Als Kind habe ich im Parkteich in Voorschoten nach Karpfen geangelt. Geduldig warten, den Schwimmer im Blick behalten und hoffen, dass man ihn rechtzeitig bemerkt. Diese Karpfen heißen auf Japanisch Koi, ein Symbol für Ausdauer und Aufmerksamkeit. Passend, denn das israelische Sicherheitsunternehmen Koi wurde gerade von Palo Alto Networks übernommen, und es liefert genau das: zu sehen, was sich unter der Oberfläche am Endpunkt abspielt, bevor es zum Problem wird.
Der Endpunkt ist nicht mehr das, was er einmal war
Noch vor einem Jahr bestand der Endpunkt hauptsächlich aus einem Laptop mit einem Browser und einigen lokal installierten Programmen. EDR-Tools waren dafür bestens geeignet.
Dieses Bild gilt nicht mehr. Ein typischer Entwickler-Endpunkt läuft heute mit Cursor oder Windsurf, Claude Code im Terminal, einer Handvoll MCP-Server, Dutzenden von IDE-Erweiterungen, npm- und PyPI-Paketen, die Agenten ermöglichen, Aktionen auszuführen, sowie einer wachsenden Sammlung von KI-Modellen. 67 Prozent der Entwickler nutzen KI in ihrem Arbeitsablauf. Statista prognostiziert 2,2 Milliarden aktive KI-Agenten in Unternehmen bis 2030.
Der Endpunkt ist kein passiver Endpunkt mehr, sondern ein aktiv ausführendes System, das Entscheidungen im Namen des Benutzers trifft, externe Daten abfragt und Software installiert. Herkömmliche EDR-Lösungen erfassen davon kaum etwas. Ein MCP-Server fällt nicht als verdächtiger Prozess auf. Eine Cursor-Erweiterung wird außerhalb jedes Software-Vertriebskanals installiert.
Was Koi anders macht
Sichtbarkeit auf alles, was normalerweise unsichtbar bleibt: Agenten, MCP-Server, Browser-Erweiterungen, IDE-Plugins, Claude Skills, Ollama-Modelle, HuggingFace-Downloads.
Kontextbezogene Risikoanalyse. Ein MCP-Server mit Zugriff auf Ihre E-Mails ist nicht dasselbe wie einer, der nur das Wetter abruft. Koi versucht, diesen Unterschied zu erkennen, anstatt eine IOC-Liste abzuhaken.
Präventive Lieferkettenkontrolle. Pakete, Modelle und Erweiterungen werden vor der Installation analysiert. Bei Shai-Hulud, der npm-Wurm-Kampagne, die 25.000 GitHub-Repositories traf, wurde die Zeit zwischen Veröffentlichung und den ersten Downloads in Minuten gemessen. Ein Gateway, das neue Versionen unter Quarantäne stellt, neutralisiert diesen gesamten Angriffsweg.
Durchsetzung durch dynamische Bewertung zum Zeitpunkt der Installation, anstatt einer Software-Liste, die monatlich aktualisiert wird.
Warum gerade jetzt?
Drei Gründe, warum diese Kategorie an Bedeutung gewinnt.
Das Ausmaß. Palo Alto teilt eigene Zahlen aus dem internen Einsatz von Koi: 188.000 eindeutig identifizierte Elemente, 23.000 proaktiv behobene Probleme, dreißig Shadow-Marketplaces sichtbar gemacht. Der Kunde Cambia Health Solutions entdeckte in zwei Wochen 220.000 Installationen über vierzehn Marketplaces. Das sind keine Ausnahmefälle, das ist der Großteil dessen, was auf Endpunkten läuft.
Die Bedrohung. Koi dokumentiert eine Reihe von Kampagnen aus dem Jahr 2025: Shai-Hulud (3,5 Millionen Downloads), GlassWorm in VS Code/Cursor/Windsurf, DarkSpectre in Browsern (8,8 Millionen), PromptJacking auf Claude-Integrationen abzielend, Nx Packages (4,6 Millionen wöchentliche Downloads). Angreifer folgen dem Nutzerverhalten. Wo auch immer der Installations-Button zu finden ist, schlagen sie ihren Stand auf. Und dieser Button ist inzwischen überall.
Die Architektur. AES ist kein Feature, das man nachträglich an ein bestehendes EDR-System anschraubt. Es erfordert ein anderes Telemetriemodell, eine andere Risikoengine und einen anderen Durchsetzungsmechanismus. Deshalb kauft Palo Alto es, wie zuvor bereits Dig Security und Talon, anstatt es selbst zu entwickeln.
Was die Integration mit Cortex bedeutet
Koi bleibt als eigenständige Lösung verfügbar und kann neben jedem bestehenden EDR eingesetzt werden. Darüber hinaus wird es in Cortex XDR integriert (erwartet in FY27) sowie in Prisma AIRS (FY27 Q3) als Grundlage für die Sicherheit rund um Vibe Coding. Für Organisationen, die Cortex XDR nutzen, bedeutet dies, dass die Lücke zwischen klassischer Endpunkterkennung und dem modernen Software-Stack geschlossen wird, ohne einen zweiten Agenten oder eine separate Konsole.
Was das nicht löst
AES ist kein Ersatz für EDR, Identity Management oder Datensicherheit. Es ist eine neue Schicht, die einen blinden Fleck schließt, der zuvor nicht existierte. Die Tatsache, dass dieser blinde Fleck nun von einem einzigen Anbieter gefüllt wird, der auch den Rest des Portfolios verkauft, erleichtert Kunden die Entscheidung, ändert aber nichts daran, dass die zugrunde liegenden Risiken ein breiteres Governance-Problem darstellen, das kein einzelnes Tool lösen kann.
Möchten Sie mehr über dieses Thema erfahren?
Unsere Experten und Vertriebsteams stehen Ihnen gerne zur Verfügung. Hinterlassen Sie Ihre Kontaktdaten und wir werden uns in Kürze bei Ihnen melden.
