Cairn Security
Loslegen
PlattformAbdeckungKI-SOCPreiseFAQBlog Loslegen →
← Alle Artikel
Veröffentlicht am 8. Juni 2026

ASPM, CNAPP, CSPM: Überblick im Akronym-Dschungel der Cloud-Sicherheit

Die Anwendungs- und Cloud-Sicherheit ist mit Akronymen überzogen: CSPM, ASPM, CNAPP, ganz zu schweigen von SAST, SCA, CIEM oder KSPM. Hinter dem Fachjargon stecken sehr reale, aber stark überlappende Geltungsbereiche. Hier eine einfache Lesart, um zu entscheiden, was Sie wirklich brauchen.

CSPM: die Cloud-Posture

CSPM (Cloud Security Posture Management) überwacht die Konfiguration Ihrer Cloud-Umgebungen. Seine Aufgabe: Fehlkonfigurationen erkennen, bevor sie zu Vorfällen werden.

  • Öffentlich exponierte Storage-Buckets
  • Zu freizügige Security-Groups
  • Deaktivierte Verschlüsselung, fehlende Audit-Logs
  • Abweichungen von den CIS-Benchmarks

CSPM arbeitet in der Regel agentless: Es bindet sich über eine schreibgeschützte Rolle ein (zum Beispiel eine Cross-Account-IAM-Rolle bei AWS) und inspiziert die API des Anbieters. Keine Installation auf Ihren Maschinen.

ASPM: die Anwendungs-Posture

ASPM (Application Security Posture Management) betrachtet nicht die Cloud, sondern den Code und die Lieferkette. Es konsolidiert die Signale der Anwendungssicherheit in einer einzigen Ansicht:

  • SAST: statische Analyse des Quellcodes
  • SCA: Analyse der Open-Source-Abhängigkeiten
  • Secret-Erkennung: versehentlich committete Schlüssel und Tokens
  • IaC-Scanning: Terraform, CloudFormation, Kubernetes
  • SBOM: Software-Inventar (CycloneDX, SPDX)

Der Sinn von ASPM ist nicht das Scannen (das tun viele Tools bereits), sondern das Aggregieren, Deduplizieren und Priorisieren der Ergebnisse all dieser Scanner. Das ist der Unterschied zwischen „1.000 Alarmen” und „den 7, die zählen”.

CNAPP: das All-in-one, vom Code bis zur Runtime

CNAPP (Cloud-Native Application Protection Platform) ist die Kategorie, die die vorherigen zusammenführt. Der von Gartner geprägte Begriff bezeichnet eine Plattform, die Sicherheit vom Code bis zur Runtime abdeckt:

  1. Code & CI/CD (der ASPM-Bereich)
  2. Cloud (der CSPM-Bereich)
  3. Runtime (Workloads, Container, Produktionsserver)

Der Leitgedanke: Eine Schwachstelle lebt nicht im Silo. Eine verwundbare Abhängigkeit (AppSec-Signal), die auf einer ins Internet exponierten Maschine (Cloud-Signal) ausgerollt und zur Laufzeit tatsächlich aufgerufen wird (Runtime-Signal), ist weit kritischer als dieselbe Abhängigkeit im toten Code. Nur eine Plattform, die diese drei Ebenen korreliert, kann das unterscheiden.

Kurz gefasst

AkronymBereichAnbindung
CSPMCloud-KonfigurationSchreibgeschützte Rolle (agentless)
ASPMCode, Abhängigkeiten, CI/CDOAuth auf dem Repository
CNAPPAlle drei + RuntimeAlle drei + optionaler Agent

Warum eine einheitliche Plattform

Ein CSPM-Tool, ein ASPM-Tool und ein Runtime-Tool zu stapeln, erzeugt genau das Problem neu, das diese Kategorien zu lösen vorgeben: doppelte Alarme, inkompatible Risikobewertungen und keine gemeinsame Priorität.

Genau das ist der Ansatz von Cairn Security: eine einzige Plattform, die alle drei Achsen abdeckt, Findings in einem Repository aggregiert, sie mit einem Score aus EPSS, CISA KEV, Exposition und Reachability priorisiert und anschließend ein KI-gestütztes agentenbasiertes SOC das Rauschen ausfiltern und die Korrekturen vorbereiten lässt.

Sicherheit, abgesteckt vom Code bis in die Cloud.