BMC Helix EU Alternative 2026: Houston-Based ITSM-Plattform unter US-Jurisdiktion
Post #1214 in der sota.io EU Cyber Compliance Series
BMC Helix ITSM ist der direkte Nachfolger von BMC Remedy — eines der ältesten Enterprise-ITSM-Systeme der Welt, das seit 1991 auf dem Markt ist. Was viele EU-Compliance-Teams nicht wissen: BMC Software ist seit 2018 im Besitz von KKR (Kohlberg Kravis Roberts & Co.), einem der größten US-amerikanischen Private-Equity-Fonds, der über 10.000 Milliarden Dollar Vermögen verwaltet. Die Kombination aus US-Unternehmensrecht (Delaware/Texas), FedRAMP High-Zertifizierung und PE-Eigentümerschaft schafft für EU-Organisationen ein klares CLOUD Act-Risiko — auch wenn Marketing-Materialien "EU-Datenresidenz" betonen.
Dieser Post analysiert das CLOUD Act-Risiko von BMC Helix ITSM (17/25) und zeigt EU-native Alternativen, die ITSM-Workflows ohne US-Jurisdiktionsrisiko abbilden können.
BMC Software, Inc. — CLOUD Act Risiko: 17/25
Unternehmensstruktur
| Merkmal | Detail |
|---|---|
| Rechtsform | BMC Software, Inc. |
| Bundesstaat | Delaware, USA |
| Hauptsitz | 2103 CityWest Blvd, Houston, Texas, USA |
| Eigentümer | KKR & Co. Inc. (NYSE: KKR), New York, USA |
| Gründung | 1980 (Scott, Moores, Chakoumakos — "B.M.C.") |
| Privatisierung | 2013 ($6,9 Mrd., Bain Capital + Golden Gate Capital) |
| KKR-Übernahme | 2018 (~$8,5 Mrd.) |
| Umsatz (geschätzt) | ~$2,2 Mrd. jährlich (private, kein offizieller Report) |
| Mitarbeiter | ~9.000 weltweit |
| Rechtsform Mutter | KKR & Co. Inc., NYSE-gelistet, Delaware |
Warum KKR-Eigentümerschaft CLOUD Act-relevant ist
KKR & Co. Inc. ist eine NYSE-gelistete Delaware Corporation — und damit selbst direkt dem CLOUD Act unterworfen. Die Eigentümerstruktur schafft eine Kette von US-Jurisdiction:
- BMC Software, Inc. — Delaware Corp., direkt CLOUD Act-pflichtig
- KKR & Co. Inc. — NYSE: KKR, Delaware Corp., Muttergesellschaft, ebenfalls CLOUD Act-pflichtig
- KKR Infrastructure Partners — verwaltet BMC als Portfolio-Unternehmen
US-Behörden können Legal-Process nicht nur direkt an BMC Software richten, sondern auch über KKR auf Daten zugreifen. Bei einer Private-Equity-Beteiligungsstruktur ist die Rechtsdurchsetzung noch einfacher als bei börsennotierten Konzernen, da keine öffentlichen Regulatory Filings die Transparenz erzwingen.
CLOUD Act Analyse 17/25
| Risiko-Dimension | Score | Begründung |
|---|---|---|
| US-Inkorporierung | 4/4 | Delaware Corporation — direkter CLOUD Act-Anwendungsbereich |
| PE-Eigentümerschaft (KKR NYSE) | 3/4 | KKR selbst NYSE-gelistet und CLOUD Act-pflichtig, indirekte Jurisdiction |
| FedRAMP High-Status | 3/4 | FedRAMP High bedeutet US-Regierungsverträge und tiefe behördliche Prüfbarkeit |
| US-Regierungsverträge | 2/4 | DoD, HHS, IRS bekannte BMC-Kunden (FedRAMP-Portal verifiziert) |
| Datenspeicherung | 3/5 | Helix-Cloud auf AWS/Azure/GCP — US-Hyperscaler als Sub-Processor |
| Keine PRISM-Bestätigung | 0/4 | Privatunternehmen → kein öffentliches PRISM-Record, kein Full Score |
| TrueVault AI Analytics | 2/4 | BMC Helix Cognitive Service verarbeitet Ticket-Daten mit AI auf US-Infra |
CLOUD Act Score: 17/25 — Erhöhtes Risiko für EU-ITSM-Daten
Zum Vergleich: ServiceNow (Post #1213) liegt bei 19/25 (NYSE-gelistet, explizite FedRAMP Gov-Produkte). BMC liegt etwas niedriger, da kein bekanntes PRISM-Involvement — aber die KKR-PE-Kette und FedRAMP High-Zertifizierung schaffen dennoch erhebliches Risiko.
Fünf GDPR-kritische Risiken bei BMC Helix ITSM
Risiko 1: Helix Cloud auf US-Hyperscalers — Sub-Processor-Kette
Problem: BMC Helix ITSM wird als SaaS auf AWS (us-east-1, eu-west-1), Microsoft Azure und GCP bereitgestellt. Auch wenn EU-Regionen verfügbar sind:
- AWS eu-west-1 (Ireland): Subprozessor ist Amazon Web Services, Inc. — US-Corp., CLOUD Act-pflichtig
- Azure West Europe: Subprozessor ist Microsoft Corporation — US-Corp., CLOUD Act-pflichtig
- GCP europe-west1: Subprozessor ist Google LLC — US-Corp., CLOUD Act-pflichtig
Ergebnis: Selbst bei Wahl der EU-Region verarbeitet ein US-Unternehmen als Sub-Processor alle ITSM-Daten. GDPR Art.28 erlaubt Sub-Processor-Ketten, aber CLOUD Act-Zugriff kann durch SCCs nicht vertraglich ausgeschlossen werden (EuGH C-311/18 "Schrems II", Rn. 126).
NIS2-Relevanz: NIS2 Art.21(2)(b) fordert Risikoanalyse der Supply Chain — ITSM-Daten in einer US-Hyperscaler-Kette sind ein expliziter Supply-Chain-Risk.
Risiko 2: BMC Helix Cognitive Service — AI-Verarbeitung in US-Cloud
Problem: BMC Helix Cognitive Service ist das AI/ML-Layer, das Incident-Daten analysiert um:
- Smart Assignment: Welcher IT-Mitarbeiter ist am besten qualifiziert für diesen Incident?
- Intelligent Routing: Automatische Weiterleitung basierend auf Ticket-Inhalten
- Knowledge Article Recommendations: Analyse historischer Incidents
- Predictive Service Resolution: Muster-Matching auf Ticket-Datenbank
Diese AI-Verarbeitung findet auf BMC-eigener Cloud-Infrastruktur statt — US-Jurisdiction. Die Ticket-Inhalte (Namen, Problembeschreibungen, Systeminformationen) werden für AI-Training und Inference genutzt.
GDPR Art.22 (automatisierte Entscheidungsfindung): Smart Assignment im ITSM kann als automatisierte Entscheidung für Mitarbeiter (Zuweisung von Aufgaben) interpretiert werden. Weder BMC noch EU-Datenschutzbehörden haben die GDPR-Konformität von ITSM AI-Assignment abschließend bewertet.
Risiko 3: TrueSight Operations Management — Verhaltens-Analytics auf EU-Infrastrukturdaten
Problem: BMC TrueSight (aka AIOps) ist oft in Verbindung mit Helix ITSM deployed. TrueSight analysiert:
- Performance-Metriken aus Produktionssystemen
- IT-Mitarbeiter-Response-Times auf Incidents
- Anomalieerkennung im IT-Betrieb
Diese Daten — besonders Response-Time-Metriken pro Mitarbeiter — sind unter GDPR als Mitarbeiter-Behavioral-Data zu klassifizieren (Art.4(1) "alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen"). TrueSight-Daten fließen in US-Cloud.
Betriebsrat-Relevanz (§ 87 BetrVG): In Deutschland ist der Betriebsrat bei technischen Einrichtungen zur Verhaltens- oder Leistungsüberwachung mitbestimmungspflichtig. ITSM-Performance-Analytics auf US-Cloud ohne Betriebsrats-Zustimmung ist in deutschen Unternehmen ein Compliance-Risiko.
Risiko 4: Change Management — Vorab-Offenlegung von Vulnerability-Fenstern
Problem: Change Management-Daten sind strukturell hoch-sensitiv für Sicherheitszwecke:
- Maintenance Windows: Wann wird System X ungepatcht neu gestartet?
- Pre-Deployment Changes: Welche Infrastrukturkomponenten werden am 15.06 verändert?
- RFC-Dokumente: Request for Change enthält technische Details zu Systemveränderungen
- Emergency Changes: Notfall-Patches dokumentieren bekannte aktive Vulnerabilities
Alle diese Informationen liegen in BMC Helix — unter US-Jurisdiction. Ein CLOUD Act-Zugriff auf Change-Management-Daten ist wirtschaftliche Spionage in reinster Form.
NIS2 Art.21(2)(e) — Sicherheit in der Lieferkette: Change-Records betreffen oft Änderungen an Produkten und Services, die NIS2-Scope haben. Externe Zugriffe auf Change-Management-Daten können NIS2-Meldepflichten auslösen.
Risiko 5: HR Service Delivery — Sensible Mitarbeiterdaten im ITSM-Workflow
Problem: BMC Helix HR Service Management ist ein eigenständiges Modul für:
- Onboarding/Offboarding-Workflows: Vollständige Mitarbeiter-PII
- Leave of Absence Requests: Impliziert Gesundheitsdaten (Krankheit, Elternzeit)
- Payroll-Anfragen: Gehalts- und Lohndetails über ITSM-Tickets
- Disciplinary Workflows: HR-Disziplinarfälle, Abmahnungen
Diese Daten fallen unter GDPR Art.9 (Sonderkategorie-Daten), wenn Gesundheitsinformationen impliziert sind. Die Verarbeitung auf US-Cloud durch ein PE-Unternehmen (KKR) ohne explizite Art.9-Ausnahme ist rechtlich problematisch.
NIS2 Art.21(2)(e): ITSM als kritische Sicherheitsfunktion
NIS2-Richtlinie Art.21(2)(e) fordert "Sicherheit in der Lieferkette" als Mindestmaßnahme für alle wesentlichen und wichtigen Einrichtungen. ITSM-Systeme sind aus NIS2-Perspektive keine peripheren Tools — sie sind das zentrale System, über das:
- Sicherheitsvorfälle dokumentiert und eskaliert werden
- Change-Genehmigungen für sicherheitsrelevante Systemveränderungen fließen
- Vulnerability-Management koordiniert wird (Patch-Rollouts als Change Requests)
- Incident Response koordiniert wird (Ticket-basierte Kommunikation beim Breach)
NIS2 Art.23(1) verlangt Meldung erheblicher Vorfälle an die NCA binnen 24 Stunden. Die für diese Meldung notwendige Dokumentation liegt in BMC Helix. Wenn die zuständige Behörde (BfV, BSI) Einsicht in die ITSM-Dokumentation eines Vorfalls verlangt, und diese Daten gleichzeitig unter US-Jurisdiction stehen: doppelte Jurisdiction mit potenziell konfliktierender Rechtsfolge.
DORA Art.17: Notfallpläne und ICT-Kontinuität
Financial Sector Entities unter DORA müssen nach Art.17 "Information and Communication Technology (ICT) Business Continuity Policies" nachweisen. Der ICT-Business-Continuity-Plan muss die Funktionsfähigkeit des ITSM-Systems einschließen — ein ITSM-System in US-Jurisdiction, das bei einem US-Rechtsstreit (CLOUD Act-Beschlagnahmung von Daten) temporär nicht verfügbar ist, stellt ein DORA Art.17-Risiko dar.
EU-native ITSM-Alternativen: Technische Analyse
iTop — Combodo SAS, Belgien (0/25 CLOUD Act)
Unternehmensstruktur:
- Rechtsform: Combodo SAS (Société par Actions Simplifiée)
- Hauptsitz: Antony (Île-de-France), Frankreich
- Keine US-Verbindung: Rein franzöisches Unternehmen, kein US-Parent
- Gründung: 2007
Technische Stärken:
- ITIL v3/v4 konform: Incident, Problem, Change, Release, Service Catalog
- Open-Source-Kern: AGPL-Lizenz für Community Edition, verfügbar auf GitHub
- Self-Hosted: Vollständige On-Premise-Deployment auf EU-Infrastruktur möglich
- CMDB-Stärke: Configuration Management Database mit automatischer Discovery
- API-First: REST API für alle ITSM-Objekte, Integration mit Monitoring-Tools
- Extensibility: PHP-basiert, eigene Module über Extension Framework
Limitationen vs. BMC Helix:
- Kleinere Entwicklergemeinschaft als ServiceNow/BMC
- Keine native AI/ML-Komponente (Add-ons verfügbar)
- Weniger pre-built Integrationen für Enterprise-Systeme
CLOUD Act Score: 0/25 — Kein US-Parent, kein US-Hosting-Zwang, kein FedRAMP, kein US-Regierungsvertrag.
Hosting: Hetzner Deutschland oder OVHcloud Frankreich — keine US-Sub-Processor-Kette.
GLPI — Teclib' SAS, Frankreich (0/25 CLOUD Act)
Unternehmensstruktur:
- Rechtsform: Teclib' SAS, Paris, Frankreich
- Produkt: GLPI Network (Gestion Libre de Parc Informatique)
- Open-Source-Kern: GPL v2, >15 Mio. Downloads, >250.000 Installationen weltweit
- Keine US-Verbindung: Rein französisches Unternehmen
Technische Stärken:
- Asset Management + ITSM kombiniert: Stärker als iTop im Asset-Tracking-Bereich
- ITIL-Workflows: Incident, Problem, Change Management
- Plugin-Ökosystem: >200 Plugins, Community und kommerziell
- LDAP/Active Directory Integration: Native für Enterprise-Authentication
- Reporting: Built-in Reports und Stats ohne externe BI-Tools
- GLPI Network (Cloud): SaaS auf französischer Infrastruktur
CLOUD Act Score: 0/25 — Alle Daten auf EU-Infrastruktur, kein US-Parent.
Znuny — Znuny GmbH, Deutschland (0/25 CLOUD Act)
Unternehmensstruktur:
- Rechtsform: Znuny GmbH, Berlin, Deutschland
- Hintergrund: Fork des OTRS Community Edition (nach OTRS-Kommerzialisierung 2021)
- Ursprung: OTRS wurde 2001 von Martín Edenhofer gegründet, Znuny setzt das OSS-Erbe fort
- Keine US-Verbindung: Deutsches Unternehmen ohne US-Parent
Technische Stärken:
- Mature Codebase: 25 Jahre OTRS-Entwicklungshistorie als Fundament
- Email-basiert: Stark für Service Desk-Teams mit E-Mail-primären Workflows
- German Engineering: BSI IT-Grundschutz-kompatibel konzipiert
- Self-Hosted: Perl/PostgreSQL Stack, vollständige On-Premise-Kontrolle
- GDPR-by-design: Datenlöschung, Anonymisierung als Core-Features
CLOUD Act Score: 0/25 — Berliner GmbH, kein US-Parent, kein US-Hosting-Zwang.
EasyVista — EasyVista SA, Frankreich (1/25 CLOUD Act)
Unternehmensstruktur:
- Rechtsform: EasyVista SA
- Börsennotierung: Euronext Paris (ALEZV) — EU-Börse, nicht NYSE/NASDAQ
- Hauptsitz: Paris, Frankreich
- US-Niederlassung: EasyVista Inc., New York — Tochtergesellschaft
- Gründung: 1988 (als ITM Software)
Einschränkung: US-Tochtergesellschaft (EasyVista Inc., New York) ermöglicht theoretisch US-Jurisdiction-Zugriff auf Konzerndaten. Scoring 1/25 (minimales Risiko).
Technische Stärken:
- Enterprise-Grade: Stärker für große Unternehmen (>5.000 IT-Nutzer)
- ITIL 4 zertifiziert: PinkVERIFY-Zertifizierung
- Low-Code Platform: Service Management ohne Code-Entwicklung anpassbar
- Mobile-First: Native iOS/Android Apps
CLOUD Act Score: 1/25 — Geringes Risiko (EU-Parent börsennotiert, US-Tochter marginal).
Vergleichstabelle: BMC Helix vs. EU-native ITSM
| Kriterium | BMC Helix | iTop | GLPI | Znuny | EasyVista |
|---|---|---|---|---|---|
| CLOUD Act Score | 17/25 | 0/25 | 0/25 | 0/25 | 1/25 |
| Jurisdiction | USA (Delaware/Texas) | EU (FR) | EU (FR) | EU (DE) | EU (FR) |
| PE-Eigentümer | KKR (NYSE) | Nein | Nein | Nein | Nein |
| FedRAMP | High | Nein | Nein | Nein | Nein |
| Hosting | AWS/Azure/GCP | Self-hosted/EU | Self-hosted/EU | Self-hosted/EU | EU Cloud |
| ITIL v4 | ✅ (PinkVERIFY) | ✅ | ✅ | ✅ | ✅ (PinkVERIFY) |
| Open Source | ❌ | ✅ (AGPL) | ✅ (GPL) | ✅ (AGPL) | ❌ |
| Self-hosted | Eingeschränkt | ✅ | ✅ | ✅ | Eingeschränkt |
| AI/ML | ✅ Cognitive Service | ❌ | ❌ | ❌ | ✅ (begrenzt) |
| Enterprise Scale | ✅ | Mittel | ✅ | Mittel | ✅ |
| CMDB | ✅ Stark | ✅ Stark | ✅ | Mittel | ✅ |
| HR Service | ✅ | ❌ | ❌ | ❌ | ✅ |
| Preis | ~€80-200/User/Mo | OSS gratis/Support | OSS gratis/Support | OSS gratis/Support | ~€40-80/User/Mo |
5 GDPR-Risiken von BMC Helix — Zusammenfassung
| Risk-ID | Risiko | GDPR Art. | NIS2/DORA Art. | Severity |
|---|---|---|---|---|
| R-01 | Helix Cloud auf US-Hyperscaler (AWS/Azure/GCP) | Art.44-46 | NIS2 Art.21(2)(b) | HOCH |
| R-02 | BMC Cognitive Service AI auf US-Infra | Art.22, Art.28 | NIS2 Art.21(2)(h) | HOCH |
| R-03 | TrueSight Mitarbeiter-Behavioral-Analytics | Art.4(1), Art.9 | § 87 BetrVG | MITTEL |
| R-04 | Change Management Vorab-Offenlegung | Art.32 | NIS2 Art.21(2)(e) | KRITISCH |
| R-05 | HR Service Delivery — Sonderkategorie-Daten | Art.9 | DORA Art.17 | HOCH |
NIS2 & DORA Compliance-Mapping
NIS2 Art.21(2)(e) — Sicherheit in der Lieferkette: ANFORDERUNGEN
Für NIS2-wesentliche und wichtige Einrichtungen:
| Anforderung | BMC Helix | EU-native ITSM |
|---|---|---|
| Keine US-Jurisdiction über ITSM-Daten | ❌ | ✅ |
| Audit-Recht über Sub-Processor | Eingeschränkt (AWS/Azure SLA) | ✅ (Self-hosted) |
| Datenlokalisierung ITSM-Daten DE/EU | Möglich aber US-SP | ✅ vollständig |
| SLA ohne US-Behörden-Offenlegungsrisiko | ❌ | ✅ |
DORA Art.17 — ICT Business Continuity: ANFORDERUNGEN
Für Financial Sector unter DORA:
| DORA-Anforderung | BMC Helix | EU-native |
|---|---|---|
| ICT-Kontinuität ohne US-Behördenrisiko | Risiko | ✅ |
| Risikokonzentration vermeiden (Art.28) | US-PE-Eigentümer | ✅ |
| Exit-Strategie dokumentieren | Eingeschränkt | ✅ (OSS = freier Exit) |
Migrationsplanung: BMC Helix → iTop/GLPI
Phase 1: Daten-Export und -Analyse (Wochen 1-2)
# BMC Helix Remedy-Daten exportieren (BMC Remedy REST API)
# ITSM Core Objects: Incidents, Change Requests, Problems, Service Catalog Items
# Schritt 1: Verbindung zum Helix REST API prüfen
curl -s -u "$BMC_USER:$BMC_PASS" \
"https://${HELIX_HOST}/api/arsys/v1/entry/HPD:Help%20Desk" \
-H "Content-Type: application/json" | jq '.entries | length'
# Schritt 2: Incident-Export (alle offenen + letztes Jahr)
curl -s -u "$BMC_USER:$BMC_PASS" \
"https://${HELIX_HOST}/api/arsys/v1/entry/HPD:Help%20Desk?q=%27Status%27!=%22Closed%22" \
> bmc_incidents_open.json
# Schritt 3: Change Request-Export
curl -s -u "$BMC_USER:$BMC_PASS" \
"https://${HELIX_HOST}/api/arsys/v1/entry/CHG:Infrastructure%20Change" \
> bmc_changes.json
# Schritt 4: CMDB Export
curl -s -u "$BMC_USER:$BMC_PASS" \
"https://${HELIX_HOST}/api/arsys/v1/entry/BMC.CORE:BMC_BaseElement" \
> bmc_cmdb.json
Phase 2: iTop-Deployment auf EU-Infrastruktur (Woche 2-3)
# docker-compose.yml — iTop on Hetzner Deutschland
version: '3.8'
services:
itop:
image: vbkunin/itop:latest
environment:
- ITOP_DB_HOST=itop-db
- ITOP_DB_PORT=3306
- ITOP_DB_NAME=itop
- ITOP_DB_USER=${DB_USER}
- ITOP_DB_PASS=${DB_PASS}
- ITOP_DEFAULT_LANGUAGE=de
ports:
- "80:80"
volumes:
- itop-data:/var/www/html/data
- itop-conf:/var/www/html/conf
depends_on:
- itop-db
restart: unless-stopped
itop-db:
image: mariadb:10.6
environment:
- MYSQL_ROOT_PASSWORD=${DB_ROOT_PASS}
- MYSQL_DATABASE=itop
- MYSQL_USER=${DB_USER}
- MYSQL_PASSWORD=${DB_PASS}
volumes:
- itop-db-data:/var/lib/mysql
restart: unless-stopped
volumes:
itop-data:
itop-conf:
itop-db-data:
Phase 3: Datenmigration (Wochen 3-5)
import json
import requests
# BMC Helix → iTop Migration Script
ITOP_URL = "https://itop.eu-internal.company.de"
ITOP_USER = "admin"
ITOP_PASS = "your-password"
def create_itop_incident(bmc_incident: dict) -> dict:
"""Konvertiert BMC Helix Incident zu iTop UserRequest"""
itop_data = {
"operation": "core/create",
"class": "UserRequest",
"comment": "Migrated from BMC Helix",
"output_fields": "id,friendlyname",
"fields": {
"title": bmc_incident.get("Summary", ""),
"description": bmc_incident.get("Detailed Description", ""),
"status": map_bmc_status(bmc_incident.get("Status", "New")),
"priority": map_bmc_priority(bmc_incident.get("Impact", "3-Medium")),
"org_id": "SELECT Organization WHERE name = 'Default'",
}
}
response = requests.post(
f"{ITOP_URL}/webservices/rest.php?version=1.3",
auth=(ITOP_USER, ITOP_PASS),
json={"json_data": json.dumps(itop_data)}
)
return response.json()
def map_bmc_status(bmc_status: str) -> str:
mapping = {
"New": "new",
"Assigned": "assigned",
"In Progress": "assigned",
"Resolved": "resolved",
"Closed": "closed",
}
return mapping.get(bmc_status, "new")
def map_bmc_priority(impact: str) -> str:
mapping = {
"1-Critical": "1",
"2-High": "2",
"3-Medium": "3",
"4-Low": "4",
}
return mapping.get(impact, "3")
# Main migration
with open("bmc_incidents_open.json") as f:
incidents = json.load(f)
for entry in incidents.get("entries", []):
fields = entry.get("values", {})
result = create_itop_incident(fields)
print(f"Created: {result.get('objects', {})}")
Phase 4: Go-Live und Validierung (Wochen 5-6)
# Validierungsscript: Alle offenen Incidents migriert?
HELIX_COUNT=$(curl -s -u "$BMC_USER:$BMC_PASS" \
"https://${HELIX_HOST}/api/arsys/v1/entry/HPD:Help%20Desk?q=%27Status%27!=%22Closed%22" \
| jq '.totalMatching')
ITOP_COUNT=$(curl -s \
"https://itop.eu-internal.company.de/webservices/rest.php?version=1.3" \
-u admin:password \
--data "json_data=$(echo '{"operation":"core/get","class":"UserRequest","key":"SELECT UserRequest WHERE status != \"closed\"","output_fields":"id"}' | python3 -c 'import sys,json; print(json.dumps(json.load(sys.stdin)))')" \
| jq '.objects | length')
echo "BMC Helix Open Incidents: $HELIX_COUNT"
echo "iTop Migrated Incidents: $ITOP_COUNT"
if [ "$HELIX_COUNT" -eq "$ITOP_COUNT" ]; then
echo "✅ Migration vollständig"
else
echo "⚠️ Delta: $((HELIX_COUNT - ITOP_COUNT)) Incidents noch nicht migriert"
fi
Entscheidungsmatrix: Wann welches EU-ITSM?
Unternehmens-ITSM Entscheidungsbaum (EU Compliance 2026)
────────────────────────────────────────────────────────
Brauchen Sie HR Service Management?
├── JA → EasyVista SA (Frankreich, 1/25) oder BMC Helix mit DPA-Prüfung
└── NEIN ↓
Haben Sie >10.000 IT-Nutzer (Enterprise-Scale)?
├── JA → EasyVista SA (PinkVERIFY, EU-Börse)
└── NEIN ↓
Brauchen Sie starkes Asset/CMDB Management?
├── JA → iTop (Combodo SAS, Frankreich, AGPL)
│ ODER GLPI (Teclib' SAS, Frankreich, GPL)
└── NEIN ↓
Ist Ihr primärer Kanal E-Mail-basiert (Service Desk)?
├── JA → Znuny GmbH (Berlin, Deutschland, 25 Jahre OTRS-Basis)
└── NEIN → iTop oder GLPI (general purpose, keine E-Mail-Präferenz)
NIS2/DORA-pflichtig?
└── ALLE EU-native Optionen erfüllen NIS2/DORA ohne US-Jurisdiction-Risiko
BMC Helix: Wann trotzdem zulässig?
Es gibt Szenarien, in denen BMC Helix für EU-Organisationen weiterhin in Frage kommt:
1. Reife bestehende Integration: Tief integriertes BMC-Ecosystem (TrueSight, Discovery, Patrol) mit hohen Migrationskosten → DPIA durchführen, SCCs prüfen, DPA-Consult
2. Non-sensitive ITSM-Workflows: Wenn keine Sicherheits-Incident-Daten, keine HR-Workflows, kein Change-Management für kritische Infrastruktur im ITSM abgebildet werden
3. SMB ohne NIS2-Pflicht: Kleine Unternehmen unterhalb NIS2-Schwelle, die das ITSM für interne IT-Support nutzen
4. Übergangsphase: 12-18 Monate Migrationsplanung, parallel SCCs + Transfer Impact Assessment
⚠️ Ausdrücklich nicht zulässig unter NIS2 ohne DPIA:
- KRITIS-Betreiber unter BSI-Gesetz §10
- Wesentliche und wichtige Einrichtungen mit BMC Helix für Sicherheits-Incident-Management
- Finanzdienstleister mit BMC Helix für Change-Management unter DORA
Fazit: BMC Helix 17/25 — Erhöhtes Risiko, beherrschbar mit Maßnahmen
BMC Helix ITSM ist kein unkritisches System unter EU-Compliance-Perspektive. Die Kombination aus:
- Delaware-Inkorporierung (direkter CLOUD Act-Anwendungsbereich)
- KKR-PE-Eigentümerschaft (NYSE-gelistet, zusätzliche US-Jurisdiction-Kette)
- FedRAMP High (tiefe US-Regierungsintegration)
- US-Hyperscaler als Sub-Processor (AWS/Azure/GCP-Kette)
- AI Analytics auf US-Infra (Cognitive Service)
...ergibt ein CLOUD Act Score von 17/25 — deutlich über der unbedenklichen Zone.
Für NIS2-pflichtige Organisationen und DORA-Finanzunternehmen ist eine sorgfältige Transfer Impact Assessment (TIA) Pflicht. Für Unternehmen, die volle Compliance-Sicherheit ohne US-Jurisdiction-Restrisiko wollen, sind iTop (Belgien, 0/25) und GLPI (Frankreich, 0/25) die empfohlenen EU-native Alternativen. Znuny (Deutschland, 0/25) ist die beste Wahl für E-Mail-primäre Service-Desk-Workflows.
ITSM speichert das Gedächtnis Ihrer IT-Organisation — inklusive aller Sicherheitsvorfälle, Schwachstellen und Change-Windows. Diese Daten gehören unter europäische Jurisdiction.
Post #1214 in der sota.io EU Cyber Compliance Series. Alle CLOUD Act-Scores basieren auf öffentlich verfügbaren Informationen über Unternehmensstruktur, Börsennotierung, US-Regierungsverträge und Sub-Processor-Ketten. Keine Rechtsberatung.
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.