Checkmarx EU Alternative 2026: CLOUD Act 19/25 und das SAST-Quellcode-Dilemma
Post #1243 in der sota.io EU Application Security Testing (AST) Serie
Static Application Security Testing hat sich in den letzten Jahren von einem optionalen Security-Gate zu einer Pflichtkomponente moderner DevSecOps-Pipelines entwickelt. NIS2 Art. 21 Abs. 2 lit. e ("Sicherheit bei der Entwicklung"), DSGVO Art. 32 Abs. 1 lit. d ("regelmäßige Tests") und der Cyber Resilience Act erfordern nachweisbare Application-Security-Prozesse. Checkmarx ist dabei einer der bekanntesten Namen im Markt.
Was weniger bekannt ist: Hinter der israelischen Fassade von Checkmarx steckt seit 2020 mehrheitlich amerikanisches Kapital — und die US-Tochtergesellschaft, die Ihren Quellcode scannt, unterliegt uneingeschränkt dem CLOUD Act. Das ist kein abstraktes Datenschutz-Risiko. Es bedeutet, dass US-Strafverfolgungsbehörden Ihren kompletten Quellcode — Ihr Kernprodukt, Ihre Trade Secrets, Ihre Algorithmen — anfordern können, ohne Sie zu informieren.
Was ist Checkmarx?
Checkmarx wurde 2006 in Israel gegründet und entwickelte sich zum führenden SAST-Anbieter für Enterprise-Kunden. Das Portfolio umfasst heute unter dem Label Checkmarx One:
| Funktion | Technologie | Verarbeitete Daten |
|---|---|---|
| SAST | Statische Code-Analyse (multi-language: Java/C#/Python/JS/Go/Ruby) | Gesamter Quellcode aller gescannten Repositories |
| SCA | Software Composition Analysis (Dependency-Trees, SBOM) | Alle Abhängigkeiten + Lizenzinformationen |
| DAST | Dynamic Application Security Testing | HTTP-Requests/Responses, Authentifizierungsdaten |
| IAST | Interactive Application Security Testing | Runtime-Instrumentierung: Stacktraces, Datenflusse |
| IaC Security | Terraform/CloudFormation/Kubernetes-YAML-Analyse | Infrastruktur-Konfiguration, Secrets-Patterns |
| Container Security | Image-Scan + Registry-Integration | Container-Images, Layer-Inhalte |
| API Security | OpenAPI-Spec-Analyse + Runtime-API-Discovery | API-Schemas, Authentifizierungsendpunkte |
Die 2024 Fusion mit Mend.io (vormals WhiteSource)
Im September 2024 schlossen Checkmarx und Mend.io (ehemals WhiteSource) ihre Fusion ab. Mend.io war bis zu diesem Zeitpunkt einer der führenden SCA-Anbieter — ebenfalls israelisch, aber mit US-Investoren (Insight Partners, M12/Microsoft Ventures). Die kombinierte Entität verarbeitet nun sowohl Quellcode (SAST) als auch vollständige Dependency-Graphen (SCA) in einer Plattform.
Für EU-Organisationen verdoppelt diese Fusion das Risikoprofil: Statt eines einzelnen US-CLOUD-Act-exponierten Vektors gibt es jetzt zwei simultane Datenflüsse in US-kontrollierte Infrastruktur.
Unternehmensstruktur: Israelische Marke, US-Kontrolle
Checkmarx Ltd. (Israel, Muttergesellschaft)
- Gründungsjahr: 2006 (Maty Siman, Ra'anana, Israel)
- Rechtsform: Israelische Limited Company
- Hauptsitz: Ra'anana, Israel (Norddistrikt, 30 km nördlich Tel Aviv)
- US-Tochter: Checkmarx Inc. (Delaware C-Corporation, Büros Atlanta GA + New York NY)
- Mitarbeiter: ~1.200 (2024, post-merger mit Mend.io)
Investor-Übernahme 2020: US-PE-Mehrheit
Der entscheidende Wendepunkt war die Übernahme im Januar 2020:
- Hellman & Friedman (San Francisco, CA) — US-Private-Equity-Fonds mit ~$75 Mrd. AUM. Mehrheitseigner.
- Thomas H. Lee Partners (Boston, MA) — US-Private-Equity-Fonds mit ~$30 Mrd. AUM. Minderheitsbeteiligung.
- Transaktionswert: ~$1,15 Mrd. (Januar 2020)
- Post-Merger-Investor: Insight Partners (New York, NY) — kam über die Mend.io-Fusion 2024 hinzu.
Diese Kapitalstruktur bedeutet: Die Mehrheitskontrolle über Checkmarx liegt bei zwei US-Private-Equity-Firmen aus San Francisco und Boston. Israelische Gründer oder israelische Investoren haben keine Entscheidungsmacht mehr.
CLOUD Act: Die US-Tochter als Angriffspunkt
Die US-Tochter Checkmarx Inc. (Delaware C-Corp) ist der CLOUD Act-Anknüpfungspunkt. Nach 18 U.S.C. § 2713 müssen US-Unternehmen — unabhängig vom physischen Speicherort der Daten — auf Anfrage von US-Strafverfolgungsbehörden Zugriff gewähren. Folgende Szenarien sind möglich:
EU-Entwicklungsteam scanst Repository via Checkmarx One SaaS
↓ Checkmarx One überträgt Quellcode an Cloud-Backend
↓ SAST-Analyse-Engine (US-Infrastruktur) liest gesamten Code
↓ Ergebnisse + gescannte Code-Fragmente in US-Datenbank
↓ US-Staatsanwaltschaft stellt National Security Letter an Checkmarx Inc.
↓ Checkmarx muss Quellcode-Kopie herausgeben — ohne EU-Kunden zu benachrichtigen
↓ Kein DSGVO-Informationsrecht, kein Widerspruchsrecht
Der National Security Letter (NSL) erlaubt US-Behörden, den Empfänger mit einem Gag Order zu belegen — Checkmarx darf Ihnen nicht mitteilen, dass Ihr Code angefordert wurde.
CLOUD Act Risiko-Analyse: 19/25
| Dimension | Score | Begründung |
|---|---|---|
| D1 — US-Unternehmen | 5/5 | Checkmarx Inc. Delaware C-Corp + US-PE-Mehrheit (H&F/THL). Klarer US-Person-Status. |
| D2 — US-Regierungsverträge | 2/5 | Kein öffentlicher FedRAMP-Status. Vereinzelte US-Defense-Kunden, aber kein GovCloud-Angebot. |
| D3 — Investoren-Struktur | 5/5 | H&F (SF) + THL (Boston) + Insight Partners (NY) — alle US-PE-Fonds. US-Mehrheitskontrolle eindeutig. |
| D4 — Verarbeitete Datensensitivität | 5/5 | SAST überträgt gesamten Quellcode. Höchste Datensensitivität aller Security-Kategorien — Trade Secrets, Algorithmen, potenzielle Credentials in Tests. |
| D5 — Regulatorische Transparenz | 2/5 | Keine öffentlichen EU-Datensouveränitäts-Garantien, keine EU-Only-Verarbeitungsoption kommuniziert. |
Gesamt: 19/25 — signifikante CLOUD Act-Exposition.
Das SAST-Quellcode-Dilemma
Was Checkmarx von anderen US-SaaS-Produkten in diesem Vergleich unterscheidet, ist die Kategorie der verarbeiteten Daten:
| SaaS-Kategorie | Verarbeitete Daten | Sensitivitäts-Einschätzung |
|---|---|---|
| CWPP/Runtime (Wiz, Lacework) | Konfigurationsdaten, Telemetrie, API-Calls | Hoch — operative Infrastruktur |
| CSPM (Orca, Sysdig) | Cloud-Konfiguration, Compliance-Status | Hoch — Sicherheitspostur |
| SAST (Checkmarx) | Vollständiger Quellcode | Maximal — das Produkt selbst |
Ihr Quellcode ist nicht operationale Infrastruktur. Er ist Ihr Produkt. Er enthält:
- Geschäftslogik und Algorithmen (Trade Secret-Schutz nach TRIPS und nationalem Recht)
- Datenbankschema und API-Architekturen (strukturelle Blaupause Ihres Systems)
- Test-Fixtures mit realen Daten (häufige DSGVO-Verletzungsquelle)
- Secrets in Konfigurationsdateien (trotz
.gitignore-Best-Practices in der Praxis verbreitet) - Kommentare mit Compliance-Schwächen (Developer-Notizen über bekannte, ungefixte Probleme)
Eine CLOUD Act-Anfrage an einen CWPP-Anbieter liefert US-Behörden Einblick in Ihre operationale Infrastruktur. Eine Anfrage an einen SAST-Anbieter liefert Ihr geistiges Eigentum. Das ist ein qualitativer Unterschied.
DSGVO-Implikationen
Art. 32 DSGVO: Technische und organisatorische Maßnahmen
Art. 32 Abs. 1 lit. d fordert "regelmäßige Tests, Bewertungen und Evaluierungen der Wirksamkeit der technischen und organisatorischen Maßnahmen". SAST ist eine dieser Maßnahmen — aber wenn der SAST-Anbieter selbst CLOUD Act-exponiert ist, konterkariert die Maßnahme den Schutzzweck.
Das Paradoxon: Sie implementieren DSGVO-Compliance-Scans mit einem Tool, das im Scan-Prozess selbst DSGVO-Risiken erzeugt, weil Quellcode personenbezogene Daten enthalten kann (Test-PII, Benutzer-IDs hardcoded, E-Mail-Adressen in Kommentaren).
Art. 28 DSGVO: Auftragsverarbeitung
Wenn Checkmarx One Quellcode verarbeitet, der personenbezogene Daten enthält (z.B. in Test-Fixtures), ist ein Data Processing Agreement (DPA) nach Art. 28 erforderlich. Checkmarx bietet Standard-DPAs an — aber DPAs schützen nicht vor CLOUD Act-Zugriffen. Standardvertragsklauseln (SCCs) nach Art. 46 gelten für reguläre Datentransfers, nicht für nationale Sicherheitszugriffe.
NIS2 Art. 21 Abs. 2 lit. e: Sicherheit bei der Entwicklung
NIS2-essentielle und wichtige Einrichtungen müssen "Sicherheit bei der Entwicklung und Wartung von Netzwerk- und Informationssystemen" gewährleisten. Wenn Ihr Entwicklungsprozess SAST-Scans via US-CLOUD-Act-exponiertem SaaS beinhaltet, ist die Nachweisführung gegenüber nationalen Aufsichtsbehörden komplex — besonders für kritische Infrastruktur-Betreiber, bei denen Quellcode-Kompromittierung als systemisches Risiko gilt.
EU-native SAST/SCA/DAST-Alternativen: 0/25
Der entscheidende Vorteil bei Application Security Testing gegenüber anderen Sicherheitskategorien: Die besten EU-Alternativen sind Open Source, selbst gehostet, und erreichen 0/25 im CLOUD Act-Framework — weil keine Daten die eigene Infrastruktur verlassen.
SAST-Alternativen
Semgrep OSS (open source, Apache 2.0)
- Ursprung: r2c Inc. wurde 2020 von Semgrep geforkt, aber das OSS-Projekt hat CNCF-ähnliche Community-Governance
- Deployment: Docker-Container, CI/CD-Integration, kein Cloud-Backend nötig
- Sprachen: 30+ (Python, Java, Go, JavaScript/TypeScript, Ruby, PHP, Rust, C/C++)
- EU-Vorteil: Null Datentransfer, vollständig self-hostable, Regeln als YAML-Dateien versionierbar
- CLOUD Act Score: 0/25 (keine US-Entität beteiligt bei self-hosted)
SonarQube Community Edition (Sonarsource SA, Genf, Schweiz)
- Rechtsform: Schweizerische Aktiengesellschaft (nicht EU, aber EWR-Äquivalent + CH-US Privacy Shield-Nachfolge)
- Investor: Permira (UK PE) — kein US-PE, aber UK post-Brexit
- Self-hosted: Vollständig; SonarCloud SaaS hat eigenes Risikoprofil (separater Post #1089)
- Sprachen: 25+ inkl. Java, C#, Python, JavaScript, Go, PHP
- EU-Vorteil: Enterprise-reife Plattform, aktive OWASP-Integration, DSGVO-Konformität bei Self-Hosting
- CLOUD Act Score: 0/25 (self-hosted Community Edition, kein Datentransfer)
Bearer (Bearer SAS, Paris, Frankreich)
- Rechtsform: Französische SAS — EU-Jurisdiktion, CNIL-reguliert
- Fokus: Privacy-orientiertes SAST — erkennt explizit PII-Flüsse im Code (DSGVO-native Perspektive)
- Open Source: ja (MIT-Lizenz), CLI-Tool, CI/CD-integrierbar
- CLOUD Act Score: 0/25 (open source, self-hosted, Daten verlassen NIE EU-Infrastruktur)
KICS (Keeping Infrastructure as Code Secure)
- Ironie: Von Checkmarx selbst open-source veröffentlicht (Apache 2.0)
- Fokus: IaC-Security (Terraform, CloudFormation, Kubernetes, Ansible, Helm)
- Deployment: CLI/Docker, keine Cloud-Komponente
- CLOUD Act Score: 0/25 (open source, self-hosted)
SCA-Alternativen
Dependency-Track (OWASP Foundation)
- Rechtsform: OWASP ist eine US-Non-Profit — aber als self-hosted OSS-Tool ohne Datentransfer kein CLOUD Act-Risiko
- Funktionen: CycloneDX/SPDX SBOM-Verarbeitung, VEX, NVD/OSV-Integration, Policy Engine
- SBOM-Standard: CycloneDX 1.5 (auch EU CRA und DORA fordern SBOM-Fähigkeit)
- CLOUD Act Score: 0/25
OSS Review Toolkit (ORT, Apache-Foundation)
- Ursprung: Open-Source, von HERE Technologies (deutsch-niederländisch, jetzt Infosys) entwickelt
- Funktionen: Lizenz-Compliance + Vulnerability-Scans, FOSS-Policy-Management
- Deployment: Docker-Container, vollständig self-hosted
- CLOUD Act Score: 0/25
Trivy (Aqua Security, Israel — aber OSS)
- Wichtiger Hinweis: Aqua Security ist US-exponiert (eigener Post #1236), aber Trivy als open-source CLI-Tool hat keinen Cloud-Backend-Kanal
- Funktionen: Container-Images, Filesystems, IaC, SBOM, Licensing
- CLOUD Act Score: 0/25 (self-hosted, kein Datentransfer)
DAST-Alternativen
OWASP ZAP (Zed Attack Proxy)
- Rechtsform: OWASP Foundation (US-Non-Profit) — aber als self-hosted OSS-Tool kein Transfer-Risiko
- Funktionen: Automated + Manuelles DAST, Spider, Active/Passive Scans, REST-API
- Deployment: Docker (
docker pull ghcr.io/zaproxy/zaproxy:stable), CI/CD-Integration - CLOUD Act Score: 0/25
Nikto (open source, Perl)
- Web-Scanner für bekannte Schwachstellen, Server-Konfigurationsfehler
- Selbst gehostet, keine Cloud-Komponente
- CLOUD Act Score: 0/25
CLOUD Act Vergleichsmatrix: Checkmarx vs. EU-native Alternativen
| Tool | Typ | CLOUD Act Score | Hosting | Preis |
|---|---|---|---|---|
| Checkmarx One | SAST+SCA+DAST+IAST | 19/25 | SaaS (US) | Enterprise |
| Semgrep OSS | SAST | 0/25 | Self-hosted | Kostenlos |
| SonarQube CE | SAST + Code Quality | 0/25 | Self-hosted | Kostenlos |
| Bearer | Privacy-SAST | 0/25 | Self-hosted | Kostenlos |
| KICS | IaC Security | 0/25 | Self-hosted | Kostenlos |
| Dependency-Track | SCA/SBOM | 0/25 | Self-hosted | Kostenlos |
| OWASP ZAP | DAST | 0/25 | Self-hosted | Kostenlos |
| Trivy | SCA/Container | 0/25 | Self-hosted | Kostenlos |
Ergebnis: Vollständiger EU-nativer AST-Stack aus Open-Source-Tools = 0/25 CLOUD Act, 0 Lizenzkosten, vollständige Datensouveränität.
Entscheidungsframework: Wann ist Checkmarx One vertretbar?
Nutze Checkmarx One wenn:
├── Kein Quellcode mit personenbezogenen Daten (z.B. reine Config-Repos)
├── Bereits US-Cloud-Provider im Stack (AWS/Azure/GCP) — incrementales Risiko gering
├── Compliance-Nachweis via SCCs + DPA für interne Risk-Acceptance ausreichend
└── Team-Größe und Tooling-Komplexität self-hosted nicht skalierbar
Nutze EU-nativen OSS-Stack wenn:
├── NIS2-kritische Einrichtung (Art. 3 NIS2) — Quellcode-Schutz strategisch
├── DORA-reguliertes Finanzunternehmen — technische Dokumentation + Datensouveränität
├── Quellcode enthält potenzielle personenbezogene Daten in Tests/Fixtures
├── EU-Kunden verlangen Datensouveränitäts-Nachweise
└── Start-up oder Scale-up — OSS-Stack hat keine Lizenzkosten
Transfer Impact Assessment: Checkmarx vs. EU-Stack
Nach DSGVO Art. 44 ff. und dem Schrems-II-Urteil (C-311/18) sind für Transfers in Drittländer (USA) Transfer Impact Assessments (TIAs) erforderlich. Für Checkmarx One bedeutet das:
- Kategorie des Transfers: Quellcode (potenziell mit eingebetteten personenbezogenen Daten)
- Rechtsgrundlage: Standardvertragsklauseln (SCCs) nach Art. 46 Abs. 2 lit. c
- Risikobeurteilung: CLOUD Act = konkrete Rechtsnorm, die SCCs außer Kraft setzen kann (EuGH-Rechtsprechung)
- Supplementary Measures: Verschlüsselung vor Upload — bei SAST nicht praktisch (Tool muss lesbaren Code analysieren)
- Fazit: Für NIS2-Einrichtungen und DORA-regulierte Unternehmen ist der Risiko-Transfer an Checkmarx ohne self-hosted Alternative schwer zu rechtfertigen
Der EU-native OSS-Stack umgeht das TIA-Erfordernis vollständig — kein Drittland-Transfer, keine Schrems-II-Komplexität.
Praktischer Migrations-Pfad
Phase 1: SAST — Semgrep OSS parallel zu Checkmarx
# Semgrep in CI/CD integrieren (parallel zu bestehenden Checkmarx-Scans)
docker run --rm -v "${PWD}:/src" semgrep/semgrep \
semgrep --config "p/owasp-top-ten" \
--config "p/cwe-top-25" \
--config "p/security-audit" \
--output semgrep-results.sarif --sarif /src
Phase 2: SCA — Dependency-Track mit CycloneDX
# SBOM generieren (Maven Beispiel)
mvn org.cyclonedx:cyclonedx-maven-plugin:makeAggregateBom
# Dependency-Track API Upload
curl -X POST "https://your-deptrack.company.eu/api/v1/bom" \
-H "X-Api-Key: ${DEPTRACK_API_KEY}" \
-F "project=${PROJECT_UUID}" \
-F "bom=@target/bom.xml"
Phase 3: DAST — OWASP ZAP in CI/CD
# ZAP Baseline Scan gegen Staging-Umgebung
docker run --rm \
-v $(pwd):/zap/wrk:rw \
ghcr.io/zaproxy/zaproxy:stable \
zap-baseline.py -t "https://staging.your-app.eu" \
-r zap-report.html -J zap-report.json
Phase 4: Policy-as-Code — Semgrep Custom Rules
# Custom Semgrep Rule: DSGVO Art. 25 Privacy by Design
rules:
- id: no-hardcoded-personal-data
pattern: |
$VAR = "...@..." # E-Mail-Pattern in Code hardcoded
message: "Potenzielle E-Mail-Adresse hardcoded — DSGVO Art. 25 prüfen"
languages: [python, java, javascript]
severity: WARNING
Fazit: Der OSS-Stack ist nicht nur sicherer — er ist besser
Das EU-native Application Security Testing-Ökosystem aus Semgrep OSS, SonarQube CE, Bearer, Dependency-Track und OWASP ZAP ist nicht ein Kompromiss gegenüber Checkmarx One — es ist in mehreren Dimensionen überlegen:
- Datensouveränität: 0/25 CLOUD Act. Kein Quellcode verlässt Ihre Infrastruktur.
- Kosten: Keine Lizenzkosten. Enterprise-Checkmarx One kostet €50–150k+/Jahr für mittlere Teams.
- Anpassbarkeit: Semgrep-Rules in YAML, Bearer-Policies in YAML, ZAP-Scripts in Python — vollständig versionierbar in Git.
- CI/CD-Integration: Docker-Images, GitHub Actions, GitLab CI — kein proprietary SDK.
- Compliance-Nachweis: Kein TIA erforderlich, keine SCCs, keine Schrems-II-Komplexität.
Für NIS2-essentielle Einrichtungen, DORA-regulierte Finanzunternehmen und alle Organisationen, die EU-Kunden Datensouveränität garantieren müssen, ist der Migrationspfad klar: Der OSS-AST-Stack ist die GDPR-compliant, CLOUD-Act-freie und kostengünstigere Wahl.
Dieser Leitfaden ist Teil der sota.io EU Application Security Testing (AST) Serie. Nächster Post: #1244 Sonatype Nexus EU Alternative 2026 — SCA und CLOUD Act.
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.