Was Cribl kaufte und zu welchem Preis
Der Deal führt Cribl von der Leitung in die Erkennung. Am 14. Juli 2026 erklärte Cribl, dessen Plattform Sicherheits- und Observability-Daten leitet und umformt, es werde CardinalOps übernehmen, ein KI-Unternehmen für Detection-Engineering. Cribl nannte keinen Preis; Berichte setzten ihn bei rund 100 Millionen Dollar an. CardinalOps wurde Anfang 2020 von Michael Mumcuoglu und Yair Manor gegründet, Veteranen der israelischen Einheit 8200, deren frühere Firmen von Palo Alto Networks und Microsoft gekauft wurden, und Cribl eröffnet ein Büro in Tel Aviv, um das Team zu halten.
Clint Sharp, Mitgründer und Vorstandschef von Cribl, sagte, Sicherheitsteams bräuchten nicht mehr unverbundene Werkzeuge, sondern einen besseren Weg, Telemetrie in wirksame Erkennungen zu verwandeln. Mumcuoglu sagte, der Anschluss an Cribl erlaube seinem Team, Erkennung direkt in die Telemetrieschicht zu bringen. Javier Garcia Quintela, globaler Sicherheitschef des spanischen Energiekonzerns Repsol, lobte die Kombination dafür, die Erkennung zu stärken und zugleich Kosten zu steuern, was das ganze Argument in einem Satz ist.
Das SIEM-Kostenmodell ist das eigentliche Ziel
Angegriffen wird kein Konkurrenzprodukt, sondern eine Preisgewohnheit. Ein klassisches SIEM verlangt, jedes Protokoll in einen zentralen Speicher zu schicken, pro Gigabyte für die Aufbewahrung zu zahlen und dann noch einmal, um darauf Erkennungen laufen zu lassen. Als die Datenmengen mit Cloud- und KI-Lasten wuchsen, wurde diese Rechnung zu einer der größten und am wenigsten steuerbaren Posten eines Sicherheitsbudgets, und Teams begannen, Daten zu verwerfen, die sie behalten sollten, nur um die Kosten zu bändigen.
Cribl sitzt bereits vor diesem Speicher und entscheidet, welche Telemetrie wohin geht. Mit Detection-Engineering kann es anbieten, die Erkennungen an Ort und Stelle laufen zu lassen, auf der Pipeline, die der Kunde ohnehin betreibt, statt alles zuerst durch ein Gigabyte-SIEM zu zwingen. Deshalb rahmt das Unternehmen das Ergebnis als offene Alternative zu klassischen SIEM-Architekturen und nicht als weiteres daneben geschraubtes Werkzeug.
Was agentische Detection-Engineering für Ihr SOC bedeutet
Detection-Engineering ist die glanzlose Arbeit, die entscheidet, ob ein Alarm je auslöst. Jemand muss die Regeln schreiben, die einen Angreifer fangen, sie am realen Angreiferverhalten ausgerichtet halten, jene ausmustern, die Analysten mit Rauschen fluten, und die Lücken finden, wo gar nichts überwacht wird. In den meisten Sicherheitszentralen geschieht das von Hand, langsam, und es verrottet stumm, während Angreifer sich ändern.
CardinalOps automatisiert diese Schleife mit KI-Agenten: es misst Ihre Erkennungsabdeckung gegen bekannte Angriffstechniken, markiert, wo Sie blind sind, und schlägt Regeln vor oder repariert sie. Für einen Eigentümer lautet das praktische Versprechen weniger übersehene Angriffe und weniger vergeudete Analystenstunden, ohne einen raren Detection-Spezialisten einzustellen. Die praktische Vorsicht ist, dass ein automatisiertes Regelwerk menschliche Verantwortung braucht, denn eine Erkennung, die Sie nicht verstehen, ist eine Erkennung, die Sie nicht verteidigen können.
Der Handel: kleinere Einlese-Rechnung, größerer Einzelanbieter
Niedrigere Kosten und mehr Konzentration sind hier dieselbe Entscheidung. Erkennung über die Pipeline zu leiten, die Sie ohnehin betreiben, kann das Volumen wirklich verkleinern, für dessen Einlese Sie ein klassisches SIEM bezahlen. Doch es gibt auch mehr Ihres Sicherheitsstapels an einen Lieferanten: derselbe Anbieter formt nun Ihre Telemetrie, entscheidet, was Sie aufbewahren, und besitzt zunehmend, worauf Sie erkennen. Das ist Hebel, und Hebel taucht irgendwann in einem Verlängerungsangebot auf.
Nichts davon macht den Deal schlecht. Es macht ihn zu einer Wahl, die ein Eigentümer bewusst treffen sollte, statt hineinzugleiten. Die richtige Frage ist nicht, ob Cribls Angebot reizvoll ist, das ist es klar, sondern ob Sie damit einverstanden sind, dass dieselbe Firma die Leitung, die Speicherentscheidung und die Erkennungslogik hält, und wie Ihr Ausstieg aussieht, wenn dieses Bündel Ihnen nicht mehr dient.
Was Eigentümer jetzt abwägen sollten
Sie müssen dieses Quartal nicht handeln, Sie müssen vor der Verlängerung lesen. Holen Sie Ihren aktuellen SIEM-Vertrag hervor und trennen Sie zwei Zahlen: was Sie zahlen, um Daten zu zentralisieren und aufzubewahren, und was Sie für die Erkennungen zahlen, die Sie wirklich schützen. Das Cribl-CardinalOps-Modell ist die Wette, dass sich diese beiden entkoppeln lassen und dass die meisten Käufer für die erste zu viel zahlen, um die zweite zu bekommen.
Unter NIS2 und DORA ist schwache Erkennung nun ebenso ein Compliance-Risiko wie ein Sicherheitsrisiko, denn Sie müssen ernste Vorfälle unter einer Uhr erkennen und melden. Das erhöht den Wert besserer Detection-Engineering und die Kosten geduldeter blinder Flecken. Behandeln Sie diese Übernahme als Anlass zu fragen, ob Ihr SOC für Speicher oder für Ergebnisse zahlt, vor Ihrem nächsten Anbietergespräch, nicht danach.
Weiterlesen: NetApp kauft eine Roadmap ohne jede Zusage | Berlin bekommt eine Garantie, 14 Märkte werden zweimal verkauft



