EU CWPP Comparison Finale 2026: Wiz.io vs Prisma Cloud vs Trend Micro vs Lacework
Post #1242 — Abschluss der sota.io EU Cloud Workload Protection Platform Serie (5/5)
Die EU-CWPP-Serie ist abgeschlossen. In vier Einzelanalysen haben wir Wiz.io (Delaware C-Corp, FedRAMP High, CLOUD Act 21/25), Prisma Cloud/Palo Alto Networks (NASDAQ:PANW, FedRAMP High, CLOUD Act 20/25), Trend Micro Cloud One (Japan-Parent TSE + US-Tochter Delaware, CLOUD Act 17/25) und Lacework Runtime Security/FortiCNAPP nach der Fortinet-Akquisition (NASDAQ:FTNT, FedRAMP + GovRAMP + DoD, CLOUD Act 22/25) untersucht.
Dieser Finale-Post fasst zusammen: Welche Plattform weist das höchste GDPR-Risiko auf, was unterscheidet die vier Anbieter strukturell, und wann sind EU-native CWPP-Lösungen wie NeuVector, Falco, KubeArmor oder Tetragon die bessere Wahl?
Warum CWPP für EU-Compliance besonders kritisch ist
Cloud Workload Protection Platforms klingen nach einem rein technischen Werkzeug — Container absichern, Runtime-Anomalien erkennen, Syscall-Baselines bauen. Aus DSGVO-Sicht ist CWPP jedoch eine der heikelsten Kategorien von Drittanbieter-Software überhaupt:
CWPP-Tools haben per Design Zugang zu euren laufenden Workloads. Um Bedrohungen zu erkennen, muss ein CWPP-Werkzeug jeden Syscall, jeden Prozessstart, jede Netzwerkverbindung und jede Dateioperation überwachen. Das bedeutet: Ein US-CWPP-Anbieter unter CLOUD-Act-Jurisdiktion hat potenziell Zugang zu einer vollständigen Verhaltensaufzeichnung eurer Produktionssysteme — einschließlich Datenbankabfragen, API-Calls und verschlüsselter Verbindungsmetadaten.
Die rechtliche Logik: CLOUD Act 18 U.S.C. § 2713 verpflichtet US-Anbieter, Daten herauszugeben, wenn eine US-Behörde einen gültigen Beschluss vorlegt — unabhängig davon, wo die Daten physisch gespeichert sind. Ein CWPP-Anbieter unter US-Jurisdiktion kann nicht versprechen, eure Workload-Telemetrie gegen US-Behördenanfragen zu schützen, egal wie euer Data Processing Agreement formuliert ist.
Nach dem EuGH-Urteil C-311/18 (Schrems II) müssen EU-Datenverantwortliche für jede Drittlandübermittlung eine Transfer Impact Assessment durchführen. Bei US-CWPP-Anbietern mit aktiver Government-Cloud-Infrastruktur ist eine positive TIA bei Runtime-Syscall-Daten technisch kaum begründbar — da diese Daten im Klartext vorliegen und Verschlüsselung kein Schutz gegen Behördenanfragen an den Anbieter selbst darstellt.
Die vier analysierten US-Anbieter sind führende Vertreter des CWPP/CNAPP-Markts. Alle vier sind in den USA inkorporiert, alle vier unterliegen dem CLOUD Act — mit unterschiedlichen Risikostufen je nach Unternehmensstruktur, Regierungsbeziehungen und Datenanamnese.
CLOUD Act Matrix: Alle vier im direkten Vergleich
Die vollständige Vergleichsmatrix — alle vier Anbieter auf denselben fünf Dimensionen mit jeweils max. 5 Punkten:
Dimension 1: Legal Entity und US-Jurisdiktion (max. 5 Punkte)
| Anbieter | D1-Score | Kernstruktur |
|---|---|---|
| Lacework (FortiCNAPP) | 5/5 | Fortinet Inc., NASDAQ:FTNT, Sunnyvale CA. Delaware C-Corp. FY2024-Umsatz $6,1 Mrd. Lacework 2024 für ~$100M akquiriert. |
| Wiz.io | 5/5 | Wiz, Inc., Delaware C-Corp, New York NY. Israelische Gründer, aber US-Corp seit Gründung. |
| Prisma Cloud | 5/5 | Palo Alto Networks Inc., NASDAQ:PANW, Santa Clara CA. Delaware C-Corp. Twistlock/PureSec Akquisitionen. |
| Trend Micro Cloud One | 5/5 | Trend Micro Inc. Japan-Parent (TSE: 4704) + Trend Micro Americas Inc. Delaware C-Corp (Irving TX) als CLOUD Act-Anknüpfungspunkt. |
D1 kann kein einziger der vier Anbieter verbessern, ohne die Unternehmensstruktur fundamental zu ändern. Das ist der Kern des Problems für EU-DSGVO-Compliance: Die rechtliche Basis für CLOUD-Act-Anfragen ist bei allen vier identisch. Auch Japan-Parent-Adequacy schützt Trend Micro nicht: CLOUD Act gilt für die US-Tochtergesellschaft, nicht die japanische Muttergesellschaft.
Dimension 2: Investor-Profil und US-Kapitalverflechtung (max. 5 Punkte)
| Anbieter | D2-Score | Begründung |
|---|---|---|
| Lacework (FortiCNAPP) | 5/5 | Fortinet ist ein selbst börsennotierter US-NASDAQ-Konzern. D2 reflektiert volle Exposition eines US-Large-Caps mit US-Aktionärsbasis, SEC-Reporting und US-Regulierung. Fortinet Government Solutions als eigenständige Business Unit. |
| Wiz.io | 5/5 | Ausschließlich US-amerikanische Investoren: Sequoia Capital, a16z (Andreessen Horowitz), Lightspeed Venture Partners, Insight Partners, General Atlantic — alle mit US-Intelligence-Community-Proximitiy. Keine EU- oder neutralen Investoren im Cap Table. |
| Prisma Cloud | 4/5 | Palo Alto Networks hat ein breites institutionelles Aktionariat (Vanguard, BlackRock, T. Rowe Price). Prisma Cloud entstammt Akquisitionen (Twistlock, PureSec, RedLock). US-VC-History der akquirierten Startups reduziert den Unterschied zu Wiz. |
| Trend Micro Cloud One | 3/5 | Japan-Parent Trend Micro Inc. (TSE:4704) hat mixed Investorenbasis (japanische Institutionals + CATALiST + Sumitomo). US-Tochter Delaware C-Corp erhält jedoch keine VC-Absicherung — US-Behördenanfragen gelten direkt für die US-Tochter. |
Trend Micro ist in D2 am besten positioniert — paradoxerweise weil die japanische Kapitalstruktur keine US-VC-National-Security-Verbindungen einbringt. Das schützt nicht vor CLOUD-Act-Anfragen, reduziert aber die Wahrscheinlichkeit, dass US-Government-Stellen indirekte Einflusswege über den Cap Table haben.
Dimension 3: US-Staatsverträge und Regierungskooperation (max. 5 Punkte)
| Anbieter | D3-Score | Begründung |
|---|---|---|
| Lacework (FortiCNAPP) | 4/5 | Fortinet: GovRAMP autorisiert (aktiv), FedRAMP-Antrag laufend für FortiCNAPP-spezifische Funktionen. Fortinet Government Solutions mit DoD CMMC-Relevanz. US-Behörden als explizite Zielkunden. GovRAMP = staatliche Kooperationsinfrastruktur etabliert. |
| Wiz.io | 5/5 | FedRAMP High Authorization — die höchste US-Bundesbehörden-Zertifizierungsstufe. Explizite Government Cloud-Angebote. FedRAMP High signalisiert: Sicherheitsarchitektur ist für US-Behördenanforderungen optimiert, aktive Federal-Kunden vorhanden. |
| Prisma Cloud | 5/5 | FedRAMP High Authorization (Palo Alto Networks Prisma Cloud Government). Aktive DoD-Contracts. CMMC-relevante Produktlinie. PANW ist einer der größten US-Cyber-Defense-Contractor. |
| Trend Micro Cloud One | 2/5 | Keine eigenständige FedRAMP-Autorisierung für Cloud One CWPP. Trend Micro hat ältere US-Behörden-Beziehungen, aber Cloud One ist primär auf kommerziellen Markt ausgerichtet. Deutlich geringere US-Government-Kooperationsinfrastruktur als Wiz oder Prisma. |
Trend Micro ist in D3 mit Abstand am besten positioniert. Kein FedRAMP für die CWPP-Plattform bedeutet weniger direkte Regierungsbeziehungen und weniger nachgewiesene Kooperationsinfrastruktur für behördliche Datenzugriffe.
Wiz.io und Prisma Cloud sind in D3 am kritischsten: FedRAMP High ist ein starkes Signal, dass Sicherheitsarchitektur für US-Behörden-Compliance optimiert wurde und US-Behörden bereits aktive Kunden sind.
Dimension 4: Daten-Jurisdiktion und Telemetrie-Umfang (max. 5 Punkte)
| Anbieter | D4-Score | Begründung |
|---|---|---|
| Lacework (FortiCNAPP) | 5/5 | FortiCNAPP verarbeitet granulare Runtime-Telemetrie (Polygraph-Technologie): jeder Syscall, jede Netzwerkverbindung, jeder Prozessstart. Primäre Verarbeitung in Fortinet-US-Infrastruktur. EU-Region-Option technisch verfügbar, aber US-Muttergesellschaft überlagert rechtlich. |
| Wiz.io | 3/5 | Wiz Agentless Architecture: Cloud-API-basiertes Scanning ohne Runtime-Agent. Geringerer Telemetrie-Footprint als Agent-basierte CWPP. EU-Datenresidenz als Option verfügbar (AWS Frankfurt, Azure Germany). Reduzierter D4-Score durch technische Architekturentscheidung. |
| Prisma Cloud | 3/5 | Prisma Cloud Compute-Agent (Defender) überwacht Container-Runtime. EU-Datenresidenz verfügbar. Twistlock-Erbe ermöglicht Self-Hosted-Deployment. Geringerer D4-Score durch EU-Residenz-Option und Self-Hosted-Möglichkeit. |
| Trend Micro Cloud One | 4/5 | Container Security + Workload Security kombiniert Server- und Container-Monitoring. US-Infrastruktur als primärer Verarbeitungsort. EU-Datenresidenz nicht primär dokumentiert. Workload Security Agent überwacht Filesystem-Integritätsprüfungen auf Host-Ebene. |
Wiz.io und Prisma Cloud sind in D4 am besten positioniert — Wiz durch Agentless-Architektur (kein Runtime-Agent, kein Syscall-Stream), Prisma durch Self-Hosted-Option. Lacework erhält den höchsten D4-Score durch die Kombination aus Polygraph-Granularität und US-Infrastruktur-Primär.
Dimension 5: Transparenz und Compliance-Dokumentation (max. 5 Punkte)
| Anbieter | D5-Score | Begründung |
|---|---|---|
| Lacework (FortiCNAPP) | 3/5 | Fortinet-Übernahme 2024 — Lacework-spezifische DSGVO-Dokumentation im Übergangszustand. Fortinet-Hauptseite hat umfassende Compliance-Docs, aber FortiCNAPP-spezifische Dokumentation zur CLOUD Act-Exposition ist lückenhaft. |
| Wiz.io | 3/5 | DPA verfügbar, SCCs eingebunden. CLOUD-Act-Risiko nicht explizit kommuniziert. Wiz-Trust-Center dokumentiert Security-Controls, aber beantwortet nicht die Frage: "Können US-Behörden auf eure Runtime-Daten zugreifen?" |
| Prisma Cloud | 3/5 | PANW hat umfassende Trust-Dokumentation. DSGVO-Ergänzungen zu DPA vorhanden. CLOUD-Act-Exposition im Kontext FedRAMP jedoch nicht offen kommuniziert. Government-Cloud und Commercial-Cloud-Trennung dokumentiert. |
| Trend Micro Cloud One | 3/5 | Trend Micro hat lange DSGVO-Geschichte (Japan-Adequacy-Argument). Transparenz bzgl. US-Tochter-CLOUD Act-Exposition begrenzt. Compliance-Docs fokussieren auf Japan-Parent-Adequacy, nicht auf Delaware-Tochter-Risiko. |
Alle vier Anbieter erhalten in D5 identisch 3/5: Keine einzige der analysierten Plattformen kommuniziert proaktiv und vollständig, unter welchen Umständen US-Behörden auf Runtime-Telemetrie zugreifen könnten.
Gesamtergebnis: CLOUD Act Matrix EU-CWPP-Serie
| Anbieter | D1 (Legal) | D2 (Investor) | D3 (Gov) | D4 (Data) | D5 (Transp.) | Gesamt | Risiko-Level |
|---|---|---|---|---|---|---|---|
| Lacework (FortiCNAPP) | 5/5 | 5/5 | 4/5 | 5/5 | 3/5 | 22/25 | 🔴 KRITISCH |
| Wiz.io | 5/5 | 5/5 | 5/5 | 3/5 | 3/5 | 21/25 | 🔴 KRITISCH |
| Prisma Cloud | 5/5 | 4/5 | 5/5 | 3/5 | 3/5 | 20/25 | 🔴 KRITISCH |
| Trend Micro Cloud One | 5/5 | 3/5 | 2/5 | 4/5 | 3/5 | 17/25 | 🟠 HOCH |
| NeuVector (SUSE) | 0/5 | 0/5 | 0/5 | 0/5 | n/a | 0/25 | ✅ KEIN Risiko |
| Falco (CNCF Self-Hosted) | 0/5 | 0/5 | 0/5 | 0/5 | n/a | 0/25 | ✅ KEIN Risiko |
Kernbefund: Der niedrigste CLOUD Act Score der Serie ist 17/25 (Trend Micro). Kein einziger der vier analysierten US-CWPP-Anbieter kann unter 15/25 sinken — strukturell bedingt durch ihre US-Inkorporierung und den Zugang zu Runtime-Workload-Telemetrie.
Strukturelle Unterschiede: Was die Scores antreibt
Warum Lacework/FortiCNAPP 22/25 erhält (höchster Score der Serie)
Lacework ist der einzige Anbieter in der CWPP-Serie, der nach der Analyse von Anbieter 1–4 den höchsten CLOUD Act Score erhält. Die Treiber:
-
Fortinet-Akquisition 2024: Lacework ist nicht mehr ein VC-backed Startup, sondern eine Tochter eines NASDAQ-notierten US-Verteidigungskonzerns. Fortinet Government Solutions ist eine eigenständige Business Unit mit DoD-Kunden.
-
GovRAMP Authorization: Aktive Bundesbehörden-Autorisierung für staatliche Kunden bedeutet, dass Fortinets Infrastruktur explizit für US-Regierungsanforderungen ausgelegt ist.
-
Polygraph Runtime Telemetrie: Die Kernstärke von Lacework ist gleichzeitig das größte CLOUD Act Risiko — granularste Verhaltensaufzeichnung aller Workloads mit Syscall-Auflösung.
-
Größter US-Government-Nexus: Kein anderer Anbieter der CWPP-Serie kombiniert NASDAQ-Large-Cap-Status, aktive Behörden-Autorisierung und hochgranulare Runtime-Telemetrie in dieser Kombination.
Warum Trend Micro 17/25 erhält (niedrigster Score der Serie)
Trend Micro erhält den niedrigsten Score — nicht weil es sicherer wäre, sondern weil strukturelle Faktoren das CLOUD Act Risiko begrenzen:
-
Japan-Parent ohne US-VC: Die japanische Kapitalstruktur bringt keine US-National-Security-VC-Verbindungen mit.
-
Kein FedRAMP für Cloud One CWPP: Primär kommerzieller Markt ohne dokumentierte US-Government-Zertifizierung für die Container/Workload-Security-Plattform.
-
Japan-Adequacy-Paradox: Trend Micro kommuniziert Japan-Adequacy als Schutzargument — das ist für die US-Tochtergesellschaft rechtlich irrelevant, zeigt aber, dass keine aktive US-Government-Kooperationsinfrastruktur aufgebaut wurde.
WICHTIG: Ein Score von 17/25 bedeutet immer noch hohes CLOUD Act Risiko. Die US-Tochtergesellschaft Trend Micro Americas Inc. (Delaware) unterliegt vollständig dem CLOUD Act. Trend Micro ist nicht DSGVO-sicher — es ist lediglich das geringste Risiko unter vier riskanten Optionen.
Vergleich: CWPP-Serie vs CSPM-Serie
Ein direkter Vergleich mit der abgeschlossenen EU-CSPM-Serie (Posts #1233–#1237) zeigt ein Muster:
| Serie | Niedrigster Score | Höchster Score | Durchschnitt |
|---|---|---|---|
| EU-CSPM | 18/25 (Aqua Security) | 22/25 (Lacework CSPM) | 19,75/25 |
| EU-CWPP | 17/25 (Trend Micro) | 22/25 (Lacework FortiCNAPP) | 20,00/25 |
CWPP-Anbieter sind im Durchschnitt riskanter als CSPM-Anbieter. Die Erklärung ist technisch: CWPP-Plattformen benötigen tieferen Runtime-Zugang als CSPM-Tools. CSPM scannt Konfigurationen — CWPP überwacht laufende Prozesse. Das erhöht den D4-Score (Datensensitivität) systematisch.
EU-native CWPP-Stack: Vier Pfade ohne CLOUD Act
Kein einziger US-CWPP-Anbieter kann CLOUD Act Risiko auf 0/25 reduzieren. Die einzige Möglichkeit, CLOUD Act vollständig auszuschließen, sind EU-native oder CNCF-selbstgehostete Lösungen:
Pfad 1: NeuVector (SUSE) — Enterprise Container Security ohne US-Jurisdiktion
CLOUD Act Score: 0/25
SUSE S.A. ist eine luxemburgische Société Anonyme mit Hauptsitz in Nürnberg, Deutschland. Nach der Trennung von EQT (schwedisch) ist SUSE börsennotiert (Frankfurt Stock Exchange) ohne US-Muttergesellschaft oder US-VC-Kontrolle.
NeuVector bietet vollständige CWPP-Funktionalität:
- Runtime Security: Behavioral-Baseline-Learning mit Syscall-Monitoring
- Network Segmentation: Layer 7 Container-Firewall
- Compliance: CIS Benchmarks, PCI DSS, HIPAA, DSGVO-relevante Controls
- Full Self-Hosted Deployment: Alle Daten bleiben on-premises oder in eurer EU-Cloud-Infrastruktur
Eignung: Finanzsektor, Healthcare, Behörden — überall wo CLOUD Act ein compliance-relevant ist.
Pfad 2: Falco (CNCF) + Tetragon (CNCF/Isovalent) — eBPF Runtime Security Stack
CLOUD Act Score: 0/25
Beide Tools sind CNCF-Projekte ohne US-Anbieter-Jurisdiktion. Sie bilden gemeinsam einen vollständigen Runtime-Security-Stack:
Falco (Cloud Native Computing Foundation):
- Kernel-Level Syscall-Monitoring via eBPF oder Kernel Module
- 200+ vorgefertigte Regeln für MITRE ATT&CK Cloud
- Prometheus/Grafana Integration für EU-eigene Monitoring-Infrastruktur
- Keine Cloud-Backend-Abhängigkeit — vollständig self-contained
Tetragon (Isovalent/Cilium, CNCF-donated):
- eBPF-basierte Enforcement (nicht nur Detection)
- Prozess- und Netzwerkrichtlinien auf Kernel-Ebene durchsetzen
- Integration mit Kubernetes NetworkPolicy
- Granulare Audit-Logs für NIS2 Art. 21(2)(c) Compliance
Empfehlung: Falco + Tetragon als primären CWPP-Stack für cloud-native Kubernetes-Workloads.
Pfad 3: KubeArmor — Kubernetes-native Policy Enforcement
CLOUD Act Score: 0/25
KubeArmor ist ein CNCF Sandbox-Projekt für containerbasierte Policy-Enforcement auf System-Ebene:
- Linux Security Module (LSM)-basierte Enforcement (AppArmor, SELinux)
- POSIX-Compliance für Container und VMs
- Audit-Logging für DSGVO-Nachweispflichten
- Keine Cloud-Backend-Abhängigkeit
Pfad 4: Tracee (Aqua OSS) — Vorsicht bei der Unterscheidung
CLOUD Act Score: 0/25 für das OSS-Projekt — CLOUD Act 18/25 für Aqua Security SaaS
Tracee ist ein Open-Source eBPF-Runtime-Security-Tool, das von Aqua Security entwickelt wird. Das OSS-Projekt selbst hat keine CLOUD Act Exposition — aber: wenn Aqua Security Telemetrie aus Tracee in ihre SaaS-Platform integriert, gilt CLOUD Act 18/25 für die SaaS-Nutzung.
Empfehlung: Tracee nur self-hosted verwenden, ohne Aqua Security SaaS-Backend.
GDPR Art. 32, NIS2 Art. 21 und DORA Art. 28: Was bedeutet das konkret?
GDPR Art. 32 — Technische und organisatorische Maßnahmen
Für CWPP unter DSGVO Art. 32 bedeutet CLOUD Act Exposition:
-
Pseudonymisierung nicht möglich: Runtime-Syscall-Telemetrie enthält Prozessnamen, Dateipfade und Netzwerk-Endpoints — strukturell nicht pseudonymisierbar ohne Funktionsverlust.
-
Vertraulichkeit nicht garantierbar: US-Behördenanfragen können Vertraulichkeit legal durchbrechen — das Gegenteil von Art. 32(1)(b) "Integrität und Vertraulichkeit".
-
Transfer Impact Assessment (TIA) erforderlich: Nach Schrems II für jeden US-CWPP-Anbieter Pflicht. Bei 20–22/25 CLOUD Act Score ist eine positive TIA für Runtime-Telemetrie-Daten ohne ergänzende Schutzmaßnahmen kaum begründbar.
NIS2 Art. 21(2)(c) — Sicherheit der Lieferkette
CWPP-Anbieter sind Teil der Security-Lieferkette. NIS2 Art. 21(2)(c) verlangt "Sicherheit in der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern."
Ein US-CWPP-Anbieter mit 20–22/25 CLOUD Act Score ist ein Hochrisiko-Lieferant in eurer NIS2-Lieferketten-Risikoanalyse. NIS2 Art. 21(4) gibt nationalen Behörden das Recht, spezifische CWPP-Anforderungen zu erlassen — mehrere EU-Mitgliedstaaten (DE, FR, NL) haben Leitlinien veröffentlicht, die US-Anbieter für kritische Infrastruktur einschränken.
DORA Art. 28 — Drittparteien-Risiko im Finanzsektor
Für regulierte Finanzinstitute unter DORA ist CWPP mit CLOUD Act-Exposition ein Drittparteien-Risiko, das zwingend in das Register der Informations- und Kommunikationstechnologie-Drittparteien aufgenommen werden muss.
DORA Art. 28(4)(e) verlangt Klauseln zu Standort und Datenhaltung. Ein US-CWPP-Anbieter mit GovRAMP-Autorisierung (Lacework/FortiCNAPP) kann diese Klauseln nicht widerspruchsfrei erfüllen — GovRAMP bedeutet explizite Kooperationsverpflichtung mit US-Behörden.
Drei CLOUD Act Risikoszenarien für EU-CWPP-Kunden
Szenario 1: Incident Response mit US-Behördenbeteiligung
Euer CWPP-Anbieter (Lacework/Wiz/Prisma) betreibt seine Backend-Infrastruktur auf AWS US-East. Ein US-Strafverfolgungsbehörde erhält einen CLOUD Act-Beschluss im Rahmen einer Cyber-Untersuchung. Die Behörde verlangt alle Runtime-Telemetrie-Logs für eure Container der letzten 90 Tage.
Konsequenz: Vollständige Prozess-Timeline, Datenbankabfrage-Patterns, Netzwerkverbindungs-Metadaten und Dateizugriffs-Sequenzen eurer Produktionssysteme befinden sich in US-Behördenhänden — ohne dass ihr informiert werdet oder Einspruch erheben könnt.
Szenario 2: DSGVO-Audit nach CLOUD Act-Offenlegung
Euer Datenschutzbeauftragter entdeckt bei einer DSGVO-Aufsichtsprüfung, dass Workload-Telemetrie (Syscalls, Prozessstartsignale, Netzwerkflows) an US-Infrastruktur übertragen wird. Das zuständige Datenschutzamt verlangt eine TIA für den CWPP-Anbieter.
Konsequenz: Wenn der Anbieter FedRAMP High autorisiert ist (Wiz, Prisma) und keine wirksamen Zusatzmaßnahmen bestehen, kann die Übertragung als unzulässig eingestuft werden. Bußgelder bis 4% des globalen Jahresumsatzes gemäß DSGVO Art. 83(5).
Szenario 3: NIS2-Lieferketten-Audit
Euer Unternehmen ist als kritische Infrastruktur nach NIS2 klassifiziert. Die nationale Behörde (BSI/ANSSI/NCSC) fordert eine Lieferketten-Risikoanalyse eurer Security-Tools. CWPP-Anbieter müssen offenlegen, welche US-Regierungsverträge bestehen.
Konsequenz: CWPP mit 20–22/25 CLOUD Act Score kann als inakzeptables Lieferkettenrisiko eingestuft werden. Behörden können Auflagen zur Migration auf EU-native Lösungen erlassen.
Entscheidungsmatrix: Wann welche Lösung?
| Anwendungsfall | US-CWPP möglich? | Empfehlung |
|---|---|---|
| Finanzsektor (DORA) | ⚠️ Nur mit TIA + Zusatzmaßnahmen | NeuVector (0/25) bevorzugt |
| Kritische Infrastruktur (NIS2) | ⚠️ Behördenentscheid abwarten | NeuVector + Falco + Tetragon |
| Gesundheitswesen (eHDS) | ⚠️ Risikobewertung erforderlich | Falco Self-Hosted |
| Bundesbehörden (DE/FR/NL) | ❌ Häufig nicht zulässig | NeuVector + KubeArmor |
| SaaS B2B (nicht-reguliert) | ✅ Mit DPA + SCCs akzeptabel | Trend Micro (17/25) niedrigstes Risiko |
| Startup/SME ohne DORA | ✅ Mit sorgfältiger TIA | Wiz (21/25) oder Prisma (20/25) |
Faustregel: Wenn eure Kunden EU-Behörden, Finanzinstitute oder Gesundheitsorganisationen sind, erwarten diese von euch CLOUD Act-freie Infrastruktur. Euer CWPP-Anbieter ist dann Teil eurer eigenen Compliance-Geschichte.
Empfehlung: EU-nativer CWPP-Stack für Kubernetes
Für vollständige CLOUD Act-Freiheit empfehlen wir den folgenden EU-nativen Stack:
Runtime Threat Detection: Falco (CNCF) + Tetragon (CNCF/eBPF)
Container Network Security: NeuVector (SUSE/Deutschland) oder Cilium
Policy Enforcement: KubeArmor (CNCF Sandbox)
Compliance Reporting: NeuVector built-in oder Prowler (CNCF OSS)
Vulnerability Scanning: Trivy (Aqua OSS, self-hosted) oder Grype (Anchore OSS)
Dieser Stack ersetzt alle CWPP-Kernfunktionen der analysierten US-Anbieter:
- Keine US-Anbieter-Jurisdiction
- Vollständig self-hosted oder EU-Cloud-deploybar
- CNCF-Governance statt proprietärer Cloud-Backend-Abhängigkeit
- DSGVO Art. 32-konform ohne TIA-Risiko
TCO-Vergleich: Der EU-native Stack hat keine Lizenzkosten für Falco, Tetragon, KubeArmor, Trivy und Prowler (CNCF OSS). NeuVector Enterprise (SUSE) kostet ~€30–60 pro Node/Jahr — deutlich unter Enterprise-CWPP-Preisen von Wiz ($50+/Workload/Monat) oder Prisma Cloud ($30+/Workload/Monat).
Fazit: CWPP-Kauf ist eine Compliance-Entscheidung
Die EU-CWPP-Serie hat gezeigt: Kein einziger der analysierten US-Anbieter kann unter 17/25 CLOUD Act Score sinken. Das ist strukturell bedingt — sie sind alle Delaware C-Corps, alle mit US-Investoren oder US-Börsennotierung, und alle müssen Runtime-Telemetrie verarbeiten.
Die zentrale Erkenntnis der Serie:
- Lacework/FortiCNAPP (22/25) ist der riskanteste Anbieter — NASDAQ-Large-Cap, GovRAMP, Polygraph-Telemetrie.
- Wiz.io (21/25) ist trotz Agentless-Architektur kritisch — FedRAMP High + rein US-VC = maximaler Government-Nexus.
- Prisma Cloud (20/25) ist ähnlich wie Wiz — FedRAMP High + PANW-Konzernstruktur.
- Trend Micro Cloud One (17/25) ist das geringste Risiko — aber kein niedrigeres Risiko genug für regulierte Sektoren.
Für EU-Organisationen in regulierten Sektoren ist die Antwort klar: NeuVector, Falco + Tetragon und KubeArmor bieten vollständige CWPP-Funktionalität ohne CLOUD Act Exposition. Die Migrationshürde ist real — aber der Compliance-Gewinn auch.
Die vollständige EU-CWPP-Serie:
- Wiz.io EU Alternative 2026 — CLOUD Act 21/25
- Prisma Cloud (Palo Alto) EU Alternative 2026 — CLOUD Act 20/25
- Trend Micro Cloud One EU Alternative 2026 — CLOUD Act 17/25
- Lacework Runtime Security (FortiCNAPP) EU Alternative 2026 — CLOUD Act 22/25
Weitere EU-Compliance-Serien: EU CSPM Comparison Finale 2026
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.