Aqua Security EU Alternative 2026: Israelische Container-Security und CLOUD Act
Post #1236 — EU-CSPM-Serie #4/5 (sota.io EU Cyber Compliance Series)
Aqua Security belegt eine einzigartige Position im Container-Security-Markt — und im Compliance-Universum dieser Serie. Gegründet 2015 in Tel Aviv, Israel, hat Aqua Security mit Trivy eines der meistgenutzten Open-Source-Container-Security-Tools der Welt geschaffen: über 26.000 GitHub Stars, CNCF-incubating, und der De-facto-Standard für Container-Image-Vulnerability-Scanning. Die kommerzielle Aqua Platform baut auf diesem OSS-Fundament auf und ist in Tausenden von Enterprise-Kubernetes-Deployments weltweit im Einsatz.
Die besondere Compliance-Herausforderung: Aqua Security Software Ltd. ist ein israelisches Unternehmen — Israel ist ein EU-DSGVO-Adequacy-Land seit 2011 (bestätigt 2024). Das klingt nach einem Vorteil. Doch Aqua Security betreibt auch eine US-Tochtergesellschaft (Aqua Security Software Inc.), wird von überwiegend US-amerikanischen Investoren (Insight Partners, Accel, Bessemer Venture Partners) finanziert, und verkauft über AWS Marketplace direkt an US-Enterprise- und Government-Kunden. Für CLOUD Act (18 U.S.C. § 2713) ist die US-Tochtergesellschaft die relevante juristische Person — nicht die israelische Muttergesellschaft.
Dies ist der vierte Post unserer EU-CSPM-Serie. Post #1 behandelte Orca Security (Delaware, Alphabet-backed, SideScanning), Post #2 Lacework/FortiCNAPP (Fortinet-Akquisition, GovRAMP, CLOUD Act 22/25), Post #3 Sysdig (FedRAMP Authorized, Delaware C-Corp, CLOUD Act 20/25). Die finale Vergleichsmatrix erscheint als Post #5.
Aqua Security: Unternehmensstruktur
| Merkmal | Details |
|---|---|
| Muttergesellschaft | Aqua Security Software Ltd. — israelisches Unternehmen, Tel Aviv |
| US-Tochter | Aqua Security Software Inc. — US-Tochtergesellschaft |
| Hauptsitz Muttergesellschaft | Tel Aviv, Israel |
| US-Büro | Boston, Massachusetts (US-Hauptsitz) |
| Gegründet | 2015 |
| Funding | $590M+ (Stand 2023) |
| Letzter Round | Series E 2021: $135M, Bewertung $1 Mrd. |
| Hauptinvestoren | Insight Partners (US VC), Accel (US VC), Bessemer Venture Partners (US VC), TPG (US PE), Goldman Sachs (US Investment Bank) |
| Mitarbeiter | ~800 (2024) |
| Israel Adequacy | ✅ Israel ist DSGVO-Adequacy-Land (Europäische Kommission, bestätigt 2024) |
| Open-Source-Projekte | Trivy (CNCF-incubating), kube-bench (CIS K8s Benchmark), Aqua Chain-Bench |
| Produkt | Aqua Platform (Container Security, CSPM, CIEM, Supply Chain Security) |
Die Israel-Adequacy-Nuance
Israel wurde 2011 von der EU-Kommission als Drittland mit angemessenem Datenschutzniveau anerkannt (Decision 2011/61/EU) — eine Einschätzung, die 2024 im Rahmen des regelmäßigen Reviews bestätigt wurde. Das bedeutet: Datentransfers an die israelische Muttergesellschaft Aqua Security Software Ltd. sind ohne zusätzliche SCCs oder andere Schutzmechanismen DSGVO-konform.
Dies ist ein echter Unterschied zu Delaware-C-Corps wie Orca Security, Lacework oder Sysdig — bei denen bereits die Muttergesellschaft unter US-Jurisdiktion fällt.
Die Einschränkung: Adequacy gilt für Aqua Security Software Ltd. in Israel. Sie gilt nicht für Aqua Security Software Inc. in den USA — die US-Tochtergesellschaft ist vollumfänglich dem CLOUD Act unterworfen. Und im Enterprise-SaaS-Modell ist die US-Tochter oft die operative Einheit für US-Enterprise- und Government-Kontrakte, AWS Marketplace Listings, und Sales-Verträge mit US-Kunden. Für europäische Kunden, deren Daten auf AWS US-East-Infrastruktur verarbeitet werden, ist die US-Entity die datenschutzrechtlich relevante Partei.
Was Aqua Security technisch verarbeitet
Aqua Security's Wertversprechen liegt in der Tiefe der Container-Security-Abdeckung — die gleichzeitig die Datenschutzrelevanz erhöht:
Container Image Scanning
Aquas Kern-Feature: vollständiges Vulnerability-Scanning von Container-Images, bevor sie in Produktion deployed werden. Trivy, das Open-Source-Fundament, scannt:
- OS-Layer: Alpine, Ubuntu, RHEL, Debian — alle installierten Pakete gegen CVE-Datenbanken
- Application Dependencies: npm, pip, gem, Maven, Gradle — vollständige Dependency-Trees mit CVE-Mapping
- Secrets: Hard-coded Credentials, API Keys, Private Keys — direkte Suche in Image-Filesystems
- SBOM: Software Bill of Materials — vollständige Inventarisierung aller Softwarekomponenten
Aquas kommerzielle Platform ergänzt dies um:
- Assurance Policies: Automatische Block/Allow-Entscheidungen basierend auf CVE-Severity und Policy-Rules
- Registry Integration: Continuous Scanning von ECR, GCR, ACR, Docker Hub — nicht nur einmalig bei Build
- Image Drift Detection: Vergleich zwischen deployed Image und ursprünglichem Registry-Image
Die Sicherheitsrelevanz für EU-Compliance: Aqua verarbeitet vollständige Container-Image-Inhalte — einschließlich proprietären Anwendungscode, Konfigurationsdateien, und potenziell eingebettete Credentials.
Runtime Security
Aquas Runtime-Protection läuft als Agent (Aqua Enforcer) in jedem Container oder Kubernetes Node:
- Syscall Monitoring: Ähnlich wie Sysdig Falco — Kernel-Level-Monitoring aller Syscalls
- Network Policy Enforcement: Micro-Segmentation auf Container-Level
- File Integrity Monitoring: Überwachung von Dateizugriffen im Container-Filesystem
- Drift Prevention: Erkennung und Blockierung von Änderungen zu einem laufenden Container (im Vergleich zum Image)
Der Aqua Enforcer kommuniziert mit dem zentralen Aqua-Backend — das die Policy-Engine, Alerting und Forensics-Data enthält. Diese Backend-Infrastruktur wird auf AWS betrieben.
Supply Chain Security (Aqua Chain-Bench)
Ein wachsender Fokus für Aqua: Software Supply Chain Security.
- Chain-Bench: Aquas Open-Source-Tool prüft CI/CD-Pipelines gegen CIS Software Supply Chain Security Benchmark (GitHub Actions, GitLab, Bitbucket)
- Platform Integration: Aqua Platform integriert SBOM-Signing (Sigstore/Cosign) und Supply Chain Risk Scoring direkt in den Build-Prozess
- SLSA Framework: Aqua unterstützt SLSA (Supply-chain Levels for Software Artifacts) — Attestation von Build-Integritätsnachweisen
Supply Chain Security bedeutet: Aqua erhält Zugang zu CI/CD-Pipeline-Konfigurationen, Build-Artefakten und Repository-Strukturen — erweiterter Datenzugriff über reine Container-Images hinaus.
Cloud Security Posture Management (CSPM)
Aquas CSPM-Modul funktioniert wie bei den anderen CSPM-Anbietern dieser Serie: IAM-Rollen mit Read-Access auf eure Cloud-Accounts.
- AWS: CloudTrail Logs, S3 Bucket Policies, Security Groups, IAM Policies, VPC Configurations
- GCP: IAM, GCS Bucket ACLs, Firewall Rules, GKE Configurations
- Azure: RBAC, Storage Account Policies, Network Security Groups, AKS Settings
Diese Cloud-Konfigurationsdaten werden auf Aqua-Backend-Infrastruktur (AWS) analysiert.
CLOUD Act Score: Aqua Security
| Dimension | Score | Begründung |
|---|---|---|
| D1: Legal Entity | 5/5 | US-Tochtergesellschaft (Aqua Security Software Inc.) für CLOUD Act relevant; Israel-Muttergesellschaft schützt nicht vor US-Jurisdiction |
| D2: Investor-Profil | 4/5 | Überwiegend US-VCs: Insight Partners, Accel, Bessemer Venture Partners, TPG, Goldman Sachs — starke US-Kapitalverflechtung trotz israelischer Gründung |
| D3: US-Staatsverträge | 2/5 | Keine FedRAMP-Autorisierung (wesentlicher Unterschied zu Sysdig); AWS Marketplace Listings für Government; keine dokumentierten DoD-Kontrakte |
| D4: Daten-Jurisdiktion | 4/5 | Container-Image-Scanning = vollständiger Zugriff auf Anwendungscode; Runtime Agent auf AWS; CSPM mit Cloud-API-Vollzugriff |
| D5: Transparenz | 3/5 | DPA verfügbar; Israel-Adequacy für Muttergesellschaft transparent; CLOUD Act-Exposure der US-Tochter wird in Dokumentation nicht explizit thematisiert |
| GESAMT | 18/25 | Niedrigeres Risikoprofil als Sysdig (20/25) durch fehlendes FedRAMP; Israel-Adequacy der Muttergesellschaft ist echter Vorteil, aber US-Tochter begrenzt Gesamtbewertung |
Einordnung im EU-CSPM-Serienvergleich
| Anbieter | CLOUD Act Score | Hauptrisiko | Hauptunterschied |
|---|---|---|---|
| Orca Security | 19/25 | Delaware C-Corp, Alphabet/CapitalG | SideScanning = kein Agent, aber vollständiger Volume-Zugriff |
| Sysdig | 20/25 | Delaware C-Corp, FedRAMP Authorized | FedRAMP = strukturelle US-Regierungseinbindung |
| Lacework/FortiCNAPP | 22/25 | Fortinet (NASDAQ:FTNT), GovRAMP | Öffentlich-börsennotierte US-Muttergesellschaft |
| Aqua Security | 18/25 | US-Tochter trotz Israel-Mutter, US-VCs | Niedrigster Score in Serie durch fehlenden FedRAMP + Israel-Adequacy-Vorteil |
Aqua Security ist unter den vier in dieser Serie analysierten Anbietern der CLOUD-Act-ärmste — aber 18/25 bedeutet immer noch signifikante CLOUD Act-Exposure, insbesondere durch Container-Image-Content und Runtime-Agent-Daten.
DSGVO, NIS2 und DORA: Rechtliche Einordnung
DSGVO Art. 28 — Auftragsverarbeitungsvertrag
Aqua Security bietet standardmäßige DPAs (Data Processing Addenda) an. Die Nuance: Transfers an die israelische Muttergesellschaft sind Adequacy-geschützt. Transfers an US-Infrastruktur (AWS US-Regionen) erfordern SCCs unter dem EU-US Data Privacy Framework.
Das praktische Risiko: Container-Image-Inhalte, Runtime-Events und CSPM-Konfigurationsdaten werden primär auf AWS-Infrastruktur verarbeitet — auch wenn die Vertragspartei formal die israelische Muttergesellschaft ist. Die Sub-Processor-Kette führt zu US-AWS, was SCCs erfordert.
DSGVO Art. 46 — Drittlandtransfer
Israel-Adequacy gilt für direkte Übermittlungen an die israelische Muttergesellschaft — nicht für alle Sub-Processor-Transfers. Wenn Aqua Software Ltd. (Israel) Kundendaten an AWS US-Rechenzentren zur Verarbeitung weitergibt, ist das ein Transfer an ein Nicht-Adequacy-Land (USA) der separate Schutzmechanismen erfordert.
NIS2 Art. 21 (2)(c) — Supply Chain Sicherheit
NIS2 verlangt, dass essentielle und wichtige Einrichtungen die Sicherheit ihrer ICT-Lieferkette bewerten. Aquas Supply Chain Security-Features — Chain-Bench, SBOM-Signing, CI/CD-Pipeline-Integration — haben direkten Zugriff auf Build-Prozesse. Das erhöht das Qualifikationsniveau als "wesentlicher ICT-Drittdienstleister" im NIS2-Sinne.
Praktische Konsequenz: NIS2-regulierte Organisationen müssen Aqua Security als ICT-Drittanbieter in ihrem Supply Chain Risk Assessment führen — mit dokumentiertem CLOUD Act-Exposure-Risiko trotz Israel-Adequacy.
DORA Art. 28 — ICT Third-Party Risk Management
Für Finanzinstitute: Aquas Runtime Agent, der auf Container-Ebene in Produktionssystemen läuft, und das CSPM-Modul mit Cloud-API-Vollzugriff qualifizieren Aqua als potentiellen "kritischen IKT-Drittdienstleister" unter DORA. DORA verlangt:
- Vollständige Vertragsdokumentation inklusive Sub-Processor-Ketten
- Exit-Strategie und Portabilitätsnachweise
- Auditrechte für zuständige Aufsichtsbehörden (EBA, EIOPA, ESMA)
Aquas Israel-Hauptsitz erleichtert die Compliance nicht automatisch — DORA folgt dem Risikoprinzip, nicht dem Headquarter-Prinzip.
Die Trivy-Falle: OSS ≠ SaaS
Die häufigste Fehleinschätzung zu Aqua Security: "Trivy ist Open Source, also ist es EU-konform."
Trivy selbst ist vollständig Open Source (Apache 2.0, CNCF-incubating). Self-hosted Trivy verarbeitet keine Daten auf Aqua-Infrastruktur — vollständig CLOUD Act-frei. Das ist korrekt.
Die Aqua Platform ist etwas anderes:
| Feature | Trivy OSS | Aqua Platform (SaaS) |
|---|---|---|
| Image Scanning | ✅ Vollständig | ✅ Vollständig + erweitert |
| CVE-Datenbank | Kostenlos, regelmäßige Updates | Aqua-proprietäre Erweiterungen |
| SBOM Generation | ✅ CycloneDX/SPDX | ✅ + Sigstore-Signing |
| Runtime Security | ❌ (Falco-Kompatibilität möglich) | ✅ Aqua Enforcer Agent |
| CSPM | ❌ | ✅ Multi-Cloud |
| Policy Engine | Begrenzt (OPA möglich) | ✅ Vollständig |
| Analytics/SIEM | ❌ | ✅ Aqua Backend |
| Datenverarbeitung | Lokal (keine Cloud) | AWS-Backend, US-Infrastruktur |
| CLOUD Act Exposure | 0/25 | 18/25 |
Wenn ihr Trivy self-hosted nutzt, habt ihr Null CLOUD Act-Exposure. Wenn ihr die kommerzielle Aqua Platform abonniert, habt ihr 18/25 — weil eure Container-Image-Daten, Runtime-Events und CSPM-Konfigurationen auf Aqua-Backend-Infrastruktur in den USA verarbeitet werden.
Diese Unterscheidung ist für EU-Compliance-Teams kritisch: Aqua Marketing-Materialien betonen die OSS-Herkunft stark. Das ändert nichts an der CLOUD Act-Situation der SaaS-Platform.
EU-native Alternativen zu Aqua Security
1. Trivy (CNCF, Open Source) — Self-hosted
Aquas eigenes Open-Source-Fundament ist die überzeugendste Container-Scanning-Alternative zu Aqua Platform.
Was Trivy kann:
- Vulnerability Scanning: OS-Pakete, Application Dependencies (npm, pip, Maven, Go, Rust, etc.)
- Secrets Detection: Hard-coded Credentials, API Keys, Private Certificates
- SBOM Generation: CycloneDX und SPDX Formate
- Misconfiguration Detection: Kubernetes YAML, Dockerfile, Terraform, ARM Templates
- License Compliance: Open-Source-Lizenz-Inventarisierung
Integration:
# CI/CD Integration (GitHub Actions / GitLab CI / Jenkins)
trivy image --exit-code 1 --severity HIGH,CRITICAL myapp:latest
# Kubernetes Cluster Scanning
trivy k8s --report summary cluster
# SBOM Generation
trivy image --format cyclonedx --output sbom.json myapp:latest
EU-Compliance: Trivy self-hosted verarbeitet keine Daten außerhalb eurer eigenen Infrastruktur. CLOUD Act Exposure: 0/25.
Einschränkungen: Kein Runtime Security Agent, kein CSPM, keine zentrale Policy-Engine. Für vollständige Aqua Platform-Äquivalenz braucht ihr einen Stack.
2. kube-bench (CNCF / Aqua OSS) — Self-hosted
kube-bench ist Aquas zweites bedeutendes Open-Source-Projekt — CIS Kubernetes Benchmark-Checks für Kubernetes-Cluster-Härtung.
Was kube-bench prüft:
- CIS Kubernetes Benchmark 1.8 (aktuell)
- Master Node Konfiguration: API Server, Scheduler, Controller Manager, etcd
- Worker Node Konfiguration: kubelet, Proxy
- RBAC und Service Account Konfigurationen
# Deployment als Pod im Cluster
kubectl apply -f https://raw.githubusercontent.com/aquasecurity/kube-bench/main/job.yaml
# Lokaler Run gegen laufenden Cluster
kube-bench --config-dir /etc/kube-bench/cfg
EU-Compliance: Vollständig self-hosted, 0/25 CLOUD Act.
3. NeuVector (SUSE) — Kubernetes-native Security
NeuVector ist die vollständigste EU-native Alternative zu Aqua Platform für Kubernetes-Deployments.
EU-Relevanz:
- Eigentümer: SUSE Software Solutions GmbH, Nürnberg, Deutschland
- Open Source: Vollständig Open Source seit 2022 (Apache 2.0)
- CLOUD Act Exposure: 0/25 (deutsches Unternehmen, kein US-Parent)
Features im Aqua-Vergleich:
| Feature | NeuVector | Aqua Platform |
|---|---|---|
| Container Runtime Security | ✅ | ✅ |
| Network Security (DPI) | ✅ Deep Packet Inspection | Begrenzt |
| CSPM | Begrenzt | ✅ |
| Vulnerability Management | ✅ | ✅ |
| RBAC / Compliance | ✅ (PCI, HIPAA, GDPR) | ✅ |
| Supply Chain | ❌ | ✅ |
| Policy-as-Code | ✅ (CRDs) | ✅ |
NeuVectors Stärke liegt in der Container-Netzwerk-Sicherheit: Deep Packet Inspection auf Container-Ebene, automatisches Lernen von Netzwerkprofilen und mikro-segmentierte Firewall-Regeln — für manche Anwendungsfälle stärker als Aqua.
Installation (Helm):
helm repo add neuvector https://neuvector.github.io/neuvector-helm/
helm install neuvector --namespace cattle-neuvector-system \
neuvector/core --set tag=5.3.0
4. Cyscale (Rumänien) — EU-native CSPM
Für den CSPM-Anteil von Aqua Platform: Cyscale ist eine rumänische CSPM-SaaS-Lösung.
EU-Position:
- Gegründet in Cluj-Napoca, Rumänien (EU-Mitgliedstaat)
- Vollständige DSGVO-Compliance ohne Drittlandtransfer-Probleme
- ISO 27001-zertifiziert
- CLOUD Act Exposure: 0/25
Was Cyscale kann:
- Multi-Cloud CSPM: AWS, GCP, Azure, Alibaba Cloud
- CIEM (Cloud Identity Entitlement Management)
- Compliance-Frameworks: SOC 2, PCI DSS, ISO 27001, GDPR, HIPAA
- Graph-basierte Security-Analysen (Cloud Security Knowledge Graph)
Einschränkung: Kein Container Runtime Security Agent, kein Image Scanning. Für vollständigen Aqua-Ersatz: Cyscale (CSPM) + Trivy (Image Scanning) + NeuVector (Runtime).
5. Falco (CNCF) + Prowler — Self-hosted Runtime + CSPM Stack
Die stärkste Kombination für vollständige Aqua-Äquivalenz:
Stack-Architektur:
Container Image Scanning: Trivy (CNCF, Apache 2.0)
Runtime Security: Falco (CNCF, Apache 2.0)
CSPM: Prowler (CNCF-incubating) oder Cloud Custodian (CNCF)
Compliance UI: Cyscale (Rumänien) oder Steampipe + Grafana (OSS)
CIS Benchmark: kube-bench (Apache 2.0)
Supply Chain: Sigstore/Cosign (Linux Foundation) + SLSA Verifier
CLOUD Act Exposure des Gesamtstacks: 0/25 — alle Komponenten self-hosted, kein US-SaaS-Anbieter.
Operative Realität: Dieser Stack ist technisch vollwertig, aber operativer Aufwand ist höher als Aqua Platform SaaS. Für Organisationen mit DevOps-Kapazitäten ist er klar besser als Aqua aus EU-Compliance-Sicht. Für kleinere Teams ist Cyscale-SaaS (EU-nativ) + Trivy self-hosted ein pragmatischerer Einstieg.
Migrationspfad: Aqua Platform → EU-native Stack
Phase 1: Container Image Scanning ersetzen (Woche 1-2)
Sofortiger Schritt: Trivy in CI/CD-Pipeline integrieren.
# GitHub Actions Beispiel
- name: Run Trivy vulnerability scanner
uses: aquasecurity/trivy-action@master
with:
image-ref: '${{ env.IMAGE_NAME }}'
format: 'sarif'
output: 'trivy-results.sarif'
severity: 'HIGH,CRITICAL'
exit-code: '1'
Hinweis: Trivy-GitHub-Action wird von Aqua Security gepflegt — die Action selbst ist OSS und verarbeitet keine Daten auf Aqua-Infrastruktur (nur lokale Scans).
Erwarteter Aufwand: 4-8 Stunden pro CI/CD-System.
Phase 2: Kubernetes-Härtung mit kube-bench (Woche 2-3)
# Einmalig als CronJob im Cluster
kubectl create -f https://raw.githubusercontent.com/aquasecurity/kube-bench/main/job-node.yaml
# Ergebnisse lesen
kubectl logs job/kube-bench
CIS Benchmark-Findings dokumentieren und Remediations priorisieren — typischerweise 30-50 Findings in einem Standard-Cluster.
Phase 3: Runtime Security mit Falco (Woche 3-5)
# Falco via Helm (eBPF-Driver empfohlen für moderne Kernel)
helm repo add falcosecurity https://falcosecurity.github.io/charts
helm install falco falcosecurity/falco \
--set driver.kind=ebpf \
--set falcosidekick.enabled=true \
--set falcosidekick.config.slack.webhookurl=YOUR_SLACK_URL \
--namespace falco --create-namespace
Falco-Events in euer SIEM (Elastic, Loki, Splunk) routen — kein Backend-Dependency.
Phase 4: CSPM mit Prowler (Woche 5-7)
# Prowler für AWS (Python, vollständig local execution)
pip install prowler
prowler aws --compliance gdpr --region eu-central-1 eu-west-1
Prowler-Output als HTML-Report oder JSON für SIEM-Integration.
Phase 5: NeuVector für Container-Netzwerk-Security (optional, Monat 2-3)
Für Organisationen mit strengen Netzwerk-Segmentierungsanforderungen (NIS2, DORA):
helm install neuvector --namespace cattle-neuvector-system \
neuvector/core \
--set controller.replicas=3 \
--set enforcer.tolerations[0].effect=NoSchedule
NeuVector lernt automatisch Netzwerkprofile für eure Services und generiert Whitelist-basierte Firewall-Regeln.
Aqua Security und die Israel-US Doppel-Jurisdiktion
Das Compliance-Thema das andere Analysen oft übersehen: Israel hat nicht nur EU-Adequacy — Israel hat auch eigene Geheimdienstgesetze.
Israelisches Datenschutzgesetz: Privacy Protection Law 5741-1981 (PPL) mit Amendments 2011+. Die EU-Adequacy basiert auf diesen Regeln.
Intelligence-Gesetze: Israel hat umfangreiche Geheimdienstgesetze (z.B. Section 13 des General Security Service Law) — der Vergleich mit dem deutschen BND-Gesetz oder dem US FISA Court zeigt, dass alle größeren Nachrichtendienst-Länder vergleichbare Befugnisse haben. Diese sind für EU-DSGVO-Compliance primär irrelevant — EU-Adequacy-Entscheidungen bewerten explizit das Datenschutzrecht, nicht Geheimdienstbefugnisse.
Die praktische CLOUD Act-Analyse bleibt dieselbe:
- Aqua Security Software Inc. (US) ist dem CLOUD Act unterworfen
- Die israelische Muttergesellschaft schützt die US-Tochter nicht vor US-Behördenanfragen
- Für Daten auf US-AWS-Infrastruktur gilt: CLOUD Act anwendbar
Was Israel-Adequacy tatsächlich bedeutet:
- Wenn Aqua Security Software Ltd. (Israel) Kundendaten ausschließlich auf Servern in Israel verarbeitet: DSGVO-konformer Transfer ohne SCCs
- Wenn Kundendaten auf AWS US-Regionen landen (wie für die meisten Enterprise-Kunden): SCCs oder DPF-Schutzmechanismen erforderlich
Praktische Compliance-Empfehlung
Für DSGVO-only Anforderungen (Art. 28, 46): Aqua Security ist unter den vier analysierten CSPM-Anbietern die DSGVO-freundlichste Option, wenn ihr auf EU-AWS-Regionen einschränkt und SCCs in DPAs verankert habt. Israel-Adequacy der Muttergesellschaft ist ein echter Plus-Faktor.
Für NIS2-essentielle Einrichtungen: Aqua Security qualifiziert als wesentlicher ICT-Drittdienstleister. Volles Supply-Chain-Risk-Assessment erforderlich. Runtime Agent im Produktionscluster = erhöhtes Risiko-Tier.
Für DORA-regulierte Finanzinstitute: CLOUD Act-Exposure der US-Tochter und Container-Image-Content (potentiell sensibler Anwendungscode) erfordern intensive ICT-Third-Party-Risikoanalyse. Exit-Strategie mit Trivy/NeuVector/Falco-Stack dokumentieren.
Für maximale EU-Datensouveränität: Trivy (image scanning) + kube-bench (CIS compliance) + Falco (runtime) + Prowler (CSPM) + NeuVector (network) — 0/25 CLOUD Act, vollständig self-hosted.
Fazit: Die Trivy-Paradoxie
Aqua Security hat etwas Seltenes in dieser Serie: ein genuines Open-Source-Erbe das eine klare EU-konforme Alternative zu seiner eigenen SaaS-Platform bereithält. Trivy ist Aquas größte OSS-Contribution — und für viele EU-Compliance-Teams der bessere Weg.
Die kommerzielle Aqua Platform ist technisch überzeugend, hat den niedrigsten CLOUD Act Score der Serie (18/25, ohne FedRAMP, Israel-Mutter mit Adequacy), und ist für viele Anwendungsfälle trotzdem über Kritikalitätsschwelle für NIS2/DORA-regulierte Organisationen.
Mit Trivy self-hosted löst ihr das Image-Scanning-Problem auf 0/25 CLOUD Act. Mit Falco löst ihr Runtime Security. Mit Prowler löst ihr CSPM. Mit NeuVector löst ihr Container-Netzwerk-Security — mit einem deutschen Unternehmen als Betreiber.
Der nächste und abschließende Post dieser Serie vergleicht alle vier Anbieter (Orca Security, Lacework, Sysdig, Aqua Security) in einer finalen Entscheidungsmatrix mit Empfehlungen nach Regulierungsregime.
sota.io ist eine EU-native Deployment-Plattform. Wir betreiben auf Hetzner-Infrastruktur in Deutschland — kein US-Parent, kein CLOUD Act. Wenn ihr eurer Kubernetes-Deployment selbst kontrollieren wollt, ohne US-Compliance-Risiken: jetzt auf sota.io testen.
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.