Recorded Future: EU Alternative 2026 — Mastercard-Übernahme verändert CLOUD Act Risiko dramatisch
Post #1229 in der sota.io EU Threat Intelligence Serie
Recorded Future war jahrelang die Threat-Intelligence-Plattform mit dem stärksten "EU-freundlichen" Branding. Schwedische Gründer, Stockholm-Rechenzentrum als Verkaufsargument, europäisches Design-Ethos. Für viele europäische CISOs war Recorded Future die akzeptable Wahl, wenn man nicht auf EU-native CTI-Anbieter wechseln wollte.
Dann kam November 2024. Mastercard übernahm Recorded Future für 2,65 Milliarden US-Dollar. Was sich für viele Einkäufer nur nach einem Eigentümerwechsel anhörte, ist eine fundamentale Verschiebung der CLOUD-Act-Exposition: Recorded Future ist jetzt eine Tochtergesellschaft von Mastercard International Incorporated — einem der am tiefsten in die US-Regierungsinfrastruktur eingebetteten Konzerne der Welt.
Dieser Artikel analysiert, was die Mastercard-Übernahme für europäische Unternehmen bedeutet, die Recorded Future einsetzen — und welche EU-nativen Alternativen die CLOUD-Act-Exposition auf null reduzieren.
Unternehmensstruktur: Von Delaware LLC zu Mastercard-Tochter
| Merkmal | Vor Mastercard (bis Nov 2024) | Nach Mastercard (ab Nov 2024) |
|---|---|---|
| Rechtsform | Recorded Future Inc. — Delaware C-Corp | Recorded Future Inc. — 100% Tochter von Mastercard International Inc. |
| Muttergesellschaft | Eigenständig (VC-backed: Google Ventures, Insight Partners) | Mastercard Incorporated (NYSE: MA) |
| Hauptsitz | Bedford, MA 01730, USA | Bedford, MA (operativ) — rechtlich Mastercard-Konzern |
| Hauptsitz Mutter | — | 2000 Purchase Street, Purchase, NY 10577, USA |
| Börsenstatus | Privat | Indirekte Kotierung über Mastercard (NYSE: MA, Delaware Corp.) |
| Kaufpreis | — | USD 2,65 Milliarden (cash) |
| CLOUD Act Exposition | Hoch (Delaware Corp., In-Q-Tel-Verbindung) | Maximal (Mastercard = US-Gov Zahlungsinfrastruktur) |
| Gründer | Christopher Ahlberg (SE) + Alexander Rosen | Beide verlassen Unternehmen nach Acquisition |
Recorded Future wurde 2009 in Somerville, Massachusetts gegründet. Christopher Ahlberg, ein Schwede mit akademischem Hintergrund in Computerwissenschaften und Karate (Nationalmannschaft!), baute die Firma zu einem der meistzitierten Threat-Intelligence-Anbieter der Welt auf. Das schwedische Erbe war kein Marketingtrick — es prägte tatsächlich die Unternehmenskultur und die anfängliche Offenheit gegenüber EU-Datenschutzanforderungen.
Das ändert sich mit der Mastercard-Übernahme fundamental.
Mastercard: Die US-Gov Zahlungsinfrastruktur als Mutterkonzern
Mastercard Incorporated ist nicht irgendein US-Technologieunternehmen. Mastercard ist die Zahlungsinfrastruktur der US-Bundesregierung.
Mastercard Government Solutions: Eine dedizierte Geschäftseinheit für US-Regierungskunden. Mastercard verarbeitet:
- GSA SmartPay: Das größte kommerzielle Charge-Card-Programm der Welt. Jede Kreditkartentransaktion von US-Bundesbehörden, DoD-Dienststellen, US-Botschaften weltweit — läuft über Mastercard. Volumen: über USD 35 Milliarden pro Jahr.
- US Treasury Financial Agent: Mastercard ist als Financial Agent des US-Finanzministeriums zugelassen. Das bedeutet direkten Vertragsstatus mit dem Schatzamt.
- DoD Travel Cards: Dienstreisen von US-Militärpersonal weltweit. Jede Buchung eines US-Soldaten in Europa, jede Hotel-Abrechnung bei NATO-Übungen.
- State Department Payments: Diplomatische Zahlungsabwicklung für US-Botschaften und Konsulate.
Die Tiefe der Mastercard-Einbettung in US-Regierungsstrukturen ist erheblich tiefer als die der meisten "normalen" Technologieunternehmen. Mastercard ist nicht nur ein Anbieter mit Regierungsverträgen — Mastercard ist Finanzinfrastruktur für die US-Regierung.
Was das für Recorded Future bedeutet:
Nach US-Unternehmensrecht gilt der CLOUD Act (18 U.S.C. § 2703) für alle Tochtergesellschaften eines US-Konzerns. Eine CLOUD-Act-Anfrage gegen Mastercard kann sich auf alle Daten erstrecken, die bei einer Mastercard-Tochtergesellschaft gespeichert sind — einschließlich Recorded Future.
Noch kritischer: Das CLOUD Act erlaubt es US-Behörden, Daten von einer Tochtergesellschaft über die Muttergesellschaft anzufordern. Das bedeutet: Der DOJ muss keine direkte Anfrage an Recorded Future stellen. Er kann die Anfrage über Mastercard routen — und Mastercard hat keine realistische Möglichkeit, einer solchen Anfrage zu widersprechen, wenn Mastercard gleichzeitig das GSA SmartPay-Programm bedient.
Historische Belastung: In-Q-Tel und die CIA-Verbindung seit 2010
Was viele europäische Einkäufer übersehen: Die CIA hat in Recorded Future investiert, lange bevor Mastercard auf den Plan trat.
In-Q-Tel (IQT) ist der Venture-Capital-Arm der CIA und der US-Intelligence Community. Im Jahr 2010 — als Recorded Future erst ein Jahr alt war — investierte In-Q-Tel in Recorded Future. Das wurde öffentlich kommuniziert. Die CIA investierte in Recorded Future, weil die Plattform genau das konnte, was die Intelligence Community braucht: automatisiertes Sammeln und Analysieren von öffentlichen und semi-öffentlichen Informationen aus dem Internet, Darknet und sozialen Medien.
Diese Verbindung hatte praktische Auswirkungen:
- Recorded Future erhielt früh Zugang zu Intelligence-Community-Anforderungen
- Die Threat-Actor-Taxonomien und Benennungskonventionen wurden mit IC-Anforderungen abgestimmt
- Recorded Future-Analysten arbeiteten regelmäßig mit CIA/NSA/DIA-Analysten zusammen
- Das Unternehmen entwickelte spezielle Produkte für Government-Kunden (IC-Edition)
Für europäische Unternehmen bedeutet das: Die Intelligence, die Recorded Future über Cyberbedrohungen gegen europäische Unternehmen sammelt, floss strukturell in US-Intelligence-Pipelines. Die Mastercard-Übernahme hat diese Verbindung nicht unterbrochen — sie hat eine weitere Regierungsabhängigkeit hinzugefügt.
CLOUD Act Score: 21/25
D1 — Unternehmensjurisdiktion (5/5)
Nach der Mastercard-Übernahme gilt:
Recorded Future Inc.: Delaware C-Corporation, 100% owned by Mastercard International Incorporated, eine Tochtergesellschaft von Mastercard Incorporated (NYSE: MA, Delaware, HQ: Purchase NY).
Die CLOUD-Act-Kette ist zweistufig:
- Recorded Future → US-Recht: Als Delaware Corp. direkt dem CLOUD Act unterworfen
- Mastercard → US-Recht: Als NYSE:MA Delaware Corp. ebenfalls direkt dem CLOUD Act unterworfen
Ein DOJ/FBI-Warrant kann an beiden Stellen ansetzen. Die Wahrscheinlichkeit einer erfolgreichen europäischen DSGVO-Gegenklage ist minimal, wenn der Mutterkonzern gleichzeitig kritische US-Regierungszahlungsinfrastruktur betreibt.
FISA Section 702: Als "electronic communications service provider" unterliegt Recorded Future zusätzlich FISA Section 702 (50 U.S.C. § 1881a). Das ermöglicht der NSA massenhafte Überwachung ohne individuellen Warrant.
D2 — Behördenbeziehungen (5/5)
Recorded Future hat die dichteste Government-Verflechtung aller in dieser Serie analysierten Anbieter — nicht wegen eigener Government-Verträge (obwohl diese existieren), sondern wegen der Mastercard-Muttergesellschaft:
Direktverbindungen Recorded Future:
- In-Q-Tel Investment (CIA VC-Arm, seit 2010)
- US Government Customers: DHS, FBI, DoD, Treasury, Homeland Security (öffentlich dokumentiert)
- Recorded Future Government Edition: Spezialprodukt für IC und Federal Agencies
- NSA/CISA Intelligence-Austausch: Threat Actor Reporting fließt in CISA-Advisories
Indirektverbindungen via Mastercard:
- GSA SmartPay: Kritische US-Gov-Infrastruktur (USD 35 Mrd/Jahr)
- US Treasury Financial Agent Status
- DoD Travel Card Program
- State Department Payment Processing
- Federal Reserve Settlement Infrastructure
Die Kombination ist einzigartig: Kein anderer CTI-Anbieter hat gleichzeitig CIA-Investment-Historie (seit 2010) UND eine Muttergesellschaft, die Finanzinfrastruktur für den US-DoD bereitstellt.
D3 — Datenarchitektur (4/5)
Intelligence One Plattform: Das Kernprodukt von Recorded Future. Verarbeitet täglich Millionen von Datenpunkten aus:
- Open Web (Sicherheits-Blogs, Leak-Sites, Nachrichtenmedien)
- Dark Web (Hacker-Foren, Ransomware-Leak-Seiten, Paste-Sites)
- Technical Data (IP-Reputation, DNS, SSL-Zertifikate, Malware-Repositories)
- Special Sources (kommerzielle und regierungsbezogene Feeds)
Stockholm-Rechenzentrum — die Geschichte: Vor der Mastercard-Übernahme hatte Recorded Future ein Rechenzentrum in Stockholm (Schweden) als Verkaufsargument für EU-Kunden positioniert. "Ihre Daten bleiben in Europa." Dieses Versprechen ist nach der Acquisition faktisch entwertet, weil:
- Das Rechenzentrum ist jetzt Eigentum/Betrieb unter Mastercard-Konzernstruktur
- Mastercard kann keine unabhängige EU-Datensouveränität garantieren, wenn Mastercard selbst ein CLOUD-Act-exponiertes US-Unternehmen ist
- Datenspeicherung in EU ≠ Schutz vor CLOUD-Act-Anfragen über die US-Muttergesellschaft
Technische Datenflüsse: Recorded Future sammelt Daten über europäische Bedrohungsakteure und europäische Opfer-Infrastruktur aktiv. Wenn ein europäisches Unternehmen in einer Ransomware-Kampagne auftaucht, landet die Attribution-Information in US-verwalteten Systemen.
API-Architektur: Recorded Future APIs werden von europäischen SOC-Teams integriert. Jede API-Anfrage liefert Daten von US-Infrastruktur. Queries nach europäischen IP-Ranges, Domain-Namen oder Unternehmens-Entitäten werden in US-Systemen protokolliert.
D4 — Datentypbreite (4/5)
Recorded Future sammelt außergewöhnlich breite Datenkategorien:
Unternehmens-Intelligence: Recorded Future verfolgt Bedrohungen gegen spezifische Unternehmen. Für ein European Fortune-500-Unternehmen hält Recorded Future typischerweise:
- Alle bekannten öffentlichen IP-Ranges und Domains
- Credential-Leaks aus Datenpannen
- Mentions in Hacker-Foren ("Ich habe Zugang zu Bank X")
- Aktive Ransomware-Kampagnen gegen die Branche
Persönliche Daten via Darkweb-Monitoring: Wenn Mitarbeiterdaten (Email, Passwort-Hash) in einem Datenleck auftauchen, katalogisiert Recorded Future diese. Das betrifft die personenbezogenen Daten europäischer Mitarbeiter.
Geopolitische Intelligence: Recorded Future erstellt Country-Risk-Reports, Geopolitical Threat Assessments — einschließlich Berichten über EU-Institutionen, europäische Regierungsbehörden, kritische Infrastruktur.
Adversary Tracking: 1.500+ benannte Threat Actors in der Datenbank, davon viele auf europäische Sektoren spezialisiert (z.B. IRIDIUM/Sandworm für Energie-Infrastruktur, APT28/BlueDelta für Politische Institutionen).
D5 — Transparenz (3/5)
Kein Transparency Report seit Mastercard-Übernahme: Recorded Future hatte vor der Acquisition eine Datenschutzrichtlinie und begrenzte Transparenz. Seit November 2024 gibt es keinen eigenständigen Transparency Report mehr. Die Datenschutzrichtlinien wurden in Mastercard-Konzernrichtlinien integriert.
Mastercard Transparency Report: Mastercard veröffentlicht einen Corporate Responsibility Report — aber keinen spezifischen Law Enforcement Transparency Report im Sinne von "wie viele Anfragen von Behörden haben wir erhalten und wie viele haben wir beantwortet."
Warrant Canary: Es gibt keinen aktiven Warrant Canary für Recorded Future oder Mastercard, der nach der Acquisition aktualisiert wurde.
Mastercard's Position: Mastercard ist als kritische Finanzinfrastruktur in der praktischen Position, staatliche Anfragen nicht ablehnen zu können, ohne den Betrieb des GSA SmartPay-Programms zu gefährden. Das ist eine implizite Garantie für US-Strafverfolgungsbehörden.
Das "EU-freundliche" Versprechen und seine Grenzen
Es ist wichtig, die historische Positionierung von Recorded Future fair zu bewerten. Das Unternehmen hat nicht bewusst gelogen — es hat zu einer Zeit EU-Datenschutzzusagen gemacht, als es noch unabhängig war.
Was Recorded Future vor der Acquisition angeboten hat:
| Zusage | Bewertung |
|---|---|
| Stockholm-Rechenzentrum für EU-Kunden | Real — Daten lagen physisch in Schweden |
| EU-DSGVO-Datenverarbeitungsvertrag (DPA) | Formal korrekt |
| EU Data Residency Option | Verfügbar als optionales Feature |
| "EU-Based Team" Verkaufsargument | Marketing-Übertreibung (HQ/R&D blieb Bedford MA) |
| CLOUD Act Schutzversprechen | NIE gegeben — Delaware Corp. war immer CLOUD Act exponiert |
Das fundamentale Problem: Europäische Einkäufer haben "Stockholm-Rechenzentrum" mit "CLOUD-Act-Schutz" gleichgesetzt. Das war nie korrekt. Auch mit Stockholm-Rechenzentrum war Recorded Future als Delaware C-Corp immer dem CLOUD Act unterworfen.
Die Mastercard-Übernahme hat das Risiko nicht neu geschaffen — sie hat es auf Maximum erhöht und gleichzeitig das Marketing-Versprechen vollständig entwertet.
DSGVO-Implikationen für europäische Unternehmen
Der Einsatz von Recorded Future nach der Mastercard-Übernahme löst mehrere DSGVO-Anforderungen aus:
Art. 28 DSGVO — Auftragsverarbeiter: Wenn Recorded Future personenbezogene Daten europäischer Personen verarbeitet (z.B. über das Darkweb-Monitoring von Mitarbeiterdaten), benötigen europäische Kunden einen aktuellen AVV. Post-Acquisition-AVVs müssen die neue Mastercard-Mutterstruktur abbilden.
Art. 44-49 DSGVO — Drittlandtransfers: Jede Übermittlung von personenbezogenen Daten an Recorded Future (oder die Verarbeitung durch Recorded Future) stellt einen Transfer in die USA dar. Ohne angemessenen Schutz (SCCs) ist dieser Transfer unzulässig.
Standard Contractual Clauses (SCCs): Recorded Future bietet SCCs an. Aber: SCCs schützen nicht gegen CLOUD-Act-Anfragen. CLOUD-Act-Anfragen umgehen den vertraglichen Schutz durch gesetzliche Zwangsverpflichtung. Das EuGH-Urteil Schrems II (C-311/18) stellt fest, dass SCCs keine "effektive Gleichwertigkeit" bieten, wenn US-Behörden Zugang verlangen können.
DSFA-Pflicht: Der Einsatz von Recorded Future für EU-Unternehmens-Threat-Intelligence ohne vorherige Datenschutz-Folgenabschätzung (DSFA) ist nach Art. 35 DSGVO risikoreich. Die Mastercard-Übernahme löst eine erneute DSFA-Pflicht aus.
Art. 5(1)(f) DSGVO — Integrität und Vertraulichkeit: Wenn Recorded Future Opfer-Daten europäischer Personen in US-verwalteten Systemen speichert, die CLOUD-Act-exponiert sind, stellt sich die Frage, ob die technischen und organisatorischen Maßnahmen (TOMs) ausreichend sind.
EU-native Alternativen: 0/25 CLOUD Act
Sekoia.io — Paris, Frankreich
| Merkmal | Detail |
|---|---|
| Rechtsform | Sekoia SAS (Société par Actions Simplifiée — französisches Privatrecht) |
| Hauptsitz | Paris, Frankreich |
| CLOUD Act Score | 0/25 — kein US-Nexus |
| ANSSI-Status | Qualifizierter Sicherheitsanbieter (ANSSI ist die französische NSA-Entsprechung) |
| Produkt | Sekoia.io XDR + CTI-Plattform |
| Intelligence Coverage | Europäische APT-Gruppen stark (z.B. Turla, Fancy Bear Tracking mit EU-Fokus) |
| EU-Finanzierung | Europäische VC-Investoren, BPI France |
Sekoia.io ist die stärkste EU-native Alternative zu Recorded Future. ANSSI-Qualifizierung bedeutet, dass Sekoia.io strengen französischen Sicherheitsstandards entspricht. Das CTI-Team hat starken Fokus auf europäische Bedrohungsakteure, die für EU-Unternehmen und EU-Regierungsbehörden relevant sind.
CLOUD Act Score Sekoia.io: 0/25 — Keine US-Muttergesellschaft, keine US-Behördenverträge, keine US-Infrastruktur. Vollständig DSGVO-konform by design.
EclecticIQ — Amsterdam, Niederlande
| Merkmal | Detail |
|---|---|
| Rechtsform | EclecticIQ B.V. (niederländisches Privatrecht) |
| Hauptsitz | Amsterdam, Niederlande |
| CLOUD Act Score | 0/25 — kein US-Nexus |
| Produkt | EclecticIQ Platform, TIP (Threat Intelligence Platform) |
| Besonderheit | Stark in STIX/TAXII-Standards, Open-Source-Integration |
| EU-Finanzierung | NATO Innovation Fund, europäische Investoren |
| NATO-Kontext | EclecticIQ ist Hauptanbieter für NATO-CTI-Anforderungen |
EclecticIQ ist besonders stark in der Integration von Threat Intelligence in SIEM/SOAR-Systeme. Die Plattform ist NATO-zertifiziert — ein Qualitätsmerkmal, das für europäische Verteidigungsindustrie und kritische Infrastruktur relevant ist.
Hinweis NATO-Finanzierung: Der NATO Innovation Fund (NIF) hat in EclecticIQ investiert. Das ist EU/NATO-Kapital, kein US-Kapital — und begründet keine CLOUD-Act-Exposition.
NVISO — Brüssel, Belgien
| Merkmal | Detail |
|---|---|
| Rechtsform | NVISO SA/NV (belgisches Recht) |
| Hauptsitz | Brüssel, Belgien |
| CLOUD Act Score | 0/25 — kein US-Nexus |
| Produkt | Managed SOC, Threat Intelligence, Incident Response |
| Besonderheit | EU-Institutionen-Fokus (EU-Kommission, Europäisches Parlament als Kunden) |
| ENISA-Kontext | Regelmäßiger Beitragsgeber zu ENISA-Reports |
NVISO ist stärker im Managed-Services-Bereich als im Product-Bereich. Für Unternehmen, die Threat Intelligence als Managed Service konsumieren wollen (statt eine eigene Plattform zu betreiben), ist NVISO eine solide EU-native Option.
Entscheidungs-Framework: Recorded Future vs. EU-Alternative
| Kriterium | Recorded Future (Post-Mastercard) | Sekoia.io | EclecticIQ |
|---|---|---|---|
| CLOUD Act Risiko | 21/25 — Maximal | 0/25 | 0/25 |
| DSGVO Art. 44 Transfer | Problematisch (SCCs + CLOUD Act Gap) | Kein Transfer | Kein Transfer |
| DSFA-Pflicht | Ja, neu nach Acquisition | Nein | Nein |
| Intelligence Breite | Global, sehr breit | EU-fokussiert, wachsend | EU/NATO-fokussiert |
| Government Customers | US IC + EU Regierungen | EU-Regierungen | NATO-Mitglieder |
| Pre-Acquisition EU-Versprechen | Entwertet | N/A | N/A |
| Darkweb-Monitoring | Sehr stark (eigene Crawler) | Wachsend | Begrenzt |
| APT Coverage (global) | 1.500+ Threat Actors | ~400 (EU-Fokus tief) | ~300 (NATO-relevant) |
| Preis | Enterprise (USD 100k+/Jahr) | Enterprise (EUR 50k+/Jahr) | Enterprise (EUR 40k+/Jahr) |
| NIS2 Art. 21 Alignment | Formal möglich, aber Risiko | Nativ | Nativ |
Migrationsstrategie: Von Recorded Future zu EU-native CTI
Für europäische Unternehmen, die Recorded Future aufgrund der Mastercard-Übernahme bewerten, empfehlen wir folgende Vorgehensweise:
Phase 1 (0-30 Tage): DSFA aktualisieren
- Bestehende DSFA für Recorded Future muss die Mastercard-Acquisition abbilden
- Neuer AVV mit Mastercard-Konzernstruktur muss abgeschlossen werden
- CISO und DPO informieren: Risikobewertung hat sich erhöht
- SCCs auf aktuelle 2021er Standard-Vertragsklauseln prüfen
Phase 2 (30-90 Tage): Parallel-Evaluation
- Sekoia.io und/oder EclecticIQ für 30-Tage-POC aktivieren
- Spezifische Use Cases identifizieren: Darkweb-Monitoring vs. APT-Tracking vs. IOC-Feeds
- Integrations-Assessment: Welche SIEM/SOAR-Systeme müssen angebunden werden?
Phase 3 (90-180 Tage): Migration
- Kritische Integration (API, SIEM-Feeds) auf EU-nativen Anbieter migrieren
- Recorded Future-Lizenzen nicht automatisch verlängern
- Datenlöschung beantragen: Art. 17 DSGVO-Anfrage für alle bei Recorded Future gespeicherten personenbezogenen Daten
Szenario: Beibehaltung Recorded Future (Risk-Acceptance) Wenn die Intelligence-Tiefe von Recorded Future für einen bestimmten Use Case unersetzlich ist, sollte die Risk-Acceptance:
- Schriftlich durch CISO und DPO dokumentiert werden
- Explizit die CLOUD-Act-Exposition nach Mastercard-Acquisition benennen
- Datenkategorien auf ein Minimum reduzieren (kein Darkweb-Monitoring personenbezogener EU-Mitarbeiterdaten)
- Regelmäßige (jährliche) DSFA-Überprüfung einplanen
Fazit: Die dramatischste CLOUD-Act-Verschiebung der Branche
Recorded Future unter Christopher Ahlberg war kein perfekter EU-Partner — die Delaware-Struktur und die In-Q-Tel-Verbindung waren immer vorhanden. Aber es war ein Anbieter, der zumindest versuchte, EU-Datenschutzanforderungen ernst zu nehmen.
Recorded Future unter Mastercard ist strukturell anders. Mastercard ist nicht irgendein US-Technologiekonzern — Mastercard ist die Zahlungsinfrastruktur der US-Bundesregierung. Die Übernahme hat Recorded Future in einen Konzern eingebettet, der praktisch gar keine Möglichkeit hat, einer CLOUD-Act-Anfrage zu widerstehen, ohne gleichzeitig das GSA SmartPay-Programm und die US-Government-Verträge zu gefährden.
Für europäische CISOs, die Recorded Future bisher mit der Begründung "schwedische Gründer, Stockholm-Server" akzeptiert haben: Diese Begründung ist nach November 2024 vollständig obsolet. Die Neubewertung ist Pflicht — sowohl regulatorisch (DSFA) als auch strategisch.
EU-native Alternativen haben die CLOUD-Act-Exposition von 21/25 auf 0/25 reduziert. Der Trade-off ist reale Intelligence-Tiefe: Sekoia.io und EclecticIQ haben nicht 1.500 Threat Actors in ihrer Datenbank. Aber für den europäischen Bedrohungskontext — europäische APT-Gruppen, NIS2-relevante Sektoren, EU-kritische Infrastruktur — sind sie ausreichend. Und sie kommen ohne das Risiko, dass eine FBI-Anfrage an Mastercard morgen früh alle eure Threat Intelligence-Queries der letzten drei Jahre offenlegt.
sota.io ist eine EU-native PaaS-Plattform für europäische Entwickler und Unternehmen. Wir betreiben ausschließlich auf Hetzner-Infrastruktur in Deutschland — kein US-Parent, kein CLOUD Act, 100% DSGVO-konform. Dieser Artikel ist Teil unserer laufenden Serie über CLOUD Act Risiken in der europäischen Cybersicherheits-Beschaffung.
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.