Claroty EU Alternative 2026: OT/ICS Security, KRITIS-Dachgesetz und CLOUD Act Risiko für kritische Infrastruktur
Post #1263 in der sota.io EU OT/ICS Security Serie (1/5)
Am 17. Juli 2026 tritt das deutsche KRITIS-Dachgesetz (KRITIS-DG) in Kraft. Es verpflichtet Betreiber kritischer Anlagen zu einem dokumentierten Sicherheitskonzept — inklusive expliziter Lieferkettensicherheit für alle OT/ICS-Dienstleister. Wer Claroty, Dragos oder andere US-OT-Security-SaaS-Plattformen betreibt, muss damit rechnen, dass seine eigene Compliance-Dokumentation ein CLOUD Act-Expositionsrisiko schriftlich festhält.
Claroty ist eine der marktführenden Plattformen für OT/XIoT-Sicherheit weltweit. Gleichzeitig ist Claroty eine Delaware-Corporation mit US-Rechtsjurisdikation — und das hat für europäische Betreiber kritischer Infrastruktur (Energieversorgung, Wasserversorgung, Fertigung, Transport) weitreichende Konsequenzen, die weit über die in anderen Kategorien analysierten GDPR-Risiken hinausgehen.
Was ist Claroty?
Claroty, Inc. ist ein New Yorker Cybersecurity-Unternehmen mit Ursprung in Tel Aviv. Das Unternehmen wurde 2015 von Veteranen der israelischen militärischen Geheimdiensteinheit IDF Unit 8200 (Israels Entsprechung der NSA/GCHQ) gegründet und ist seit der Frühphase in den USA incorporated.
Produkte:
- Claroty xDome — Cloud-basierte XIoT/OT-Sicherheitsplattform (Asset-Discovery, Vulnerability Management, Network Monitoring, Secure Remote Access)
- Continuous Threat Detection (CTD) — On-Premise OT-Netzwerküberwachung mit passiver Protokollanalyse
- Secure Remote Access (SRA) — Privilegierter Fernzugriff auf OT-Systeme
- Edge-Sensoren — Passive Netzwerksensoren für Air-Gap-Environments
Investoren: Bessemer Venture Partners, SoftBank Vision Fund 2, Temasek (Singapore Government Investment), Standard Investments, Schneider Electric (strategisch, französisch), Rockwell Automation (strategisch, US-DOD-Supplier)
Claroty unterstützt die wichtigsten industriellen Protokolle: Modbus, Profibus, DNP3, OPC-UA, EtherNet/IP, BACnet — also praktisch das gesamte Spektrum europäischer KRITIS-Infrastrukturen.
Claroty CLOUD Act Score: 18/25
Die CLOUD Act Matrix bewertet fünf Dimensionen (D1–D5) mit je maximal 5 Punkten. Ein Score von 18/25 bedeutet hohes CLOUD Act-Risiko — eine US-Strafverfolgungsbehörde kann auf Daten in Claroty's Systemen zugreifen, ohne das EU-Unternehmen vorab zu informieren.
| Dimension | Kriterium | Score | Begründung |
|---|---|---|---|
| D1 | Corporate Jurisdiction | 5/5 | Claroty, Inc. Delaware C-Corp, USA. Primäre Vertragspartei ist die US-Entity. |
| D2 | Government Ties | 3/5 | Rockwell Automation (US DOD-Supplier) als strategischer Investor. Keine direkten USG-Verträge bekannt, aber defense-adjacent Investorenbasis. |
| D3 | Data Sensitivity | 5/5 | OT-Netzwerktopologie, Geräte-Inventar, Industrieprotokoll-Daten, Schwachstellen-Assessments von KRITIS-Anlagen = Maximum-Sensitivität. |
| D4 | Data Location | 3/5 | xDome läuft auf AWS/Azure, EU-Datenresidenz optional, aber US-kontrollierte Cloud-Infrastruktur. |
| D5 | Contractual Protections | 2/5 | Standard-EU-SCCs verfügbar, kein dediziertes EU-souveränes Deployment, keine veröffentlichte CLOUD Act-Widerstandsfähigkeit. |
| Gesamt | 18/25 | Hohes CLOUD Act-Risiko für EU-KRITIS-Betreiber |
EU-native Alternativen (0/25): Secunet Security Networks AG (Essen DE), Rhebo GmbH (Leipzig DE/Landis+Gyr CH), Genua GmbH (München DE), Phoenix Contact Cybersecurity GmbH (Blomberg DE) — alle ohne US-Rechtsjurisdikation.
Das KRITIS-Dachgesetz Paragraph 10 Sicherheitskonzept-Paradox
Das ist der neu entstehende Compliance-Knoten, der Claroty für deutsche KRITIS-Betreiber nach dem 17. Juli 2026 besonders problematisch macht.
§10 KRITIS-DG Sicherheitskonzept-Pflicht verpflichtet KRITIS-Anlagen-Betreiber, ein dokumentiertes Sicherheitskonzept zu erstellen und der zuständigen Behörde auf Anfrage vorzulegen. §12 KRITIS-DG Lieferkettensicherheit verlangt die explizite Bewertung von IT/OT-Dienstleistern in diesem Konzept.
Wer als KRITIS-Betreiber Claroty (oder ein anderes US-OT-Security-SaaS-Tool) verwendet, muss in seinem eigenen, behördlich einzureichenden Sicherheitskonzept festhalten:
"Unser OT-Sicherheitsmonitoring wird durch Claroty, Inc. (Delaware, USA) bereitgestellt. Der Anbieter ist dem US CLOUD Act unterworfen. Im Falle einer US-Strafverfolgungsanfrage könnte das Unternehmen ohne unsere Kenntnis verpflichtet sein, Zugriff auf unsere OT-Netzwerktopologie, Geräte-Inventardaten und Schwachstellen-Assessments zu gewähren."
Das ist kein theoretisches Szenario — es ist die gesetzeskonforme Dokumentation der Lieferkettenlage. Drei Konsequenzen:
-
Behördliche Prüfung: Das BSI und die zuständige Sektorbehörde lesen genau das, was KRITIS-Betreiber dokumentieren. Ein US-OT-Security-Anbieter mit CLOUD Act-Exposition in der Lieferkettendokumentation löst Nachfragen aus.
-
Selbst-Exposition: Das Sicherheitskonzept, das die CLOUD Act-Lage korrekt dokumentiert, enthält damit strukturierte Metadaten über die OT-Architektur des Betreibers — inklusive welche Systeme durch welchen Anbieter abgesichert sind.
-
BSI Basis-Sicherheitsprüfung: Nach §10(3) KRITIS-DG führt das BSI Basis-Sicherheitsprüfungen durch. US-OT-Security-SaaS wird hier als möglicher Kritikpunkt bewertet.
Das OT Intelligence Aggregation Paradox
Claroty ist nicht nur für einen einzelnen KRITIS-Betreiber im Einsatz — die Plattform wird von Hunderten von Energieversorgern, Wasserwerken, Fertigungsunternehmen und Transportunternehmen in ganz Europa genutzt.
Ein einziger CLOUD Act-Beschluss, der an Claroty's US-Entität gerichtet ist, könnte theoretisch exponieren:
- Vollständige OT-Netzwerktopologien aller europäischen Claroty-Kunden simultan
- Cross-Facility Vulnerabilities: Wenn ein Zero-Day fünfzehn europäische Energieversorgungsunternehmen betrifft, die alle Claroty nutzen, enthält Claroty's xDome-Plattform Daten zu allen fünfzehn gleichzeitig
- Echtzeit-Betriebszustände: Historische Prozessdaten, SCADA-Historian-Tags, Alarm-Logs, Set-Points für industrielle Steuerungssysteme
- Remote Access Sessions: Protokolle aller privilegierten Fernzugriffe auf OT-Equipment in europäischen Energieanlagen
Dies ist strukturell anders als ein CLOUD Act-Zugriff auf, sagen wir, ein GRC-Tool oder ein Secret Management System. OT-Netzwerktopologien kritischer Infrastruktur sind die Grundlage von Cyber-Warfare-Targeting. Der nachrichtendienstliche Wert eines aggregierten Zugriffs auf Claroty-Daten für alle europäischen Energieversorger übersteigt nahezu jede andere Datenkategorie.
Die EU-Regulatory-Entsprechung: NIS2 Art.6 definiert "wesentliche Einrichtungen" in Annex I (Energie, Transport, Bankwesen, Gesundheit, Trinkwasser, digitale Infrastruktur). Genau diese Einrichtungen sind Claroty's Zielkunden — und genau ihre OT-Daten liegen in einem US-rechtsjurisdiktionierten System.
Das Unit 8200 Origins Paradox
Claroty wurde von Veteranen der IDF Unit 8200 gegründet — Israels militärischer Geheimdiensteinheit, vergleichbar mit NSA/GCHQ, spezialisiert auf Signals Intelligence (SIGINT) und offensive Cyber-Operationen.
Wichtige Klarstellung: Claroty ist heute ein kommerzielles Unternehmen mit keiner bekannten direkten operativen Verbindung zur israelischen Regierung. Die Gründerhistorie begründet keinen automatischen Geheimdienstzugang.
Für EU-KRITIS-Betreiber ist die Verbindung aus zwei Gründen dennoch relevant:
-
Perception Compliance unter §12 KRITIS-DG: Das Lieferkettensicherheitskonzept muss Risiken, nicht nur dokumentierte Vorfälle, adressieren. Ein Investor- und Gründer-Hintergrund mit Geheimdienstbezug ist ein dokumentierbares Lieferkettenrisiko, das in eine formale Risikobewertung einfliesst.
-
Kombiniertes Jurisdiktionsprofil: US CLOUD Act (Delaware Corp) + israelische Gründerhistorie (Unit 8200-Umfeld) + Rockwell Automation (US DOD-Supplier) als strategischer Investor — die Kumulation dieser Faktoren ergibt ein Gesamtbild, das für souveränitätsbewusste EU-KRITIS-Betreiber problematisch ist.
Das NIS2 Article 21(2)(e) DevOps-OT-Paradox
NIS2 Art.21(2)(b) verlangt von wesentlichen Einrichtungen eine Incident-Handling-Fähigkeit, die sicherstellt, dass Sicherheitsvorfälle zeitnah erkannt und gemeldet werden. NIS2 Art.23 schreibt Meldepflichten an das nationale CSIRT vor.
Das Paradox: Im Falle eines OT-Sicherheitsvorfalls (z.B. ein Ransomware-Angriff auf eine Wasseraufbereitungsanlage, der über Claroty erkannt wird) läuft die Incident-Erkennungskette über die US-Plattform. Das bedeutet:
- Claroty's US-Rechenzentrum verarbeitet den Incident-Alert zuerst
- Vor der NIS2-Meldung an das nationale CSIRT/BSI läuft die Daten durch US-Infrastruktur
- Incident-Daten (Attack Techniques, betroffene Systeme, operationaler Impact) könnten unter CLOUD Act in den USA zugänglich sein, bevor das europäische CSIRT überhaupt informiert ist
Der US-Nachrichtendienst könnte theoretisch vor dem BSI über einen KRITIS-Vorfall informiert werden — nicht durch aktive Weitergabe, sondern durch das strukturelle CLOUD Act-Zugriffsrecht.
EU-native Alternativen: 0/25 CLOUD Act Score
Vier europäische OT/ICS-Security-Anbieter bieten ernsthafte Alternativen zu Claroty:
Secunet Security Networks AG (Essen, Deutschland)
- Rechtsform: AG, notiert an der Frankfurter Wertpapierbörse (SDAX)
- Eigentümerstruktur: ~51% Giesecke+Devrient GmbH (München, privat), ~20% Bundesrepublik Deutschland (indirekt via BMI)
- OT-Relevanz: Secunet ist langjähriger BSI-Partner und liefert Cybersicherheitslösungen für Bundeswehr, Behörden und KRITIS-Betreiber. OT/ICS-Security ist Teil des Portfolios (Industrial Security, SINA-basierte Lösungen für OT-Netzwerksegmentierung)
- KRITIS-Relevanz: Direkte BSI-Zulassungen, Verwendung in deutschen Bundesbehörden, bekannte Zertifizierungen für KRITIS-relevante Anwendungsfälle
- CLOUD Act Score: 0/25 — Vollständig deutsches Unternehmen, keine US-Rechtsjurisdikation
Rhebo GmbH (Leipzig, Deutschland)
- Rechtsform: GmbH, Tochtergesellschaft von Landis+Gyr AG (Zug, Schweiz; börsennotiertauf SIX Swiss Exchange)
- Fokus: OT-Netzwerküberwachung für Energieversorger, speziell für Smart Grid/Operational Technology Environments
- KRITIS-Relevanz: Rhebo ist auf den deutschen und europäischen Energieversorger-Markt spezialisiert, KRITIS-Sektor Energie ist Kernzielgruppe
- Schweiz-Adequacy: Schweiz hat DSGVO-Angemessenheitsbeschluss. Landis+Gyr ist kein US-Konzern.
- CLOUD Act Score: 0/25 — Keine US-Rechtsjurisdikation (Schweizer Muttergesellschaft)
Genua GmbH (Kirchheim bei München, Deutschland)
- Rechtsform: GmbH, 100% Tochter der Bundesdruckerei GmbH (Berlin)
- Eigentümerstruktur: Bundesdruckerei gehört zu 100% der Bundesrepublik Deutschland (BMF)
- Fokus: Industrielle Cybersicherheit, Firewall-Lösungen für OT/ICS-Netzwerke, High-Security-Kommunikation
- KRITIS-Relevanz: Genua-Produkte sind für Bundesbehörden zugelassen und werden in sicherheitskritischen Infrastrukturen eingesetzt. BSI-Zertifizierungen.
- CLOUD Act Score: 0/25 — Bundeseigentum, vollständig deutsches Unternehmen, keine US-Rechtsjurisdikation
Phoenix Contact Cybersecurity GmbH (Blomberg, Deutschland)
- Rechtsform: GmbH, Teil der Phoenix Contact-Gruppe (privates deutsches Familienunternehmen, Blomberg NRW)
- Fokus: OT/ICS-Cybersicherheitsprodukte integriert mit Phoenix Contact-Automatisierungstechnik. Netzwerksicherheit, Industrial Firewalls, Secure Remote Access für OT
- KRITIS-Relevanz: Phoenix Contact ist ein etablierter Lieferant für europäische Fertigungs- und Energieinfrastrukturen. Cybersecurity-Produkte richten sich explizit an KRITIS-Sektoren.
- CLOUD Act Score: 0/25 — Privates deutsches Familienunternehmen, keine US-Rechtsjurisdikation
Vergleichstabelle: Claroty vs. EU-native OT-Security
| Anbieter | D1 | D2 | D3 | D4 | D5 | Gesamt |
|---|---|---|---|---|---|---|
| Claroty, Inc. (USA) | 5 | 3 | 5 | 3 | 2 | 18/25 |
| Secunet Security Networks AG (DE) | 0 | 0 | 0 | 0 | 0 | 0/25 |
| Rhebo GmbH / Landis+Gyr AG (DE/CH) | 0 | 0 | 0 | 0 | 0 | 0/25 |
| Genua GmbH / Bundesdruckerei (DE) | 0 | 0 | 0 | 0 | 0 | 0/25 |
| Phoenix Contact Cybersecurity (DE) | 0 | 0 | 0 | 0 | 0 | 0/25 |
D3 bei Claroty = 5/5 (Maximum): OT-Netzwerktopologien kritischer Infrastruktur sind die sensibelste Datenkategorie in dieser gesamten Serie — höher als Compliance-Daten (GRC), höher als Build-Secrets (DevOps), höher als Vulnerability-Assessments allgemeiner IT-Systeme.
Decision Framework für KRITIS-Betreiber
Drei Entscheidungspfade nach KRITIS-DG §12-Risikobewertung:
Pfad 1 — Akzeptanz mit Dokumentation (Übergangslösung): Wenn Claroty bereits eingesetzt ist und ein Austausch kurzfristig nicht möglich ist: Vollständige CLOUD Act-Risikoakzeptanz in §10 Sicherheitskonzept dokumentieren. Technische Kompensationsmaßnahmen: On-Premise CTD statt Cloud-basiertem xDome (reduziert D4 von 3 auf 1), DPA mit Claroty explizit auf CLOUD Act-Konfliktfälle ausweiten.
Pfad 2 — Hybride Architektur: Claroty CTD (On-Premise) für die sensitivste OT-Datenverarbeitung, EU-native Plattformen (Rhebo/Genua) für Netzwerkmonitoring kritischer Assets, Claroty xDome nur für nicht-KRITIS-Segmente (Office-IT). Reduziert CLOUD Act-Exposition erheblich, da D3-Daten (OT-Topologien kritischer Systeme) nicht in US-Cloud übertragen werden.
Pfad 3 — Vollständige EU-Souveränität: Migration auf eine der vier EU-nativen Lösungen. Empfehlung nach Sektor:
- Energieversorger: Rhebo GmbH (Spezialisierung auf Smart Grid/OT Monitoring)
- Bundesbehörden/Verteidigung: Secunet AG oder Genua GmbH (BSI-Zulassungen)
- Fertigungsindustrie (Industrie 4.0): Phoenix Contact Cybersecurity (Integration mit Phoenix Contact-Automatisierungstechnik)
- Universell/KRITIS-unabhängig: Secunet AG (breitestes Portfolio)
Was kommt als nächstes in der EU-OT/ICS-Security-Serie?
Diese Analyse ist Post #1 von 5 in der EU-OT/ICS-SECURITY-SERIE. Die nächsten Posts:
- Post #2: Dragos EU Alternative 2026 — Industrial Threat Intelligence und CLOUD Act
- Post #3: Nozomi Networks EU Alternative 2026 — OT/IoT Anomaly Detection CLOUD Act
- Post #4: Fortinet OT Security EU Alternative 2026 — Enterprise OT Firewall CLOUD Act
- Post #5: EU OT/ICS Security Comparison Finale 2026 — Vollständige CLOUD Act Matrix
Für wesentliche Einrichtungen und kritische Anlagen unter NIS2 und dem neuen KRITIS-Dachgesetz ist die Frage nach der Rechtsjurisdikation ihres OT-Security-Anbieters keine akademische Diskussion mehr. Ab dem 17. Juli 2026 ist sie dokumentationspflichtig.
Diese Analyse ist Teil der sota.io EU Security Intelligence Series. Metodologie: Die CLOUD Act Matrix (25 Punkte, 5 Dimensionen D1–D5) bewertet das strukturelle US-Jurisdiktion-Risiko — nicht aktuelle bekannte Datenverletzungen. Ein hoher Score bedeutet, dass die strukturellen Voraussetzungen für einen CLOUD Act-Zugriff erfüllt sind.
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.