaupt soviel Wert auf die „Vorstellung“ eines Gründers, obwohl dieser gar nicht mehr im Unternehmen arbeitet? Nun, das liegt daran, dass ich der Meinung bin, dass jedes Unternehmen eine ganz eigene „DNA“ hat. Und um diese DNA besser zu verstehen, ist eine genauere Auseinandersetzung mit Schlüssel-/Führungspersonen des Unternehmens meist sehr hilfreich.
Den Posten von Alperovitch übernahm übrigens Michael Sentonas. Dieser war vorher für die Entwicklung und Umsetzung der Technologiestrategie von Crowdstrike verantwortlich. Auch Sentonas hat viel Erfahrung in der IT-Security gesammelt – u. a. in diversen Führungsrollen bei McAfee.
Komplettiert wird das Management-Team durch den bereits eingangs erwähnten Shawn Henry, der zuvor jahrelang beim FBI weltweite Cyber-Crime-Untersuchungen leitete. Dabei war er sogar so erfolgreich, dass ihm die US-Regierung den Presidential Rank Award für seine Verdienste zur Stärkung der cyber capabilities des FBIs überreichte.
Auch die abgegebenen Bewertungen zur Arbeitsatmosphäre stimmen positiv. 2017 und 2020 wurde Crowdstrike von Fortune zu einem der „Best Place to Work in Technology” ausgezeichnet. Des Weiteren erreicht das Unternehmen auf Glassdoor durch die Aussagen von (ehemaligen) Mitarbeitern 4 von 5 Sternen. CEO Kurtz kommt dort wiederum auf ein Approval-Rating von 94%.
7. Überblick über einige Kennzahlen – Stimmen die wichtigsten Zahlen?
Wie immer sollten aber natürlich auch die wichtigsten "quantitativen" Faktoren überzeugen. In diesem Kontext zeigt die nächste Grafik zunächst die Entwicklung der jährlich wiederkehrenden Umsätze (annual recurring revenues = ARR). Zum letzten Quartal betrug die Zunahme hier 88% (!). [19]
Darüber hinaus ist auch die Entwicklung der Bruttomargen äußerst beeindruckend. Aus der nächsten Grafik sehen wir, dass die Gross Margins zu den ARR nicht nur satte 78% beträg. Vielmehr ist ersichtlich, dass Crowdstrike diese über die letzten Jahre beträchtlich steigern konnte. [20]
Und last but not least tendiert auch die Operative Marge bzw. die Nettomarge in eine sehr wünschenswerte Richtung: [21]
8. Die Investment-Thesis: Warum investiere ich?
Zunächst muss festgehalten werden, dass das gesamte Cybersecurity-Feld ein äußerst umkämpftes Segment ist. Denn neben Microsoft oder Trend Micro gibt es viele weitere Konkurrenten. Diese hohe „Anbieterdichte“ liegt aber natürlich vor allem auch daran, dass der Verkauf von Sicherheitslösungen ein äußerst lukratives Geschäft ist.
Dennoch glaube ich, dass Crowdstrike mit seiner Falcon-Plattform ein Produkt entwickelt hat, das den anderen Sicherheitslösungen überlegen ist. In meinen Augen bietet Crowdstrikes Cloud-Lösung durch das Crowdsourcing von Daten und die speziell darauf abgestimmten Machine-Learning- und KI-Anwendungen einen effektiveren Schutz vor Hackerangriffen. Dieser bessere Schutz lässt sich zudem auch noch unkomplizierter implementieren und einfacher managen. Da weniger Rechenkapazität notwendig ist, wird das ganze IT-System schlanker und leistungsfähiger.
Dazu kommt, dass das Thema Cybersecurity nicht länger mehr nur für „klassische“ Tech-Unternehmen von Bedeutung ist. Vielmehr verwandelt die Trends Digitalisierung, IoT und Remote-Work jedes Unternehmen in ein Digitalunternehmen, für das IT-Sicherheit mission-critical ist.
Das größte Risiko sehe ich – ähnlich wie bei Zoom oder Slack – in sog. good-enough-Produkten. Eine good-enough-Innovation will dabei gar kein besseres Angebot bereitstellen. Vielmehr versuchen die Anbieter hier, die „Mindestanforderungen“ der Kunden so weit zu erfüllen, sodass diese bei den sog. Legacy-Anbietern verbleiben. Diese „Gefahr“ sollte daher aufmerksam verfolgt werden. Hierfür werde ich zum einen auf das Wachstum der Kunden, die Umsätze sowie die Entwicklung der Margen achten. Zum anderen werde ich die aktualisierten Forrester-Waves und Magic Quadrants im Auge behalten.
Solange Crowdstrike aber die starke Business Execution aufrechterhalten kann, ist das Unternehmen in meinen Augen auf dem besten Weg, den Cybersecurity-Markt in das Cloud-Zeitalter zu überführen. Folglich bin ich zum aktuellen Zeitpunkt long Crowdstrike positioniert.
PS: Für Newsletter-Abonnenten gibt’s auch diesmal wieder eine aktuelle Rendite- und Bewertungseinschätzung.
Spark Invest- Innovation erkennen, Disruption verstehen und besser investieren
THE END.
Disclosure
Der Autor ist zum Zeitpunkt der Veröffentlichung long für das vorgestellte Unternehmen positioniert.
Disclaimer
Sämtliche, geschilderten Inhalte stellen weder Kaufs- noch Verkaufsempfehlungen für Finanzinstrumente (Aktien, Anleihen, Derivate, ETFs, etc.) dar.
Die Inhalte dienen lediglich der Allgemeininformation, spiegeln ausschließlich die persönliche Meinung des Verfassers wieder und stellen keine Anlageberatung dar.
Jedes Investment, dass auf im Blog enthaltenen Informationen basiert oder über im Blog angesprochenen Finanzinstrumenten erfolgt, ist mit Chancen und Risiken - bis hin zum Totalverlust - verbunden.
Der Verfasser kann insbesondere nicht einschätzen, inwiefern angesprochene Finanzinstrumente den Anlagezielen, der Risikobereitschaft und der Verlusttragfähigkeit des Lesers entsprechen.
Wer auf Basis von Informationen aus diesem Blog etwaige Anlageentscheidungen trifft, trifft diese ausschließlich auf eigene Verantwortung und eigene Gefahr.
Der Verfasser übernimmt außerdem keinerlei Gewähr für die Aktualität, Richtigkeit oder Vollständigkeit der Inhalte. Und der Verfasser haftet somit auch nicht für Verluste, die aus Anlageentscheidungen resultieren, die auf im Blog geschilderten Informationen basieren.
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]
[14]
[15]
[16]
[17]
[18]
[19]
[20]
[21]
Comments