Dragos EU Alternative 2026: OT/ICS Industrial Threat Intelligence, CLOUD Act und KRITIS-Dachgesetz
Post #1264 in der sota.io EU OT/ICS Security Serie (2/5)
Am 17. Juli 2026 tritt das deutsche KRITIS-Dachgesetz (KRITIS-DG) in Kraft und verpflichtet Betreiber kritischer Anlagen zur expliziten Dokumentation aller OT-Sicherheitsmaßnahmen und deren Lieferketten-Risiken. Für Dragos-Nutzer entsteht dabei eine besondere Situation: Das KRITIS-DG §10-Sicherheitskonzept muss Dragos als OT-Sicherheitskomponente ausweisen — und damit formal dokumentieren, dass die OT-Threat-Intelligence aus der eigenen Anlage in einem US-CLOUD-Act-unterworfenen System gespeichert ist.
Dragos ist der Weltmarktführer für spezialisierte OT/ICS-Threat-Intelligence. Gleichzeitig ist Dragos eine Delaware-Corporation mit Hauptsitz in Hanover, Maryland — gegründet von ex-NSA- und US-CERT-Veteranen — und das hat für europäische KRITIS-Betreiber Konsequenzen, die in ihrer Schwere über Standard-GDPR-Szenarien hinausgehen.
Was ist Dragos?
Dragos, Inc. ist ein US-amerikanisches Cybersecurity-Unternehmen, das sich ausschließlich auf OT/ICS-Sicherheit (Operational Technology / Industrial Control Systems) spezialisiert hat. Es wurde 2016 von Robert M. Lee gegründet, einem früheren NSA-Analysten, Air-Force-Cyber-Officer und US-CERT-ICS-Experten.
Produkte und Services:
- Dragos Platform — OT-Asset-Visibility, Threat-Detection und Vulnerability-Management für industrielle Umgebungen
- Dragos WorldView — OT-spezifischer Threat-Intelligence-Feed mit benannten ICS-Bedrohungsgruppen (ELECTRUM, KAMACITE, MAGNALLIUM, RASPITE u.a.)
- OT Watch — Managed Detection & Response Service (MDR) mit 24/7-SOC in Hanover, Maryland
- Neighborhood Keeper — Community-basiertes Threat-Sharing-Programm (anonymisierte Telemetrie-Aggregation aller Dragos-Kunden)
- Dragos Academy — OT-Cybersecurity-Training für Industrieunternehmen
Unterstützte OT-Protokolle: Modbus, DNP3, IEC 61850/61968, OPC-UA, Profibus, PROFINET, EtherNet/IP, BACnet, CIP, Siemens S7 — das vollständige Spektrum europäischer Energie-, Wasser- und Fertigungs-KRITIS.
Gründer und Schlüsselpersonen:
- Robert M. Lee (CEO): Ex-NSA (tailored access operations), ex-USAF Cyber Command, ex-ICS-CERT/US-CERT. Weltweit führender ICS-Incident-Response-Spezialist.
- Jon Lavender (CTO): Ex-NSA, ex-USAF, OT-Security-Research.
- Dragos war direkt an der Incident-Response für TRITON/TRISIS (2017) beteiligt — die erste bekannte Malware, die Safety Instrumented Systems (SIS) in petrochemischen Anlagen angriff (Saudi Aramco, Stuxnet-Klasse).
Investoren:
- Saudi Aramco Energy Ventures (strategisch — saudi-arabischer Staatsfonds)
- Koch Disruptive Technologies (Koch Industries, US-amerikanisches Energiekonglomerat)
- Alphabet CapG (Google Ventures, NASDAQ: GOOGL)
- Weitere: Canaan Partners, Energy Impact Partners, National Grid Partners
Unternehmensstruktur: Dragos, Inc. — Delaware Corporation. HQ: 4995 Mercantile Road, Hanover, Maryland, 21076, USA. SOC-Betrieb: Hanover, Maryland.
CLOUD Act Risiko-Bewertung: 17/25
Für EU-KRITIS-Betreiber ist die CLOUD Act-Analyse von Dragos besonders kritisch, weil OT-Threat-Intelligence die sensibelste Datenkategorie im industriellen Umfeld darstellt.
| Dimension | Score | Begründung |
|---|---|---|
| D1 — Corporate Jurisdiction | 5/5 | Dragos, Inc. — Delaware C-Corp. US-Bundesrecht (18 U.S.C. §2703) vollständig anwendbar. Keine EU-Tochter mit eigenem Rechtsstatus. |
| D2 — Government/LE Relationships | 3/5 | Robert Lee: ex-NSA/USAF/US-CERT. Dragos co-authored CISA ICS-Advisories. ICS-CERT Partnerschaft. Keine bestätigten aktiven Geheimdienstverträge, aber tiefe institutionelle Bindungen. |
| D3 — Data Sensitivity | 5/5 | OT-Threat-Intelligence = maximale Sensitivität: Netzwerktopologien kritischer Anlagen, PLC-Inventare (Hersteller, Firmware, Schwachstellen), ICS-Angriffsvektoren, KRITIS-Schwachstellenkarten. D3 = Maximum. |
| D4 — Infrastructure | 2/5 | OT Watch SOC: Hanover, Maryland (US-Jurisdiktion). Dragos Platform: AWS-basiert, primär US-Region. Keine garantierte EU-Datenresidenz für Threat-Intelligence-Daten. |
| D5 — Contractual Safeguards | 2/5 | SCCs als EU-Transfermechanismus verfügbar. Aber: US-Muttergesellschaft bleibt jurisdiktionell verantwortlich. Kein EU-souveräner Betriebsmodus ohne US-SOC-Anbindung. |
| Gesamt | 17/25 | Erhöhtes CLOUD Act-Risiko. OT-Daten aus EU-KRITIS unter US-Jurisdiktion. |
Zum Vergleich: Claroty erzielte in Post #1263 einen Score von 18/25. Dragos liegt mit 17/25 leicht darunter (D2=3 statt 4, da weniger explizite Regierungsverträge öffentlich dokumentiert sind), behält aber durch D3=5/5 das maximale OT-Datensensitivitäts-Risiko.
Vier KRITIS-Paradoxien für Dragos
Paradox 1: Das KRITIS-Dachgesetz §10 Sicherheitskonzept-Paradox
Das deutsche KRITIS-Dachgesetz §10 (Inkrafttreten: 17. Juli 2026) verpflichtet KRITIS-Betreiber zu einem dokumentierten Sicherheitskonzept, das alle OT-Sicherheitsmaßnahmen, Drittanbieter-Abhängigkeiten und Lieferketten-Risiken explizit auflistet.
Für Dragos-Nutzer entsteht damit eine einzigartige Compliance-Situation: Das KRITIS-DG §10-Sicherheitskonzept muss Dragos als OT-Sicherheitskomponente ausweisen. Damit ist formal dokumentiert, dass die industrielle Threat-Intelligence der eigenen Anlage — Netzwerktopologien, PLC-Inventare, Schwachstellenkarten — in einem System gespeichert ist, das dem US-CLOUD-Act unterliegt.
Das Sicherheitskonzept wird der BSI vorgelegt. Die BSI hat dann offiziell Kenntnis von einem CLOUD-Act-Risiko in einer KRITIS-Sicherheitsmaßnahme — ohne die Mittel, es zu lösen, solange der Betreiber an Dragos gebunden ist.
Paradox 2: Das Industrial Threat Intelligence Aggregation-Paradox
Dragos's Neighborhood Keeper aggregiert anonymisierte OT-Telemetrie von Hunderten EU-KRITIS-Betreibern (Energieversorger, Wasserwerke, Raffinerieanlagen, Fertigungsunternehmen). Dieses Cross-Client-Enrichment ist der Kernvorteil des Dienstes: Wenn ELECTRUM oder KAMACITE eine EU-Energieversorgung angreift, sehen alle Neighborhood-Keeper-Teilnehmer das Signal.
Aber genau diese Aggregation schafft ein einzelnes US-Jurisdiktion-Angriffsziel: Eine DOJ-Subpoena an Dragos deckt nicht die Schwachstellen eines EU-KRITIS-Betreibers auf — sie deckt die kollektive OT-Angriffsflächenkarte aller EU-KRITIS-Betreiber im Neighborhood-Keeper-Netzwerk auf. Kein individueller Angriff auf einen einzelnen KRITIS-Betreiber wäre erforderlich. Das Aggregationspotenzial ist systemisch.
Paradox 3: Das TRITON/TRISIS Incident Response-Wissensparadox
Dragos's einzigartige Marktposition basiert auf der direkten TRITON/TRISIS-Incident-Response-Erfahrung aus 2017: die erste ICS-Malware, die Safety Instrumented Systems (SIS) in petrochemischen Anlagen angriff — mit dem Ziel, Sicherheitsabschaltungen zu deaktivieren und physische Schäden in Menschenleben zu verursachen.
Dieses spezialisierte Wissen — wie OT-Sicherheitssysteme angegriffen werden, welche Schwachstellen in welchen SIS-Konfigurationen ausnutzbar sind, welche EU-Industrieanlagen analoge Architekturen betreiben — ist in US-Jurisdiktion gespeichert. Der CLOUD Act schafft einen rechtlichen Zugriffspfad für US-Behörden auf diese OT-Angriffsintelligenz. Die Expertise, die EU-KRITIS-Infrastruktur schützt, könnte unter einem CLOUD-Act-Zugriff für offensive Zwecke gegen sie nutzbar werden.
Paradox 4: Das NIS2 Art.21(2)(b) Supply-Chain-Risikobewertungs-Paradox
NIS2 Art.21(2)(b) verpflichtet wesentliche und wichtige Einrichtungen zur Bewertung von Cybersicherheitsrisiken in ihren Lieferketten und Zuliefererbeziehungen. EU-KRITIS-Betreiber nutzen typischerweise Dragos, um genau diese OT-Lieferketten-Risiken zu bewerten: Welche ICS-Komponenten (Siemens, Rockwell, Schneider) sind in welchen Versionen im Einsatz? Welche Lieferanten-Updates wurden validiert?
Die Dragos-Plattform enthält damit eine vollständige OT-Lieferketten-Inventur des KRITIS-Betreibers — welche Firmware-Versionen auf welchen PLCs, welche Patchstände auf welchen HMIs, welche Vendor-Abhängigkeiten in welchen Anlagenteilen. Unter einem CLOUD-Act-Zugriff auf Dragos sind genau diese NIS2-pflichtigen Lieferketten-Daten verfügbar — die Compliance-Dokumentation selbst wird zur Angriffsgrundlage.
EU-native Alternativen (0/25)
EclecticIQ BV — Amsterdam, Niederlande
EclecticIQ B.V. (Entiteit: Besloten Vennootschap, Handelsregisternummer KvK 60536928) ist eine niederländische Threat-Intelligence-Plattform mit expliziten OT/ICS-Modulen. Gegründet 2014 in Amsterdam, vollständig in EU-Jurisdiktion.
Produkte: EclecticIQ Platform (CTI-Aggregation, STIX/TAXII-Feeds, OT-Threat-Intelligence-Integration), EclecticIQ Intelligence Center, EclecticIQ Endpoint.
OT-Relevanz: Integration mit MITRE ATT&CK for ICS. Unterstützung für OT-spezifische Threat-Intelligence-Feeds (CISA ICS-CERT Advisory-Aggregation, OT-ISAC). Mehrere EU-Energieversorger und Fertigungsunternehmen als Referenzkunden.
CLOUD Act-Score: 0/25 — Niederländische BV, kein US-Parent, kein US-Funding von CLOUD-Act-relevanten Investoren, EU-Datenresidenz native.
Sekoia.io SAS — Paris, Frankreich
Sekoia.io SAS ist eine französische Threat-Intelligence-Plattform (Société par Actions Simplifiée, SIREN 834 680 825) mit Schwerpunkt auf anwendbarer CTI (Cyber Threat Intelligence) und OT/ICS-Bedrohungsanalyse. Gegründet 2017 in Paris.
Produkte: Sekoia.io XDR/SOC-Plattform, Sekoia CTI-Feed, Sekoia.io OT-Security-Integration (Kooperation mit OT-Netzwerkmonitoring-Tools).
ANSSI-Qualifikation: Sekoia.io ist ANSSI-qualifiziert (Agence Nationale de la Sécurité des Systèmes d'Information) — die französische Cybersicherheitsbehörde. Diese Qualifikation ist ein EU-natives Qualitätssignal ohne US-Äquivalent.
CLOUD Act-Score: 0/25 — Französische SAS, keine US-Investoren mit CLOUD-Act-Relevanz, ANSSI-Qualifizierung, EU-Datenresidenz.
Airbus CyberSecurity GmbH — Ottobrunn, Bayern
Airbus CyberSecurity GmbH (HRB 199027, Amtsgericht München) ist eine 100%-Tochtergesellschaft der Airbus SE (Société Européenne, eingetragen in den Niederlanden, börsennotiert an Euronext Paris/Madrid/Frankfurt). Airbus SE unterliegt europäischem Gesellschaftsrecht — kein US-CLOUD Act.
Produkte: AirEDR, SOC-Services, OT/ICS-Security-Consulting und Monitoring, Threat Intelligence für kritische Infrastruktur. Airbus CyberSecurity betreibt eigene ICS/SCADA-Sicherheitslabore und hat EU-Energieversorger, Verteidigungs- und Raumfahrtunternehmen als Kunden.
Regulatorische Verankerung: Airbus ist tief in EU-Verteidigungsstrukturen integriert und Certified Security Operations Center (CSOC) nach BSI-Standards. KRITIS-erfahren aus Luft- und Raumfahrt.
CLOUD Act-Score: 0/25 — Niederländische SE als Muttergesellschaft, kein US-Parent, EU-Datenresidenz, KRITIS-erprobt.
Applied Risk B.V. / DNV Cyber — Amsterdam, Niederlande
Applied Risk B.V. (KvK 55065218, Amsterdam NL) ist ein OT/ICS-Cybersecurity-Spezialist, der von DNV GL ASA (Oslo, Norwegen) übernommen wurde. DNV ist ein norwegisches Unternehmen, nicht US-CLOUD-Act-unterworfen.
Produkte: OT Risk Assessment, OT Security Monitoring, ICS Vulnerability Management, OT Penetration Testing. Applied Risk / DNV Cyber hat umfangreiche Erfahrung mit EU-KRITIS-Sektoren: Energie, Öl & Gas, Maritime, Wasserversorgung.
Norwegische Adequacy: Norwegen ist EWR-Mitglied und damit DSGVO-Adequacy-Country. Keine CLOUD-Act-Anwendbarkeit. DNV als Muttergesellschaft ist weltweit im Energiesektor tätig und KRITIS-zertifizierungserfahren.
CLOUD Act-Score: 0/25 — Norwegische Mutter (DNV GL ASA), niederländische Betriebsgesellschaft, EU-EWR-Datenresidenz, kein US-Parent.
Entscheidungsrahmen für EU-KRITIS-Betreiber
Kritische Fragen vor OT-Threat-Intelligence-Entscheidung
1. Datenresidenz der OT-Telemetrie: Wo werden Netzwerktopologien, Asset-Inventare und Schwachstellendaten der eigenen Anlage gespeichert und verarbeitet? US-Cloud = CLOUD Act.
2. SOC-Jurisdiktion: Wer sieht Ihre OT-Alerts in Echtzeit? Ein US-basiertes SOC (wie Dragos OT Watch in Maryland) bedeutet US-Personenzugriff auf OT-Alerting.
3. Threat-Intelligence-Aggregation: Teilt Ihre Plattform anonymisierte Telemetrie mit einem Community-Threat-Sharing-Programm? Wenn dieses Programm unter US-Jurisdiktion läuft (Neighborhood Keeper), sind aggregierte EU-KRITIS-Daten potenziell CLOUD-Act-zugreifbar.
4. KRITIS-DG §10-Kompatibilität: Müssen Sie Dragos in Ihrem §10-Sicherheitskonzept an die BSI melden? Wenn ja: Dokumentieren Sie explizit das CLOUD Act-Risiko — was die BSI-Prüfung erschwert.
Empfehlung nach KRITIS-Sektor
| Sektor | Priorität | Begründung |
|---|---|---|
| Energieversorgung (Strom/Gas) | EclecticIQ BV | OT-TI-Integration, EU-nativ, NIS2-zertifizierbar |
| Petrochemie / Raffinerie | DNV Cyber | Spezifische OT/Energie-Erfahrung, KRITIS-zertifiziert |
| Öffentliche Verwaltung / Behörden | Airbus CyberSecurity | BSI-CSOC-Zertifizierung, KRITIS-erfahren, staatlich vertrauenswürdig |
| Fertigungsindustrie | Sekoia.io | ANSSI-Qualifikation, OT-Integration, EU-Datenresidenz |
Regulatorischer Kontext: NIS2, KRITIS-DG, DORA
NIS2 Art.21(2)(h) verpflichtet zur Nutzung sicherer Supply-Chain-Komponenten. Eine OT-Threat-Intelligence-Plattform unter CLOUD-Act-Jurisdiktion widerspricht diesem Grundsatz für OT-Daten.
KRITIS-DG §10 (ab 17.07.2026): Explizite Nennung aller OT-Sicherheitsmaßnahmen im Sicherheitskonzept + Lieferketten-Risikobewertung. Dragos als US-CLOUD-Act-Dienst muss als Risikofaktor dokumentiert werden.
DORA Art.28 (Finanzsektor): Finanzielle KRITIS-Betreiber (Börsen, Clearinghäuser, kritische Banken) müssen IKT-Drittanbieter-Risiken managen. OT-Threat-Intelligence-Daten unter US-Jurisdiktion = dokumentiertes DORA-Risiko.
Empfehlung: Bei der BSI-Sicherheitskonzept-Erstellung und NIS2-Risikoregister-Pflege klare Trennung: OT-Threat-Intelligence muss in EU-Jurisdiktion verbleiben, um §10-KRITIS-DG-konform zu sein.
Zusammenfassung
Dragos (CLOUD Act Score: 17/25) ist der OT/ICS-Threat-Intelligence-Marktführer — gebaut auf ex-NSA-Expertise, mit direkter TRITON/TRISIS-Incident-Response-Erfahrung. Für EU-KRITIS-Betreiber kombiniert Dragos drei kritische Risikofaktoren: höchste OT-Datensensitivität (D3=5/5), US-Gründer-Netzwerk mit institutionellen Bindungen (D2=3/5), und US-basiertes SOC ohne EU-Datenresidenz-Garantie (D4=2/5).
Das KRITIS-Dachgesetz ab 17. Juli 2026 macht dieses Risiko nicht nur operativ relevant — es macht es dokumentationspflichtig. KRITIS-Betreiber, die Dragos in ihrem §10-Sicherheitskonzept ausweisen, müssen formal darlegen, warum ein US-CLOUD-Act-unterworfenes System die höchste OT-Datensensitivität ihrer Anlage verwaltet.
Die vier EU-nativen Alternativen — EclecticIQ BV (Amsterdam NL), Sekoia.io SAS (Paris FR), Airbus CyberSecurity GmbH (Ottobrunn DE) und Applied Risk B.V. / DNV Cyber (Amsterdam NL / Oslo NO) — erzielen 0/25 im CLOUD Act-Scoring und sind KRITIS-DG-§10-kompatibel.
Serie: EU OT/ICS Security 2026 — Post 2 von 5
- Post #1263: Claroty EU Alternative 2026
- Post #1264: Dragos EU Alternative 2026 (dieser Post)
- Post #1265: Nozomi Networks EU Alternative 2026 (OT/IoT Anomaly Detection)
- Post #1266: Fortinet OT Security EU Alternative 2026 (Enterprise OT Firewall)
- Post #1267: EU OT/ICS Security Comparison Finale 2026
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.