Zscaler kauft SquareX für Browser-Sicherheit

Zscaler übernimmt die Browser-Security-Firma SquareX, um sein Zero-Trust-Portfolio auszubauen. Die Integration soll unverwaltete Geräte absichern – ohne spezielle Unternehmensbrowser.

San Jose, Kalifornien – Der Cloud-Security-Marktführer Zscaler hat am 5. Februar 2026 die Übernahme des Browser-Security-Startups SquareX bekannt gegeben. Der Deal, der noch am selben Tag abgeschlossen wurde, markiert eine strategische Wende in der Absicherung von „Bring Your Own Device“ (BYOD). Statt auf komplexe Virtual-Desktop-Infrastrukturen (VDI) setzt Zscaler künftig auf eine leichtgewichtige, browser-native Lösung. Die Technologie von SquareX soll direkt in die Zscaler Zero Trust Exchange-Plattform integriert werden.

Der Zeitpunkt ist brisant: Unternehmen kämpfen mit den Sicherheitsrisiken hybrider Arbeit und der Verbreitung von KI-Agenten. Da der Browser zum primären Arbeitsplatz geworden ist, adressiert die Akquisition eine der hartnäckigsten Herausforderungen: Wie sichert man private und Drittgeräte, ohne Privatsphäre oder Performance zu opfern?

Strategischer Schachzug gegen das „Unmanaged Device“-Problem

Laut der offiziellen Mitteilung soll die Übernahme die Zero-Trust-Kontrollen direkt in den Browser erweitern. Organisationen könnten so Bedrohungen in Echtzeit in jedem Browser – einschließlich Chrome und Edge – erkennen und blockieren. Aus Consumer-Browsern würden so sichere Arbeitsumgebungen.

Passend zum Thema Browser-Security: Viele Unternehmen sind bei der Absicherung von BYOD und browserbasierten Angriffen unvorbereitet. Unser kostenloses E‑Book «Cyber Security Awareness Trends» fasst aktuelle Bedrohungen (inkl. KI‑Agenten und staatlicher Angriffe) zusammen und zeigt praxisnahe Schutzmaßnahmen, die Sie ohne große Investitionen umsetzen können. Enthalten sind priorisierte Schritte für Zero‑Trust im Browser, Anti‑Malware‑Checks und konkrete Awareness‑Tipps für Mitarbeitende. Jetzt gratis E‑Book «Cyber Security Awareness Trends» herunterladen

Bislang setzten Firmen für externe Mitarbeiter und private Geräte oft auf VPNs oder VDI. Diese Legacy-Technologien gelten jedoch als teuer, langsam und nutzerunfreundlich. Zscaler setzt nun auf ein Modell, bei dem die Sicherheit über eine schlanke Browser-Erweiterung kommt – nicht über einen schweren Agenten oder einen separaten Unternehmensbrowser.

Die finanziellen Details der Transaktion wurden nicht offengelegt. Branchenberichte deuten jedoch auf einen strategischen Technologiekauf hin. SquareX, 2023 gegründet, hatte im April 2025 erst 20 Millionen US-Dollar Series-A-Finanzierung eingesammelt. Der schnelle Verkauf unterstreicht die enorme Nachfrage nach browserzentrierten Sicherheitslösungen.

„Browser Detection and Response“: Die Technologie im Kern

Die Schlüsseltechnologie von SquareX heißt „Browser Detection and Response“ (BDR). Im Gegensatz zu traditionellen Secure-Web-Gateways, die Datenverkehr nach URL-Ruf filtern, operiert BDR innerhalb der Browser-Sitzung selbst. Das ermöglicht:

• Client-Seitige Bedrohungsabwehr: Bösartige Skripte und „Drive-by“-Downloads, die im Browserspeicher ausgeführt werden, können blockiert werden – auch wenn sie die Netzwerkebene passieren.
• Einweg-Browser-Sitzungen: Verdächtige Links oder Dateien lassen sich in isolierten Cloud-Containern öffnen. So gelangt keine Malware auf das lokale Gerät.
• DLP für private Geräte: Granulare Kontrolle über Uploads und Downloads auf Privatrechnern verhindert, dass sensible Firmendaten auf der Festplatte landen.

Diese „Extension-basierte“ Architektur steht im Kontrast zum „Enterprise-Browser“-Modell, bei dem die Sicherheitskontrollen in eine angepasste Browser-Anwendung eingebaut sind. Zscaler argumentiert für die Wahlfreiheit der Nutzer bei gleichzeitiger Absicherung.

Der Kampf um den Browser: Erweiterung vs. Spezialbrowser

Die Übernahme heizt den Wettbewerb im Browser-Security-Markt weiter an. Hier stehen sich zwei Philosophien gegenüber: die leichte Erweiterung und der dedizierte Unternehmensbrowser.

Der Sektor war in den letzten zwölf Monaten äußerst aktiv. So brachte etwa Check Point Software im September 2025 seinen eigenen Check Point Enterprise Browser auf Chromium-Basis auf den Markt. Auch Palo Alto Networks (durch die Übernahme von Talon) und Island setzen auf das Dedicated-Browser-Modell.

Zscaler geht mit dem Erwerb von SquareX nun einen anderen Weg. Die Extension-Strategie spricht Unternehmen an, die auf einfache Bereitstellung und Nutzerakzeptanz setzen. Die Nutzer sollen in ihrem gewohnten Chrome- oder Edge-Setup bleiben können, anstatt für Arbeitsaufgaben einen separaten Browser zu verwenden.

Diese Debatte ist zentral für die Zukunft von BYOD-Richtlinien. IT-Verantwortliche müssen 2026 ein „Work-from-Anywhere“-Ökosystem absichern, in dem das Gerät selbst nicht vertrauenswürdig ist und der Browser der einzige Kontrollpunkt bleibt.

Bedrohungslandschaft 2026: Warum Browser-Security drängt

Die Dringlichkeit für robuste Browser-Sicherheit wird durch eine eskalierende Bedrohungslage untermauert. Zwei weitere Meldungen dieser Woche setzen Zscalers Strategiewechsel in Kontext:

1. Staatliche Spionageangriffe: Palo Alto Networks Unit 42 veröffentlichte am 5. Februar einen Report über eine massive Cyber-Spionagekampagne einer asiatischen, regierungsnahen Gruppe. Diese hatte mindestens 70 Behörden und Kritische-Infrastruktur-Organisationen in 37 Ländern kompromittiert, oft durch schwache Zugangskontrollen. Dies unterstreicht die Notwendigkeit von Zero-Trust-Architekturen, die jedes Gerät – verwaltet oder nicht – als potenziell kompromittiert betrachten.

2. KI-Agenten als Risikotreiber: Gartner identifizierte in seinen „Top Cybersecurity Trends for 2026“, ebenfalls am 5. Februar, „Agentic AI“ als primären Risikofaktor. KI-Agenten, die im Browser Aufgaben automatisieren, schaffen neue Angriffsflächen und könnten traditionelle Zugangskontrollen umgehen.

Die Konvergenz dieser Trends – staatliche Spionage und autonome KI-Agenten im Browser – macht die von Zscaler erworbene BDR-Technologie hochaktuell. Sicherheitsteams benötigen Einblick nicht nur in besuchte Websites, sondern in den Code, der in den Browser-Tabs ausgeführt wird.

Ausblick: Das Ende der Legacy-VDI?

Die Integration von SquareX dürfte den Niedergang klassischer Remote-Access-Technologien beschleunigen. Zscaler-CEO Jay Chaudhry nannte traditionelle VPN- und VDI-Systeme in der Pressemitteilung „grundlegend fehlerhaft“ für die moderne Bedrohungslage.

Branchenprognosen deuten darauf hin, dass bis Ende 2026 ein signifikanter Teil der Global-2000-Unternehmen VDI-Implementierungen für externe Mitarbeiter und BYOD-Nutzer durch sichere Browser-Lösungen ersetzen wird. Die Kosteneinsparungen bei gleichzeitig verbesserter Sicherheit liefern ein überzeugendes Argument.

Herausforderungen bleiben jedoch: Datenschützer werden genau prüfen, wie tief die Inspektion auf privaten Geräten geht. Der Erfolg des Modells hängt maßgeblich davon ab, die Grenze zwischen firmenbezogener Überwachung und privatem Surfverhalten klar zu ziehen.

In den kommenden Monaten wird die Cybersecurity-Community genau beobachten, ob das „Lightweight Extension“-Modell die Sicherheitstiefe eines dedizierten Enterprise Browsers tatsächlich erreichen kann. Zscalers Übernahme von SquareX ist bereits jetzt eine der definierenden Cybersecurity-Geschichten des Februars 2026.

PS: Übrigens — die Kombination aus Zero‑Trust‑Prinzipien und gezielter Awareness stoppt viele Browser‑Angriffe, ohne dass Sie teure Spezialteams einstellen müssen. Unser Gratis‑Leitfaden beschreibt vier sofort umsetzbare Maßnahmen (Endpoint‑Kontrollen im Browser, DLP‑Regeln, Schulungen zu KI‑Agenten‑Risiken, Notfall‑Playbooks) und liefert eine Prioritätenliste für IT‑Verantwortliche. Gratis-Leitfaden zu Cyber Security Awareness herunterladen