EU Threat Intelligence Comparison Finale 2026: CrowdStrike vs Recorded Future vs Mandiant vs Anomali
Post #1232 — Abschluss der sota.io EU Threat Intelligence Serie (5/5)
Die EU-Threat-Intelligence-Serie ist abgeschlossen. In vier Einzelanalysen haben wir CrowdStrike Falcon Intelligence (CLOUD Act 24/25), Mandiant/Google Threat Intelligence (23/25), Recorded Future nach der Mastercard-Übernahme (21/25) und Anomali mit PE-Investor Paladin Capital (18/25) untersucht. Dieser Finale-Post fasst zusammen: Welche Plattform weist das höchste GDPR-Risiko auf, was unterscheidet die vier Anbieter wirklich voneinander, und wann sind EU-native CTI-Lösungen wie Sekoia.io, EclecticIQ oder NVISO die bessere Wahl?
Die Serie im Überblick
Threat Intelligence ist aus DSGVO-Sicht ein besonders sensitiver Bereich — und einer der am häufigsten unterschätzten. Security-Teams denken dabei an IOC-Feeds und MITRE ATT&CK-Mapping, nicht an Art. 44 DSGVO. Dabei fließen durch Threat Intelligence Plattformen (TIPs) regelmäßig Daten, die nach EU-Recht personenbezogen sind:
- Incident-Daten: Angreifer-IP-Adressen, die gleichzeitig Exit-Nodes von Privatpersonen sein können
- Malware-Samples: Häufig mit Metadaten aus der Unternehmensumgebung des Kunden angereichert
- IOC-Uploads: Wenn Unternehmen eigene Indikatoren hochladen, übertragen sie Informationen über ihre Angriffsfläche in US-Cloud-Infrastruktur
- Hunt-Queries: Suchanfragen über Threat Graphs verraten, welche Bedrohungsakteure ein Unternehmen aktiv überwacht — sensibles operatives Intelligence
Das ist grundlegend anders als ein Security-Tool, das nur on-premises Logs analysiert. Ein TIP-Anbieter unter US-Jurisdiktion erhält via CLOUD-Act-Beschluss Zugang zu all diesen Daten — potentiell auch zu ihrem gesamten historischen Threat-Intelligence-Kontext.
Die vier analysierten US-Anbieter kontrollieren zusammen über 70% des globalen Commercial-Threat-Intelligence-Markts (IDC Threat Intelligence Market Share 2025). Alle vier sind in den USA inkorporiert, alle vier unterliegen dem CLOUD Act, und alle vier verarbeiten Daten die gemäß DSGVO Art. 4(1) als personenbezogen einzustufen sind.
CLOUD Act Matrix: Alle vier im direkten Vergleich
Dimension 1: Unternehmensstruktur und US-Jurisdiktion (max. 5 Punkte)
| Anbieter | D1-Score | Begründung |
|---|---|---|
| CrowdStrike | 5/5 | Delaware C-Corp, Sunnyvale CA, NASDAQ:CRWD. Europäische Tochtergesellschaften vollständig im Eigentum des US-Mutterkonzerns. CLOUD Act 18 U.S.C. § 2713 gilt direkt. |
| Mandiant/Google | 5/5 | Alphabet Inc., Delaware C-Corp, Mountain View CA, NASDAQ:GOOGL. Mandiant ist eine Einheit von Google Cloud. Sämtliche juristische Kontrolle in den USA. |
| Recorded Future | 5/5 | Mastercard Acquisition Nov 2024 ($2,65 Mrd). NYSE:MA, Delaware, Purchase NY. Recorded Future operiert als Tochtergesellschaft eines US-Finanzkonzerns. |
| Anomali | 5/5 | Anomali Inc., Delaware C-Corp, Santa Clara CA. Privat, PE-backed. Keine EU-Tochtergesellschaft mit eigenständiger Datenkontrolle. |
Alle vier Anbieter erreichen den Maximal-Score in D1. Die Corporate-Struktur allein bietet keine Möglichkeit zur CLOUD-Act-Risikominimierung, solange das Mutterunternehmen US-registered bleibt.
Dimension 2: US-Regierungsverträge und Sicherheitsfreigaben (max. 5 Punkte)
| Anbieter | D2-Score | Begründung |
|---|---|---|
| CrowdStrike | 5/5 | FBI CyberDivision (DNC-Attribution 2016), CISA JCDC-Gründungsmitglied, FedRAMP High, DoD IL4, NSA/IC-Abonnent für Threat Intelligence. Tiefste Regierungsintegration der Branche. |
| Mandiant/Google | 5/5 | Alphabet NSA-PRISM-Teilnehmer seit 2013 (Snowden). Google Cloud FedRAMP High, DoD IL4. Mandiant CISA JCDC-Partner, FBI Cyber Division, NSA Cybersecurity Directorate. Google Transparency Report: >100.000 Regierungsanfragen/Jahr. |
| Recorded Future | 5/5 | In-Q-Tel CIA Investment 2010 (Gründungsphase). Mastercard: GSA SmartPay Government-Kreditkarten ($35B/Jahr), DoD Travel Cards, Treasury Financial Agent. US-Regierungsinfrastruktur in der gesamten Lieferkette. |
| Anomali | 4/5 | Paladin Capital Group (national-security PE-Investor, DC). STIX/TAXII-Entwicklung mit US-DHS-Beteiligung. ISAC-Partnerschaften (teils US-Behörden-koordiniert). Dokumentierte US-Federal-Verträge, aber nicht in der Tiefe von CrowdStrike oder Mandiant. |
Der Unterschied zwischen CrowdStrike/Mandiant (5/5) und Anomali (4/5) ist strukturell: Je tiefer ein Anbieter in US-Intelligence-Community-Operationen eingebettet ist, desto größer ist das Risiko einer geheimen Datenanforderung nach FISA § 702 — ohne individuellen CLOUD-Act-Beschluss, ohne Benachrichtigung, ohne Rechtsbehelfe für betroffene EU-Unternehmen.
Dimension 3: Cloud-Infrastruktur und EU-Datenresidenz (max. 5 Punkte)
| Anbieter | D3-Score | Begründung |
|---|---|---|
| CrowdStrike | 5/5 | Threat Graph auf CrowdStrike-eigener Cloud (primär US-RZ). OverWatch-Team US-basiert mit US-Clearances. Sandbox-Analysen US-Infrastruktur. Keine echte EU-Datensouveränität gegen CLOUD Act. |
| Mandiant/Google | 5/5 | Mandiant Advantage auf Google Cloud (multi-region). VirusTotal: globale Datenpipelines auf Alphabet-Infrastruktur. Threat Intelligence Feeds: US-Verarbeitung. Keine Opt-out-Option gegen FISA. |
| Recorded Future | 4/5 | Stockholm-Rechenzentrum (bis 2024 als EU-Vorteil vermarktet). Post-Mastercard-Acquisition: Massachusetts-Hauptsitz dominant. Neue US-Cloud-Integrations für Mastercard-Services. EU-Residency-Optionen formell verfügbar, strukturell aber entkräftet durch US-Muttergesellschaft. |
| Anomali | 3/5 | ThreatStream auf AWS/Azure (US-Region). Kleinere Präsenz, geringere globale Infrastruktur-Tiefe als CrowdStrike/Google. Kein EU-spezifischer Infrastruktur-Track. |
Recorded Future und Anomali erreichen keine 5/5 in D3 — nicht weil sie sicherer sind, sondern weil ihre Infrastruktur weniger global-tief verteilt ist. Das schützt EU-Kunden nicht vor CLOUD-Act-Anfragen, aber die Daten-Exposition ist enger begrenzt.
Dimension 4: Datenverarbeitung und Intelligence-Tiefe (max. 5 Punkte)
| Anbieter | D4-Score | Begründung |
|---|---|---|
| CrowdStrike | 5/5 | Adversary Intelligence (1.500+ Threat Actors), Falcon Recon (Dark Web), Falcon X (Automated Intel), TTP-Datenbank, globale Telemetrie aus Sensor-Netzwerk. Vollständigste Threat-Intelligence-Pipeline der Branche. |
| Mandiant/Google | 5/5 | Mandiant Advantage (SaaS TI), VirusTotal (100M+ Dateien/Tag), Mandiant ASM, Google Safe Browsing-Daten. Breite Verarbeitung über gesamtes Alphabet-Datenuniversum. TI-Feeds laufen durch Google-Infrastruktur. |
| Recorded Future | 4/5 | Intelligence Cloud mit OSINT + Dark Web + Tech Feeds. Mastercard Transaction Intelligence (seit 2024): Finanztransaktions-Korrelation mit Threat Data — neuartige Risikoklasse. Hunt-Queries über historische Internet-Scan-Daten. |
| Anomali | 4/5 | ThreatStream (IOC-Management, Akteur-Profile). STAXX (STIX/TAXII-Server). Kundenspezifische IOC-Uploads auf US-Infrastruktur. Geringere Telemetrie-Eigenproduktion als CrowdStrike/Google, aber relevante Datensätze. |
Die Recorded Future Mastercard-Kombination schafft eine neue Risikoklasse (D4=4 statt 5 weil noch in Integration): Wenn Threat Intelligence-Daten mit Mastercard-Transaktionsdaten korreliert werden, entstehen Profile, die weit über klassische IOC-Bedrohungsdaten hinausgehen — mit direktem Personenbezug nach Art. 4(1) DSGVO.
Dimension 5: Transparenz und Compliance-Dokumentation (max. 5 Punkte)
| Anbieter | D5-Score | Begründung |
|---|---|---|
| CrowdStrike | 4/5 | Jährlicher Transparency Report, Government Request Reporting. SEC-Filings (NASDAQ). Kein Warrant Canary. Bekannt für öffentliche Kommunikation (DNC-Hack-Attribution). Keine kritischen Abweichungen Versprechen/Dokumentation. |
| Mandiant/Google | 3/5 | Google Transparency Report sehr detailliert (>100k Anfragen/Jahr). Aber: NSA-PRISM-Beteiligung 2013 nicht proaktiv offengelegt (Snowden). Für Mandiant keine spezifischen CLOUD-Act-Fälle dokumentiert — weil Google als Dachgesellschaft absorbiert. |
| Recorded Future | 3/5 | Transparency-Dokumentation eingeschränkt (privates Unternehmen bis 2024). Post-Mastercard: SEC-Exposition über NYSE:MA Filings. Stockholm-DC-Versprechen wurde ohne öffentliche Ankündigung durch US-Acquisition entwertet. |
| Anomali | 2/5 | Kein öffentlicher Government Request Report. Als privates Unternehmen keine SEC-Pflichten. Paladin-Investorenstruktur national-security-exponiert, aber keine Transparenz darüber. Niedrigste Transparenz der Serie. |
Gesamtbewertung CLOUD Act Matrix
| Anbieter | D1 | D2 | D3 | D4 | D5 | Gesamt | Risiko |
|---|---|---|---|---|---|---|---|
| CrowdStrike Falcon Intelligence | 5 | 5 | 5 | 5 | 4 | 24/25 | 🔴 Kritisch |
| Mandiant/Google Threat Intelligence | 5 | 5 | 5 | 5 | 3 | 23/25 | 🔴 Kritisch |
| Recorded Future (Mastercard) | 5 | 5 | 4 | 4 | 3 | 21/25 | 🔴 Hoch |
| Anomali (Paladin Capital) | 5 | 4 | 3 | 4 | 2 | 18/25 | 🟠 Hoch |
EU-native Alternativen (zum Vergleich):
| Anbieter | D1 | D2 | D3 | D4 | D5 | Gesamt | Risiko |
|---|---|---|---|---|---|---|---|
| Sekoia.io (Paris, FR) | 0 | 0 | 0 | 0 | 0 | 0/25 | 🟢 Minimal |
| EclecticIQ (Amsterdam, NL) | 0 | 0 | 0 | 0 | 0 | 0/25 | 🟢 Minimal |
| NVISO (Brüssel, BE) | 0 | 0 | 0 | 0 | 0 | 0/25 | 🟢 Minimal |
| S21sec/Oesia (Madrid, ES) | 0 | 0 | 0 | 0 | 0 | 0/25 | 🟢 Minimal |
Die entscheidende Differenzierung: Was macht die vier Anbieter wirklich unterschiedlich?
Der CLOUD-Act-Score erklärt das rechtliche Risiko — aber nicht die operativen Unterschiede. Für Security-Teams, die zwischen den vier Anbietern abwägen, sind folgende Unterscheidungen relevant:
Intelligence-Tiefe und Eigenproduktion
CrowdStrike hat den einzigartigen Vorteil, dass Falcon-Sensor-Telemetrie (aus Millionen von Endpoint-Deployments weltweit) direkt in die Threat Intelligence fließt. Diese Rückkopplung zwischen Endpoint-Visibility und Threat-Intel ist markteinzigartig. CrowdStrike erkennt neue Angriffsmuster oft Stunden vor anderen Anbietern — weil die Daten aus der realen Angriffsoberfläche kommen, nicht aus OSINT.
Mandiant/Google hat die breiteste Breach-Response-Datenbasis: Mandiant hat mehr Fortune-500-Incident-Response-Einsätze durchgeführt als jeder andere Anbieter. Diese Erfahrung fließt in detaillierte Akteur-Profile und TTP-Analysen. VirusTotal fügt eine globale Malware-Sichtbarkeit hinzu, die kein anderer Anbieter replizieren kann.
Recorded Future ist einzigartig in der OSINT-Integration: Die Intelligence Cloud crawlt kontinuierlich Darknet-Foren, Social Media, Paste-Sites und Tech-Infrastruktur. Das Ergebnis sind vorwärtsblickende Risikoeinschätzungen ("predictive intelligence") statt reaktiver IOC-Listen. Die Mastercard-Integration (seit 2024 in Beta) verspricht zusätzlich Fraud-Intelligence aus dem globalen Zahlungsnetz.
Anomali ist stärker als STIX/TAXII-Hub positioniert: ThreatStream ermöglicht die Aggregation externer Feeds aus vielen Quellen (OTX, ISACs, Premium-Feeds) in eine zentrale Plattform. Das macht Anomali besonders für Security-Teams attraktiv, die bereits viele Threat-Intelligence-Quellen haben und eine Orchestrierungsebene brauchen — ohne selbst tiefe Intelligence-Produktion zu betreiben.
Integration in SIEM/SOAR-Stacks
| Anbieter | SIEM-Integrationen | SOAR-Integrationen | Native Stack |
|---|---|---|---|
| CrowdStrike | Splunk, Sentinel, QRadar, Chronicle | XSOAR, Splunk SOAR | Falcon Platform (XDR-nativ) |
| Mandiant/Google | Chronicle (nativ), Splunk, Sentinel | Google SOAR, XSOAR | Google Cloud Security |
| Recorded Future | Splunk, Sentinel, QRadar, ServiceNow | Phantom, Demisto, XSOAR | Mastercard-Ökosystem (neu) |
| Anomali | Splunk, Sentinel, QRadar, ArcSight | XSOAR, Phantom, ServiceNow | SIEM-agnostisch (Stärke) |
Wenn Ihre Organisation Google Chronicle oder Microsoft Sentinel als primäres SIEM nutzt, ist Mandiant bzw. Recorded Future jeweils die natürlichere Integration. Für SIEM-agnostische Umgebungen bietet Anomali die breiteste Kompatibilität.
Preismodelle und Marktzugang
CrowdStrike und Mandiant sind primär Enterprise-Anbieter — typische Entry-Punkte liegen bei €100.000+/Jahr für vollständige Intelligence-Pakete. Recorded Future und Anomali haben flexiblere SMB-Optionen, aber auch hier ist skalierbare Threat Intelligence selten unter €30.000/Jahr verfügbar.
TCO-Analyse: 3 Jahre, 1.000 Nutzer (SOC-Team)
Annahmen
- 1.000 Endpunkte (typischer Mid-Market SOC)
- Vollständiger TIP + Threat Feeds-Zugang
- SIEM-Integration (2 Systeme)
- Professional-Support-Tier
- Implementierungspartner 6 Wochen
| Position | CrowdStrike | Mandiant/Google | Recorded Future | Anomali |
|---|---|---|---|---|
| Lizenzen 3y | €380k | €290k | €240k | €180k |
| Implementierung | €60k | €45k | €40k | €50k |
| Support Professional | €95k | €75k | €65k | €55k |
| Training & Zertifizierung | €25k | €20k | €15k | €20k |
| TCO 3 Jahre | €560k | €430k | €360k | €305k |
Zusatzkosten für EU-Compliance (GDPR Art. 44 / NIS2 Art. 21):
| Position | Alle US-Anbieter |
|---|---|
| Datenschutz-Folgenabschätzung (DSFA nach Art. 35) | €15k–€25k |
| Transfer Impact Assessment (TIA nach Art. 46) | €10k–€20k |
| Standardvertragsklauseln SCC-Update | €5k–€10k |
| Jährliches Compliance-Review | €5k–€10k/Jahr |
| Zusatz über 3 Jahre | €45k–€85k |
EU-native Alternative (Sekoia.io + EclecticIQ):
| Position | EU-Stack |
|---|---|
| Sekoia.io Professional 3y (1k Endpunkte) | €90k |
| EclecticIQ TIP (STIX/TAXII, IOC-Management) | €60k |
| Implementierung | €40k |
| Support + Training | €30k |
| TCO 3 Jahre | €220k |
Der EU-native Stack ist ~28% günstiger als Anomali (günstigster US-Anbieter) und ~61% günstiger als CrowdStrike (teuerster US-Anbieter) — bei vollständig eliminiertem CLOUD-Act-Risiko.
EU-native Threat Intelligence: Die vollständige Alternative
Sekoia.io — Paris, Frankreich
Sekoia.io ist die führende EU-native Threat Intelligence Plattform. Gegründet 2018 in Paris als Tochtergesellschaft der Sekoia-Gruppe, vollständig in EU-Händen, ANSSI-anerkannt (Agence Nationale de la Sécurité des Systèmes d'Information — das französische BSI-Äquivalent).
Kernprodukte:
- Sekoia.io Intelligence Center: Threat Intelligence Feeds, IOC-Verwaltung, MITRE ATT&CK-Mapping, Akteur-Profile
- Sekoia.io SOC Platform: XDR/SIEM-Funktionen mit nativer Threat-Intelligence-Integration
- Feeds: Tägliche Updates mit IOCs, TTPs, europäischen Bedrohungsakteur-Profilen
GDPR-Vorteile:
- Hauptsitz Paris, vollständige französische Gesellschaft (SAS — Société par Actions Simplifiée)
- Alle Daten verbleiben auf EU-Infrastruktur (OVHcloud, Scaleway)
- ANSSI-Qualifizierung nach SecNumCloud-Anforderungen
- CNIL-konformes Datenhandling, DSGVO Art. 37 DPO designiert
Einschränkungen gegenüber CrowdStrike/Mandiant:
- Keine Sensor-Telemetrie aus globalem Endpoint-Netzwerk
- Kleinere Akteur-Datenbank (fokussiert auf europäische und EMEA-Bedrohungen)
- Weniger US-APT-Tiefe (aber: europäische APTs gut abgedeckt — APT28/Fancy Bear, Turla, Lazarus-Varianten)
CLOUD Act Score: 0/25
EclecticIQ — Amsterdam, Niederlande
EclecticIQ ist eine niederländische Gesellschaft mit Hauptsitz in Amsterdam. Threat Intelligence Platform (TIP) mit starkem Fokus auf STIX/TAXII-Integration und kollaborativen Intelligence-Sharing.
Kernprodukte:
- EclecticIQ Platform: TIP für IOC-Verwaltung, Threat-Modellierung, Analyst-Workflows
- EclecticIQ Intelligence Center: Kuratierte Threat Intelligence für SOC-Teams
- API-First-Design: STIX/TAXII 2.1, REST API, SIEM-Konnektoren
Besonderheiten:
- Spezialisiert auf Analyst-Workflows: Annotationen, Teamzusammenarbeit, Triage-Prozesse
- Starke Partnerschaft mit europäischen CERTs und ISACs (ENISA-Netzwerk)
- SOC2 Type II-zertifiziert, ISO 27001
CLOUD Act Score: 0/25
NVISO — Brüssel, Belgien
NVISO ist ein belgisches Cybersicherheitsunternehmen mit Hauptsitz in Brüssel, gegründet 2013. Threat Intelligence als Managed Service (TIaaS) kombiniert mit Incident Response und Red Teaming.
Besonderheit für EU-Kunden:
- Tiefe Kenntnis europäischer Regulierung (NIS2, DSGVO, DORA — Beratungskomponente inklusive)
- SOC-Dienste aus Europa (Belgien, Österreich) ohne US-Weitergabe
- Incident Response mit EU-Datenschutz-by-Default
CLOUD Act Score: 0/25
S21sec — Madrid, Spanien (Grupo Oesia)
S21sec ist ein spanisches Cybersicherheitsunternehmen, Tochter von Grupo Oesia (Madrid) — einem spanischen Technologiekonzern. Threat Intelligence, SOC-Services, CERT-Funktionen. Seit 2019 Teil der Thales-Beteiligung über Grupo Oesia. Vollständige EU-Jurisdiktion.
Stärken:
- Starke iberische Präsenz (Spanisch- und Portugiesischsprachige Unternehmen)
- Threat Intelligence Fokus auf südeuropäische und lateinamerikanische Bedrohungsakteure
- CERT-Erfahrung aus kritischer Infrastruktur
CLOUD Act Score: 0/25
Entscheidungsmatrix: Sechs Szenarien
| Szenario | Empfehlung | Begründung |
|---|---|---|
| Tiefste Endpoint-basierte Threat Intelligence, Palo-Alto/CrowdStrike-Ökosystem | CrowdStrike (+ DSFA/TIA) | Unersetzliche Sensor-Telemetrie, FBI-Anbindung für US-APT-Attribution |
| Google Chronicle SIEM, Google Cloud Stack | Mandiant/Google (+ DSFA/TIA) | Native Integration, VirusTotal-Zugang, Mandiant-Breach-Expertise |
| Predictive Intelligence, Darknet-Monitoring, OSINT-schwerer Stack | Recorded Future (+ DSFA/TIA) | Intelligence Cloud ohne Vergleich für Vorausschau-Intelligence |
| SIEM-agnostisch, viele Feed-Quellen, TIP-Orchestrierung | Anomali ThreatStream (+ DSFA/TIA) | Beste Feed-Aggregation, geringster CLOUD-Act-Score der US-Anbieter |
| KRITIS / Behörde / NIS2-kritisch / keine US-Transfers | Sekoia.io + EclecticIQ | 0/25 CLOUD Act, ANSSI-zertifiziert, EU-Datensouveränität vollständig |
| SOC-Managed-Service, EU-Fokus, Incident-Response-Komponent | NVISO (+ S21sec für Iberia) | TI-as-a-Service aus EU, integrierte IR-Expertise |
GDPR-Risikoanalyse: Was bedeutet das für die Praxis?
Art. 35 DSGVO — Datenschutz-Folgenabschätzung Pflicht
Alle vier US-Anbieter erfordern gemäß Art. 35 DSGVO zwingend eine DSFA vor Deployment. Begründung: Threat Intelligence Plattformen verarbeiten systematisch Daten über Sicherheitsvorfälle, Netzwerkanomalien und Bedrohungsakteure — mit potentiellem Personenbezug nach Art. 4(1) DSGVO. Zusätzlich sind Upload-Funktionen für eigene IOCs (z.B. aus internen Incidents) ein explizites Hochrisiko-Verarbeitungsszenario nach Art. 35 Abs. 3 lit. b.
Eine unterlassene DSFA kann bei Aufsichtsbehörden-Prüfungen Bußgelder nach Art. 83 Abs. 4 DSGVO auslösen (bis €10 Mio. oder 2% Jahresumsatz).
NIS2 Art. 21 — Drittanbieter-Risikomanagement
NIS2 Art. 21 Abs. 2 lit. d fordert ausdrücklich "Sicherheit in der Lieferkette". Der Threat Intelligence-Anbieter ist Teil der Security-Lieferkette. Ein CLOUD-Act-Beschluss gegen einen TIP-Anbieter könnte die Threat-Hunt-Queries eines Unternehmens offenlegen — was als NIS2-Sicherheitsvorfall meldepflichtig wäre (Art. 23 Abs. 4: 24h Initial-Notification).
DORA Art. 17 — ICT-Risikomanagement (Finanzsektor)
Für Finanzinstitute unter DORA ist die CLOUD-Act-Analyse ein regulatorisches Pflichtdokument. DORA Art. 28 fordert Konzentrationsrisiko-Bewertung bei kritischen ICT-Drittanbietern. Ein Threat-Intelligence-Anbieter der simultanem US-Behördenzugriff ausgesetzt ist, ist ein ICT-Konzentrationsrisiko im Sinne von DORA Art. 28 Abs. 4.
Art. 46 DSGVO — Drittlandübermittlung
Jede TIP-Nutzung bei einem US-Anbieter ist eine Übermittlung personenbezogener Daten in ein Drittland (Art. 46 DSGVO). SCCs (Standardvertragsklauseln) bieten formalen Schutz — aber keinen faktischen Schutz gegen einen CLOUD-Act-Beschluss. Der EuGH (Schrems II, C-311/18, 16.07.2020) hat festgestellt, dass US-Überwachungsgesetze SCCs faktisch aushöhlen können, wenn das zugrundeliegende Schutzniveau nicht äquivalent zu EU-Recht ist.
Migrationsstrategie: Von US-TIP zu EU-nativer Threat Intelligence
Phase 1: Assessment (4–6 Wochen)
- Inventarisierung aller aktuellen TI-Feeds und ihre Datenpfade (welche Daten fließen wohin?)
- DSFA-Review: Welche Verarbeitungen sind aktuell nicht dokumentiert?
- TIA-Durchführung: CLOUD-Act-Risiko für bestehende US-TIP formell bewerten
- Sekoia.io und EclecticIQ-Demo: Fit für die eigene Threat-Hunt-Methodik prüfen
Phase 2: Pilotprojekt (8–12 Wochen)
- Sekoia.io Intelligence Center parallel zu bestehendem US-TIP aufsetzen
- Vergleich: Welche EU-relevanten Threats werden von Sekoia abgedeckt?
- Feed-Qualitäts-Analyse: IOC-Overlap zwischen US-TIP und Sekoia, False-Positive-Rate
- SIEM-Integration testen (Sentinel oder Splunk via Sekoia-Konnektoren)
Phase 3: Parallelbetrieb (12–20 Wochen)
- Kritische Use Cases migrieren: IOC-Management, Akteur-Profile, Daily Briefings
- EclecticIQ als STIX/TAXII-Hub für Feed-Aggregation einführen
- Interne Analyst-Workflows auf EU-native Tools umstellen
- Compliance-Dokumentation: Art. 30 DSGVO Verzeichnis aktualisieren
Phase 4: US-TIP Ablösung
- Vertragskündigung US-Anbieter (beachte: 12 Monate Kündigungsfrist üblich bei Enterprise-Verträgen)
- Finale DSFA für EU-Stack (deutlich vereinfacht gegenüber US-Version)
- Optional: NVISO für Managed TI als Ergänzung für ressourcenschwache SOC-Teams
Fazit: Vier Cluster, eine strategische Entscheidung
Die EU-Threat-Intelligence-Serie zeigt ein differenziertes Bild — anders als bei ZTNA/SASE, wo alle vier Anbieter eng zusammenlagen.
Cluster A (24/25): CrowdStrike — Maximale CLOUD-Act-Exposition durch die tiefste US-Intelligence-Community-Integration der Branche. FBI-Partnerschaft, CISA-Gründungsmitglied, FedRAMP High, IC-Abonnement. Technisch das mächtigste Produkt — compliance-rechtlich für KRITIS und Behörden kaum vertretbar ohne erhebliche Restrisiken.
Cluster B (23/25): Mandiant/Google — Knapp dahinter durch NSA-PRISM-Hintergrund der Muttergesellschaft. VirusTotal-Sichtbarkeit und Mandiant-Breach-Expertise sind einmalig — aber der Alphabet-Konzern ist das am tiefsten in US-Überwachungsinfrastruktur eingebettete Unternehmen dieser Serie.
Cluster C (21/25): Recorded Future — Die Mastercard-Übernahme hat aus einem potenziell EU-kompatibleren Anbieter (Stockholm-Fokus, unabhängig) einen US-Finanzkonzern-Ableger gemacht. Die neue Finanztransaktions-Intelligence fügt eine neue Risikodimension hinzu, die 2024 noch nicht voll absehbar ist.
Cluster D (18/25): Anomali — Niedrigster CLOUD-Act-Score der Serie durch kleinere US-Regierungsintegration. Aber: Paladin Capital als national-security-PE-Investor, Delaware-Incorporation und keine öffentliche Transparenz ergeben weiterhin erhebliches strukturelles Risiko.
EU-nativer Stack: Sekoia.io + EclecticIQ + NVISO bietet 0/25 CLOUD Act, ~28–61% TCO-Ersparnis gegenüber US-Anbietern, und vollständige DSGVO-Konformität ohne Restrisiko. Die Funktionslücken — insbesondere bei globaler Sensor-Telemetrie (CrowdStrike) und Darknet-OSINT-Tiefe (Recorded Future) — sind für europäische SOC-Teams, die primär europäische Bedrohungsakteure monitoren, größtenteils schließbar.
Die entscheidende Frage bleibt strategischer Natur: Benötigt Ihr SOC tatsächlich US-APT-Attribution auf CIA/NSA-Niveau — oder reicht EU-fokussierte Threat Intelligence für Ihren Bedrohungskontext? Für die meisten europäischen Unternehmen außerhalb der Rüstungs- und Finanzbranche lautet die Antwort: Sekoia.io und EclecticIQ sind ausreichend. Und sie kommen ohne das Risiko, dass ein CLOUD-Act-Beschluss Ihre gesamten Threat-Hunt-Queries der letzten drei Jahre gegenüber einer US-Behörde offenlegt.
Dieser Post schließt die sota.io EU-Threat-Intelligence-Serie (5/5) ab. Die vollständige CLOUD-Act-Bibliothek mit allen 30+ Enterprise-Software-Kategorien ist unter sota.io/blog verfügbar.
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.