EU CSPM Comparison Finale 2026: Orca vs Lacework vs Sysdig vs Aqua Security
Post #1237 — Abschluss der sota.io EU CSPM Serie (5/5)
Die EU-CSPM-Serie ist abgeschlossen. In vier Einzelanalysen haben wir Orca Security (Delaware C-Corp, CapitalG-Investor, CLOUD Act 19/25), Lacework/FortiCNAPP nach der Fortinet-Akquisition (22/25), Sysdig mit FedRAMP-Autorisierung (20/25) und Aqua Security mit der Israel-US-Doppelstruktur (18/25) untersucht. Dieser Finale-Post fasst zusammen: Welche Plattform weist das höchste GDPR-Risiko auf, was unterscheidet die vier Anbieter strukturell, und wann sind EU-native CSPM-Lösungen wie Cyscale, Prowler oder der NeuVector+Trivy+Falco+Prowler-Stack die bessere Wahl?
Warum CSPM für EU-Compliance besonders kritisch ist
Cloud Security Posture Management klingt nach einem rein technischen Werkzeug — Fehlkonfigurationen finden, CIS Benchmarks erfüllen, IAM-Policies auditieren. Aus DSGVO-Sicht ist CSPM jedoch eine der heikelsten Kategorien von Drittanbieter-Software überhaupt:
CSPM-Tools haben per Design Vollzugriff auf eure Cloud-Infrastruktur. Um Fehlkonfigurationen zu erkennen, muss ein CSPM-Werkzeug sämtliche Cloud-APIs lesen: S3-Bucket-Policies, IAM-Rollen, Security-Group-Regeln, Netzwerktopologien, Encryption-Konfigurationen, Logging-Einstellungen. Das bedeutet: Ein US-CSPM-Anbieter unter CLOUD-Act-Jurisdiktion hat potenziell Zugang zu einer vollständigen Karte eurer Sicherheitsarchitektur.
Die rechtliche Logik: CLOUD Act 18 U.S.C. § 2713 verpflichtet US-Anbieter, Daten herauszugeben, wenn eine US-Behörde einen gültigen Beschluss vorlegt — unabhängig davon, wo die Daten physisch gespeichert sind. Ein CSPM-Anbieter unter US-Jurisdiktion kann nicht versprechen, eure Cloud-Konfigurationsdaten gegen US-Behördenanfragen zu schützen, egal wie euer DPA formuliert ist.
Die vier analysierten US-Anbieter kontrollieren zusammen über 60% des globalen CSPM/CNAPP-Markts (IDC Cloud Security Market Share 2025). Alle vier sind in den USA inkorporiert, alle vier unterliegen dem CLOUD Act — mit unterschiedlichen Risikostufen je nach Unternehmensstruktur und Regierungsbeziehungen.
CLOUD Act Matrix: Alle vier im direkten Vergleich
Die vollständige Vergleichsmatrix — alle vier Anbieter auf denselben fünf Dimensionen mit jeweils max. 5 Punkten:
Dimension 1: Legal Entity und US-Jurisdiktion (max. 5 Punkte)
Alle vier Anbieter erhalten 5/5 in D1. Das Ergebnis ist strukturell unvermeidbar:
| Anbieter | D1-Score | Kernbegründung |
|---|---|---|
| Orca Security | 5/5 | Orca Security Inc., Delaware C-Corp, San Francisco CA. US-inkorporiert seit Gründung (israelische Gründer, aber sofortige US-Corp). |
| Lacework (FortiCNAPP) | 5/5 | Akquiriert von Fortinet Inc., NASDAQ:FTNT, Sunnyvale CA. Fortinet selbst ist Delaware C-Corp mit FY2024-Umsatz $6.1 Mrd. |
| Sysdig | 5/5 | Sysdig, Inc., Delaware C-Corp, San Francisco CA. Gründer Loris Degioanni ist US-Bürger. Hauptsitz und primäres Geschäft USA. |
| Aqua Security | 5/5 | Aqua Security Software Inc. ist die relevante US-Tochtergesellschaft (CLOUD Act-Anknüpfung). Die israelische Muttergesellschaft Aqua Security Software Ltd. schützt nicht: CLOUD Act gilt für US-subsidiaries. |
D1 kann kein einziger der vier Anbieter verbessern, ohne die Unternehmensstruktur fundamental zu ändern. Das ist der Kern des Problems für EU-DSGVO-Compliance: Die rechtliche Basis für CLOUD-Act-Anfragen ist bei allen vier identisch.
Dimension 2: Investor-Profil und US-Kapitalverflechtung (max. 5 Punkte)
| Anbieter | D2-Score | Begründung |
|---|---|---|
| Lacework (FortiCNAPP) | 5/5 | Fortinet ist ein selbst börsennotierter US-Konzern — D2 ist damit nicht mehr die VC-Struktur des Startups, sondern die volle Exposition eines NASDAQ-Large-Caps mit US-Aktionärsbasis, SEC-Reporting und US-Regulierung. |
| Aqua Security | 4/5 | Israelische Gründungsstruktur, aber Kapital überwiegend US: Insight Partners, Accel, Bessemer Venture Partners, TPG, Goldman Sachs. US-VC-Dominanz trotz Non-US-Herkunft erhöht de-facto US-Nexus. |
| Orca Security | 3/5 | CapitalG (Alphabet/Google) als Lead-Investor ist US-tech-gebunden. Weitere VCs: GV, Tiger Global, ICONIQ. US-Investoren majoritär, aber keine nationale-Security-PE-Verbindung wie Paladin Capital (Anomali). |
| Sysdig | 3/5 | Permira (UK PE) als Mehrheitseigentümer — einziger der vier Anbieter mit EU-Kapitalstruktur-Beteiligung. Co-Investoren Insight Partners, Tiger Global (US) reduzieren den Vorteil. Permira-Kontrolle ist real und erklärt den niedrigsten D2-Score unter den 5-Punktern. |
Sysdig ist strukturell am besten positioniert: Permira ist ein britischer Private-Equity-Fonds ohne US-national-security-Verbindungen. Das schützt nicht vor CLOUD-Act-Anfragen an die US-Tochtergesellschaft, aber es bedeutet, dass kein US-VC-Investor mit möglichen Intelligence-Community-Verbindungen im Cap Table sitzt.
Dimension 3: US-Staatsverträge und Regierungskooperation (max. 5 Punkte)
| Anbieter | D3-Score | Begründung |
|---|---|---|
| Lacework (FortiCNAPP) | 5/5 | Fortinet: GovRAMP autorisiert (aktiv), FedRAMP-Antrag laufend. Fortinet Government Solutions als eigenständige Business Unit. DoD CMMC-relevante Produkte. US-Behörden als explizite Zielkunden. |
| Sysdig | 5/5 | FedRAMP Authorized — explizite Listung im FedRAMP Marketplace. US-Federal-Kunden dokumentiert. DoD-Kompatibilität als Vertriebsargument. Von allen vier der einzige Anbieter mit verifizierter FedRAMP-Autorisierung. |
| Orca Security | 4/5 | AWS GovCloud-Unterstützung (indirekter Regierungs-Nexus). Keine dokumentierte FedRAMP-Autorisierung, aber explizite Erwähnung von Federal/Government im Vertriebs-Material. CapitalG (Google-CI) erhöht IC-Proximity. |
| Aqua Security | 2/5 | Keine FedRAMP-Autorisierung. AWS Marketplace for Government (Listing, kein Vertrag). Keine dokumentierten DoD-Kontrakte. Israel-Defense-Sector-Verbindungen (indirekt über Gründer-Background), aber kein US-Government-Procurement-Track. |
Aqua Security ist in D3 am besten positioniert — paradoxerweise weil das Produkt historisch mehr auf den kommerziellen Markt ausgerichtet war. Kein FedRAMP bedeutet weniger direkte Regierungsbeziehungen, aber auch weniger nachgewiesene Kooperationsinfrastruktur für behördliche Datenzugriffe.
Sysdig und Lacework sind in D3 am kritischsten: FedRAMP-Autorisierung ist ein starkes Signal, dass Sicherheitsarchitektur und Prozesse für US-Behörden-Compliance optimiert wurden — und dass US-Behörden bereits aktiv Kunden dieser Anbieter sind.
Dimension 4: Daten-Jurisdiktion und EU-Datenresidenz (max. 5 Punkte)
| Anbieter | D4-Score | Begründung |
|---|---|---|
| Orca Security | 5/5 | SideScanning-Technologie: Orca erstellt Snapshots des gesamten Cloud-Volumes — Filesystem-Inhalte, Konfigurationsdaten, Anwendungs-Secrets, installierte Software. Das ist der breiteste Datenzugriff der vier Anbieter. Primäre Verarbeitung auf Orca-eigener US-Infrastruktur. |
| Lacework (FortiCNAPP) | 4/5 | EU-Region (AWS Frankfurt) als Option verfügbar — seit Lacework-Zeit eingerichtet, technisch weiterhin angeboten. Reduziert den Score um einen Punkt. Strukturell entwertet durch Fortinet-US-Muttergesellschaft, aber technische Option existiert. |
| Sysdig | 4/5 | EU-Datenresidenz als Option verfügbar (nicht Default). eBPF Runtime-Agent verarbeitet Syscall-Daten granular — sehr hohe Datensensitivität (jede Filesystem- und Netzwerkoperation). |
| Aqua Security | 4/5 | Container-Image-Scanning = Vollzugriff auf Anwendungscode, Bibliotheksversionen, CVEs, Secrets (wenn vorhanden). Runtime Agent auf Cloud-Infrastruktur. EU-Datenresidenz nicht primär dokumentiert. |
Orca Security erhält den höchsten D4-Score durch SideScanning: Die Technologie ist technisch brillant, aber aus DSGVO-Sicht außergewöhnlich riskant. Ein Full-Filesystem-Scan, der auf US-Infrastruktur verarbeitet wird, überträgt potenziell mehr Daten (und sensitivere Daten) als die anderen drei Anbieter zusammen.
Dimension 5: Transparenz und Compliance-Dokumentation (max. 5 Punkte)
| Anbieter | D5-Score | Begründung |
|---|---|---|
| Orca Security | 2/5 | DPA verfügbar. Kein dediziertes CLOUD-Act-Disclosure. Sub-Processor-Liste verfügbar, aber keine Offenlegung behördlicher Anfragen. Keine proaktive Kommunikation zu CLOUD-Act-Risiken in Sales-Material. |
| Lacework (FortiCNAPP) | 3/5 | Fortinet Annual Report + SEC-Filings (öffentlich). Government-Solutions-Seite transparent über Behörden-Kunden. Kein Warrant Canary, keine CLOUD-Act-spezifische Policy. DPA korrekt strukturiert. |
| Sysdig | 3/5 | DPA vorhanden, korrekt. CLOUD Act-Compellability in Dokumentation nicht thematisiert — Standard-Praxis der Branche, aber kein Vorteil für EU-Kunden. FedRAMP-Autorisierungsdokumente öffentlich einsehbar. |
| Aqua Security | 3/5 | Israel-Adequacy für Muttergesellschaft explizit und korrekt kommuniziert (echter Vorteil). CLOUD Act-Exposure der US-Tochter wird nicht proaktiv thematisiert. DPA verfügbar. Trivy/OSS klar von Aqua Platform SaaS getrennt dokumentiert. |
Orca erhält den niedrigsten D5-Score weil SideScanning-Technologie ein hohes Erklärungsbedarf hat — und dieser Erklärungsbedarf für CLOUD-Act-Exposition in der Aqua-Dokumentation nicht abgedeckt wird. Wenn ein Produkt vollständige Filesystem-Kopien erstellt, sollte die Datenschutzdokumentation explizit adressieren, was mit diesen Snapshots unter behördlichem Druck geschieht.
Gesamtvergleich: Die vollständige CLOUD Act Matrix
| Dimension | Lacework/FortiCNAPP | Sysdig | Orca Security | Aqua Security |
|---|---|---|---|---|
| D1: Legal Entity | 5/5 | 5/5 | 5/5 | 5/5 |
| D2: Investor-Profil | 5/5 | 3/5 | 3/5 | 4/5 |
| D3: US-Staatsverträge | 5/5 | 5/5 | 4/5 | 2/5 |
| D4: Daten-Jurisdiktion | 4/5 | 4/5 | 5/5 | 4/5 |
| D5: Transparenz | 3/5 | 3/5 | 2/5 | 3/5 |
| GESAMT | 22/25 | 20/25 | 19/25 | 18/25 |
| Risikostufe | Sehr hoch | Hoch | Hoch | Erhöht |
Rangliste nach CLOUD-Act-Risiko (höchstes zuerst):
- Lacework/FortiCNAPP (22/25) — NASDAQ-Konzern mit GovRAMP + FedRAMP In Progress, US-Capital
- Sysdig (20/25) — FedRAMP Authorized, EU-Investor (Permira), aber US-Corp
- Orca Security (19/25) — SideScanning-Datentiefe, CapitalG-Investor, keine FedRAMP
- Aqua Security (18/25) — Niedrigster Score der Serie durch fehlendes FedRAMP und Israel-Adequacy-Vorteil
Keiner der vier Anbieter erreicht unter 15/25. Das CLOUD-Act-Risiko ist strukturell inhärent — es gibt keinen US-CSPM-Anbieter, der es vermeiden kann.
Was Scores wirklich bedeuten: Drei Risikoszenarien
Szenario 1: Routinierte CLOUD-Act-Anfrage
Ein US-Bezirksgericht stellt auf Antrag des FBI einen CLOUD-Act-Warrant aus — Standard-Verfahren, das bei NASDAQ-kotierten Unternehmen regelmäßig vorkommt. Der Anbieter ist rechtlich zur Herausgabe verpflichtet und darf den Kunden in vielen Fällen nicht informieren.
Exposition pro Anbieter:
- Lacework/FortiCNAPP: Vollständige Cloud-Konfigurationsdaten, IAM-Policies, Security-Group-Regeln, Compliance-Reports — für alle Fortinet-CSPM-Kunden unter dem Warrant-Scope
- Sysdig: Wie oben, plus Echtzeit-Syscall-Telemetrie aus eBPF-Runtime-Agents wenn der Warrant laufende Überwachung umfasst
- Orca Security: SideScanning-Snapshots — vollständige Filesystem-Inhalte zum Zeitpunkt des letzten Scans, inklusive potenzieller Secrets und Anwendungscode
- Aqua Security: Container-Image-Scans, Runtime-Telemetrie, CSPM-Konfigurationsdaten — ähnliche Exposition wie Orca, aber ohne Filesystem-Vollzugriff
Fazit: Bei einer Routine-Anfrage ist Aqua Security mit 18/25 am wenigsten exponiert, Lacework mit 22/25 am meisten.
Szenario 2: FISA § 702 Massenüberwachung
FISA § 702 erlaubt US-Geheimdiensten, ohne individuellen Warrant Massendaten von US-Providern zu beziehen, wenn die Zielperson kein US-Person ist. Das betrifft EU-Kunden strukturell.
Kritischer Unterschied zu CLOUD Act: FISA § 702 erfordert keinen richterlichen Beschluss für einzelne Anfragen. Es reicht eine Zertifizierung durch den Attorney General und Director of National Intelligence.
Anbieter mit etablierter Intelligence-Community-Kooperation (CrowdStrike, Mandiant, Recorded Future — aus unserer Threat-Intelligence-Serie) haben typischerweise FISA-§-702-Compliance-Infrastruktur bereits aufgebaut. Im CSPM-Bereich ist der D3-Score (US-Staatsverträge) der beste Proxy dafür:
- Lacework/Fortinet (D3=5/5, GovRAMP): Wahrscheinlich FISA-compliant-Infrastruktur
- Sysdig (D3=5/5, FedRAMP): FedRAMP High erfordert FISA-kompatible Architektur
- Orca Security (D3=4/5): Mögliche FISA-Exposition, nicht vollständig dokumentiert
- Aqua Security (D3=2/5): Geringste Wahrscheinlichkeit einer FISA-§-702-Integration
Szenario 3: Vendor-Breach mit nachgelagerter Behördenanfrage
Ein CSPM-Anbieter wird kompromittiert. US-Strafverfolgung ermittelt und fordert vollständige Logs und Kundendaten als Beweismaterial.
In diesem Szenario ist die Datenmenge entscheidend — nicht das Risiko einer gezielten Behördenanfrage gegen euch, sondern die Streubreite eurer Exposition wenn ein Anbieter als Ganzes unter Ermittlung steht.
Orca Security (D4=5/5) hat in diesem Szenario das höchste Risiko: SideScanning-Snapshots von potenziell Tausenden von Unternehmenskunden in einer einzigen Infrastruktur sind ein besonders attraktives und umfassendes Ermittlungsziel.
Entscheidungsmatrix: Wann welcher Anbieter (oder Alternative)
Für welche Organisationen ist welcher US-Anbieter akzeptabel?
| Organisations-Typ | Empfehlung | Begründung |
|---|---|---|
| Kritische Infrastruktur (NIS2 Art.3 wesentlich) | Nur EU-native | CLOUD Act-Risiko inkompatibel mit Sicherheitsanforderungen |
| DORA-scope Finanzinstitute (Art.28 ICT-Third-Party) | Nur EU-native oder Aqua Security + Self-Hosted-Trivy | IT-Drittanbieterrisiko erfordert CLOUD-Act-freie Option |
| Gesundheitswesen mit Patientendaten | Nur EU-native | Besondere Datenkategorien Art.9 DSGVO erhöhen Haftung |
| Mid-Market SaaS (non-kritisch) | Aqua Security oder Sysdig akzeptabel | Mit angemessenem Risikomanagement (DPA, SCCs, TIA) |
| SME (<250 Mitarbeiter) | Prowler OSS oder Cyscale | TCO-Vorteil + keine CLOUD-Act-Exposition |
| Startups mit US-Investoren | Sysdig oder Orca Security | Reale CLOUD-Act-Exposition, aber Investoren-Ecosystem erwartet US-tooling |
Transfer Impact Assessment (TIA) — Was ihr dokumentieren müsst
Wenn ihr einen US-CSPM-Anbieter einsetzen wollt, ist seit dem Schrems-II-Urteil (2020) ein Transfer Impact Assessment Pflicht (DSGVO Art. 44 ff.). Das TIA muss folgende Fragen beantworten:
- Welche Daten werden übertragen? (Konfigurationsdaten, IAM-Policies, Runtime-Telemetrie, Filesystem-Snapshots)
- Wie hoch ist die Wahrscheinlichkeit einer behördlichen Anfrage? (D3-Score als Proxy)
- Welche ergänzenden technischen Maßnahmen sind vorhanden? (Encryption, EU-Datenresidenz, Key-Management)
- Können diese Maßnahmen wirksam gegen CLOUD-Act-Anfragen schützen? (Antwort: Nein, wenn der Anbieter die Keys kontrolliert)
Ein gut dokumentiertes TIA kann den regulatorischen Nachweis sichern, dass ihr euch des Risikos bewusst seid — schützt aber nicht vor dem Risiko selbst.
EU-native Alternativen: Der vollständige Stack
Option A: Vollständig EU-native CSPM (0/25 CLOUD Act)
Cyscale — Der einzige echte EU-CSPM-Spezialist
Cyscale ist ein rumänisches Unternehmen (Cyscale SRL, Cluj-Napoca) mit EU-Infrastruktur und explizitem GDPR-Fokus. CLOUD-Act-Score: 0/25 — kein US-Nexus in Corporate Structure, Kapitalstruktur oder Infrastruktur.
# Cyscale Onboarding via CLI
npm install -g @cyscale/cli
cyscale auth login
cyscale cloud-account connect --provider aws --region eu-central-1
cyscale scan --policy-set gdpr-article-32 --output json
Einschränkungen: Cyscale ist kleiner als die US-Anbieter, hat weniger Community und einen weniger tiefen Rule-Set. Für einfache CSPM-Anforderungen (Fehlkonfigurationserkennung, CIS Benchmarks) ist es vollständig ausreichend.
Runecast — UK/EU-basierter Compliance-Scanner
Runecast Analyzer (Runecast Solutions Ltd., London UK) deckt VMware, AWS, Azure, GCP und Kubernetes ab mit fokus auf Compliance-Mapping (CIS, GDPR, NIS2, DORA). Post-Brexit ist UK nicht EU — aber kein CLOUD Act.
Option B: Open-Source-Stack (selbstgehostet, 0/25)
Der vollständige Open-Source-CSPM-Stack — alle Tools unter Apache/MIT-Lizenzen, selbstgehostet, keine US-SaaS-Abhängigkeit:
Prowler — CSPM-Layer
# Installation
pip3 install prowler
# AWS CSPM-Scan mit EU-Compliance-Focus
prowler aws \
--compliance gdpr_aws_eu \
--region eu-central-1 \
--output-formats json html \
--output-directory /var/reports/prowler/
Prowler deckt AWS, Azure, GCP und Kubernetes mit 300+ Checks ab und hat native GDPR-Compliance-Frameworks. Open Source (Apache 2.0).
Trivy — Container und IaC Scanning
# Container Image Scan
trivy image --severity HIGH,CRITICAL \
--compliance docker-cis \
--format json \
--output trivy-report.json \
myapp:latest
# Kubernetes Cluster Scan
trivy kubernetes --report all \
--compliance k8s-cis-1.23 \
--severity HIGH,CRITICAL cluster
kube-bench — Kubernetes CIS Benchmark
# Als Job im Cluster deployen
kubectl apply -f https://raw.githubusercontent.com/aquasecurity/kube-bench/main/job.yaml
kubectl logs -l app=kube-bench -n default
Falco — Runtime Security (eBPF-basiert)
# Helm-Installation
helm repo add falcosecurity https://falcosecurity.github.io/charts
helm install falco falcosecurity/falco \
--namespace falco \
--set driver.kind=ebpf \
--set tty=true
Cloud Custodian — Policy-as-Code
# GDPR Art.32 Encryption-Policy
policies:
- name: gdpr-s3-encryption-required
resource: aws.s3
filters:
- type: bucket-encryption
state: False
actions:
- type: set-bucket-encryption
crypto: AES256
NeuVector (SUSE) — Container-native Security
NeuVector ist seit der SUSE-Akquisition (2021) Open Source (Apache 2.0). SUSE ist ein deutsches Unternehmen — CLOUD-Act-Score: 0/25.
# NeuVector via Helm
helm repo add neuvector https://neuvector.github.io/neuvector-helm/
helm install neuvector-core neuvector/core \
--namespace cattle-neuvector-system \
--set manager.env.ssl=true \
--set controller.replicas=3
Option C: Hybridansatz (Aqua Security SaaS + Trivy Self-Hosted)
Für Organisationen mit US-Investoren-Druck oder bestehenden Aqua-Lizenzen ist ein Hybridmodell möglich:
- Aqua Platform SaaS: nur für CI/CD-Integration und Management-Console (CLOUD Act 18/25)
- Trivy Self-Hosted: für alle sensitiven Scans (Container-Images, Secrets, SBOM) → lokal, CLOUD Act 0/25
- Prowler Self-Hosted: für CSPM-Scans statt Aqua DriftPrevention
Damit reduziert ihr die CLOUD-Act-Exposition auf den Management-Layer, während die eigentlichen Scan-Daten lokal bleiben.
TCO-Vergleich: US-CSPM vs EU-native
| Lösung | Jährliche Lizenzkosten | CLOUD Act Risiko | Setup-Aufwand | Empfehlung |
|---|---|---|---|---|
| Lacework/FortiCNAPP | €80.000-€250.000/Jahr | 22/25 (sehr hoch) | Niedrig | Nur wenn Fortinet-Integration unvermeidbar |
| Sysdig | €60.000-€200.000/Jahr | 20/25 (hoch) | Niedrig | Akzeptabel für non-kritische Systeme mit FedRAMP-Bewusstsein |
| Orca Security | €50.000-€180.000/Jahr | 19/25 (hoch) | Niedrig | SideScanning-Risiko beachten, TIA zwingend |
| Aqua Security Platform | €40.000-€150.000/Jahr | 18/25 (erhöht) | Niedrig | Bester US-CSPM für EU-Compliance wenn US-SaaS nötig |
| Cyscale | €8.000-€30.000/Jahr | 0/25 (keines) | Niedrig | Beste EU-native Option für SME/Mid-Market |
| Prowler + Trivy + Falco | €0-€5.000/Jahr (Support) | 0/25 (keines) | Mittel-Hoch | Bester TCO für Teams mit Kubernetes-Expertise |
| NeuVector + Prowler | €0-€10.000/Jahr (Support) | 0/25 (keines) | Mittel | Empfohlen für kritische Infrastruktur / DORA-scope |
Regulatorische Einordnung: DSGVO, NIS2, DORA
DSGVO Art. 32 — Technische und organisatorische Maßnahmen
CSPM ist eine direkte TOMs-Implementierung: Fehlkonfigurationsmanagement, Zugriffssteuerung, Verschlüsselung. Wenn das CSPM-Tool selbst CLOUD-Act-exponiert ist, entsteht eine strukturelle Schwäche im TOM-Set — ihr investiert in Sicherheitsmaßnahmen, die von US-Behörden potenziell zugänglich sind.
Die Ironie: Je effektiver euer CSPM-Tool ist (je mehr es über eure Cloud-Konfiguration weiß), desto wertvoller sind die Daten für eine behördliche Anfrage.
NIS2 Art. 21(2)(c) — Zugriffskontrolle und Angriffserkennung
NIS2 verlangt für wesentliche Einrichtungen explizit Maßnahmen zur Erkennung von Cybervorfällen. CSPM-Tools sind direkte Implementierungen dieses Artikels. Die Frage ist: Darf das Werkzeug für diese Sicherheitsmaßnahme selbst ein Risiko für Art. 5(1)(f) DSGVO (Vertraulichkeit und Integrität) darstellen?
Für wesentliche NIS2-Einrichtungen (Energie, Transport, Gesundheit, digitale Infrastruktur) empfehlen wir die klare Antwort: Nein. EU-native CSPM-Tools sind hier die einzig compliant-sichere Wahl.
DORA Art. 28 — ICT-Drittanbieterrisiko-Management
DORA verpflichtet Finanzinstitute ab 17. Januar 2025 zu konkretem ICT-Third-Party-Risk-Management. Für einen US-CSPM-Anbieter bedeutet das:
- Register of ICT Contracts: CSPM-Vertrag als kritischer ICT-Drittanbietervertrag klassifizieren
- Contractual Clauses (Art. 30): DPA, SLA, Audit-Rechte, Exit-Strategie dokumentieren
- Subcontractor Risk: Cloud-Infrastruktur des CSPM-Anbieters (AWS/Azure/GCP) als Fourth-Party-Risk erfassen
- Concentration Risk: Wenn CSPM, SIEM und EDR alle beim selben US-Anbieter sind
Für DORA-scope Finanzinstitute ist Aqua Security (18/25) der einzige der vier Anbieter, der mit einer vertretbaren DORA-Risikoakzeptanz nutzbar wäre — und auch nur für nicht-kritische Teile der IT-Infrastruktur.
Migration: Von US-CSPM zu EU-native in 5 Phasen
Phase 1: Assessment und Parallelrun (Wochen 1-4)
# Prowler parallel zu bestehendem US-CSPM ausführen
pip3 install prowler
prowler aws --output-formats html json \
--output-directory /var/reports/prowler-baseline/
# Coverage-Vergleich erstellen
python3 compare_findings.py \
--prowler /var/reports/prowler-baseline/ \
--existing-cspm /var/reports/existing-cspm/
Ziel: Verstehen, welche Checks euer aktuelles US-CSPM abdeckt, die im OSS-Stack noch fehlen.
Phase 2: CI/CD-Integration (Wochen 3-6)
# GitLab CI: Trivy in Pipeline
trivy-scan:
stage: security
image: aquasec/trivy:latest
script:
- trivy image --severity HIGH,CRITICAL ${CI_REGISTRY_IMAGE}:${CI_COMMIT_SHA}
- trivy fs --security-checks vuln,secret,config .
allow_failure: false
Phase 3: Runtime Security (Wochen 5-10)
# Falco Deployment mit Custom-Regeln für DSGVO
helm install falco falcosecurity/falco \
--namespace security \
--set customRules.enabled=true \
--set customRules.content="$(cat /path/to/gdpr-rules.yaml)"
Phase 4: Kubernetes Compliance (Wochen 8-12)
# kube-bench als DaemonSet
kubectl apply -f kube-bench-daemonset.yaml
# Compliance-Report für NIS2 Art.21
kube-bench run --check 1.2.0,1.3.0 \
--json > kube-bench-nis2-$(date +%Y%m%d).json
Phase 5: Vollmigration und US-CSPM-Kündigung (Wochen 12-16)
Checkliste für die vollständige Migration:
- Prowler deckt alle kritischen CSPM-Checks ab (Coverage >90%)
- Trivy in allen CI/CD-Pipelines aktiv
- Falco Runtime-Alerting in SIEM integriert
- kube-bench Compliance-Reporting für NIS2/DORA dokumentiert
- NeuVector (falls container-native Security gewünscht) deployed
- US-CSPM-Vertrag formell gekündigt, Daten gelöscht (Art.17 DSGVO)
- Transfer-Impact-Assessment archiviert (als Nachweis der Due Diligence)
Fazit: Was wir in der CSPM-Serie gelernt haben
Die EU-CSPM-Serie hat vier grundlegende Erkenntnisse gebracht:
Erkenntnis 1: Alle US-CSPM-Anbieter sind CLOUD-Act-exponiert, ohne Ausnahme
D1 (Legal Entity) ist für alle vier 5/5. Das ist keine zufällige Übereinstimmung — es ist die strukturelle Realität des US-Tech-Stacks. Wer in der US-Startup-Ökonomie aufgewachsen ist, inkorporiert in Delaware.
Erkenntnis 2: Der Delta zwischen 18/25 und 22/25 ist real, aber kein Freifahrtschein
Aqua Security (18/25) ist in strukturell besser positioniert als Lacework (22/25) — kein FedRAMP, Israel-Adequacy für die Muttergesellschaft, kein vollständiger US-VC-Stack. Aber 18/25 bedeutet weiterhin erhöhtes Risiko, nicht risikofreiheit.
Erkenntnis 3: SideScanning ist die riskanteste CSPM-Technologie aus GDPR-Sicht
Orcas 19/25 klingt moderat, aber D4=5/5 zeigt: Die Technologie selbst ist das Problem. Vollständige Filesystem-Kopien auf US-Infrastruktur sind eine Datenschutzrisiko-Klasse für sich.
Erkenntnis 4: EU-native Alternativen sind reif für produktive Workloads
Cyscale, Prowler, Trivy, Falco, kube-bench und NeuVector sind nicht mehr Werkzeuge für experimentierfreudige Teams. Sie sind DSGVO-compliant, dokumentiert, community-unterstützt und kostengünstig. Der OSS-Stack ist für die meisten EU-Organisationen die überlegene Wahl.
Links zu den Einzelanalysen
- Post #1: Orca Security EU Alternative 2026 — Delaware C-Corp, CapitalG, SideScanning, CLOUD Act 19/25
- Post #2: Lacework EU Alternative 2026 — Fortinet-Akquisition, GovRAMP, CLOUD Act 22/25
- Post #3: Sysdig EU Alternative 2026 — FedRAMP Authorized, Permira, CLOUD Act 20/25
- Post #4: Aqua Security EU Alternative 2026 — Israel-Mutter Adequacy, US-Tochter CLOUD Act, 18/25
sota.io bietet europäische Cloud-Infrastruktur, die von Anfang an für DSGVO-Compliance designed wurde — ohne CLOUD Act-Exposition. Jetzt testen →
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.