Wiz.io EU Alternative 2026: CLOUD Act 21/25, FedRAMP High und EU-native CWPP/CNAPP Stack
Post #1238 in der sota.io EU Cloud Security Compliance Series — EU-CWPP-Serie #1/5
Wiz.io ist innerhalb von vier Jahren zur meistbewerteten Cybersecurity-Unicorn der Geschichte geworden: 2020 gegründet, 2024 ein $23-Milliarden-Übernahmeangebot von Google/Alphabet abgelehnt, 2024 eine Milliarde Dollar neue Finanzierung bei $12 Milliarden Bewertung eingeworben. Die Plattform verbindet CSPM, CWPP, CIEM, Schwachstellenmanagement, IaC-Scanning und Secrets-Erkennung in einem einzigen "Security Graph". Für europäische Unternehmen stellt sich die zentrale Frage: Was bedeutet es, wenn eine Delaware C-Corp mit FedRAMP High Autorisierung und ausschließlich US-amerikanischen Investoren Runtime-Telemetrie eurer EU-Workloads verarbeitet?
Wiz.io Unternehmensstruktur und Jurisdiktionsanalyse
Wiz Inc. — gegründet 2020, eingetragen in Delaware (USA), operativer Hauptsitz in New York City, primäre Entwicklung in Tel Aviv (Israel).
Corporate Structure
Wiz Inc.
├── Incorporation: Delaware, USA
├── HQ: New York, NY 10018, USA
├── R&D Hub: Tel Aviv, Israel
├── Gründer: Assaf Rappaport (CEO), Yinon Costica, Roy Reznik, Ami Luttwak
├── Alle Gründer: Ehemalige Microsoft-Mitarbeiter (Azure Security Team)
└── Bewertung: ~$12 Milliarden (Stand: Mai 2024)
Investoren und Eigentümerstruktur
Wiz.io hat über $1,9 Milliarden Venture Capital eingeworben. Die vollständige Investorenliste ist entscheidend für die CLOUD Act Analyse:
| Investor | Hauptsitz | Relevanz |
|---|---|---|
| Sequoia Capital | Menlo Park, CA (USA) | Lead-Investor, multiple Runden |
| Andreessen Horowitz (a16z) | Menlo Park, CA (USA) | $1B Runde 2024 Co-Lead |
| Lightspeed Venture Partners | Menlo Park, CA (USA) | $1B Runde 2024 |
| Index Ventures | San Francisco / London | Jersey-eingetragen, US/UK-Operations |
| Insight Partners | New York, NY (USA) | Früher Investor |
| General Atlantic | New York, NY (USA) | Growth Equity |
| Salesforce Ventures | San Francisco, CA (USA) | Strategic Investor |
| Advent International | Boston, MA (USA) | Late-Stage |
Kritischer Befund: Alle Hauptinvestoren mit bedeutenden Anteilen sind US-amerikanische Firmen mit Sitz oder Hauptoperationen in den USA. Index Ventures ist zwar in Jersey (Channel Islands) eingetragen, operiert aber primär aus San Francisco und London. Kein EU-ansässiger institutioneller Investor mit Sperrminorität.
FedRAMP High Autorisierung
Wiz.io erlangte 2023/2024 FedRAMP High Autorisierung — die höchste Stufe der US-Bundesbehörden-Cloud-Zertifizierung. Dies hat direkte CLOUD Act Konsequenzen:
- FedRAMP High bedeutet: Wiz verarbeitet US-Regierungsdaten auf höchster Klassifizierungsstufe
- Aktive Bundesbehörden-Kunden: DoD, Intelligence Community, DHS-nahe Agenturen
- CLOUD Act §103: US-Behörden können elektronische Kommunikation und Daten jeder US-Person oder US-Firma herausverlangen — unabhängig vom physischen Datenspeicherort
- FedRAMP + CLOUD Act = maximale Kooperationserwartung: Anbieter mit aktiven US-Gov-Verträgen werden von Gerichten und Behörden als besonders kooperativ eingestuft
CLOUD Act Score: 21/25
Die CLOUD Act Risikoanalyse bewertet fünf Dimensionen (je 0-5 Punkte, höher = größeres Risiko für EU-Daten):
| Dimension | Score | Begründung |
|---|---|---|
| D1: Corporate Entity & HQ | 5/5 | Delaware C-Corp, HQ New York — vollständige US-Jurisdiktion. Keine EU-Holdingstruktur. |
| D2: Data Residency & Processing | 4/5 | EU-Regions verfügbar (Frankfurt, Irland), aber Wiz Inc. (Delaware) bleibt Datenverarbeiter. US-Principal-Entity kontrolliert alle Kundendaten. |
| D3: US Government Contracts | 5/5 | FedRAMP High autorisiert. Aktive DoD/IC-Kunden. Wiz verarbeitet bereits klassifizierte US-Regierungsdaten. Maximale CLOUD-Act-Kooperation vorausgesetzt. |
| D4: Investor/Ownership | 5/5 | Alle Hauptinvestoren US-amerikanisch (Sequoia, a16z, Lightspeed, Insight, General Atlantic, Salesforce). Keine EU-Kontrolle. |
| D5: Legal Mitigations | 2/5 | ISO 27001, SOC 2 Type II, einige SCCs. Keine eigene EU-Tochtergesellschaft als Datenverarbeiter. Kein EUCS-Zertifikat. Kein EU Cloud CoC. |
Gesamt: 21/25 CLOUD Act Exposure Score
Zum Vergleich der CSPM-Vorgängerserie:
- Lacework/FortiCNAPP: 22/25 (Fortinet NASDAQ-listing + US-VC)
- Sysdig: 20/25 (FedRAMP Authorized + Delaware)
- Orca Security: 19/25 (Delaware + CapitalG/Alphabet)
- Aqua Security: 18/25 (Israel-Mutter, US-Tochter)
Wiz.io positioniert sich bei 21/25 — signifikant über Aqua und Orca, knapp unter Lacework. Das FedRAMP-High-Zertifikat und die rein US-amerikanische Investorenstruktur treiben den Score in die Höhe.
Was Wiz.io als CWPP/CNAPP macht — und warum das für EU-Compliance relevant ist
Security Graph: Die Technologie-Differenzierung
Wiz.io baut einen "Security Graph" — eine Echtzeit-Inventarisierung aller Cloud-Ressourcen und ihrer Beziehungen zueinander. Der Graph enthält:
Cloud Workload → IAM Roles → S3 Buckets → Secrets Manager
Container → Host → VPC → Internet Gateway
Kubernetes Pod → Service Account → ECR Registry → Production DB
Wiz findet Angriffspfade, indem es diese Verbindungen traversiert. Ein Beispiel: "Dieser Container hat eine IAM-Role mit zu weitreichenden Rechten, die auf eine unverschlüsselte Production-DB zeigt, die öffentlich erreichbar ist."
Agentless vs. Agent-based
Agentless (CSPM/Vulnerability):
├── Liest Cloud-APIs (AWS/Azure/GCP/OCI)
├── Scannt VM-Disks via Cloud Provider Snapshot API
├── Analysiert Container Images in Registries
└── Keine Installation auf Workloads nötig
Agent-based (CWPP/Runtime):
├── Wiz Sensor: leichtgewichtiger eBPF-Agent auf Linux Hosts
├── Syscall Monitoring: welche Prozesse, Files, Netzwerkverbindungen
├── Behavioral Detection: Anomalien im Laufzeitverhalten
├── Container Runtime Protection: Kubernetes-native
└── Secrets Detection: sucht nach API-Keys, Credentials in Prozessen/Files
GDPR-Implikation: Der Wiz Sensor sendet Runtime-Telemetrie an Wiz-Backend-Infrastruktur. Das bedeutet: Systemaufrufe, Prozessnamen, Netzwerkverbindungen und potentiell Secrets eurer EU-Produktionsworkloads verlassen das EU-Rechenzentrum in Richtung einer US-Delaware-C-Corp.
CIEM: Cloud Infrastructure Entitlement Management
Wiz CIEM analysiert:
- Alle IAM-Policies und deren tatsächliche Nutzung
- Überprivilegierte Identitäten (menschlich + maschinell)
- Shadow-Permissions in Cross-Account-Setups
- Service Account Misconfigurations in Kubernetes
Für EU-Datenschutz relevant: CIEM-Scans verarbeiten eure IAM-Konfigurationen, Service Account Bindings und potenziell Secrets — alles in der Wiz-Infrastruktur.
DSGVO Art. 32 und NIS2 Art. 21(2)(c) Bewertung
DSGVO Art. 32 TOMs für Cloud-Workload-Protection
DSGVO Art. 32 verlangt "geeignete technische und organisatorische Maßnahmen" zur Sicherstellung eines angemessenen Schutzniveaus. Runtime-Protection fällt klar unter Art. 32:
Art. 32 Abs. 1(b): "die Fähigkeit, die Vertraulichkeit, Integrität,
Verfügbarkeit und Belastbarkeit der Systeme und Dienste dauerhaft
sicherzustellen"
→ CWPP-Plattformen wie Wiz sind explizit für Art. 32 TOMs relevant
Die DSGVO-Frage ist daher nicht "ob" man CWPP braucht, sondern: Darf der CWPP-Anbieter selbst ein CLOUD Act Risiko sein?
NIS2 Art. 21(2)(c) — Supply Chain Security
NIS2 Art. 21(2)(c) fordert ausdrücklich:
"Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern"
Ein CWPP-Anbieter hat direkten Zugang zu eurer Cloud-Infrastruktur — er ist Teil der Sicherheits-Lieferkette. NIS2-konforme Unternehmen müssen diesen Supply-Chain-Risk dokumentieren und mitigieren.
DORA (für Finanzsektor)
DORA Art. 28 verlangt für kritische ICT-Drittanbieter:
- Keine Konzentrationsrisiken durch einzelne US-Anbieter
- Ausstiegsstrategien und Portabilität
- Subauftragnehmer-Transparenz
Ein CWPP-Anbieter mit 21/25 CLOUD Act Score fällt unter DORA-Pflichtprüfung für regulierte Finanzinstitute.
Drei CLOUD Act Risikoszenarien für Wiz.io Kunden
Szenario 1: Routine National Security Letter (NSL)
Timeline: US-FBI → Wiz Inc. (New York HQ)
Anfrage: "Runtime-Telemetrie + Security-Graph-Daten für Ziel-IP X.X.X.X"
Wiz-Reaktion: Pflicht zur Herausgabe. NSL-Empfänger dürfen
in den meisten Fällen nicht bekanntmachen.
EU-Kunde: Hat keine Kenntnis. DSGVO Art. 28 Abs. 3(a) verletzt
(Verarbeitung nur nach Weisung des Verantwortlichen).
Das Besondere bei CWPP-Anbietern: Die herausgegebenen Daten sind nicht nur Konfigurationsdaten (wie bei einem CSPM), sondern Runtime-Telemetrie — systemcall-level Aktivität eurer Produktionssysteme.
Szenario 2: FISA Section 702 Collection
Section 702 des Foreign Intelligence Surveillance Act erlaubt der NSA, Daten "ausländischer" Personen (= jeder Nicht-US-Bürger) von US-Cloud-Diensten abzurufen. Als Delaware C-Corp ist Wiz direkt betroffen:
FISA 702 Targets:
- EU-Unternehmen mit "nationalem Sicherheitsinteresse" (breit ausgelegt)
- Russland/China-exposed Firmen in EU (z.B. Energieversorger)
- Tech-Unternehmen mit bestimmten Export-Aktivitäten
Was abgegriffen werden kann:
- Alle Wiz-Telemetriedaten über eure Cloud-Workloads
- Security-Graph: vollständige Topologie eurer Infrastruktur
- CIEM-Daten: IAM-Struktur, Service-Account-Beziehungen
- Runtime-Sensor: Prozessaktivität, Netzwerkverbindungen
DSGVO-Schluss: Schrems II (EuGH C-311/18) hat klargestellt: Wenn FISA 702 Collection möglich ist, sind Standard-Contractual Clauses allein nicht ausreichend für EU→US Datentransfer. Der EuGH prüft Äquivalenz des Schutzniveaus — bei CLOUD Act + FedRAMP High ist diese Äquivalenz nicht gegeben.
Szenario 3: M&A-getriebener Jurisdiktionswechsel
Wiz.io hat 2024 ein $23-Milliarden-Übernahmeangebot von Google/Alphabet abgelehnt. Der Übernahmemarkt für Cybersecurity-Unicorns ist aktiv:
Potentielle Käufer (historische Muster):
- Microsoft (Azure Security) → Delaware + FedRAMP bereits
- Palo Alto Networks → NASDAQ, Delaware
- CrowdStrike → Nasdaq: CRWD, Delaware
- Google Cloud → Alphabet Inc., Delaware
- Splunk (Cisco) → akquiriert 2024 für $28B
Nach jeder Akquisition: SCA (Supply Chain Analysis) PFLICHT laut
DSGVO Art. 28 — neue Auftragsverarbeiter-Verträge nötig.
EU-Unternehmen, die Wiz heute einsetzen, müssen eine Exit-Strategie haben, falls ein Käufer inakzeptable neue CLOUD Act Risiken mitbringt.
EU-native CWPP/CNAPP Alternativen
Für echte CLOUD Act Unabhängigkeit gibt es mehrere Wege. Hier sind die praxistauglichsten EU-nativen Optionen:
Option 1: NeuVector (SUSE) — Vollständige EU-CWPP Alternative
NeuVector ist die einzige vollwertige CWPP/Container-Security-Plattform mit EU-Muttergesellschaft:
NeuVector (by SUSE)
├── Muttergesellschaft: SUSE S.A., Luxemburg
├── SUSE-Mehrheitsaktionär: Marcel LUX (EQT Partners, Schweden)
├── Open-Source-Kern: Vollständig auf GitHub (Apache 2.0)
├── Unternehmensedition: NeuVector Prime
└── CLOUD Act Score: ~0/25 (EU-Jurisdiktion, kein US-Gov-Kontrakt)
Funktionsumfang:
- Container Runtime Security (Zero-Trust Network Policy)
- Vulnerability Scanning für Container Images
- DLP für Container-Netzwerkverkehr
- Compliance Scoring (PCI, GDPR, HIPAA)
- Process/File Activity Monitoring
- Kubernetes-native (Operator verfügbar)
# NeuVector Helm Deployment (EU-Cluster)
helm repo add neuvector https://neuvector.github.io/neuvector-helm/
helm install neuvector neuvector/core \
--namespace neuvector \
--set tag=5.3.0 \
--set controller.replicas=3 \
--set registry=docker.io/neuvector \
--set containerd.enabled=true
Limitierung vs. Wiz: Kein nativer Security Graph, kein CIEM. Stärker auf Container-Runtime fokussiert als auf Multi-Cloud-CSPM.
Option 2: Falco (CNCF) — Best-in-Class Runtime Detection
Falco ist das Referenz-Projekt für Cloud-Native Runtime Security:
Falco
├── Maintainer: Sysdig (contributed to CNCF 2018, aber OSS ist eigenständig)
├── CNCF-Status: Incubating → Graduated 2023
├── Lizenz: Apache 2.0
├── CLOUD Act Score: 0/25 (kein Vendor, kein US-Jurisdiktions-Problem)
└── Runtime: eBPF oder Kernel Module (kein User-Space-Overhead)
# Falco Rules für Container Escape Detection
- rule: Container Escape via nsenter
desc: Detects container escape attempts using nsenter
condition: >
spawned_process and
proc.name = "nsenter" and
container
output: >
Escape attempt via nsenter (user=%user.name
command=%proc.cmdline container=%container.id)
priority: CRITICAL
tags: [container, escape, T1611]
- rule: Sensitive File Access
desc: An attempt to access sensitive files
condition: >
open_read and
sensitive_files and
not trusted_containers
output: >
Sensitive file opened for reading (user=%user.name
command=%proc.cmdline file=%fd.name)
priority: WARNING
Falco Sidekick ermöglicht Integration mit EU-nativen SIEM/Alerting:
Falco → Falco Sidekick → Grafana Loki (EU self-hosted)
→ Elasticsearch (EU self-hosted)
→ Graylog (deutsches Unternehmen)
Option 3: KubeArmor — Kubernetes Runtime Enforcement
KubeArmor ergänzt Falco durch aktive Policy Enforcement (nicht nur Detection):
KubeArmor
├── Maintainer: AccuKnox (CNCF Sandbox Project)
├── Lizenz: Apache 2.0
├── Enforcement: Linux Security Modules (AppArmor/SELinux/BPF-LSM)
└── USP: Blockieren statt nur Detektieren
# KubeArmor Policy: Restrict Shell in Production Pods
apiVersion: security.kubearmor.com/v1
kind: KubeArmorPolicy
metadata:
name: restrict-shell-exec
namespace: production
spec:
selector:
matchLabels:
app: payment-service
process:
matchPaths:
- path: /bin/sh
- path: /bin/bash
- path: /usr/bin/python3
action: Block
severity: 8
message: "Shell execution blocked in payment-service"
Option 4: Cyscale — EU-Native CNAPP aus Rumänien
Cyscale ist ein EU-natives Security-Startup mit CNAPP-Fokus:
Cyscale Security SRL
├── Sitz: Cluj-Napoca, Rumänien (EU)
├── Investor: Seedcamp (UK), europäische Angels
├── Multi-Cloud: AWS, Azure, GCP, OCI
├── CLOUD Act Score: ~2/25 (EU-Jurisdiktion, keine US-Gov-Kontrakte)
└── BSI/SOC 2: in Arbeit
Cyscale deckt CSPM + Compliance (GDPR, NIS2, ISO 27001) ab. CWPP/Runtime-Protection ist noch limitiert im Vergleich zu Wiz.
EU-Native CWPP Stack (Empfehlung für >500 MA)
Für Unternehmen, die einen vollständigen Wiz-Ersatz benötigen:
Layer 1 — Cloud Posture (CSPM + Compliance):
└── Cyscale (EU) oder Prowler (OSS CNCF)
Layer 2 — Vulnerability Management:
└── Trivy (OSS, Aqua contributed but Apache 2.0)
└── Grype (Anchore, OSS)
Layer 3 — Runtime Detection:
└── Falco (CNCF Graduated) — Syscall/Netzwerk-Monitoring
└── KubeArmor (CNCF Sandbox) — Policy Enforcement
Layer 4 — Container Security (Network + Access):
└── NeuVector Prime (SUSE, EU) — Zero-Trust Network Policy
Layer 5 — Secrets Detection:
└── Gitleaks (OSS) — in CI/CD Pipeline
└── Trivy Secrets Scanning — in Container Scans
Layer 6 — Observability + SIEM:
└── Grafana (Grafana Labs hat EU-Hauptsitz Stockholm) + Loki
└── oder OpenTelemetry → EU-SIEM (Graylog/OpenSearch on-prem)
TCO-Vergleich:
| Lösung | Jahreskosten (500 VMs) | CLOUD Act Score | Deployment |
|---|---|---|---|
| Wiz.io Enterprise | €150.000–400.000 | 21/25 | SaaS |
| NeuVector Prime | €30.000–80.000 | 0/25 | Self-hosted/K8s |
| Falco + KubeArmor | €0 (OSS) + Support | 0/25 | Self-hosted |
| EU-Stack (alle Layer) | €15.000–60.000 + Ops | 0-2/25 | Hybrid |
GDPR-konforme Wiz.io Nutzung (wenn Wechsel nicht möglich)
Falls Wiz.io kurzfristig nicht ersetzt werden kann, sollten diese Maßnahmen getroffen werden:
1. Auftragsverarbeitungsvertrag (AVV) prüfen
DSGVO Art. 28 verlangt einen AVV. Wiz.io stellt einen bereit, aber:
- Prüfen: Ist Wiz Inc. (Delaware) oder eine EU-Tochter der AVV-Vertragspartner?
- Prüfen: Welche Sub-Auftragsverarbeiter werden genannt? (AWS us-east-1? Azure East US?)
- Prüfen: Sind EU-Standard-Vertragsklauseln (SCCs, 2021er Version) enthalten?
2. Data Residency konfigurieren
Wiz bietet EU Data Residency (Frankfurt/Irland). Erzwingen via:
Wiz Settings → Data Residency → EU (Frankfurt)
→ Alle neuen Scans: EU-Region
→ Bestehende Scan-Ergebnisse: Migration prüfen
Aber: CLOUD Act greift unabhängig vom Datenspeicherort. Wiz Inc. (Delaware) muss auf gerichtliche Anordnungen aus den USA reagieren, egal wo die Daten liegen.
3. Agent-Scope begrenzen
Wenn ihr den Wiz Runtime Sensor (CWPP-Funktion) nutzt: Scope begrenzen auf nicht-personenbezogene Workloads:
# Wiz Sensor nur auf Infrastruktur-Namespaces
kubectl label namespace kube-system wiz-sensor=enabled
kubectl label namespace monitoring wiz-sensor=enabled
# NOT auf Production-App-Namespaces mit Personendaten
4. DPIA erstellen
Für CWPP mit Zugang zu Runtime-Telemetrie: DPIA (Datenschutz-Folgenabschätzung) nach DSGVO Art. 35 ist Pflicht für Verarbeitungen mit "hohem Risiko". Runtime-Telemetrie von Produktionssystemen fällt typischerweise darunter.
Wiz.io vs. EU-Alternativen: Entscheidungsmatrix
| Kriterium | Wiz.io | NeuVector + Falco Stack | Cyscale + OSS |
|---|---|---|---|
| CLOUD Act Score | 21/25 | 0/25 | 0-2/25 |
| CSPM | ✅ Vollständig | ⚠️ Limitiert (Falco nur Runtime) | ✅ Cyscale |
| CWPP Runtime | ✅ Wiz Sensor (eBPF) | ✅ Falco (CNCF) + KubeArmor | ⚠️ Falco only |
| Security Graph | ✅ Einzigartig | ❌ Kein nativer Graph | ⚠️ Limitiert |
| CIEM | ✅ Vollständig | ❌ Manuell/Terraform | ⚠️ Teilweise Cyscale |
| Secrets Detection | ✅ Built-in | ⚠️ Trivy + Gitleaks separat | ⚠️ Trivy only |
| Kubernetes-native | ✅ | ✅ NeuVector Operator | ✅ Falco DaemonSet |
| GDPR Jurisdiktion | ❌ US (Delaware) | ✅ EU (SUSE/Luxemburg) + OSS | ✅ EU (Rumänien) + OSS |
| FedRAMP | ✅ High | ❌ | ❌ |
| Preis (500 VMs/Jahr) | €150-400k | €30-80k + Ops | €10-40k + Ops |
| Deployment-Aufwand | Niedrig (SaaS) | Mittel | Mittel-Hoch |
Empfehlung nach Unternehmensgröße
Konzerne (>5.000 MA, reguliert, NIS2/DORA): → NeuVector Prime (SUSE) als Container-Security-Kern + Falco für Runtime-Detection + Cyscale oder Prowler für Multi-Cloud-CSPM. DPIA und AVV-Audit von Wiz.io, falls parallel betrieben.
Mid-Market (500–5.000 MA, GDPR-sensibel): → EU-OSS-Stack: Falco + KubeArmor + Trivy + Prowler + Grafana. Ops-Aufwand ist real, aber TCO deutlich unter Wiz.io. Cyscale als managed CSPM-Layer.
Scale-ups (<500 MA, Cloud-native, Wachstum): → Kurzfristig Wiz.io mit strenger Datenkategorisierung und Agent-Scope-Begrenzung. Mittelfristig (12-18 Monate) Migration zu EU-Stack planen, wenn Compliance-Anforderungen wachsen.
CLOUD Act Checkliste für Wiz.io Kunden
CLOUD Act Due Diligence — Wiz.io (Score 21/25)
□ AVV mit Wiz Inc. oder EU-Tochter? → Wiz Inc. ist Delaware C-Corp
□ SCCs (2021) vorhanden und aktuell?
□ DPIA für CWPP-Runtime-Telemetrie erstellt?
□ Data Residency auf EU-Region konfiguriert?
□ Agent Scope: Runtime Sensor nur auf nicht-DSGVO-Workloads?
□ NIS2 Art. 21(2)(c) Supply-Chain-Dokumentation für Wiz.io?
□ DORA (Finanzsektor): Wiz.io als kritischer ICT-Anbieter registriert?
□ Exit-Strategie dokumentiert? (M&A-Risiko: $12B Bewertung = Übernahmeziel)
□ Alternativenvergleich mit NeuVector / Falco / OSS Stack?
□ FedRAMP High: Konsequenzen für EU-Daten-Risikobewertung notiert?
Fazit: Wiz.io 21/25 — das höchste CWPP-Risiko der Serie
Mit einem CLOUD Act Score von 21/25 ist Wiz.io der risikoreichste CWPP/CNAPP-Anbieter dieser Serie. FedRAMP High Autorisierung bedeutet, dass Wiz bereits bewiesen hat, dass es sensibelsте US-Regierungsdaten verarbeiten kann — und damit im Konfliktfall maximale US-Behörden-Kooperation zeigen wird.
Die Kombination aus Delaware C-Corp, New York HQ, ausschließlich US-amerikanischem Investorenkreis (Sequoia, a16z, Insight, Lightspeed, General Atlantic) und aktivem US-Government-Geschäft (FedRAMP High) ergibt den höchsten Score in der gesamten EU-CWPP-Serie.
Für DSGVO-konforme Runtime-Protection gilt:
- NeuVector (SUSE/Luxemburg) + Falco (CNCF) + KubeArmor (CNCF) decken den überwiegenden Teil der Wiz-Funktionalität ab — bei 0/25 CLOUD Act Score
- Cyscale (Rumänien) liefert den EU-nativen CSPM-Layer
- Der kombinierte EU-Stack kostet 60-80% weniger als Wiz Enterprise
Nächster Post in der EU-CWPP-Serie: Prisma Cloud (Palo Alto Networks) EU Alternative 2026 — CLOUD Act Score 21/25, FedRAMP High und EU-native CNAPP-Alternativen. Erscheint Lauf 1325.
sota.io ist eine EU-first Cloud-Platform, die nativ in Deutschland gehostet wird. Alle Workloads — Compute, Storage, Netzwerk — laufen ausschließlich in EU-Rechenzentren ohne US-Subprozessoren. Keine CLOUD Act Exposure.
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.