Orca Security EU Alternative 2026: CLOUD Act Exposure in Agentless CSPM
Post #1233 — EU-CSPM-Serie #1/5 (sota.io EU Cyber Compliance Series)
Orca Security ist einer der am schnellsten gewachsenen Anbieter im Cloud Security Posture Management (CSPM)-Markt. Das Unternehmen hat seit 2020 über 550 Millionen Dollar eingesammelt, darunter von Alphabets Risikokapitalarm CapitalG, Tiger Global und ICONIQ Growth. Die Kernidee: Agentloses Scanning via "SideScanning" — der Orca-Agent liest Cloud-Snapshots, ohne in jeder VM ein Agenten-Binary zu installieren.
Was dabei wenig diskutiert wird: SideScanning bedeutet, dass Orca vollständige Momentaufnahmen eurer Cloud-Infrastruktur liest — einschließlich aller Secrets, Credentials, Netzwerkkonfigurationen und gespeicherter Daten. Diese Snapshots werden auf Orca-Infrastruktur verarbeitet. Orca Security, Inc. ist ein Delaware C-Corporation mit Hauptsitz in Santa Clara, Kalifornien. Damit ist das Unternehmen ein "US person" im Sinne des CLOUD Act (18 U.S.C. § 2713) — und US-Behörden können per Gerichtsbeschluss auf alle verarbeiteten Kundendaten zugreifen.
Für EU-Organisationen, die unter DSGVO Art. 5(1)(f) zur Datensicherheit verpflichtet sind, oder für NIS2-essentielle und wichtige Einrichtungen, die ihre Cloud-Sicherheitsstrategie dokumentieren müssen, ist das ein strukturelles Risiko — unabhängig davon, wie gut die Plattform technisch ist.
Diese Analyse ist der erste Post in unserer neuen EU-CSPM-Serie. In den folgenden vier Posts analysieren wir Lacework (Fortinet-Tochter), Sysdig, Aqua Security und schließen mit einer vollständigen Vergleichs-Matrix ab.
Orca Security: Unternehmensstruktur
| Merkmal | Details |
|---|---|
| Vollständiger Name | Orca Security, Inc. |
| Inkorporation | Delaware C-Corporation |
| Hauptsitz | Santa Clara, California (USA) + Tel Aviv (Israel) |
| Gegründet | 2019 |
| CEO | Avi Shua (Mitgründer) |
| Status | Privat |
| Funding (total) | ~$550M |
| Investoren | CapitalG (Alphabet), Tiger Global, ICONIQ Growth, GGV Capital, Cyberstarts |
| Mitarbeiter | ~500 (2024) |
| Kernprodukt | Agentless CSPM/CNAPP via SideScanning |
Orca Security wurde 2019 in Tel Aviv von Avi Shua und Gil Geron gegründet. Das Unternehmen ist in Israel operativ aktiv und unterhält dort wesentliche F&E-Kapazitäten. Rechtlich ist es jedoch als US-Corporation strukturiert — ein bewusstes Fundraising- und M&A-Kalkül, das sich als signifikanter DSGVO-Risikofaktor erweist.
Besonders relevant: Alphabet (Google) ist via CapitalG ein wesentlicher Investor. Das schafft eine Überschneidung mit Google Cloud-Infrastruktur und erhöht die Wahrscheinlichkeit, dass Orca-Daten auch auf Google-Infrastruktur verarbeitet werden.
SideScanning: Was genau wird übertragen?
Das Technologie-Differenzierungsmerkmal von Orca ist gleichzeitig sein größtes DSGVO-Risiko:
Was SideScanning liest
Orca erstellt Snapshots der Cloud-Block-Storage-Volumes (AWS EBS, Azure Managed Disks, GCP Persistent Disks) ohne Agent-Installation. Aus diesen Snapshots extrahiert Orca:
- Betriebssystem-Dateisystem: alle installierten Pakete, Konfigurationsdateien,
.env-Dateien, SSH-Keys - Secrets und Credentials: Hard-coded API-Keys, Datenbankpasswörter, Zertifikate
- Netzwerkkonfiguration: Security Groups, VPC-Einstellungen, offene Ports, Routing-Regeln
- IAM-Policies und Berechtigungsstrukturen: Wer darf was in eurer Cloud-Umgebung
- Compliance-Zustand: PCI-DSS, SOC 2, CIS Benchmark-Scores
- Laufzeitdaten (wenn "Orca Active Enforcement" aktiviert): tatsächlicher Netzwerktraffic
DSGVO-Relevanz der extrahierten Daten
Nach DSGVO Art. 4(1) sind personenbezogene Daten "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen." In typischen Cloud-Umgebungen enthält das Dateisystem:
- Anwendungslogs mit Nutzer-IPs und Transaktionsdaten
- Datenbank-Backup-Dateien mit Kundendaten
- SSH-Authorized-Keys (verknüpfbar mit individuellen Entwicklern)
.env-Dateien mit Datenbankverbindungsstrings zu Systemen die Kundendaten enthalten
Die Übertragung dieser Inhalte auf US-Infrastruktur zur Analyse ist eine Datenweitergabe in ein Drittland (USA) — nach DSGVO Art. 44 ff. nur zulässig mit geeigneten Garantien. Standard-Contractual-Clauses (SCCs) mildern das Risiko, heben es aber nicht auf, wenn US-Behörden via CLOUD Act oder FISA § 702 ohne SCCs zugreifen können.
CLOUD Act Risiko-Analyse: 25-Kriterien-Matrix
Wir bewerten Orca Security auf dem gleichen 25-Punkte-Framework wie alle Anbieter in unseren EU-Compliance-Serien (5 Dimensionen × max. 5 Punkte).
Dimension 1: Unternehmensstruktur und US-Jurisdiktion (max. 5)
Score: 5/5 — Maximales Risiko
Orca Security, Inc. ist eine Delaware C-Corporation. Delaware ist der bevorzugte Inkorporations-Staat für US-Tech-Startups aus zwei Gründen: günstige Unternehmensgesetze und etablierte M&A-Strukturen. Für DSGVO-Zwecke bedeutet das: Delaware-Unternehmen sind US-Persons unter 18 U.S.C. § 2713 — der Extraterritorialitätsklausel des CLOUD Act.
Ein CLOUD-Act-Beschluss (§ 2703 Electronic Communications Privacy Act, erweitert durch CLOUD Act 2018) kann US-Gerichte autorisieren, von Orca die Herausgabe von Kundendaten zu verlangen — selbst wenn diese Daten auf EU-Servern gespeichert sind, und selbst ohne Benachrichtigung des betroffenen EU-Unternehmens.
Die israelischen Gründer und der israelische R&D-Standort ändern daran nichts: Die juristische Entität, die Kundendaten kontrolliert, ist die US-Corporation.
Dimension 2: US-Regierungsverträge und Sicherheitsverknüpfungen (max. 5)
Score: 3/5 — Erhöhtes Risiko
Orca hat keine direkt dokumentierten FedRAMP-Zertifizierungen oder DoD-Verträge (Stand 2025). Allerdings:
- CapitalG (Alphabet): Alphabets Risikokapitalarm ist Orca-Investor. Alphabet selbst hat tiefe NSA/PRISM-Verknüpfungen (Snowden 2013) und FedRAMP High. Das schafft eine Interessenverflechtung zwischen Orca-Kundendaten und Alphabet-Infrastruktur.
- FedRAMP-Roadmap: Orca hat in US-Regierungsquellen CSPM-Dienste für öffentliche Sektor-Kunden angekündigt. Eine FedRAMP-Zertifizierung würde bedeuten, dass US-Behörden Orca bereits als vertrauenswürdigen Datenprozessor einstufen.
- CISA-Kompatibilität: Orca veröffentlicht regelmäßig Berichte zu CISA Known Exploited Vulnerabilities (KEV) und positioniert sich explizit als US-Regierungsressource.
Im Vergleich zu CrowdStrike oder Mandiant sind die Regierungsverknüpfungen weniger direkt — daher 3/5 statt 5/5.
Dimension 3: Cloud-Infrastruktur und Datenresidenz (max. 5)
Score: 4/5 — Hohes Risiko
Orca verarbeitet SideScanning-Daten auf AWS und Azure. Auch wenn Orca EU-Regions-Optionen anbietet (AWS eu-central-1, Azure westeurope), löst das das CLOUD-Act-Problem nicht:
- Strukturelles Problem: Der CLOUD Act erlaubt US-Behörden, Daten unabhängig vom Speicherort zu verlangen — solange das Unternehmen US-incorporated ist (18 U.S.C. § 2713(a)).
- SideScanning-Analyse: Der eigentliche Scan-Vorgang (Analyse der Cloud-Snapshots) findet in Orca-eigener Infrastruktur statt. Welche Region dabei genutzt wird, hängt von der Deployment-Konfiguration ab.
- Keine Sovereign-EU-Variante: Orca bietet keine isolierte EU-Sovereign-Cloud-Variante an, bei der Verarbeitung und Datenkontrolle vollständig unter EU-Jurisdiktion liegt.
Ein Punkt wird abgezogen gegenüber dem Maximalwert, da Orca EU-Regions-Optionen anbietet und kein bekannter aktiver IC-Vertrag besteht — aber die strukturelle Unlösbarkeit des CLOUD-Act-Problems bleibt.
Dimension 4: Art der verarbeiteten Daten (max. 5)
Score: 5/5 — Maximales Risiko
Dies ist Orcas höchstes Risiko-Merkmal. SideScanning liest vollständige Cloud-Volume-Snapshots:
- Filesystem-Level-Zugriff: Orca extrahiert Inhalte von Cloud-Volumes auf Dateisystem-Ebene — das schließt jede Datei ein, die in der Cloud-Umgebung gespeichert ist.
- Secrets Enumeration: Orca identifiziert explizit Hard-coded Secrets (das ist ein Kernfeature). Dabei überträgt Orca diese Secrets auf seine Infrastruktur zur Analyse.
- Datenbankinhalte-Proximity: Orca greift auf Storage zu, der Datenbankdateien enthalten kann — auch wenn Orca keine Datenbank-Query-Ebene öffnet, ist der Zugriff auf Volume-Ebene ein erhebliches Datenschutzrisiko.
- Cross-Account-Sichtbarkeit: Orca aggregiert Funde über alle gescannten Cloud-Accounts hinweg — ein einziger Orca-Mandant sieht seine gesamte Multicloud-Posture in einer Plattform, was die Datenhaltung bei Orca besonders sensitiv macht.
In keiner anderen Produkt-Kategorie unserer EU-Compliance-Serien ist die Daten-Sensitivität so hoch wie bei agentlosen CSPM-Tools: Sie sehen alles.
Dimension 5: Transparenz und Rechtsbehelfe (max. 5)
Score: 2/5 — Unzureichend
- Kein EU-Transparency-Report: Orca veröffentlicht keinen detaillierten Bericht über behördliche Anfragen nach EU-Jurisdiktion.
- Kein Warrant Canary: Es gibt keine öffentliche Aussage darüber, ob Orca jemals CLOUD-Act-Anfragen erhalten hat.
- SCCs vorhanden: Orca bietet Standard-Contractual-Clauses (SCCs nach Art. 46 DSGVO) — das ist Mindeststandard, nicht Differenzierungsmerkmal.
- DPA vorhanden: Data Processing Agreement verfügbar, aber ohne spezifische CLOUD-Act-Absicherung.
- Kein rechtlicher Challenge-Mechanismus für EU-Kunden dokumentiert: Falls US-Behörden eine Datenanforderung stellen, gibt es keinen dokumentierten Prozess für Orca, EU-Kundeninteressen gerichtlich zu vertreten.
Gesamtscore
| Dimension | Score | Begründung |
|---|---|---|
| D1: Unternehmensstruktur | 5/5 | Delaware C-Corp, US person, CLOUD Act 18 U.S.C. § 2713 |
| D2: US-Regierungsverträge | 3/5 | CapitalG/Alphabet-Verknüpfung, CISA-Kooperationen, FedRAMP-Roadmap |
| D3: Cloud-Infrastruktur | 4/5 | AWS/Azure, EU-Regions-Optionen, aber kein Sovereign EU |
| D4: Daten-Sensitivität | 5/5 | SideScanning = Full-Filesystem-Zugriff inkl. Secrets |
| D5: Transparenz | 2/5 | Kein EU-Transparency-Report, kein Warrant Canary |
| Gesamt | 19/25 | Hohes CLOUD-Act-Risiko |
Zum Vergleich: CrowdStrike Falcon Intelligence erreichte 24/25, Mandiant 23/25. Orca (19/25) liegt unter diesen Werten, weil die Regierungsverknüpfungen weniger direkt sind. Das strukturelle CLOUD-Act-Risiko durch Delaware-Inkorporation und SideScanning-Datenverarbeitung ist jedoch hoch.
NIS2 und DORA: Compliance-Implikationen
NIS2 Art. 21(2)(h) — ICT-Sicherheit in der Lieferkette
NIS2-essentielle und wichtige Einrichtungen müssen nach Art. 21(2)(h) Sicherheitsmaßnahmen für ihre ICT-Lieferkette treffen. Ein CSPM-Tool ist ein tief integrierter Teil der Sicherheitsinfrastruktur. Die Frage für Compliance-Teams: Kann das CSPM-Tool selbst zum Angriffsvektors werden?
Ein CLOUD-Act-Beschluss gegenüber Orca gibt US-Behörden Zugang zu:
- Eurer gesamten Cloud-Posture-Dokumentation (welche Assets existieren, wo)
- Euren CSPM-Findings (welche Vulnerabilities habt ihr noch offen)
- Möglicherweise den gescannten Snapshot-Daten (Secrets, Credentials)
Für eine NIS2-essentielle Einrichtung (z.B. Energieversorger, Krankenhaus-IT) ist das ein Risiko, das in der Lieferketten-Risikoanalyse explizit bewertet werden muss.
DORA Art. 28 — ICT-Drittdienstleister für Finanzsektor
Für Finanzinstitute unter DORA sind CSPM-Tools klare ICT-Drittdienstleister. Art. 28(2) DORA verlangt:
- Schriftliche Vereinbarungen mit Exitstrategie
- Auditrechte für das Finanzinstitut
- Standort-Dokumentation für alle kritischen Funktionen
Orca muss für DORA-konforme Deployments eine robuste ICT-Drittdienstleister-Dokumentation bereitstellen — einschließlich einer klaren Aussage zur CLOUD-Act-Exposure.
DSGVO Art. 32 — Technische und organisatorische Maßnahmen
Das Paradox von CSPM-Tools: Ein Tool zur Sicherheitsmessung kann selbst eine Schwachstelle einführen. Orca liest eure gesamte Cloud-Sicherheitsposture — und diese Information ist bei US-Infrastruktur unter CLOUD-Act-Jurisdiktion. Ein Angreifer mit Zugang zu Orca-Daten via behördliche Anfrage kennt alle eure offenen Vulnerabilities.
EU-native Alternativen
Cyscale — Cluj-Napoca, Romania (EU-native)
CLOUD-Act-Score: 0/25
Cyscale ist ein rumänisches Cloud-Security-Unternehmen mit Sitz in Cluj-Napoca. Das Unternehmen bietet CSPM, Cloud Infrastructure Entitlement Management (CIEM) und Compliance-Frameworks (CIS, SOC 2, GDPR, ISO 27001, HIPAA).
| Merkmal | Details |
|---|---|
| Rechtsform | Rumänisches Unternehmen (S.R.L.) |
| Jurisdiktion | EU (Rumänien) |
| Infrastruktur | AWS EU-Regions (Customer-Choice) |
| CLOUD Act | Kein US-incorporated Entity |
| Besonderheit | GDPR-nativ, CIS Benchmark-Ready |
Cyscale ist kleiner als Orca (Früh-Phase-Startup), bietet aber einen echten Jurisdiktions-Vorteil: Als rumänisches Unternehmen unterliegt es nicht dem CLOUD Act.
Einschränkungen: Cyscale ist noch im Aufbau; manche Enterprise-Features die Orca bietet (komplexe Multicloud-Korrelation, umfangreiche Remediation-Workflows) sind noch in Entwicklung.
Prowler — Open Source (Apache 2.0)
CLOUD-Act-Score: 0/25 (self-hosted)
Prowler ist ein Open-Source-CSPM-Tool ursprünglich für AWS, mittlerweile mit Support für Azure, GCP und Kubernetes. Es ist in Python geschrieben und läuft vollständig on-premises oder in eurer eigenen Cloud.
# Prowler self-hosted auf eigenem EU-Server
pip install prowler
prowler aws --profile eu-prod-account
prowler azure --subscription-id <sub-id>
Prowler prüft >400 Sicherheitskontrollen (CIS, GDPR, ENS, ISO 27001, MITRE ATT&CK) und exportiert Reports in HTML, JSON und CSV. Kein Vendor-Lock-in, keine US-Datenweitergabe.
Einschränkungen: Prowler ist ein Scanner, kein kontinuierliches CSPM-Dashboard mit Alerting. Ihr braucht zusätzliche Infrastruktur (Grafana, ElasticSearch, oder ein eigenes Dashboard) für Echtzeit-Monitoring.
Cloud Custodian — CNCF (Linux Foundation)
CLOUD-Act-Score: 0/25 (self-hosted)
Cloud Custodian ist ein Policy-as-Code-Framework der CNCF (Cloud Native Computing Foundation). Es erlaubt, Cloud-Ressourcen-Policies in YAML zu definieren und automatisch durchzusetzen.
policies:
- name: s3-public-access-check
resource: s3
filters:
- type: global-grants
actions:
- type: notify
to: [security@eucompany.eu]
Cloud Custodian ist vollständig Open Source (Apache 2.0), CNCF-gereift und läuft on-premises. Keine Datenweitergabe an US-Dritte.
Einschränkungen: Policy-as-Code erfordert höhere DevOps-Reife. Das Tool ist mächtiger, aber komplexer als Orca's GUI-first-Ansatz.
Steampipe + Tailpipe — Turbot (Open Source)
CLOUD-Act-Score: 0/25 (self-hosted)
Steampipe ist ein Open-Source-SQL-Query-Engine für Cloud-APIs. Mit Steampipe könnt ihr Cloud-Infrastruktur wie eine Datenbank abfragen:
SELECT account_id, region, bucket_name
FROM aws_s3_bucket
WHERE bucket_policy_is_public = true;
Turbot (das Unternehmen hinter Steampipe) bietet Turbot Guardrails als managed Service — aber Steampipe selbst ist Open Source und vollständig self-hostable.
Vergleich der EU-Alternativen
| Lösung | Typ | GDPR-Jurisdiktion | Reifegrad | Multicloud |
|---|---|---|---|---|
| Cyscale | SaaS (EU) | ✅ Rumänien (EU) | Mittel | AWS/Azure/GCP |
| Prowler | Open Source | ✅ Self-hosted | Hoch | AWS/Azure/GCP/K8s |
| Cloud Custodian | Open Source | ✅ Self-hosted | Hoch | AWS/Azure/GCP |
| Steampipe | Open Source | ✅ Self-hosted | Mittel | AWS/Azure/GCP/K8s |
| Orca Security | SaaS (US) | ❌ Delaware/USA | Hoch | AWS/Azure/GCP |
Entscheidungsmatrix: Wann welche Lösung?
Szenario A: NIS2-essentielle Einrichtung (Energie, Wasser, Gesundheit)
Empfehlung: Prowler oder Cloud Custodian (self-hosted)
Für NIS2-essentielle Einrichtungen ist die CLOUD-Act-Exposure eines US-CSPM-Tools ein explizites Lieferketten-Risiko nach Art. 21(2)(h). Die Behörde für Cybersicherheit in eurer Jurisdiktion (z.B. BSI in Deutschland) könnte ein US-CSPM-Tool im TLPT-Scope (DORA Threat-Led Penetration Testing) als kritische Komponente mit eigenem Risiko einordnen.
Szenario B: DORA-reguliertes Finanzinstitut
Empfehlung: Cyscale (EU-SaaS) oder Prowler (self-hosted)
DORA Art. 28 verlangt ICT-Drittdienstleister-Register. Orca als US-Vendor erfordert eine vollständige Transfer Impact Assessment (TIA) nach DSGVO Art. 46 plus Exitstrategie-Dokumentation. Cyscale als EU-Vendor vereinfacht die Compliance-Dokumentation erheblich.
Szenario C: SaaS-Startup mit einfacher AWS-Umgebung
Empfehlung: Prowler (kostenlos, open source)
Für kleinere Umgebungen ist Prowler vollständig ausreichend. Die Einrichtung dauert ~30 Minuten, und ihr bekommt >400 Sicherheitskontrollen ohne Datenweitergabe an US-Dritte.
Szenario D: Enterprise mit Multicloud-Anforderungen und großem Sicherheitsteam
Empfehlung: Hybrid — Prowler für kontinuierliches Scanning, Cyscale für Dashboard
Cyscale bietet ein besseres GUI-Erlebnis für große Teams. Prowler bietet tiefere Scan-Abdeckung. Beide können kombiniert werden.
Szenario E: Regulated Industry mit Audit-Anforderungen (ISO 27001, SOC 2)
Empfehlung: Cyscale (vorgefertigte Compliance-Frameworks)
Cyscale bietet vorgefertigte Compliance-Report-Templates für ISO 27001, SOC 2, CIS Benchmark und GDPR. Das spart erheblichen manuellen Aufwand bei Audits.
Technischer Vergleich: Orca vs. Cyscale vs. Prowler
| Feature | Orca | Cyscale | Prowler |
|---|---|---|---|
| Agentless Scanning | ✅ SideScanning | ✅ API-based | ✅ API-based |
| Secrets Detection | ✅ (Filesystem) | ⚠️ (limitiert) | ⚠️ (via Trufflehog-Integration) |
| Multicloud | ✅ AWS/Azure/GCP | ✅ AWS/Azure/GCP | ✅ AWS/Azure/GCP/K8s |
| Kubernetes/Container | ✅ | ✅ | ✅ |
| IaC Scanning | ✅ | ❌ | ⚠️ (via Checkov) |
| Compliance-Frameworks | ✅ CIS, SOC2, PCI | ✅ CIS, ISO, GDPR | ✅ CIS, GDPR, ENS |
| Attack Path Analysis | ✅ | ❌ | ❌ |
| GDPR-Jurisdiktion | ❌ USA | ✅ EU | ✅ Self-hosted |
| Preis | $$$$ | $$ | Free |
| Reifegrad | Sehr hoch | Mittel | Hoch |
Migrationsweg von Orca zu EU-Alternativen
Für Organisationen, die bereits Orca nutzen und zu einer EU-Lösung wechseln möchten:
Phase 1 (Woche 1-2): Parallel-Scanning
- Prowler parallel zu Orca deployen
- Outputs vergleichen: Welche Findings deckt Prowler ab?
- Gaps identifizieren (typisch: Attack Path Analysis, manche Secrets-Detection)
Phase 2 (Woche 3-4): Policy-Migration
- Bestehende Orca-Policies in Cloud Custodian oder Prowler-Checks übersetzen
- Custom-Checks für organisationsspezifische Anforderungen schreiben
- Alerting-Integration (Slack, PagerDuty, SIEM) aufbauen
Phase 3 (Monat 2): Dashboarding
- Cyscale als Compliance-Dashboard deployen
- Prowler-Output in Cyscale-Format importieren (oder eigenständig laufen lassen)
- Reporting-Workflow für Audits einrichten
Phase 4 (Monat 3): Orca abschalten
- Orca-Account kündigen (Datenlöschungs-Bestätigung per DPA anfordern)
- TIA und DSGVO Art. 30 Verarbeitungsverzeichnis aktualisieren
Fazit
Orca Security bietet technisch eine der reifstem CSPM-Plattformen auf dem Markt. Das agentlose SideScanning ist elegant und reduziert operative Komplexität. Mit 19/25 auf der CLOUD-Act-Risikomatrix ist es jedoch kein DSGVO-neutrales Tool.
Die Kernproblematik liegt nicht in Orcas Absichten, sondern in der strukturellen Realität: Ein Delaware C-Corp mit CapitalG (Alphabet) als Investor, das Filesystem-Level-Zugriff auf eure Cloud-Volumes hat, ist unter US-Jurisdiktion vollständig compellable. Ein CLOUD-Act-Beschluss kann US-Behörden Zugang zu eurer gesamten Cloud-Posture verschaffen — einschließlich offener Vulnerabilities, Secrets und Netzwerkkonfigurationen.
Für NIS2-essentielle Einrichtungen, DORA-regulierte Finanzinstitute und alle Organisationen mit hohem Schutzbedarf ist das eine Risikokategorie, die aktiv gemanagt werden muss. Die gute Nachricht: Mit Prowler (Open Source), Cyscale (EU-SaaS) und Cloud Custodian gibt es reife EU-konforme Alternativen.
In Post #2 dieser Serie analysieren wir Lacework — jetzt eine Fortinet-Tochtergesellschaft (NASDAQ:FTNT, Delaware) nach der Akquisition im Dezember 2023.
EU-CSPM-Serie bei sota.io:
- Post #1 (dieser): Orca Security — Delaware C-Corp, CapitalG, SideScanning, CLOUD Act 19/25
- Post #2: Lacework — Fortinet-Acquisition, Delaware, CNAPP-Konvergenz
- Post #3: Sysdig — San Francisco, Container/Kubernetes CSPM
- Post #4: Aqua Security — Delaware, Container-Security-Pionier
- Post #5: EU CSPM Comparison Finale — vollständige Matrix + Entscheidungsrahmen
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.