Lacework EU Alternative 2026: Fortinet-Akquisition, CLOUD Act und CSPM-Alternativen
Post #1234 — EU-CSPM-Serie #2/5 (sota.io EU Cyber Compliance Series)
Lacework war einer der am stärksten finanzierten CSPM-Anbieter der letzten Jahre — über 1,8 Milliarden Dollar Funding in weniger als vier Jahren, bewertet auf dem Papier mit zeitweise über 8 Milliarden Dollar. Die Polygraph-Plattform mit ihrer ML-basierten Verhaltensanalyse galt als technologisch führend im Bereich Cloud Security Posture Management (CSPM) und Cloud-Native Application Protection Platforms (CNAPP).
Dann folgte die Akquisition: Fortinet Inc. (NASDAQ: FTNT) kündigte im Juni 2024 die Übernahme von Lacework an, die am 1. August 2024 abgeschlossen wurde. Der Kaufpreis wurde nicht offiziell kommuniziert — Analyst-Schätzungen von Forrester gehen von 200–230 Millionen Dollar aus, ein massiver Abschlag gegenüber der früheren Bewertung. Lacework ist seither als FortiCNAPP in das Fortinet-Portfolio integriert.
Was diese Transaktion für EU-Organisationen bedeutet, die Lacework einsetzen oder evaluieren: Sie haben es nun nicht mehr mit einem VC-backed Startup zu tun, sondern mit einem börsenotierten US-Konzern mit dokumentierten Staatsverträgen und einem laufenden FedRAMP-Antrag. Das CLOUD Act-Risikoprofil ist damit strukturell anders — und höher.
Diese Analyse ist der zweite Post in unserer EU-CSPM-Serie. Post #1 behandelte Orca Security — ebenfalls Delaware C-Corp, ähnlich gelagerte Problematik. Die kommenden Posts analysieren Sysdig, Aqua Security und schließen mit einer vollständigen Vergleichs-Matrix ab.
Lacework / FortiCNAPP: Unternehmensstruktur nach Akquisition
| Merkmal | Details |
|---|---|
| Ursprünglicher Name | Lacework, Inc. |
| Inkorporation | Delaware C-Corporation (Mountain View, CA) |
| Gegründet | 2015 |
| Akquisition | Fortinet Inc. — angekündigt Juni 2024, abgeschlossen 1. August 2024 |
| Käufer | Fortinet Inc. (NASDAQ: FTNT, Sunnyvale, California) |
| Fortinet-Inkorporation | Delaware Corporation |
| Geschätzter Kaufpreis | ~$200–230 Mio. (Forrester-Schätzung) |
| Aktuelles Produkt | FortiCNAPP (ehemals Lacework Polygraph Data Platform) |
| Produktdokumentation | docs.fortinet.com (vollständig migriert) |
| Fortinet-Jahresumsatz | ~$5,9 Mrd. (FY 2023) |
| Mitarbeiter | ~13.000 (Fortinet gesamt) |
| Bekannte US-Staatsverträge | GovRAMP-Autorisierung (April 2025), FedRAMP In Progress |
Lacework Inc. existiert als eigenständige juristische Person technisch weiterhin, operiert aber vollständig unter Fortinet-Kontrolle. Die datenschutzrechtlich relevante Einheit für Kundendaten ist Fortinet Inc. — ein NASDAQ-kotiertes US-Unternehmen unter direkter US-Jurisdiktion.
Fortinets Staatsnahe Verflechtung: GovRAMP und FedRAMP
Der entscheidende Unterschied zwischen Lacework-pre-Akquisition und FortiCNAPP heute ist Fortinets aktive Beteiligung am US-Staatssektor:
GovRAMP-Autorisierung (April 2025): Fortinets FortiGuard AI-Powered Security Services und FortiCare Services erhielten im April 2025 die GovRAMP-Autorisierung auf Moderate Impact Level. GovRAMP (ehemals StateRAMP) ist das bundesstaatliche Pendant zu FedRAMP — für State-and-Local-Government-Kunden in den USA. Die Autorisierung bedeutet, dass Fortinet-Infrastruktur US-Staatsanforderungen für den Umgang mit Regierungsdaten erfüllt.
FedRAMP In Progress: Fortinet hat offiziell kommuniziert, dass das Unternehmen FedRAMP-Autorisierung anstrebt. FedRAMP ist die Voraussetzung für Verträge mit US-Bundesbehörden, dem Department of Defense (DoD) und Intelligence Community (IC). Ein laufender FedRAMP-Antrag bedeutet, dass Fortinets Security Operations Center (SOC) und Infrastruktur aktiv auf US-Behördenanforderungen ausgerichtet werden.
CLOUD Act-Konsequenz für EU-Kunden: Ein FedRAMP-autorisierter US-Cloud-Dienstleister ist per Definition ein "US person" unter 18 U.S.C. § 2713. US-Behörden können via National Security Letters (NSLs), FISA § 702-Beschlüsse oder CLOUD Act-Anordnungen auf Kundendaten zugreifen — ohne Benachrichtigung des betroffenen Kunden und ohne dass EU-Datenschutzrecht dagegen schützt.
Fortinet und US-Verteidigungssektor: Fortinets Produkte (FortiGate Firewalls, FortiSIEM, FortiEDR) sind in US-Militärnetzwerken und bei US-Geheimdiensten im Einsatz — öffentlich dokumentiert durch Beschaffungsanträge und DoD-Vertragsregister. Die Integration von FortiCNAPP in dieses Ökosystem erhöht die strukturelle Nähe zu US-Sicherheitsbehörden.
Die Polygraph-Technologie: Was Lacework/FortiCNAPP über eure Cloud weiß
Bevor wir das CLOUD Act-Scoring analysieren, ist es wichtig zu verstehen, welche Daten FortiCNAPP über eure Cloud-Infrastruktur sammelt:
Behavioral Analytics via Machine Learning
Das Kernunterscheidungsmerkmal von Lacework war die "Polygraph"-Technologie: statt regelbasierter Erkennung analysiert die Plattform alle Aktivitäten in eurer Cloud-Umgebung und baut ein Baseline-Verhaltensmodell. Abweichungen von der Baseline gelten als anomal — potenziell ein Angriff, eine Fehlkonfiguration oder ein Insider-Threat.
Was das konkret bedeutet: FortiCNAPP sammelt und verarbeitet kontinuierlich:
- CloudTrail-Events (AWS) / Audit Logs (Azure/GCP): Jede API-Aufruf in eurer Cloud-Umgebung — wer hat was wann von wo aus gemacht
- VPC Flow Logs: Netzwerktraffic zwischen allen euren Cloud-Ressourcen, intern und extern
- Container/Kubernetes Events: Pod-Start/-Stop-Events, Image-Pulls, Namespace-Änderungen, Runtime-Events
- IAM-Aktivitäten: Rollenübernahmen, Permission-Grants, Policy-Änderungen — das komplette Berechtigungsmodell eurer Cloud
- Process-Level-Telemetrie (bei Agent-Installation): Welche Prozesse laufen, welche Systemaufrufe werden gemacht, welche Dateien werden geöffnet
- Configuration State: Alle Security Groups, Bucket-Policies, Firewall-Regeln, Encryption-Settings
Das Polygraph-Modell korreliert diese Datenströme in Echtzeit. Um die Korrelation durchzuführen, werden alle Events an Lacework/Fortinet-Backend-Infrastruktur übertragen und dort verarbeitet.
EU-Datenresidenz: Technisch vorhanden, rechtlich unzureichend
Lacework hatte vor der Akquisition eine EU-Datenresidenz-Option (AWS Frankfurt) angekündigt und einen EMEA-Hub in Dublin aufgebaut. Diese Infrastruktur existiert technisch weiterhin unter FortiCNAPP.
Das GDPR-Problem: Technische Datenresidenz in der EU ändert nichts am CLOUD Act-Risiko. Fortinet Inc. ist eine US-Person unter 18 U.S.C. § 2713. Ein CLOUD Act-Beschluss kann Fortinet verpflichten, Daten aus EU-Rechenzentren an US-Behörden herauszugeben — unabhängig davon, in welchem AWS-Rechenzentrum die Daten physisch liegen. Diesen Unterschied zwischen physischer Datenresidenz und rechtlicher Datensouveränität macht DSGVO-konformes Datenschutzmanagement heute zu einer der komplexesten Compliance-Aufgaben.
CLOUD Act Risiko-Analyse: 25-Kriterien-Matrix
Wir bewerten FortiCNAPP (ehemals Lacework) auf unserem Standard-25-Punkte-Framework (5 Dimensionen × max. 5 Punkte).
Dimension 1: Unternehmensstruktur und US-Jurisdiktion (max. 5)
Score: 5/5 — Maximales Risiko
Fortinet Inc. ist eine Delaware Corporation mit Hauptsitz in Sunnyvale, California. FortiCNAPP ist ein Produkt dieser US-Corporation — keine EU-Tochtergesellschaft mit eigenständiger Datenkontrolle, keine EU-DPA mit operativer Entscheidungsgewalt. Die datenschutzrechtlich verantwortliche Einheit ist Fortinet Inc., eine US-Person unter 18 U.S.C. § 2713.
Zum Vergleich: Wenn ein europäisches Unternehmen eine EU-Tochter mit eigener Rechtspersönlichkeit betreibt und EU-Kundendaten ausschließlich in dieser EU-Tochter verarbeitet, ist die CLOUD Act-Exposition grundlegend anders — US-Behörden müssten dann den Rechtsweg in der jeweiligen EU-Jurisdiktion beschreiten. Bei Fortinet/FortiCNAPP ist keine solche Abschirmstruktur vorhanden.
Dimension 2: Staatliche Verträge und US-Behördenkooperation (max. 5)
Score: 5/5 — Maximales Risiko (erhöht gegenüber Lacework pre-Akquisition)
Das ist der entscheidende Faktor, der FortiCNAPP von vielen anderen US-CSPM-Anbietern unterscheidet:
- GovRAMP Moderate Impact (April 2025): Offizielle Autorisierung für US-Staatsbehörden
- FedRAMP In Progress: Aktiver Antrag, bedeutet aktive Kooperation mit US-Bundesbehörden bei Security Reviews
- DoD-Marktpräsenz: Fortinet-Produkte sind in US-Militärnetzwerken dokumentiert einsatzbereit
- CISA-Partnerschaft: Fortinet ist CISA-Partner im Rahmen des Cyber Information Sharing and Collaboration Program (CISCP)
Für EU-Organisationen mit hohem Schutzbedarf (Kritische Infrastruktur, DORA-scope Finanzinstitute, NIS2-essentielle Einrichtungen) ist dieser Score besonders relevant: Je tiefer die Behördenkooperation eines Anbieters, desto wahrscheinlicher ist eine bestehende Kooperationsinfrastruktur für behördliche Datenzugriffe.
Dimension 3: Datenmenge und Sensitivität der verarbeiteten Daten (max. 5)
Score: 5/5 — Maximales Risiko
CSPM ist per Definition eine der datensensitivsten Kategorien von Security-Tools. FortiCNAPP verarbeitet:
- Vollständige IAM-Konfiguration (wer hat welche Rechte in eurer Cloud)
- Alle Netzwerkflüsse (wer kommuniziert mit wem, wann, wie viel)
- Security-Konfigurationsstate (was ist exponiert, was ist gesichert)
- Bei Agent-Betrieb: Prozess- und Systemcall-Level-Telemetrie
Das sind strukturell höherwertige Informationen als simple Logfiles: Es ist eine vollständige Blaupause eurer Cloud-Sicherheitsarchitektur. Ein Angreifer (oder eine Behörde) mit Zugriff auf diese Daten kennt nicht nur eure Schwachstellen — er kennt euren vollständigen Verteidigungsperimeter.
Dimension 4: Datentransfer und Drittland-Transfers (max. 5)
Score: 4/5 — Hohes Risiko (kein Maximum wegen EU-Datenresidenz-Option)
Lacework hatte vor der Akquisition eine EU-Region (AWS Frankfurt) eingerichtet. FortiCNAPP bietet diese Option technisch weiterhin an. Das mildert den Score um einen Punkt gegenüber dem Maximum — technische Datenresidenz in der EU ist besser als gar keine.
Allerdings: Wie unter "EU-Datenresidenz" erläutert, löst technische Datenresidenz das CLOUD Act-Problem nicht. Standard Contractual Clauses (SCCs), die Fortinet für EU-Transfers anbietet, mildern das Risiko formal, heben es aber nicht auf — da CLOUD Act und FISA § 702 SCCs nicht anerkennen.
Dimension 5: Transparenz und Kontrollierbarkeit (max. 5)
Score: 3/5 — Mittleres Risiko
Fortinet/Lacework bietet:
- SOC 2 Type II-Auditierung (jährlich)
- ISO/IEC 27001:2013 Zertifizierung
- GDPR Data Processing Agreement (DPA)
- Öffentliche Datenschutzdokumentation
Was fehlt oder unklar bleibt:
- Kein EU-spezifischer Jahresbericht über Behördenanfragen (Transparency Report)
- Unklar, ob EU-Kundendaten von US-behördlichem Zugriff explizit ausgeschlossen sind
- Nach der Fortinet-Akquisition: Unklarheit, ob Lacework-spezifische DPAs noch Bestand haben oder durch Fortinet-DPAs ersetzt wurden
Gesamt-CLOUD Act Score: 22/25 — Sehr hohes Risiko
| Dimension | Score | Details |
|---|---|---|
| US-Jurisdiktion | 5/5 | Delaware Corp, Fortinet Inc. direkte US-Person |
| Staatliche Verträge | 5/5 | GovRAMP 2025, FedRAMP In Progress, DoD-Marktpräsenz |
| Datensensitivität | 5/5 | Vollständige Cloud-Security-Blaupause |
| Datentransfer | 4/5 | EU-Datenresidenz-Option vorhanden, rechtlich unzureichend |
| Transparenz | 3/5 | SOC2/ISO27001, aber kein EU-Behördenanfragen-Report |
| Gesamt | 22/25 | Sehr hohes CLOUD Act-Risiko |
DSGVO Art. 44 ff. und Drittland-Transfer-Analyse
Die DSGVO erlaubt Datentransfers in Drittländer (wie die USA) nur unter bestimmten Voraussetzungen. Für FortiCNAPP sind die relevanten Mechanismen:
Standard Contractual Clauses (SCCs): Das gängige Instrument. Fortinet bietet SCCs an — aber SCCs schützen nicht gegen CLOUD Act oder FISA § 702, da US-Behörden ohne Einhaltung der SCCs direkt auf US-Unternehmen zugreifen können. Der EuGH hat im Schrems-II-Urteil (C-311/18, Juli 2020) explizit festgestellt, dass SCCs allein keinen ausreichenden Schutz bieten, wenn das Drittland keine "im Wesentlichen gleichwertigen" Datenschutzstandards hat.
Data Privacy Framework (DPF): Fortinet ist (soweit öffentlich dokumentiert) DPF-zertifiziert. Das DPF ist der Nachfolger des Privacy Shield und bietet einen EU-Angemessenheitsbeschluss für die USA (seit Juli 2023). Allerdings: Das DPF gilt nicht für National Security-bezogene Zugriffe — genau der CLOUD Act- und FISA-§-702-Bereich, der für EU-Sicherheitsverantwortliche am relevantesten ist.
Praktische Konsequenz für DPIAs: Jede Datenschutz-Folgenabschätzung (Art. 35 DSGVO) für FortiCNAPP muss das Restrisiko dokumentieren, das aus der CLOUD Act-Exposition entsteht. Für NIS2-essentielle Einrichtungen und DORA-scope Finanzinstitute ist dieses Restrisiko formal zu bewerten und zu akzeptieren — oder es sind technisch-organisatorische Maßnahmen zu ergreifen, die das Risiko auf ein akzeptables Niveau senken.
FortiCNAPP vs. EU-native CSPM: Funktionsvergleich
| Funktion | FortiCNAPP (Lacework) | Cyscale | Prowler OSS | Cloud Custodian |
|---|---|---|---|---|
| Agentless Scanning | Ja | Ja | Teilweise | Nein |
| Behavioral Analytics (ML) | Ja (Kernfunktion) | Begrenzt | Nein | Nein |
| Multi-Cloud | AWS, Azure, GCP, OCI | AWS, Azure, GCP | AWS, Azure, GCP | AWS, Azure, GCP, K8s |
| IaC Security | Ja | Ja | Begrenzt | Begrenzt |
| Container/K8s | Ja (CNAPP) | Ja | Begrenzt | Ja |
| Runtime Protection | Ja | Nein | Nein | Nein |
| GDPR-Compliance-Reports | Ja | Ja | Begrenzt | Begrenzt |
| EU-Jurisdiktion | Nein (Fortinet USA) | Ja (Rumänien) | Open Source | Open Source (Apache) |
| CLOUD Act-Risiko | 22/25 (sehr hoch) | 1/25 (minimal) | 0/25 (keine) | 0/25 (keine) |
| Self-hosted möglich | Nein | Nein | Ja | Ja |
| Pricing | Enterprise (>$50k/Jahr) | SME (ab ~$1k/Mo) | Kostenlos | Kostenlos |
EU-native Alternativen im Detail
1. Cyscale — Rumänien (EU-native CSPM für KMU und Scale-ups)
Unternehmensstruktur: Cyscale Limited ist in Rumänien inkorporiert — EU-Mitgliedsstaat seit 2007, DSGVO-Jurisdiktion. Das Unternehmen hat keine bekannte US-Beteiligung und unterliegt keinem CLOUD Act.
CLOUD Act Score: 1/25 (minimales Restrisiko durch internationalen Datentransfer möglich)
Kernfunktionen:
- Agentloses CSPM für AWS, Azure, GCP, Alibaba Cloud
- Security Knowledge Graph — Kontext-basierte Risikobewertung statt Regelflut
- Pre-built Compliance-Frameworks: GDPR, ISO 27001, SOC 2, CIS Benchmarks, NIS2
- Continuous Compliance Monitoring mit automatisierten Reports
- Integrationen: Jira, Slack, PagerDuty, Microsoft Teams
Vorteile gegenüber FortiCNAPP:
- Datenschutzrechtlich in der EU verankert — kein CLOUD Act-Risiko
- Deutlich günstiger (SME-freundliches Pricing)
- Fokus auf Compliance-Reporting vs. Fortinets Fokus auf Security Operations
Einschränkungen:
- Keine ML-basierten Verhaltensanalysen (Polygraph-Äquivalent fehlt)
- Kein Runtime-Protection-Layer
- Kleineres Unternehmen — Enterprise-SLA-Anforderungen prüfen
Direkter Cyscale vs. Lacework Vergleich: Cyscale selbst positioniert sich explizit als Lacework-Alternative für EU-Organisationen mit GDPR-Fokus — inklusive einer Vergleichsseite auf ihrer Website.
Ideal für: Scale-ups, Mittelstand, NIS2-Compliance-Projekte, EU-Public-Sector
2. Prowler — Open Source (AWS-Fokus, selbst-hostbar)
Unternehmensstruktur: Prowler ist ein Open-Source-Projekt (Apache 2.0 Lizenz). Das originale Tool wurde von AWS-Community-Mitgliedern entwickelt. Prowler Pro (kommerzielle Version) wird von der Prowler-Community mit EU-basierter Infrastruktur-Option angeboten. Als selbst-gehostetes OSS-Tool: CLOUD Act Score 0/25.
CLOUD Act Score: 0/25 (bei Self-Hosting — kein US-Anbieter involviert)
Kernfunktionen:
- AWS, Azure, GCP, Kubernetes Security Assessments
- 300+ vorgefertigte Security-Checks
- Compliance-Mapping: GDPR, HIPAA, PCI-DSS, SOC 2, CIS Benchmarks, NIST 800-53, FedRAMP, ISO 27001
- CLI-Tool mit Python-basierter Architektur — einfach in CI/CD-Pipelines integrierbar
- Output-Formate: CSV, JSON, HTML, S3, Security Hub
Vorteile:
- Vollständige Kontrolle über Daten und Infrastruktur
- Keine laufenden Lizenzkosten
- Aktive Community (15.000+ GitHub Stars)
- Gut geeignet für AWS-zentrierte Umgebungen
Einschränkungen:
- Kein Agentless-Scanning im Lacework-Stil (kein Volume-Snapshot-Analyse)
- Keine ML-basierten Anomalie-Erkennungen
- Erfordert Security-Engineering-Expertise für Setup und Betrieb
- Kein kommerzieller Support by default
Ideal für: DevSecOps-Teams, AWS-Shops, Compliance-Audits, Budget-limitierte Organisationen
3. Cloud Custodian — CNCF-Projekt (Policy-as-Code, Multi-Cloud)
Unternehmensstruktur: Cloud Custodian ist ein CNCF-Inkubationsprojekt (Cloud Native Computing Foundation). CNCF ist eine Linux Foundation-Initiative — non-profit, technologisch neutral, keine US-Geheimdienstbindung. Bei Self-Hosting: CLOUD Act Score 0/25.
CLOUD Act Score: 0/25 (bei Self-Hosting)
Kernfunktionen:
- Policy-as-Code: Security-Richtlinien werden in YAML definiert und automatisch durchgesetzt
- Stateless-Architektur — läuft als Lambda/Function oder als Batch-Job
- Automatisierte Remediation: Nicht-konforme Ressourcen werden automatisch korrigiert oder isoliert
- Multi-Cloud: AWS, Azure, GCP, Kubernetes, OpenStack
- "Serverless"-Betrieb möglich — minimale Infrastrukturanforderungen
Vorteile:
- Regelbasierte Automatisierung — gut für definierte Compliance-Anforderungen
- Sehr niedrige Betriebskosten
- Starke Community und CNCF-Unterstützung
- Ideal für "GitOps"-Ansätze zu Security-Governance
Einschränkungen:
- Kein Behavioral Analytics (kein Äquivalent zur Polygraph-Technologie)
- Steile Lernkurve für das Policy-Language-Design
- Reaktiv (Policy-Enforcement) statt proaktiv (Anomalie-Erkennung)
Ideal für: Platform-Engineering-Teams, GitOps-Organisationen, Policy-driven Compliance
4. Runecast — UK/EU (Enterprise CNAPP mit EU-Fokus)
Unternehmensstruktur: Runecast Solutions Ltd. ist in London (UK) registriert, mit R&D in Bratislava (Slowakei, EU-Mitglied). Nach Brexit unterliegt UK einem separaten DSGVO-Adäquatheitsbeschluss — formal ausreichend für EU-Datentransfers, rechtlich stabiler als USA.
CLOUD Act Score: 3/25 (UK-Jurisdiktion, kein US-CLOUD-Act, aber UK hat eigene Geheimdienstkooperationen via Five Eyes)
Kernfunktionen:
- CNAPP mit CSPM, KSPM (Kubernetes Security), Vulnerability Management
- VMware-Expertise (Differenzierungsmerkmal von Lacework)
- Compliance: NIS2, DORA, CIS Benchmarks, GDPR, ISO 27001, NIST, PCI-DSS
- On-premise und Cloud-Deployment-Optionen
- AI-gestützte Root-Cause-Analysis
Ideal für: Finanzsektor (DORA), kritische Infrastruktur (NIS2), VMware-Umgebungen, Enterprise
Migrations-Checkliste: Von FortiCNAPP zu EU-native CSPM
Für Organisationen, die FortiCNAPP/Lacework einsetzen und eine datenschutzkonforme Alternative evaluieren:
Phase 1: Risikobewertung (2–4 Wochen)
- DPIA (Art. 35 DSGVO) für FortiCNAPP durchführen oder aktualisieren — Post-Akquisition neu notwendig
- Identifizieren, welche Datenklassen FortiCNAPP verarbeitet (IAM-Daten, Netzwerkflows, Container-Telemetrie)
- Klassifizieren, ob diese Daten unter NIS2 Art. 21, DORA Art. 28 oder kritische Infrastruktur-Regulierung fallen
- Fortinet-DPA auf CLOUD Act-Einschränkungen prüfen (NSL-Non-Disclosure-Provisions)
Phase 2: Technische Bewertung (4–8 Wochen)
- Proof-of-Concept mit Cyscale für GDPR/NIS2-Compliance-Reporting
- Prowler in CI/CD-Pipeline integrieren (AWS CIS Benchmark als Baseline)
- Cloud Custodian Policies für die kritischsten Security-Anforderungen definieren
- Coverage-Gap-Analyse: Was deckt FortiCNAPP ab, was fehlt in EU-Alternativen?
Phase 3: Parallelbetrieb und Datenmigration (4–12 Wochen)
- EU-native CSPM parallel zu FortiCNAPP betreiben
- Alert-Vergleich: Findet die EU-Alternative dieselben kritischen Befunde?
- Team-Training auf neue Plattform
- FortiCNAPP-Kündigung planen (Vertragslaufzeiten beachten — Enterprise: oft 1–3 Jahre)
Phase 4: Dokumentation und Compliance
- DPIA aktualisieren: FortiCNAPP-Risiken entfernt, neue Plattform dokumentiert
- Verarbeitungsverzeichnis (Art. 30 DSGVO) aktualisieren
- Nachweis gegenüber Aufsichtsbehörden, Kunden, Revisoren
Preisvergleich: FortiCNAPP vs. EU-Alternativen
| Anbieter | Modell | Richtwert | CLOUD Act Score |
|---|---|---|---|
| FortiCNAPP (Lacework) | Enterprise-Lizenz | >$50.000/Jahr (typisch) | 22/25 |
| Cyscale | SaaS (asset-based) | ~$1.000–5.000/Monat | 1/25 |
| Prowler OSS | Self-hosted, kostenlos | €0 + Infrastrukturkosten | 0/25 |
| Prowler Pro | SaaS | ~$500–2.000/Monat | 0-2/25 |
| Cloud Custodian | Self-hosted, kostenlos | €0 + Engineering-Zeit | 0/25 |
| Runecast | Lizenz (on-prem/cloud) | ~$20.000–80.000/Jahr | 3/25 |
Die TCO (Total Cost of Ownership) einer EU-nativen Lösung ist häufig niedriger als FortiCNAPP — insbesondere wenn man den Engineering-Aufwand für die DPIA-Dokumentation und die laufende CLOUD Act-Risikoverwaltung einpreist.
NIS2 und DORA: Spezifische Implikationen für Lacework/FortiCNAPP
NIS2 Art. 21(2)(h) — Supply Chain Security: Wesentliche und wichtige Einrichtungen müssen Sicherheit in der Lieferkette gewährleisten. Ein CSPM-Tool mit 22/25 CLOUD Act-Score ist selbst ein Lieferkettenrisiko. Die NIS2-Bewertungspflicht für Drittanbieter umfasst explizit ICT-Security-Tools — FortiCNAPP ist ein primärer Kandidat für dieses Assessment.
DORA Art. 28 — ICT Third-Party Risk: Finanzinstitute im DORA-Scope müssen für kritische ICT-Drittdienstleister eine Konzentrationsbewertung und eine Ausstiegsstrategie dokumentieren. FortiCNAPP als CNAPP-Plattform, die vollständige Cloud-Security-Sichtbarkeit liefert, ist typischerweise als kritischer ICT-Drittdienstleister einzustufen. Nach DORA müssen dann spezifische Vertragsklauseln, Audit-Rechte und Exit-Pläne vorhanden sein.
BSI C5-Attestierung: Das BSI Cloud Computing Compliance Criteria Catalogue (C5) ist für deutsche Organisationen und ihre Cloud-Dienstleister relevant. FortiCNAPP ist nicht C5-attestiert (Stand 2026). EU-native Alternativen wie Cyscale sind in der Lage, C5-kompatible Compliance-Berichte zu generieren.
Fazit: Wann FortiCNAPP, wann EU-native Alternative?
Die Entscheidung zwischen FortiCNAPP und einer EU-nativen CSPM-Lösung hängt von drei Faktoren ab:
FortiCNAPP behalten, wenn:
- Fortinets Behavioral-Analytics-Tiefe (Polygraph ML) für euren Threat-Detection-Anspruch unersetzlich ist und keine EU-native Alternative dies leistet
- Eure Rechtsabteilung das CLOUD Act-Restrisiko formell akzeptiert hat (dokumentiert in DPIA)
- Ihr keine NIS2-essenzielle Einrichtung, kein DORA-scope Finanzinstitut und keine kritische Infrastruktur seid
- Ihr bereits tief in Fortinets Sicherheits-Ökosystem integriert seid (FortiSIEM, FortiEDR, FortiGate) und Vendor-Konsolidierung anstrebt
Zu EU-nativer Alternative wechseln, wenn:
- Ihr NIS2-essenzielle oder wichtige Einrichtung seid (Supply-Chain-Risk-Assessment erfordert Handlung)
- Ihr DORA-scope Finanzinstitut seid (ICT Third-Party Risk Management erfordert dokumentierten Exit-Plan)
- Eure DPIA ergeben hat, dass FortiCNAPP-CLOUD-Act-Exposition nicht akzeptierbar ist
- Eure Kunden oder Partner EU-Datensouveränität als Vertragsbedingung fordern
- Budget-Optimierung Priorität hat — EU-Alternativen sind signifikant günstiger
Hybride Strategie (empfohlen für viele Organisationen):
- Prowler oder Cloud Custodian (self-hosted, 0/25) für Compliance-Audits und Policy-Enforcement
- Cyscale für kontinuierliches CSPM und GDPR-Reporting
- FortiCNAPP nur für spezialisierte Threat-Detection-Use-Cases mit akzeptiertem Restrisiko
Die nächsten Posts in dieser Serie analysieren Sysdig und Aqua Security — beide mit ähnlicher US-Jurisdiktion, aber unterschiedlichen Behördenkooperations-Profilen. Der Abschluss-Post bringt eine vollständige Vergleichs-Matrix aller fünf CSPM-Anbieter mit Migrationsempfehlungen nach Organisationstyp.
Dieser Post ist Teil der sota.io EU Cyber Compliance Series. Alle CLOUD Act Scores basieren auf öffentlich zugänglichen Informationen zu Unternehmensstruktur, Inkorporation, Eigentümerschaft und Staatsnähe der bewerteten Anbieter. Die Scores sind keine Rechtsberatung — für spezifische DPIA-Durchführungen konsultiert einen auf DSGVO spezialisierten Datenschutzbeauftragten.
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.