Am 20. Februar 2026 erlebte die Cybersecurity-Branche einen der dramatischsten Handelstage der letzten Jahre. Der Grund: Anthropic, das AI-Unternehmen hinter Claude, stellte Claude Code Security vor – ein AI-gestütztes Tool zur automatisierten Schwachstellenanalyse. Die Reaktion der Märkte war unmittelbar und brutal: CrowdStrike (CRWD) verlor 8 Prozent, Cloudflare (NET) ebenfalls 8 Prozent, Okta (OKTA) stürzte um 9 Prozent ab. Auch SailPoint (-9 Prozent), Zscaler (-5,5 Prozent), Palo Alto Networks (PANW) und Fortinet (FTNT) gerieten unter Druck. Innerhalb weniger Stunden wurden Milliarden an Marktkapitalisierung ausgelöscht.
Die Nervosität der Investoren ist nachvollziehbar: Wenn ein AI-Modell Sicherheitslücken findet, die traditionelle Tools übersehen, stellt das die Geschäftsmodelle etablierter Anbieter in Frage. Doch wie berechtigt sind diese Ängste – und welche strukturellen Verschiebungen zeichnen sich ab?
Was ist Claude Code Security?
Claude Code Security ist eine neue Funktion innerhalb von Claude Code, die als "limited research preview" für Enterprise- und Team-Kunden verfügbar ist. Das Tool scannt gesamte Codebases auf Sicherheitslücken und schlägt gezielte Software-Patches zur menschlichen Überprüfung vor. Der entscheidende Unterschied zu klassischen Static Application Security Testing (SAST) oder Dynamic Application Security Testing (DAST) Tools: Claude Code Security arbeitet nicht regelbasiert, sondern verfolgt, wie Daten durch ein System fließen und wie Komponenten miteinander interagieren – ähnlich wie ein menschlicher Security Researcher bei einem Code Audit.
Anthropic beschreibt das Vorgehen so: "Es scannt Codebases auf Sicherheitslücken und schlägt gezielte Software-Patches zur menschlichen Überprüfung vor, sodass Teams Sicherheitsprobleme finden und beheben können, die traditionelle Methoden häufig übersehen." Logan Graham, Leiter des Frontier Red Teams bei Anthropic, betont gegenüber Fortune, dass das Tool entwickelt wurde, um Security-Teams mit begrenzten Ressourcen zu unterstützen. Besonders Open-Source-Maintainer, die oft unterfinanziert sind, erhalten kostenlosen Zugang zur Plattform.
Zahlen und Fakten: Der Marktschock im Detail
Die Kursbewegungen vom 20. Februar sprechen eine klare Sprache. CrowdStrike, einer der Marktführer im Bereich Endpoint Protection, verlor an einem einzigen Tag 8 Prozent seines Börsenwerts. Bei einer Marktkapitalisierung von rund 90 Milliarden Dollar (Stand Anfang Februar 2026) entspricht das einem Wertverlust von über 7 Milliarden Dollar. Okta, Spezialist für Identity und Access Management, büßte 9 Prozent ein – bei einer Marktkapitalisierung von etwa 15 Milliarden Dollar ein Verlust von 1,35 Milliarden Dollar. Cloudflare, Zscaler und SailPoint erlitten ähnliche Einbußen.
Bloomberg berichtete am Abend des 20. Februar von einem "Tumble" der Cybersecurity-Aktien, während SiliconANGLE die Verkäufe als direkte Reaktion auf die Anthropic-Ankündigung klassifizierte. Auch Palo Alto Networks und Fortinet, die als defensive Qualitätsaktien gelten, konnten sich dem Ausverkauf nicht entziehen. Die Times of India titelte: "Anthropics neues Tool löscht Milliarden von CrowdStrike, Cloudflare, Palo Alto Networks, Zscaler und Okta aus."
Interessanterweise fiel die Ankündigung zeitlich mit den Quartalszahlen von Palo Alto Networks zusammen. Das Unternehmen meldete für Q2 2026 einen Umsatz von 2,6 Milliarden Dollar – ein starkes Wachstum –, doch die Guidance enttäuschte Investoren. Die Kombination aus schwachen Prognosen und der Anthropic-News verstärkte den Abwärtsdruck.
Technische Details: Data Flow Tracing vs. regelbasierte Scans
Klassische SAST-Tools arbeiten mit Pattern Matching und vordefinierten Regeln. Sie durchsuchen Code nach bekannten Schwachstellen wie SQL-Injection, Cross-Site Scripting (XSS) oder Buffer Overflows. Das Problem: Diese Methoden erzeugen hohe False-Positive-Raten und übersehen komplexe, kontextabhängige Schwachstellen, die erst durch das Zusammenspiel mehrerer Komponenten entstehen.
Claude Code Security wählt einen anderen Ansatz. Laut StackHawk, einem Anbieter im Bereich Application Security, "scannt das Tool Codebases so, wie es ein menschlicher Security Researcher tun würde: Es verfolgt, wie Daten sich durch ein System bewegen, versteht, wie Komponenten interagieren, und erkennt Schwachstellen, die regelbasierte Tools übersehen." Jede potenzielle Schwachstelle wird erneut überprüft, bevor sie einem Entwickler angezeigt wird – ein Ansatz, der die False-Positive-Rate reduzieren soll.
Diese Fähigkeit basiert auf den Extended-Context-Fähigkeiten von Claude Opus und Sonnet. Moderne LLMs können Hunderttausende Zeilen Code analysieren und Zusammenhänge erkennen, die über einzelne Funktionen oder Module hinausgehen. Anthropic nutzt dabei nicht nur statische Code-Analyse, sondern kombiniert diese mit einem Verständnis für Datenflüsse, API-Aufrufe und Zugriffsketten – Techniken, die bisher menschlichen Penetration Testern vorbehalten waren.
Kontext: Der SAST/DAST-Markt und die AI-Disruption
Der Markt für Application Security Testing ist lukrativ. Gartner schätzt, dass Unternehmen weltweit jährlich mehrere Milliarden Dollar für SAST, DAST und Interactive Application Security Testing (IAST) ausgeben. Führende Anbieter wie Veracode, Checkmarx, Snyk und Fortify (Micro Focus) dominieren den Markt seit Jahren. Ihre Tools sind tief in DevOps-Pipelines integriert und gelten als unverzichtbar für Compliance (SOC 2, PCI DSS, NIS2).
Doch die Schwächen dieser Tools sind seit langem bekannt. Eine Studie von Forrester aus 2024 zeigte, dass SAST-Tools im Durchschnitt False-Positive-Raten von 30 bis 50 Prozent aufweisen. Security-Teams verbringen mehr Zeit damit, Fehlalarme zu verifizieren, als echte Schwachstellen zu beheben. DAST-Tools, die Anwendungen zur Laufzeit testen, sind langsamer und können erst in späten Phasen des Entwicklungszyklus eingesetzt werden.
Anthropics Ansatz könnte diese Gleichung verändern. Wenn Claude Code Security tatsächlich in der Lage ist, komplexe Schwachstellen mit niedrigeren False-Positive-Raten zu identifizieren, könnte das Tool zu einem Standard in der DevSecOps-Pipeline werden – und traditionelle SAST/DAST-Anbieter unter Druck setzen.
Strukturelle Analyse: Warum AI die Cybersecurity-Branche neu ordnet
Die Ankündigung von Claude Code Security ist kein isoliertes Ereignis, sondern Teil eines größeren Trends: AI-Tools übernehmen zunehmend Aufgaben, die bisher menschliche Expertise erforderten. GitHub Copilot, Amazon CodeWhisperer und OpenAIs Codex haben gezeigt, dass LLMs Code schreiben können. Der nächste logische Schritt ist, dass AI auch Code auf Sicherheitslücken prüft.
Diese Entwicklung trifft die Cybersecurity-Branche in einer sensiblen Phase. Laut ISC² gibt es weltweit 3,5 Millionen unbesetzte Stellen im Bereich Cybersecurity. Unternehmen kämpfen damit, qualifizierte Security Engineers zu finden. AI-Tools, die Teile des Code-Audits automatisieren, könnten diese Lücke schließen – und gleichzeitig die Nachfrage nach traditionellen Scanning-Tools reduzieren.
Ein weiteres strukturelles Problem: Die Konsolidierung im Cybersecurity-Markt. Palo Alto Networks verfolgt eine aggressive Platformization-Strategie und übernimmt Anbieter wie QRadar (IBM) und BeyondTrust. CrowdStrike expandiert mit Falcon Next-Gen SIEM in Richtung Log Management. Fortinet bleibt stark im Hardware-Segment, wird aber durch Cloud-native Anbieter wie Zscaler unter Druck gesetzt. In diesem Wettbewerbsumfeld könnte ein AI-gestütztes Tool wie Claude Code Security die Karten neu mischen – insbesondere, wenn es als kostengünstige Alternative zu teuren Enterprise-Lizenzen positioniert wird.
Handlungsempfehlungen: Was CISOs und Security-Teams jetzt tun sollten
Die Einführung von Claude Code Security ist kein Grund zur Panik, aber ein Signal zum Handeln. CISOs und Security-Teams sollten folgende Schritte erwägen:
- Pilot-Tests durchführen: Unternehmen mit Enterprise- oder Team-Lizenzen für Claude sollten das Tool in einer kontrollierten Umgebung testen. Vergleichen Sie die Ergebnisse mit bestehenden SAST/DAST-Tools und bewerten Sie False-Positive-Raten sowie die Qualität der vorgeschlagenen Patches.
- DevSecOps-Pipeline überprüfen: Evaluieren Sie, an welchen Stellen AI-gestützte Tools bestehende Scanning-Prozesse ergänzen oder ersetzen können. Besonders in CI/CD-Pipelines könnten schnellere, kontextbewusste Scans die Time-to-Market verkürzen.
- Vendor Lock-in reduzieren: Unternehmen, die stark von einem SAST-Anbieter abhängig sind, sollten alternative Tools evaluieren, um Verhandlungsspielraum zu behalten. Die Verfügbarkeit von AI-gestützten Alternativen erhöht die Verhandlungsposition gegenüber etablierten Anbietern.
- Open-Source-Projekte sichern: Maintainer von Open-Source-Repositories sollten Anthropics Angebot nutzen, kostenlosen Zugang zu Claude Code Security zu erhalten. Viele kritische Open-Source-Projekte leiden unter Ressourcenmangel und könnten von automatisierter Schwachstellenanalyse profitieren.
- Threat Modeling erweitern: AI-generierte Patches müssen sorgfältig geprüft werden. Verlassen Sie sich nicht blind auf AI-Vorschläge, sondern integrieren Sie diese in bestehende Code-Review-Prozesse. Automatisierung ersetzt nicht menschliche Expertise, sondern ergänzt sie.
Investment-Implikationen: Gewinner und Verlierer der AI-Revolution
Die Kursbewegungen vom 20. Februar werfen die Frage auf: Welche Unternehmen profitieren von der AI-Disruption – und welche geraten ins Hintertreffen?
Verlierer: Klassische SAST/DAST-Anbieter stehen unter Druck. Unternehmen wie Veracode, Checkmarx und Snyk müssen beweisen, dass ihre Tools weiterhin konkurrenzfähig sind. Auch Endpoint-Protection-Anbieter wie CrowdStrike und SentinelOne könnten betroffen sein, wenn AI-Tools präventive Schwachstellenanalyse effizienter machen. Die massive Überreaktion der Märkte deutet darauf hin, dass Investoren diese Gefahr ernst nehmen.
Gewinner: Unternehmen, die AI-Technologie in ihre Plattformen integrieren, könnten gestärkt hervorgehen. Palo Alto Networks und CrowdStrike investieren beide massiv in AI-gestützte Threat Detection und Incident Response. Wenn sie AI-gestützte Code-Analyse in ihre Plattformen einbauen, könnten sie Marktanteile gewinnen. Auch Cloud-native Anbieter wie Zscaler, die auf Zero Trust und SASE setzen, sind weniger direkt betroffen – ihr Fokus liegt auf Network Security, nicht auf Application Security.
Anthropic selbst wird zum Konkurrenten im Cybersecurity-Markt. Sollte Claude Code Security sich durchsetzen, könnte Anthropic Lizenzgebühren von Millionen Entwicklern weltweit kassieren – ein Geschäftsmodell, das über das klassische LLM-API-Business hinausgeht.
Der Cybersecurity Leaders Fonds investiert unter anderem in führende Anbieter wie CrowdStrike, Palo Alto Networks und Zscaler. Die AI-getriebene Transformation des Marktes erfordert eine sorgfältige Neubewertung der Positionierung einzelner Holdings – insbesondere in Bezug auf ihre Fähigkeit, AI-gestützte Tools zu integrieren und Marktanteile zu verteidigen.
Fazit: Ein Weckruf für die Cybersecurity-Industrie
Claude Code Security ist mehr als ein neues Tool – es ist ein Stresstest für die Cybersecurity-Branche. Die dramatischen Kursbewegungen vom 20. Februar zeigen, dass Investoren die disruptive Kraft von AI ernst nehmen. Ob Anthropics Tool tatsächlich traditionelle SAST/DAST-Anbieter verdrängt, bleibt abzuwarten. Entscheidend wird sein, ob die False-Positive-Raten tatsächlich niedriger sind, ob die vorgeschlagenen Patches in der Praxis funktionieren – und ob Unternehmen bereit sind, einem AI-Modell zu vertrauen, das Sicherheitslücken identifiziert.
Für Investoren gilt: Die Konsolidierung im Cybersecurity-Markt wird sich beschleunigen. Unternehmen, die AI-Technologie erfolgreich integrieren, werden gestärkt hervorgehen. Diejenigen, die an veralteten Geschäftsmodellen festhalten, werden Marktanteile verlieren. Die nächsten Monate werden zeigen, welche Anbieter sich anpassen können – und welche von der AI-Revolution überrollt werden.
Die Bottom Line für Entscheider: Claude Code Security ist kein Hype, sondern ein Vorbote struktureller Veränderungen. CISOs sollten das Tool testen, DevSecOps-Prozesse überprüfen und Vendor-Abhängigkeiten reduzieren. Investoren sollten ihre Cybersecurity-Positionen kritisch bewerten und auf Unternehmen setzen, die AI nicht fürchten, sondern nutzen.
Quellen:
- Anthropic Official Announcement: "Claude Code Security" (20. Februar 2026)
- The Hacker News: "Anthropic Launches Claude Code Security for AI-Powered Vulnerability Scanning" (21. Februar 2026)
- CyberScoop: "Anthropic rolls out embedded security scanning for Claude" (21. Februar 2026)
- Bloomberg: "Cyber Stocks Slide as Anthropic Unveils 'Claude Code Security'" (20. Februar 2026)
- SiliconANGLE: "Cybersecurity stocks drop after Anthropic debuts Claude Code Security" (21. Februar 2026)
- Fortune: "Anthropic launches AI security tool that can find software bugs humans miss" (20. Februar 2026)
- Times of India: "As Anthropic's new tool wipes away billions from CrowdStrike, Cloudflare, Palo Alto Networks, Zscaler and Okta stocks" (21. Februar 2026)
- StackHawk Blog: "What Anthropic's Claude Code Security Actually Means for AppSec" (21. Februar 2026)
- PCMag: "Anthropic Rolls Out Autonomous Vulnerability-Hunting AI Tool for Claude Code" (21. Februar 2026)
