Tenzir Security Data Pipeline

Die Finanzierungsstrategie sieht eine Konsortiumsrunde für Q1 2026 vor. Tenzir arbeitet bereits cash-flow-neutral und verfolgt ein Wachstumsmodell, das auf AWS-Marketplace-Integration und demnächst auf Channel-Partner-Strategien setzt. Das Unternehmen ist derzeit noch im Direktvertrieb aktiv, plant aber den Ausbau des Geschäfts über Systemintegratoren.

Vier Editionen für unterschiedliche Anforderungen

Die Produktpalette umfasst vier Editionen: Die kostenlose Community Edition verzeichnet mehrere tausend Downloads und hunderte aktive Nutzer. Die Professional Edition ist für kleinere Kunden ausgelegt, die Enterprise Edition für größere. Die neue Sovereign Edition findet den stärksten Anklang und ist sowohl in Europa als auch in den USA gefragt, insbesondere bei Regierungsbehörden und Fortune-1000-Unternehmen.

Die Sovereign Edition adressiert spezifische Anforderungen wie die EU Sovereign Cloud und reduziert den operativen Aufwand. Als Referenzkunden nennt Vallentin die Swiss Post Cyber Security sowie Hunt & Hackett, einen MDR-Provider (Managed Detection and Response).

Differenzierung durch eigene Pipeline-Sprache

Das zentrale Differenzierungsmerkmal gegenüber anderen Pipeline-Anbietern ist die proprietäre Pipelinesprache TQL (Tenzir Query Language). Diese ermöglicht Infrastructure-as-Code-Ansätze, bei denen Pipelines versioniert und als Code abgelegt werden können. Die Sprache ist besonders auf das Transformieren von Daten ausgerichtet und bietet native Integrationen zu vielen Data Lakes, insbesonder für Amazon Security Lake.

Mit dem kürzlich erfolgten MCP-Server-Release können Nutzer mit ihren eigenen Modellen (z.B. Anthropic‘s Claude und OpenAI‘s ChatGPT) Pipelines in TQL generieren lassen. Der MCP-Server ist Open Source und funktioniert mit allen Editionen. Kommerzielle Features umfassen Fleet Management und erweiterte Integrationen.

Automatisierung als Antwort auf Integrationsprobleme

Der MCP-Server v0.4.0 automatisiert die Erstellung von Parsern und OCSF-Mappings (Open Cybersecurity Schema Framework). Nutzer können durch Bereitstellung einzelner Log-Samples vollständige und getestete Integrationen als Tenzir-Pakete generieren lassen. Das System analysiert automatisch das Log-Format, erstellt Parser, identifiziert die passende OCSF-Klasse, mappt Felder und validiert die Ausgabe.

Anstatt auf Roadmaps externer Anbieter zu warten, können Teams eigene Integrationen binnen Minuten erstellen und anpassen. Die Architektur basiert auf strukturierten MCP-Tools anstelle von reinem Prompt Engineering, was die Zuverlässigkeit erhöhen soll.

Technische Roadmap und Enterprise-Features

Die technische Roadmap fokussiert auf Latenzreduktion und Vereinfachung des Onboardings. Das Ziel ist, die Generierung von Integrationen von aktuell fünf Minuten auf unter eine Minute zu reduzieren. Geplant sind zudem Kubernetes-Integrationen, speziell für Amazon EKS (Elastic Kubernetes Service), sowie Fault Isolation und Role-Based Access Control.

Weitere Entwicklungsschwerpunkte umfassen die Integration mit der neuen Version von AWS CloudWatch. Das Unternehmen setzt auf native Unterstützung des Open Cybersecurity Schema Framework (OCSF) und hebt die eigene Schema-Validierung als technischen Vorteil hervor.

Marktpositionierung und Wachstumsstrategie

Tenzir positioniert sich als einziger Open-Source-Anbieter im Pipeline-Segment und betont die Unabhängigkeit von einzelnen Anbietern. Die Strategie zielt darauf ab, Kunden nicht im Stich zu lassen und Community-Momentum aufzubauen. Integrationen werden auch in der Open-Source-Edition verfügbar gemacht.

Das Unternehmen meldet eine Überlastung mit Proof-of-Concept-Anfragen, wobei die Rekrutierung neuer Mitarbeiter als Bottleneck identifiziert wird. Kunden schätzen nach Unternehmensangaben besonders die Flexibilität und den „unopinionated and headless“ Ansatz der Plattform.

Für die europäische Go-To-Market-Strategie plant Tenzir den Ausbau durch die geplante Finanzierungsrunde. Bei erfolgreicher europäischer Expansion soll der US-Markt folgen. Channel-Partner, die bisher für ihre Kunden nur SIEM-Systeme managen, werden mit Hilfe von Tenzir zukünftig sehr einfach das gesamte Daten-Onboarding, Analytics und Detection Response übernehmen können.

Der Fokus auf Datenqualität und die Fähigkeit, Pipelines für spezifische Use Cases zu bauen und in Kubernetes-Umgebungen zu deployen, adressiert identifizierte Pain Points im Bereich Cost Savings und SIEM-Datenmanagement. Tenzir sieht sich strategisch gut zu AWS positioniert und führt nach eigenen Angaben tiefgehende Gespräche mit dem Cloud-Anbieter.

The financing strategy envisages a consortium round for Q1 2026. Tenzir is already cash flow neutral and is pursuing a growth model based on AWS Marketplace integration and, in the near future, channel partner strategies. The company is currently still active in direct sales, but plans to expand its business through system integrators.

Four editions for different requirements

The product range comprises four editions: The free Community Edition has been downloaded several thousand times and has hundreds of active users. The Professional Edition is designed for smaller customers, while the Enterprise Edition is for larger ones. The new Sovereign Edition is proving most popular and is in demand in both Europe and the US, particularly among government agencies and Fortune 1000 companies.

The Sovereign Edition addresses specific requirements such as the EU Sovereign Cloud and reduces operational overhead. Vallentin cites Swiss Post Cyber Security and Hunt & Hackett, an MDR (Managed Detection and Response) provider, as reference customers.

Differentiation through proprietary pipeline language

The key differentiator from other pipeline providers is the proprietary pipeline language TQL (Tenzir Query Language). This enables infrastructure-as-code approaches, where pipelines can be versioned and stored as code. The language is specifically designed for transforming data and offers native integrations with many data lakes, especially Amazon Security Lake.

With the recent release of the MCP server, users can generate pipelines in TQL using their own models (e.g., Anthropic’s Claude and OpenAI’s ChatGPT). The MCP server is open source and works with all editions. Commercial features include fleet management and advanced integrations.

Automation as an answer to integration problems

MCP Server v0.4.0 automates the creation of parsers and OCSF (Open Cybersecurity Schema Framework) mappings. Users can generate complete and tested inntegrations as Tenzir packages by providing individual log samples. The system automatically analyzes the log format, creates parsers, identifies the appropriate OCSF class, maps fields, and validates the output.

Instead of waiting for roadmaps from external providers, teams can create and customize their own integrations within minutes. The architecture is based on structured MCP tools instead of pure prompt engineering, which is intended to increase reliability.

Technical roadmap and enterprise features

The technical roadmap focuses on latency reduction and simplification of onboarding. The goal is to reduce the generation of integrations from the current five minutes to less than one minute. Kubernetes integrations are also planned, specifically for Amazon EKS (Elastic Kubernetes Service), as well as fault isolation and role-based access control.

Other development priorities include integration with the new version of AWS CloudWatch. The company is committed to native support for the Open Cybersecurity Schema Framework (OCSF) and highlights its own schema validation as a technical advantage.

Market positioning and growth strategy

Tenzir positions itself as the only open source provider in the pipeline segment and emphasizes its independence from individual providers. The strategy aims to not let customers down and build community momentum. Integrations will also be made available in the open-source edition.
The company reports being overwhelmed with proof-of-concept requests, with the recruitment of new employees identified as a bottleneck. According to the company, customers particularly appreciate the flexibility and “unopinionated and headless” approach of the platform.

Tenzir plans to expand its European go-to-market strategy through the planned financing round. If the European expansion is successful, the US market will follow. Channel partners who have previously only managed SIEM systems for their customers will be able to easily take over the entire data onboarding, analytics, and detection response process with the help of Tenzir.

The focus on data quality and the ability to build pipelines for specific use cases and deploy them in Kubernetes environments addresses identified pain points in the areas of cost savings and SIEM data management. Tenzir sees itself as strategically well positioned with AWS and, according to its own statements, is in in-depth discussions with the cloud provider.