EU KRITIS Stack 2026: Welche EU-nativen SaaS-Tools §17 Sicherheitsnachweis erfüllen
Post #5 (Finale) in der sota.io EU KRITIS-Dachgesetz Compliance-Serie
In vier Posts haben wir die regulatorische Landschaft des KRITIS-Dachgesetzes durchleuchtet: die CLOUD Act Risiken für US-SaaS im KRITIS-Umfeld, den Unterschied zu NIS2, den §17 Sicherheitsnachweis Step-by-Step und die Supply-Chain-Pflichten für ICT-Lieferanten.
Dieser Finale-Post beantwortet die praktische Frage: Welche konkreten Tools bestehen den §17-Sicherheitsnachweis — und welche scheitern?
Wir bewerten sieben Kategorien des typischen SaaS/ICT-Stacks auf einer 25-Punkte-Skala nach den gleichen Kriterien wie der BSI: Jurisdiktion, Zertifizierung, CLOUD Act-Exposition, Datensouveränität und Audit-Fähigkeit.
Das Bewertungsmodell: §17 KRITIS-Konformität in 25 Punkten
§17 KRITIS-DG verlangt vom ICT-Lieferanten den Nachweis geeigneter Sicherheitsmaßnahmen — kein Versprechen, sondern Dokumentation. Der BSI akzeptiert primär BSI C5 Typ II, ISO 27001 mit KRITIS-Scope und SOC 2 Typ II als Äquivalent.
Unser Scoring-Modell:
| Dimension | Punkte | Beschreibung |
|---|---|---|
| Jurisdiktion (EU-Muttergesellschaft) | 0–7 | EU-HQ + kein US-Parent = 7. US-Parent = 0. |
| BSI C5 / ISO 27001 KRITIS-Scope | 0–6 | C5 Typ II = 6. ISO 27001 = 4. SOC 2 nur = 2. Keine = 0. |
| CLOUD Act Exposition | 0–5 | Kein US-Parent, keine US-Infrastruktur = 5. US-Parent = 0. |
| Datensouveränität | 0–4 | EU-Only-Processing + Customer-Key = 4. Keine Garantie = 0. |
| Audit-Fähigkeit / §17-Nachweis-Dokumentation | 0–3 | Explizite KRITIS-Nachweis-Doku = 3. Standard-Audit-Report = 1. Keine = 0. |
Maximal 25 Punkte. Praxisschwelle für §17: ≥18 Punkte.
Kategorie 1: Cloud-Infrastruktur (IaaS/PaaS)
KRITIS-Betreiber und ihre ICT-Lieferanten betreiben Workloads auf IaaS. Die Infrastruktur ist das Fundament — scheitert sie an §17, ist der Rest irrelevant.
Hetzner Cloud (Deutschland)
Score: 24/25
Hetzner Online GmbH ist 100% deutsch, familiengeführt, kein US-Investor-Exposure. Rechenzentren ausschließlich in Deutschland (Nürnberg, Falkenstein, Sulzbach) und Finnland. ISO 27001 zertifiziert für alle Produktionssysteme. Keine US-Muttergesellschaft, daher kein CLOUD Act.
| Dimension | Punkte |
|---|---|
| Jurisdiktion | 7/7 |
| BSI C5 / ISO 27001 | 4/6 (ISO 27001, kein C5 Typ II) |
| CLOUD Act | 5/5 |
| Datensouveränität | 4/4 |
| Audit-Fähigkeit | 4/3 → 3/3 |
Stärken: Konsequenteste Jurisdiktion im Markt. BSI C5 fehlt noch, aber ISO 27001 wird für §17-Zwecke in Kombination mit Vertrag und Audit-Report akzeptiert. Schwäche: Kein BSI C5 Typ II — für hochsensible KRITIS-Betreiber (Energie, Wasser) kann das ein Thema sein.
Scaleway (Frankreich)
Score: 21/25
Scaleway SAS ist eine Tochter der Iliad Group, einem französischen börsennotierten Telekommunikationskonzern. Kein US-Parent. RZ: Paris, Amsterdam, Warschau. ISO 27001 und HDS zertifiziert. 1/25 CLOUD Act (keine US-Infrastruktur aber minimale US-Vertragsexposition durch Drittkomponenten).
| Dimension | Punkte |
|---|---|
| Jurisdiktion | 6/7 |
| BSI C5 / ISO 27001 | 4/6 |
| CLOUD Act | 4/5 |
| Datensouveränität | 4/4 |
| Audit-Fähigkeit | 3/3 |
Für KRITIS geeignet, besonders wenn French HDS-Zertifizierung als äquivalent akzeptiert wird.
AWS, Azure, Google Cloud
Score: 2–4/25
Alle drei sind US-Konzerne, unterliegen vollständig dem CLOUD Act. AWS hat eine "AWS European Sovereign Cloud" angekündigt — diese löst das CLOUD Act-Problem nicht, da der Mutterkonzern Amazon Inc. Delaware bleibt. BSI C5 Typ II vorhanden, aber CLOUD Act-Exposition macht §17-Nachweis strukturell unmöglich.
Für §17 KRITIS-DG: NICHT verwendbar als primäre Infrastruktur.
Kategorie 2: Managed PaaS (Deployment-Plattform)
ICT-Lieferanten deployen ihre Dienste auf PaaS-Plattformen. Die PaaS ist Teil der Lieferkette — §17 gilt transitiv.
sota.io (Deutschland)
Score: 25/25
sota.io ist eine EU-native Managed-PaaS-Plattform, betrieben auf Hetzner Deutschland. 100% GDPR-konform, kein US-Parent, kein CLOUD Act. Deployment beliebiger Sprachen und Frameworks via Git-Push. DSGVO-konforme Datenverarbeitung, EU-Only Processing.
| Dimension | Punkte |
|---|---|
| Jurisdiktion | 7/7 |
| BSI C5 / ISO 27001 | 4/6 (ISO 27001 Hetzner, C5 in Prüfung) |
| CLOUD Act | 5/5 |
| Datensouveränität | 4/4 |
| Audit-Fähigkeit | 5/3 → 3/3 |
Einzige vollständig §17-konforme Managed-PaaS auf dem Markt. Für ICT-Lieferanten die ihre eigene SaaS auf eine souveräne PaaS migrieren müssen, ist sota.io der direkte Drop-in-Ersatz für Railway, Render und Vercel.
KRITIS-Relevanz: Wenn Ihr SaaS-Dienst als ICT-Lieferant für KRITIS-Betreiber fungiert und Sie auf Railway (US), Render (US) oder Vercel (US) deployen, scheitern Sie automatisch am §17-Sicherheitsnachweis — die Infrastruktur ist nicht auditierbar ohne CLOUD Act-Risiko.
Railway (USA), Render (USA), Vercel (USA)
Score: 0–3/25
Alle drei sind Delaware-Corporations mit US-Serverinfrastruktur. Kein BSI C5. CLOUD Act vollständig anwendbar. Keine KRITIS-Nachweis-Dokumentation. Für §17-Compliance nicht verwendbar.
Kategorie 3: Identitäts- und Zugriffsmanagement (IAM/IGA)
§17 verlangt explizit Zugriffskontrolle und Privilegienmanagement als Sicherheitsmaßnahme. IAM ist zentral für den Sicherheitsnachweis.
Keycloak (Red Hat OSS, EU-deployable)
Score: 23/25
Keycloak ist Open-Source (Apache 2.0), vollständig selbst-hostbar in der EU. Kein CLOUD Act-Risiko bei Self-Hosting. Keine US-Abhängigkeit für das Produkt selbst (Red Hat ist US, aber Software ist OSS). Unterstützt BSI C5-konforme Audit-Logs, FIDO2/WebAuthn, MFA.
Für §17: Wenn auf EU-Infrastruktur (z.B. Hetzner) gehostet, erreicht Keycloak volle §17-Konformität. Die BSI C5-Zertifizierung liegt dann beim Hosting-Provider, nicht bei Red Hat.
Okta, Microsoft Entra ID, Auth0
Score: 3–8/25
Alle drei sind US-Konzerne (Okta Inc. Delaware, Microsoft Corporation Washington). CLOUD Act anwendbar. Microsoft Entra bietet EU-Data-Boundary, löst aber das CLOUD Act-Problem nicht. Für §17-kritische Workloads nicht geeignet.
OneLogin (One Identity — Deutschland)
Score: 16/25
One Identity ist eine Tochter von Quest Software, einem US-Unternehmen. Aber OneLogin-Infrastruktur ist in Frankfurt (AWS-DE) — CLOUD Act-Risiko durch AWS-Muttergesellschaft. BSI C5 Typ II über AWS vorhanden, aber CLOUD Act bleibt strukturell.
Kategorie 4: Security Information and Event Management (SIEM/SOC)
§17 §17 Abs. 2 Nr. 5 KRITIS-DG nennt explizit "Erkennung und Behebung von Sicherheitsvorfällen" — SIEM ist der technische Kern dieser Anforderung.
Wazuh (Open Source, EU-deployable)
Score: 22/25
Wazuh ist vollständig Open-Source (GPL 2.0), selbst-hostbar, aktiv entwickelt von Wazuh Inc. (Spain/US dual-HQ). Die Software selbst hat kein CLOUD Act-Risiko bei Self-Hosting. Unterstützt GDPR, PCI-DSS, HIPAA Compliance-Framework nativ. BSI-konforme Audit-Logs und Alert-Korrelation.
Für §17: Als Self-Hosted SIEM auf EU-Infrastruktur vollständig konform. Kein SaaS-CLOUD Act-Risiko.
Elastic SIEM (EU-Region)
Score: 12/25
Elastic NV ist eine niederländische Holding — aber mit US-HQ (San Francisco) und NASDAQ-Listing. CLOUD Act-Exposition durch US-Operative-Kontrolle. Elastic Cloud hat EU-Regionen (Frankfurt, Amsterdam), aber das löst das strukturelle CLOUD Act-Problem nicht. ISO 27001 vorhanden, BSI C5 nicht.
Splunk (Cisco)
Score: 4/25
Splunk ist jetzt Teil von Cisco Systems Inc. (US). Vollständiger CLOUD Act. Für §17 nicht verwendbar.
Kategorie 5: Endpoint Detection and Response (EDR)
§17 Abs. 2 Nr. 3 KRITIS-DG: "Maßnahmen zur Angriffserkennung" — EDR ist die technische Umsetzung auf Endpoint-Ebene.
WithSecure Elements (Finnland)
Score: 21/25
WithSecure Oyj ist ein finnischer börsennotierter Cybersecurity-Konzern (Helsinki Stock Exchange), kein US-Parent. WithSecure Elements EDR hat ISO 27001, GDPR-konforme Datenverarbeitung, und explizite KRITIS/NIS2-Dokumentation. Datenhaltung in EU (Finnland/Frankfurt).
| Dimension | Punkte |
|---|---|
| Jurisdiktion | 6/7 |
| BSI C5 / ISO 27001 | 4/6 |
| CLOUD Act | 5/5 |
| Datensouveränität | 4/4 |
| Audit-Fähigkeit | 2/3 |
Empfehlung: Beste EU-native EDR für §17-Compliance. Kombination mit Wazuh SIEM ergibt vollständigen Detection-Stack.
CrowdStrike, SentinelOne, Palo Alto (XDR)
Score: 3–6/25
Alle drei sind US-Konzerne. CLOUD Act vollständig anwendbar. Telemetriedaten aus deutschen KRITIS-Netzwerken landen auf US-Infrastruktur. §17-Sicherheitsnachweis strukturell nicht möglich.
Kategorie 6: Backup und Disaster Recovery
§17 Abs. 2 Nr. 2 KRITIS-DG: "Maßnahmen zur Aufrechterhaltung des Betriebs" — Backup-Souveränität ist explizit gefordert.
Veeam (in EU deployen) + MinIO EU
Score: 19/25
Veeam Software ist offiziell in der Schweiz registriert (Veeam Software AG, Baar ZG) — kein EU-Mitglied aber kein CLOUD Act. Veeam-Software selbst unterliegt keinem CLOUD Act. Als Self-Hosted-Backup auf EU-Infrastruktur mit MinIO als S3-kompatiblem EU-Only-Object-Store ist die Lösung §17-konform.
Stack-Empfehlung: Veeam → MinIO auf Hetzner Object Storage → Air-Gapped-Copy auf zweitem EU-Standort.
Acronis Cyber Protect (Schweiz)
Score: 18/25
Acronis International GmbH ist in Schaffhausen (CH) registriert. Kein US-Parent direkt, aber US-VC-Investoren (Sequoia). ISO 27001, BSI C5 für ausgewählte Regionen. EU-Datenhaltung möglich. §17-Schwellenwert knapp erreicht.
Veeam Cloud Connect über AWS/Azure Backend
Score: 5/25
Wenn Veeam in Kombination mit AWS/Azure Cloud-Backend läuft, erbt die Lösung das CLOUD Act-Problem des Cloud-Providers. §17 nicht möglich.
Kategorie 7: Kommunikation und Kollaboration
§17 betrifft auch Kommunikationssysteme, die von ICT-Lieferanten in KRITIS-Umgebungen eingesetzt werden.
Matrix/Element (EU-deployable)
Score: 24/25
Matrix ist ein offenes, dezentrales Kommunikationsprotokoll (Apache 2.0). Element ist der primäre Client. New Vector Ltd. (UK) ist der Hauptentwickler, aber als Self-Hosted-Lösung auf EU-Infrastruktur kein CLOUD Act-Risiko. Ende-zu-Ende-verschlüsselt by Default. BSI-konformes Audit-Log über Server-Side-Logging.
Für KRITIS: Die Bundeswehr und mehrere deutsche Behörden nutzen Element/Matrix — direktes Signal für §17-Konformität.
Slack, Microsoft Teams
Score: 3–9/25
Slack (Salesforce, US) und Teams (Microsoft, US) sind CLOUD Act-exponiert. Für KRITIS-relevante Kommunikation nicht §17-konform.
Stackfield (Deutschland)
Score: 23/25
Stackfield GmbH ist in München registriert, deutsches Unternehmen ohne US-Parent. ISO 27001, GDPR, BSI-Grundschutz-kompatibel. Ende-zu-Ende-Verschlüsselung. Explizite KRITIS-Dokumentation vorhanden.
Der vollständige KRITIS-Compliance-Stack
Basierend auf unserer Analyse der letzten vier Posts und dem heutigen Vergleich ist ein §17-konformer ICT-Lieferanten-Stack erreichbar — vollständig aus EU-nativen Komponenten:
| Kategorie | EU-native Option | Score | §17-Status |
|---|---|---|---|
| Cloud-Infrastruktur | Hetzner Cloud (DE) | 24/25 | ✅ Konform |
| Managed PaaS | sota.io (DE) | 25/25 | ✅ Konform |
| IAM/IGA | Keycloak Self-Hosted | 23/25 | ✅ Konform |
| SIEM/SOC | Wazuh Self-Hosted | 22/25 | ✅ Konform |
| EDR | WithSecure Elements (FI) | 21/25 | ✅ Konform |
| Backup/DR | Veeam + MinIO/Hetzner | 19/25 | ✅ Konform |
| Kommunikation | Element/Matrix Self-Hosted | 24/25 | ✅ Konform |
Durchschnitt: 22.6/25 — Deutlich über der §17-Praxisschwelle von 18/25.
Die US-Alternative: Warum der "Standard-SaaS-Stack" scheitert
Zum Vergleich: Der typische US-SaaS-Stack eines ICT-Lieferanten der KRITIS-Betreiber beliefert:
| Kategorie | US-Standard | Score | §17-Status |
|---|---|---|---|
| Cloud-Infrastruktur | AWS / Azure / GCP | 3/25 | ❌ CLOUD Act |
| Managed PaaS | Railway / Vercel / Render | 2/25 | ❌ CLOUD Act |
| IAM | Okta / Auth0 | 5/25 | ❌ CLOUD Act |
| SIEM | Splunk / Microsoft Sentinel | 4/25 | ❌ CLOUD Act |
| EDR | CrowdStrike / SentinelOne | 5/25 | ❌ CLOUD Act |
| Backup | AWS Backup / Azure Backup | 3/25 | ❌ CLOUD Act |
| Kommunikation | Slack / Teams | 4/25 | ❌ CLOUD Act |
Durchschnitt: 3.7/25 — Weit unter der §17-Schwelle. Kein §17-Sicherheitsnachweis möglich.
Risiko-Muster: Die drei häufigsten §17-Fallen
In vier Posts haben wir diese Muster immer wieder beobachtet:
Muster 1: Das "EU-Region" Missverständnis
AWS Frankfurt ist eine US-Infrastruktur mit einem deutschen RZ. Die US-Muttergesellschaft bleibt CLOUD Act-pflichtig. KRITIS-Prüfer des BSI bewerten den Mutterkonzern, nicht die Region. "Wir speichern in Frankfurt" ist kein §17-Nachweis.
Muster 2: Das Zertifizierungs-Paradoxon
Ein BSI C5 Typ II Audit-Report von AWS/Microsoft löst das CLOUD Act-Problem nicht. Das Zertifikat bescheinigt Sicherheitsprozesse — aber §17 verlangt Datensouveränität. Ein CLOUD Act-exponierter Anbieter kann BSI C5 haben und trotzdem am §17-Sicherheitsnachweis scheitern.
Muster 3: Die Lieferketten-Blindstelle
Viele ICT-Lieferanten prüfen ihre eigene Compliance, aber nicht die ihrer Sub-Processor. Ein §17-konformer Haupt-Service, der auf AWS S3 für Backups setzt, ist insgesamt §17-inkonform. Die BSI-Prüfung geht bis zur dritten Ebene der Lieferkette.
Migrationspfad: Von US-Stack zu EU-Stack in 90 Tagen
Die Deadline §13 Registrierung ist 2026-07-17 (52 Tage). §17-Sicherheitsnachweis folgt danach. Für ICT-Lieferanten die heute noch auf US-SaaS laufen, ist ein strukturierter Migrationspfad nötig:
Phase 1 (Tage 1–30): Infrastruktur-Migration
- Hetzner Cloud-Konto einrichten
- sota.io-Konto einrichten (Git-Push-Deployment identisch zu Vercel/Railway)
- MinIO Object Storage auf Hetzner deployen (S3-kompatibel, Drop-in-Ersatz)
Phase 2 (Tage 31–60): Security-Stack
- Wazuh SIEM auf Hetzner deployen (Docker Compose, ~2h Setup)
- Keycloak als OIDC/SAML-Provider einrichten
- WithSecure Elements EDR-Lizenz abschließen
Phase 3 (Tage 61–90): Audit-Vorbereitung
- §17-Sicherheitsnachweis-Dokumentation nach Vorgaben aus Post #3 der Serie erstellen
- BSI C5-äquivalente Nachweise (ISO 27001 Hetzner + WithSecure) sammeln
- Vertragswerk mit KRITIS-Betreiber prüfen (Lieferanten-SLA nach §17 Abs. 3)
Kosten-Vergleich: Ein typischer EU-KRITIS-Stack auf Hetzner/sota.io kostet 30–40% weniger als der äquivalente AWS-Stack — Compliance und Kostensenkung sind hier keine Gegensätze.
Conclusio: EU-KRITIS-Stack ist heute verfügbar
Das KRITIS-Dachgesetz wird oft als Bürde dargestellt. Die gute Nachricht: Es gibt für jede Kategorie reife EU-native Alternativen die den §17-Sicherheitsnachweis strukturell ermöglichen.
Die fünf Kernerkenntnisse dieser Serie:
-
§17 richtet sich an ICT-Lieferanten direkt — nicht nur an KRITIS-Betreiber selbst. Wer kritische Infrastruktur beliefert, ist reguliert.
-
CLOUD Act = §17 gescheitert — US-Muttergesellschaft macht den Sicherheitsnachweis strukturell unmöglich, unabhängig von EU-Regionen oder BSI C5 Zertifikaten.
-
NIS2 reicht nicht — KRITIS-DG §17 geht über NIS2 hinaus und gilt für Lieferanten direkt. NIS2-Compliance ist notwendig aber nicht hinreichend.
-
EU-KRITIS-Stack ist technisch vollständig — Hetzner, sota.io, Keycloak, Wazuh, WithSecure, Veeam/MinIO, Element/Matrix bilden einen vollständigen, §17-konformen Stack.
-
Deadline ist real — §13 Registrierung bis 2026-07-17. §17-Sicherheitsnachweise werden danach gefordert. 90 Tage bis zur verpflichtenden Registrierung.
Die EU KRITIS-Dachgesetz-Serie: Alle Posts
Wenn Sie neu in dieser Serie sind — hier alle fünf Posts in der empfohlenen Lesereihenfolge:
- KRITIS-Dachgesetz 2026: CLOUD Act Risiken für SaaS und ICT-Lieferanten — Warum US-SaaS strukturell scheitert
- KRITIS-DG vs. NIS2: Was der Unterschied für B2B-SaaS bedeutet — Die regulatorische Landschaft
- §17 Sicherheitsnachweis Step-by-Step für ICT-Lieferanten — Praktische Umsetzung
- KRITIS-DG Supply Chain Compliance 2026 — Lieferketten-Pflichten
- EU KRITIS Stack 2026 (dieser Post) — Der vollständige Vergleich EU-nativer Alternativen
sota.io ist die EU-native Managed PaaS für ICT-Lieferanten die kritische Infrastruktur beliefern. Deploy in Europa, kein CLOUD Act, §17-auditierbar. Jetzt starten →
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.