Mandiant (Google) Threat Intelligence EU Alternative 2026 — Alphabet CLOUD Act 23/25
Post #3 in der sota.io EU Threat Intelligence Serie
Mandiant wurde 2022 für 5,4 Milliarden US-Dollar von Google übernommen — damit ist Google Mandiant Threat Intelligence heute eine direkte Alphabet-Tochter unter Delaware-Recht. Alphabet Inc. (NASDAQ:GOOGL) ist seit 2013 bestätigter NSA-PRISM-Teilnehmer, betreibt FedRAMP-High-Infrastruktur und beliefert DoD, DHS, FBI und NSA mit Cloud-Services. Der CLOUD Act verpflichtet Alphabet, US-Behörden auf Anfrage Zugang zu Daten zu gewähren — unabhängig davon, ob die Daten physisch in der EU liegen. Für EU-Unternehmen, die Mandiant zur Threat Intelligence nutzen, bedeutet das: Ihre Angriffsdaten, IOCs und Netzwerkanomalien liegen potenziell im Zugriffsbereich US-amerikanischer Geheimdienste.
Die Ironie ist historisch: FireEye trennte sich 2021 explizit von Mandiant — mit der Begründung, beide Unternehmen könnten unabhängig voneinander fokussierter operieren. Kevin Mandia, Gründer und CEO von Mandiant, sprach damals von mehr Flexibilität für Kunden und Partner. Dann, nur 14 Monate später, verkaufte Mandiant für $5,4 Mrd direkt an Google/Alphabet — den CLOUD-Act-Anbieter mit dem vielleicht tiefsten Verwurzelung in der US-Geheimdienstinfrastruktur. FireEye hatte sich von Mandiant getrennt, um freier zu sein. Mandiant endete als Google-Abteilung.
Wer ist Mandiant?
Mandiant wurde 2004 von Kevin Mandia gegründet, einem ehemaligen Offizier der US Air Force mit Geheimdienst-Hintergrund (Air Force Office of Special Investigations, Computersicherheit). Das Unternehmen machte sich einen Namen durch den APT1-Report von 2013, der die chinesische PLA-Einheit 61398 als Täter hinter massiven US-Industriespionage-Angriffen identifizierte — in enger Zusammenarbeit mit US-Behörden.
2013 übernahm FireEye Mandiant für $1 Mrd. 2021 kaufte Symphony Technology Group die FireEye-Produktlinie (später Trellix), während FireEye Inc. sich in Mandiant Inc. umbenannte und als reines Threat-Intelligence- und Consulting-Unternehmen weiteroperierte. Im September 2022 schloss Google die Übernahme von Mandiant Inc. für $5,4 Mrd ab.
Heute ist Google Mandiant Threat Intelligence Teil von Google Cloud Security — einer Sparte von Alphabet Inc. (NASDAQ:GOOGL, Delaware).
CLOUD Act Score: 23/25
Alphabet Inc. ist eine der exponiertesten US-Technologiekonzerne gegenüber dem CLOUD Act (18 U.S.C. § 2713). Die Analyse nach fünf Dimensionen:
D1 — Corporate Structure (5/5): Alphabet Inc. ist eine Delaware-Kapitalgesellschaft. Google LLC ist eine Tochtergesellschaft von Alphabet. Google Mandiant operiert als Google Cloud Security-Einheit. Sämtliche juristische Kontrolle liegt in den USA. Keine EU-Gesellschaft mit eigenständiger Kontrolle über Kundendaten.
D2 — Ownership & Control (5/5): Alphabet gehört vollständig US-amerikanischen Gründern und institutionellen Investoren (BlackRock, Vanguard, Fidelity). Larry Page und Sergey Brin kontrollieren über Super-Voting-Aktien die strategische Ausrichtung. Kevin Mandia führt Google Mandiant als VP innerhalb von Google Cloud. Keine nicht-US-amerikanischen Mehrheitseigner.
D3 — Government Contracts (5/5): Google ist NSA-PRISM-Teilnehmer (seit 2013 durch Snowden-Dokumente bestätigt). Google Cloud ist FedRAMP High autorisiert. Google Public Sector beliefert DoD (Defense Department), DHS (Homeland Security), NSA und FBI. Mandiant selbst arbeitet direkt mit CISA, FBI Cyber Division und NSA Cybersecurity Directorate zusammen — bei APT-Attribution, Joint Cyber Defense Collaborative (JCDC) und nationalen Cyber-Abwehrinitiativen. Google Workspace: FedRAMP High, DoD IL4 Impact Level.
D4 — Data Infrastructure (5/5): Mandiant Threat Intelligence sammelt global Bedrohungsdaten: IOCs, TTPs, Malware-Signaturen, Akteur-Profile, Victim-Notification-Daten. Diese Telemetrie fließt durch Googles globale Infrastruktur — inklusive US-Rechenzentren. Threat Intelligence Feeds, Mandiant Advantage Plattform, VirusTotal (Google-Tochter): alle Daten laufen über Alphabet-Infrastruktur. VirusTotal allein sammelt täglich Millionen Dateien von Nutzern weltweit, darunter europäische Behörden und Unternehmen.
D5 — Jurisdictional History (3/5): Für Mandiant als Einheit gibt es keine spezifisch dokumentierten CLOUD-Act-Fälle. Aber für die Alphabet-Muttergesellschaft: FBI FISA-Warrants gegen Google-User (National Security Letters), NSA-PRISM-Beteiligung, ECPA-Anfragen in Tausenden von Fällen jährlich (Google Transparency Report dokumentiert >100.000 Anfragen/Jahr). Google kämpft regelmäßig gegen zu weit gefasste Regierungsanfragen — verliert aber einen substanziellen Teil davon. Score: 3/5 (kein Mandiant-spezifischer Fall, aber Alphabet-Exposition ist gut dokumentiert).
Gesamt: 23/25. Nur D5 (keine Mandiant-spezifischen Fälle) verhindert einen Maximalwert. Für EU-Unternehmen unter DSGVO Art.44-49, NIS2 Art.21(2)(e) und GDPR Art.32 ist ein Score von 23/25 ein erhebliches Drittlands-Transferrisiko.
Die Ironie der Mandiant-Geschichte
FireEye trennte sich 2021 von Mandiant unter dem Motto strategischer Unabhängigkeit. Mandiant als eigenständiges Unternehmen sollte flexibler für Kunden und Partner sein — weniger gebunden an Produktverkäufe, fokussierter auf Intelligence und Consulting.
Dann: Alphabet-Übernahme für $5,4 Mrd. September 2022. Kevin Mandia, der die Unabhängigkeit betonte, wurde Google-Angestellter. Mandiant, das sich von FireEye trennte um ungebundener zu sein, ist jetzt Unterabteilung des Konzerns, der durch PRISM 2013 wohl am stärksten in den USA mit Geheimdienstinfrastruktur assoziiert wurde.
Für EU-Sicherheitsverantwortliche ist das relevant: Ein Threat-Intelligence-Anbieter, der auf Sicherheitslücken, laufende Angriffe und kritische Infrastruktur-Telemetrie Ihrer Umgebung Zugriff hat, sitzt jetzt vollständig im Alphabet-Konzern. Die Frage lautet nicht, ob Google CLOUD-Act-Anfragen erhalten hat — das ist dokumentiert. Die Frage lautet, ob Ihre Threat-Intelligence-Daten dabei eingeschlossen sind.
VirusTotal: Die oft vergessene Dimension
VirusTotal wurde 2012 von Google übernommen. Es ist heute Teil von Google/Alphabet — und damit genauso dem CLOUD Act unterworfen wie Mandiant Threat Intelligence. Security-Teams in Europa, die Dateien und IOCs über VirusTotal analysieren, übertragen diese Daten an Alphabet-Infrastruktur. Die VirusTotal-API, die in viele SOC-Playbooks integriert ist, ist technisch betrachtet ein Google-Service.
Diese Kombination — Mandiant Advantage + VirusTotal + Google Chronicle SIEM — ist vollständig Alphabet-konsolidiert. Für EU-Unternehmen unter DSGVO Art.32 ist das ein Stack, der erhebliche Drittlands-Transferrisiken akkumuliert.
EU-native Alternativen ohne CLOUD Act
Sekoia.io — Paris, Frankreich (CLOUD Act Score: 0/25)
Sekoia.io ist eine rein französische Gesellschaft (SAS) mit Hauptsitz in Paris. Keine US-Muttergesellschaft, keine US-Investoren mit Kontrollrechten. ANSSI-qualifizierter Anbieter. Die Sekoia.io Intelligence Center-Plattform bietet Threat Intelligence Feeds, IOC-Analyse, Akteur-Tracking und MITRE ATT&CK-Mapping. Alle Daten verbleiben auf EU-Infrastruktur. CLOUD Act Exposure: 0/25.
NVISO — Brüssel, Belgien (CLOUD Act Score: 0/25)
NVISO ist ein belgisches Cybersicherheitsunternehmen mit Hauptsitz in Brüssel, gegründet 2013. Threat Intelligence, Incident Response, Red Teaming. Keine US-Gesellschaft in der Eigentümerstruktur. Belgisches Recht. CLOUD Act Exposure: 0/25.
EclecticIQ — Amsterdam, Niederlande (CLOUD Act Score: 0/25)
EclecticIQ ist eine niederländische Gesellschaft mit Hauptsitz in Amsterdam. Threat Intelligence Plattform (TIP) mit STIX/TAXII-Integration, Akteur-Analyse, IOC-Verwaltung. EU-Infrastruktur, kein US-Parent. CLOUD Act Exposure: 0/25.
S21sec — Spanien (Grupo Oesia) (CLOUD Act Score: 0/25)
S21sec ist ein spanisches Cybersicherheitsunternehmen, Tochter von Grupo Oesia (Madrid). Threat Intelligence, SOC-Services, CERT-Funktionen. EU-Gesellschaft unter spanischem Recht. CLOUD Act Exposure: 0/25.
HarfangLab — Paris, Frankreich (CLOUD Act Score: 0/25)
HarfangLab ist ein französischer EDR- und Threat-Intelligence-Anbieter (Paris). ANSSI-qualifiziert. Fokus auf Endpoint-Telemetrie und Threat Detection mit lokalem EU-Datenverbleib. CLOUD Act Exposure: 0/25.
Technische Integration: Was bedeutet das für EU-SOCs?
Viele EU-Security-Operations-Center integrieren Mandiant über:
- Mandiant Threat Intelligence API → IOC-Feeds direkt in SIEM
- VirusTotal API → Datei-/Hash-Analyse in Playbooks
- Google Chronicle → Cloud-natives SIEM (Alphabet-Infrastruktur)
- Mandiant Managed Defense → Ausgelagerter SOC mit US-Personal-Zugriff
Jede dieser Integrationen ist ein DSGVO Art.44-Transfer in ein Drittland ohne Angemessenheitsbeschluss (die USA haben seit Schrems II kein gültiges Adequacy Decision für allgemeine Datentransfers — das EU-U.S. Data Privacy Framework gilt für spezifische Unternehmen, nicht für Geheimdienstanfragen nach CLOUD Act).
Rechtliche Einschätzung für EU-Unternehmen:
DSGVO Art.28 (Auftragsverarbeiter): Wenn Mandiant als Auftragsverarbeiter behandelt wird, muss der DPA (Auftragsverarbeitungsvertrag) den Drittlands-Transfer explizit adressieren — inklusive SCCs (Standard Contractual Clauses nach DSGVO Art.46). Das ändert aber nichts an der materiellen CLOUD-Act-Exposition: SCCs können US-Behördenanfragen nicht vertraglich ausschließen.
NIS2 Art.21(2)(e): Threat Intelligence ist Teil der geforderten Sicherheitsmaßnahmen für Risikoanalyse und Vorfallserkennung. Wenn EU-Betreiber wesentlicher Dienste Mandiant nutzen, sollten sie dokumentieren, wie sie mit der Drittlands-Transfer-Problematik umgehen — zum Beispiel durch ein Gegengutachten zur CLOUD-Act-Exposition.
Vergleich: Was Sie prüfen sollten
| Kriterium | Google Mandiant | Sekoia.io | EclecticIQ |
|---|---|---|---|
| Jurisdiktion | USA (Delaware/Alphabet) | EU (Paris FR) | EU (Amsterdam NL) |
| CLOUD Act Score | 23/25 | 0/25 | 0/25 |
| PRISM-Exposition | Bestätigt 2013 | Keine | Keine |
| VirusTotal-Integration | Alphabet-Produkt | Drittanbieter | Drittanbieter |
| FedRAMP | High (Google Cloud) | N/A | N/A |
| ANSSI-Qualifikation | Nein | Ja | Nein |
| Managed Defense | Ja (US-Personal-Zugriff) | Ja (EU) | Nein |
| DSGVO Art.44 | SCCs erforderlich | Kein Transfer | Kein Transfer |
Fazit
Google Mandiant Threat Intelligence ist ein leistungsfähiges Produkt — eines der renommiertesten weltweit. Die APT-Attributionsarbeit, das globale Sensor-Netzwerk und die Mandiant Consulting-Expertise sind marktführend.
Aber: Seit September 2022 ist Mandiant eine Google-Abteilung. Alphabet Inc. (NASDAQ:GOOGL, Delaware) ist NSA-PRISM-Teilnehmer, FedRAMP-High-Anbieter und arbeitet direkt mit US-Sicherheitsbehörden zusammen. Der CLOUD Act zwingt Alphabet, US-Behörden auf Anfrage Datenzugriff zu gewähren — auch für Daten, die physisch in der EU liegen.
Für EU-Unternehmen in regulierten Sektoren (Finanzdienstleistungen, Gesundheitswesen, Energie, öffentliche Verwaltung) und für KRITIS-Betreiber unter NIS2: Sekoia.io, EclecticIQ und NVISO bieten Threat-Intelligence-Kapazitäten ohne US-Jurisdiktion, ohne CLOUD-Act-Exposition und ohne Alphabet-Konzernzugehörigkeit.
Die Frage ist nicht, ob Sie Mandiant vertrauen. Die Frage ist, ob Sie Alphabet unter CLOUD Act vertrauen müssen — und ob das mit Ihrer DSGVO-Compliance-Dokumentation vereinbar ist.
Post #3 der sota.io EU Threat Intelligence Serie. Post #1: CrowdStrike Falcon Intelligence EU Alternative 2026. Post #2: Recorded Future EU Alternative 2026.
Keine Rechtsberatung. Für verbindliche Einschätzungen wenden Sie sich an einen auf Datenschutzrecht spezialisierten Rechtsanwalt.
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.