EU OT/ICS Security Comparison Finale 2026: Claroty vs Dragos vs Nozomi vs Fortinet

Post #1267 — Abschluss der sota.io EU OT/ICS Security Serie (5/5)

Am 17. Juli 2026 tritt das deutsche KRITIS-Dachgesetz (KRITIS-DG) in Kraft. Es verpflichtet Betreiber kritischer Anlagen — Energieversorger, Wasserwerke, Verkehrsinfrastruktur, Krankenhäuser, digitale Infrastruktur — zu einem dokumentierten Sicherheitskonzept mit expliziter Lieferkettenbewertung aller OT/ICS-Dienstleister. Für EU-KRITIS-Betreiber, die heute Claroty, Dragos, Nozomi oder Fortinet für OT-Sicherheitsmonitoring einsetzen, läuft eine Compliance-Uhr: In 54 Tagen müssen sie schriftlich festhalten, dass ihr OT-Security-Anbieter unter US CLOUD Act Jurisdiktion steht.

Die EU-OT/ICS-Security-Serie ist abgeschlossen. In vier Einzelanalysen haben wir untersucht:

• Claroty (CLOUD Act Score 18/25): Delaware C-Corp, Unit 8200-Gründerhistorie, Rockwell Automation als strategischer Investor
• Dragos (CLOUD Act Score 17/25): Delaware C-Corp, ex-NSA-Gründer Robert Lee, CISA ICS-Advisory-Partnerschaft, US-SOC in Maryland
• Fortinet (CLOUD Act Score 16/25): NASDAQ FTNT Delaware C-Corp, NSA CNSA Suite 2.0, FedRAMP High + DoD IL2, Air-Gap-Option
• Nozomi Networks (CLOUD Act Score 14/25): Delaware C-Corp trotz Zürich-HQ, Sequoia + Honeywell Ventures, kein IC-Founding-Team

Dieser Finale-Post fasst zusammen: Was unterscheidet die vier Anbieter strukturell, welche serienübergreifenden Paradoxien gelten für alle OT-Security-Kategorien, und wann sind EU-native Lösungen die bessere Wahl?

Warum OT/ICS Security eine eigene Risikoklasse ist

In den vergangenen Serien haben wir US-Anbieter aus GRC, Secret Management, Bug-Bounty-Plattformen und CSPM-Tools analysiert. OT/ICS Security ist eine andere Kategorie — nicht graduell anders, sondern strukturell anders.

Das nationale Sicherheitsdimensionsproblem: Die Daten, die Claroty, Dragos, Nozomi und Fortinet verarbeiten, sind keine Kundendaten im GDPR-Sinne. Es sind Topologien kritischer nationaler Infrastruktur: Welche PLCs in einem deutschen Energieversorgungsnetz verbaut sind, welche Firmware-Versionen, welche Kommunikationsprotokolle (Modbus, DNP3, IEC 61850, PROFINET), welche Schwachstellen aktiv genutzt werden, und welche Angriffspfade in einem Wasseraufbereitungswerk theoretisch möglich wären.

Diese Daten haben einen nachrichtendienstlichen Wert, der über GDPR-Definitionen hinausgeht. Das BSI hat dies in BSI-CS 134 explizit benannt: OT-Sicherheitsdaten kritischer Anlagen sind als "Verschlusssachen — Nur für den Dienstgebrauch" (VS-NfD) zu behandeln, wenn sie Dritte erreichen. Die CLOUD Act Frage ist für OT Security deshalb nicht: "Könnte ein US-Richter persönliche Daten anfordern?" — sondern: "Könnte ein US-Nachrichtendienst strukturierte Angriffsflächen-Kartierungen europäischer KRITIS-Anlagen erhalten?"

Die Aggregations-Asymmetrie: Kein einzelner OT-Security-Vorfall ist kritisch. Aber ein US-Anbieter, der gleichzeitig Claroty für alle deutschen Energieversorger, alle niederländischen Hafenbetreiber und alle französischen Kernkraftwerke betreibt, aggregiert eine Angriffsflächen-Datenbank von staatlichem nachrichtendienstlichem Wert. CLOUD Act ermöglicht den Zugriff auf diese aggregierten Daten mit einem einzigen Beschluss an die US-Entität — ohne Benachrichtigung der betroffenen KRITIS-Betreiber.

CLOUD Act Matrix: Alle vier Anbieter im direkten Vergleich

Die Matrix normalisiert fünf Dimensionen, die für OT Security besonders relevant sind:

D1 — US-Jurisdiktion (alle vier: 5/5): Alle vier Anbieter sind Delaware Corporations oder NASDAQ-notierte US-Konzerne. Der CLOUD Act 18 U.S.C. §2713 gilt vollumfänglich. Kein EU-Hauptquartier (Claroty New York, Nozomi San Francisco/Zurich) ändert die Rechtslage: Die vertragsschließende Entität ist die US-Corp.

D2 — Government/IC-Nexus:

• Fortinet (5/5): Einziger Anbieter der Serie mit expliziter NSA-Zertifizierung (CNSA Suite 2.0), FedRAMP High und DoD IL2 Authorization. NSA-zertifizierte Kryptographie in EU-KRITIS bedeutet: Die NSA kennt und hat die Architektur-Spezifikationen der Krypto-Implementierungen geprüft, die in europäischen kritischen Netzwerken eingesetzt werden. Das ist ein qualitativer Unterschied zu allen anderen Anbietern.
• Claroty (3/5): Rockwell Automation als strategischer Investor (US DoD-Supplier, Rüstungskomponenten), Unit 8200-Gründerteam (israelischer Militärgeheimdienst). Kumulative Exposition ohne direkte US-Regierungsverträge.
• Dragos (3/5): Robert Lee (CEO/Co-Founder): ex-NSA Tailored Access Operations (TAO), ex-USAF, US-CERT. Co-Autor von CISA ICS Security Advisories. Institutionelle Bindungen ohne aktive Geheimdienstverträge.
• Nozomi (1/5): Kein ex-NSA/ex-FBI-Gründerteam. Keine bekannten US-DoD-Primärverträge. Niedrigster IC-Nexus der gesamten Serie.

D3 — OT-Datensensitivität:

• Claroty und Dragos (5/5): Beide Plattformen speichern OT-Netzwerktopologien, Asset-Inventare mit Firmware-Versionen, Schwachstellen-Assessments und (Dragos zusätzlich) adversäre Taktiken, Techniken und Prozeduren (TTPs) für KRITIS-Sektoren. Bei Dragos: WorldView Threat Intelligence enthält detaillierte Analyse von TRITON/TRISIS, CRASHOVERRIDE, INDUSTROYER — die Angriffstechniken, die gegen europäische Energieinfrastruktur eingesetzt wurden.
• Nozomi (3/5): Asset-Discovery und Anomalie-Erkennung, aber primär netzwerkbasiert. Weniger tiefe Threat-Intelligence als Dragos.
• Fortinet (2/5): On-premise Air-Gap möglich. Wenn FortiGate-OT vollständig air-gapped betrieben wird und FortiGuard Intelligence-Subscription deaktiviert ist, verlassen keine OT-Topologiedaten die Anlage. Dies ist der Kernunterschied zu den reinen SaaS-Plattformen.

D4 — Infrastruktur und Datenort:

• Dragos (2/5): OT Watch SOC in Hanover, Maryland (US-Jurisdiktion). Für EU-KRITIS-Betreiber, die Dragos Managed Services (OT Watch) nutzen, bedeutet dies: US-basierte Sicherheitsanalysten lesen und annotieren OT-Sicherheitsdaten aus europäischen Kritischen Anlagen.
• Claroty und Nozomi (3/5): AWS/Azure EU-Regionen verfügbar, aber nicht mandatorisch. US-Betreiberentität bleibt CLOUD Act-pflichtig unabhängig vom Datenstandort (§2713 gilt für gespeicherte Daten "wherever located").
• Fortinet (2/5): On-premise First. Vollständiges Air-Gap eliminiert Cloud-Exposition, aber FortiCloud und FortiGuard bleiben US-Dienste wenn aktiviert.

D5 — Schutzmaßnahmen: Alle vier Anbieter erzielen 2/5. Standard EU-SCCs verfügbar, kein Anbieter bietet ein vollständig EU-souveränes Deployment ohne Rückverbindung zur US-Entität. Fortinet's Air-Gap-Option ist technisch die stärkste Schutzmaßnahme — aber sie eliminiert die Cloud-basierten FortiGuard Intelligence Features.

Die fünf serienübergreifenden Paradoxien

1. Das D3=5/5-Invarianten-Problem

In der EU-SECRET-MGMT-Serie, der EU-GRC-TOOLS-Serie und der EU-BUG-BOUNTY-PENTEST-Serie haben wir jeweils mindestens einen Anbieter gefunden, der durch Deployment-Architektur (Self-Hosted, On-Premise, Air-Gap) auf D3=1/5 oder D3=2/5 kommen kann.

In der OT/ICS-Security-Serie gilt für drei der vier analysierten Anbieter: D3 ist unvermeidlich hoch, weil die Daten, die ein SaaS-basiertes OT-Security-Tool verarbeiten muss, strukturell hochsensibel sind. Ein OT-Security-Tool ohne OT-Netzwerktopologie ist nutzlos — der Datenschutztransfer ist der Produktkern, nicht ein vermeidbares Nebenprodukt.

Die Ausnahme ist Fortinet's On-Premise Air-Gap-Option. Sie ist die einzige technische Antwort auf das D3-Problem — durch Eliminierung der Cloud-Komponente wird das OT-Security-Produkt zum lokalen Tool ohne US-Jurisdiktion für OT-Daten. Der Preis: Fortinet's überragender Government/IC-Nexus (D2=5/5) bleibt als strukturelles Problem bestehen, auch wenn keine OT-Daten die Anlage verlassen.

2. Das KRITIS-Dachgesetz §10 Doppelbindungs-Paradox

Das KRITIS-DG §10 verlangt ein dokumentiertes Sicherheitskonzept mit Lieferkettenbewertung. Die korrekte KRITIS-DG-konforme Dokumentation eines Claroty-, Dragos- oder Nozomi-Einsatzes enthält die Aussage: "Unser OT-Security-Anbieter ist eine Delaware Corporation und unterliegt dem US CLOUD Act. Im Falle einer US-Strafverfolgungsanfrage können unsere OT-Netzwerktopologien ohne unsere Kenntnis an US-Behörden weitergegeben werden."

Diese Dokumentation:

1. Ist gesetzlich vorgeschrieben (KRITIS-DG §10 Abs. 2 Nr. 4)
2. Belegt schriftlich eine Compliance-Lücke (kein vollständig EU-souveränes OT-Security-Monitoring)
3. Wird dem BSI und der zuständigen Sektorbehörde zugänglich — inklusive der Information, welcher US-Anbieter welche KRITIS-Anlage überwacht

Ein CISO, der KRITIS-DG §10 korrekt ausfüllt und gleichzeitig einen der vier analysierten US-Anbieter einsetzt, hat die Wahl zwischen Compliance-Dokumentation und Compliance-Risiko.

3. Das NSA-CNSA-Suite-Paradox (Fortinet-spezifisch)

Fortinet ist der einzige OT-Security-Anbieter der Serie, der NSA CNSA Suite 2.0 zertifiziert ist. CNSA Suite 2.0 ist die US-Regierungs-Empfehlung für post-quanten-sichere Kryptographie — vorgeschrieben für US National Security Systems ab 2030.

Das Paradox: NSA CNSA Suite 2.0 Zertifizierung bedeutet, dass die NSA die Kryptographie-Implementierung kennt, geprüft hat und als ausreichend für US National Security bewertet. Für ein EU-KRITIS-Netzwerk, das FortiGate-OT mit NSA CNSA Suite 2.0 einsetzt, bedeutet dies strukturell: Die Behörde, die OT-Netzwerke als potenzielle Aufklärungs- und Cyber-Warfare-Ziele betrachtet, hat die verwendeten Krypto-Implementierungen autorisiert.

Dies ist kein Hinweis auf aktive NSA-Backdoors. Es ist ein strukturelles Transparenzproblem: NSA-zertifizierte Algorithmen in EU-KRITIS geben der NSA die Sicherheit, dass ihre eigenen kryptographischen Standards erfüllt sind — nicht die EU-Souveränitätsziele.

4. Das Intelligence Aggregations-Paradox

Einzelne CLOUD Act Anfragen an einzelne OT-Security-Anbieter sind juristisch begrenzte Ereignisse. Das strukturelle Problem liegt in der Aggregation:

Claroty ist nach eigenen Angaben in über 40% der globalen KRITIS-Anlagen in bestimmten Sektoren deployed. Ein einziger US-Strafverfolgungsbeschluss an Claroty, Inc. (Delaware) kann theoretisch Zugang zu OT-Topologiedaten aus Dutzenden europäischer Energieversorger, Wasserwerke und Fertigungsanlagen gleichzeitig ermöglichen.

Für Einzelunternehmen mag das CLOUD Act-Risiko abstrakt erscheinen. Für einen US-Regierungsakteur (DoJ, FBI, NSA im Rahmen von Court Orders) ist das Aggregationspotential einer einzigen Anfrage an einen marktführenden OT-Security-Anbieter erheblich. Das ist der geopolitische Kern der Diskussion — nicht Datenschutz im GDPR-Sinne, sondern wirtschaftliche und nationale Sicherheitssouveränität.

5. Das Alpen-Schild-Paradox (Generalfall)

Nozomi Networks hat ein Zürich-Büro als operativen Europaschwerpunkt. Claroty hat ein New Yorker und Tel Aviver Büro. Dragos hat ein London-Büro für EMEA. Fortinet hat zahlreiche europäische Niederlassungen.

Keines dieser EU-Büros ändert die CLOUD Act-Rechtslage. Die vertragsschließende Entität, die OT-Daten verarbeitet und speichert, ist in allen Fällen die US-Delaware-Corporation oder NASDAQ-notierte US-Muttergesellschaft. Die EU-Büros sind Vertrieb, Support und Marketing — rechtlich unselbstständige Niederlassungen oder Tochtergesellschaften der US-Entität.

Das ist das Alpen-Schild-Paradox: Ein Zürich-HQ-Schild schützt nicht vor CLOUD Act-Anfragen, wenn die Datenverantwortung bei der US-Muttergesellschaft liegt. EU-Niederlassung ≠ EU-Datensouveränität.

KRITIS-Sektor-spezifischer Entscheidungsrahmen

Die vier Anbieter unterscheiden sich nicht nur im Score, sondern in ihrer konkreten Risikostruktur für verschiedene KRITIS-Sektoren:

Sektor Energie (Strom, Gas, Fernwärme)

Höchste nationale Sicherheitsrelevanz. BSI-Grundschutz-Kompendium: Energieversorgungsanlagen der Kategorie KRITIS sind als besonders schutzbedürftig eingestuft. KRITIS-DG §10 gilt hier mit höchster Prüfintensität.

• Claroty (18/25) und Dragos (17/25): Höchstes Risiko. Beide Plattformen speichern OT-Topologien europäischer Energieversorgungsnetze in US-Cloud-Infrastruktur. Bei Dragos zusätzlich: WorldView Threat Intelligence enthält CRASHOVERRIDE/INDUSTROYER-Analyse — die Malware, die den ukrainischen Stromausfall 2016 verursacht hat.
• Fortinet (16/25) mit Air-Gap: Vertretbarer wenn vollständig air-gapped betrieben — FortiGuard Intelligence deaktiviert, keine Cloud-Anbindung. NSA CNSA Suite 2.0 bleibt als Strukturproblem.
• Nozomi (14/25): Niedrigstes US-Risiko der Gruppe. Kein IC-Founding-Team, kein direkter DoD-Nexus. Air-Gap-fähig (Vantage-Alternative: Guardian on-premise).
• EU-native Empfehlung: Secunet Security Networks AG (Essen, 21% Bundesrepublik-Anteil) für staatliche/kritische Energieanlagen. Rhebo GmbH (Leipzig, Landis+Gyr-Tochter) für Smart-Grid-Monitoring. Beide 0/25 CLOUD Act.

Sektor Wasser (Trinkwasser, Abwasser)

Mittlere KRITIS-Priorität, aber steigendes Angriffsziel (Oldsmar FL 2021, Norsk Hydro 2019). KRITIS-DG §10 gilt.

• Nozomi (14/25): Beste Wahl unter den US-Anbietern wenn EU-native ausgeschlossen. On-premise Guardian für air-gapped Deployments in kleinen und mittleren Wasserversorgern.
• EU-native Empfehlung: Phoenix Contact Cybersecurity GmbH (Blomberg DE) für Automatisierungssicherheit, Rhebo GmbH für IDS/Anomalie-Erkennung in OT-Netzen.

Sektor Fertigung und Industrie (NIS2-wesentliche Einrichtungen)

Geringere nationale Sicherheitsrelevanz als Energie/Wasser, aber DORA Art.28 und NIS2 Art.21 gelten. CLOUD Act-Risiko ist Real-Business-Risiko (IP-Diebstahl, M&A-Intelligence), nicht nur nationales Sicherheitsrisiko.

• Fortinet (16/25) mit Air-Gap: Wenn die Organisation bereits Fortinet-Netzwerksicherheit einsetzt (FortiGate-Firewalls, FortiSwitch), bietet FortiGate-OT eine integration-optimale Lösung ohne zusätzlichen OT-Spezialanbieter. Air-Gap möglich.
• Nozomi (14/25): Breiteste IT/OT-Konvergenz der vier Anbieter. Vantage-Plattform integriert mit SIEM-Systemen.
• EU-native Empfehlung: Rhebo GmbH für Netzwerk-Anomalie-Erkennung. Genua GmbH (München, 100% Bundesdruckerei) für hochsichere Air-Gap-Gateways zwischen IT/OT-Netzen.

Sektor Digitale Infrastruktur und Gesundheit

Mittlere KRITIS-Relevanz. NIS2 Art.21 gilt. BSI B3S-Branchenstandards für Krankenhäuser schreiben keine spezifischen OT-Security-Anforderungen vor, aber KRITIS-DG §10 wird auch hier gelten.

• Nozomi (14/25): Healthcare-spezifische Expertise (connected medical devices, BMS/BAS-Monitoring). Niedrigstes IC-Exposure-Risiko.
• EU-native Empfehlung: Rhebo GmbH und Stamus Networks SAS (Paris FR, Suricata-basiert) für OT/ICS und connected device monitoring ohne US-Jurisdiktion.

EU-native Alternativen: Vollständige Übersicht

Die vier EU-nativen Alternativen aus der Serie alle erzielen 0/25 im CLOUD Act-Scoring:

Secunet Security Networks AG (Essen, Deutschland)

• Eigentümerstruktur: Giesecke+Devrient GmbH (79%) + Bundesrepublik Deutschland (21% direkt über BMF). Börsennotiert Frankfurt (SDAX).
• Produkte: secunet SINA (Hochsicherheits-VPN für VS-NfD bis GEHEIM), secunet Boundary Guard (Datentransfer-Gateway für High-Assurance-OT), secunet TSG (Trusted Security Gateway für KRITIS-Netzwerke).
• Stärke: Einziger OT-Security-Anbieter mit direkter Bundesbeteiligung. BSI-zertifizierte Produkte. VS-NfD-zugelassen. KRITIS-DG §10 Referenzarchitektur.
• Schwäche: Primär für hochklassifizierte staatliche Einrichtungen ausgelegt. Kommerziell weniger breit einsetzbar als Claroty/Nozomi.
• CLOUD Act Score: 0/25

Rhebo GmbH (Leipzig, Deutschland)

• Eigentümerstruktur: 100% Tochter von Landis+Gyr AG (Zug CH, börsennotiert SIX: LAND). Landis+Gyr AG selbst ist Schweizer AG ohne Delaware-Inkorporierung.
• Produkte: Rhebo Industrial Protector (OT Anomalie-Erkennung), Rhebo Industrial Monitor (Asset Discovery + Schwachstellen-Management), Rhebo Smart Grid Monitor.
• Stärke: Spezialisierung auf Energieversorgung und Smart Grid. Deutsche Infrastruktur-DNA. Landis+Gyr ist weltweit führend in Smart-Metering.
• Schwäche: Enger Sektorfokus (Energie + Utilities). Kein weltweites SOC-Netzwerk wie Dragos.
• CLOUD Act Score: 0/25

Genua GmbH (München, Deutschland)

• Eigentümerstruktur: 100% Tochter der Bundesdruckerei GmbH, die 100% im Eigentum der Bundesrepublik Deutschland (BMI) steht.
• Produkte: genugate (High-Assurance Application-Level-Gateway), genuscreen (Firewall für KRITIS), genucrypt (OT-Datenkommunikations-Gateway). BSI-CC EAL 4+ zertifiziert.
• Stärke: Höchste Vertrauenswürdigkeit für staatliche KRITIS. Bundesdruckerei-Eigentümerschaft = maximale Souveränität. BSI-Zertifizierung für VS-NfD.
• Schwäche: Kein aktives OT-Monitoring/IDS — genua ist Segmentierungs- und Gateway-Technologie, kein Full-Stack OT-Security-Tool.
• CLOUD Act Score: 0/25

Phoenix Contact Cybersecurity GmbH (Blomberg, Deutschland)

• Eigentümerstruktur: 100% Tochter von Phoenix Contact GmbH & Co. KG (Familienunternehmen, Blomberg DE). Phoenix Contact selbst ist ein deutsches Familienunternehmen ohne börsennotierte US-Mutter.
• Produkte: mGuard Security Appliances (Industrial Firewalls für OT-Netze), mGuard Smart (Ruggedized Firewall für Fertigungsumgebungen), Proficloud Cybersecurity.
• Stärke: OT-nativer Ansatz. Phoenix Contact ist selbst Automatisierungskomponenten-Hersteller — die Produkte sind für die eigenen und fremden OT-Umgebungen designt. Breite Industriekompatibilität (DIN-Hutschiene, IP30-IP67).
• Schwäche: Kein Threat-Intelligence-Layer wie Dragos WorldView. Primär Firewall/Segmentierung, kein umfassendes OT-Security-Monitoring.
• CLOUD Act Score: 0/25

Ergänzende EU-native Alternativen für Threat Intelligence (Dragos-Ersatz)

Für OT-spezifische Threat Intelligence ohne US-Jurisdiktion:

• EclecticIQ BV (Amsterdam NL): Enterprise Threat Intelligence Platform. EU-Hauptquartier, keine US-Delaware-Inkorporierung. OT-Threat-Intelligence-Feeds für KRITIS-Sektoren.
• Sekoia.io SAS (Paris FR): Extended Detection and Response (XDR) mit OT-Protokoll-Unterstützung (Modbus, DNP3, IEC 61850). Französische SAS, keine US-Muttergesellschaft.
• Airbus CyberSecurity GmbH (Ottobrunn DE, mit Standorten Paris FR und Newport UK): SIEM-SOC-Dienste und OT-Security-Beratung. Airbus SE ist EADS-Nachfolger (Europäische Consortium-AG). Rüstungskonzern mit EU-Verteidigungsauftrag.

Wann sind US-OT-Security-Anbieter (noch) vertretbar?

Die CLOUD Act-Matrix ergibt kein binäres Ja/Nein-Urteil. Sie gibt Entscheidungsgewicht. In folgenden Konstellationen ist ein US-OT-Security-Anbieter noch vertretbar:

1. Fortinet On-Premise Air-Gap (16/25 reduziert auf effektiv ~8-10/25 im Betrieb): Wenn FortiGate-OT vollständig air-gapped betrieben wird, FortiGuard Intelligence-Subscription deaktiviert ist, und keine Cloud-Anbindung besteht, verbleiben als echte Risikofaktoren nur die rechtliche US-Jurisdiktion (D1=5/5) und der Government/IC-Nexus (D2=5/5 wegen NSA CNSA Suite 2.0). D3, D4, D5 sind durch Air-Gap de facto neutralisiert. Das verbleibende Risiko ist strukturell (wer das Produkt gebaut hat und unter welcher Architektur) — nicht operativ (welche Daten wohin fließen).

2. Nozomi On-Premise Guardian (14/25 reduziert): Guardian on-premise ohne Vantage Cloud-Anbindung eliminiert D4-Risiko. D2=1/5 (kein IC-Nexus) ist der niedrigste Wert der gesamten Serie. Für Fertigungsunternehmen ohne KRITIS-Status ist Nozomi Guardian on-premise ein vertretbarer Kompromiss.

3. Übergangsphase bis KRITIS-DG §10 verpflichtendes Audit: Bestehende Verträge mit Claroty, Dragos oder Nozomi laufen weiter — das KRITIS-DG schreibt keine sofortige Abkehr von US-Anbietern vor. Es verlangt dokumentierte Risikoanalyse und, für Betreiber der höchsten KRITIS-Kategorie, langfristige Souveränitätspläne.

Wann nicht vertretbar:

• Claroty SaaS oder Dragos Platform in Cloud-Deployment für Kategorie-1-KRITIS (Atom, Strom, Gas, kritische Wasserversorgung): CLOUD Act-Exposition direkt im KRITIS-DG §10 Sicherheitskonzept dokumentationspflichtig
• Dragos OT Watch Managed Services: US-SOC in Maryland liest aktiv EU-KRITIS-Daten
• Fortinet FortiGuard Intelligence aktiv für KRITIS-Topologiedaten: FortiGuard ist US-Cloud-Dienst

Die strukturelle EU-OT-Security-Lücke

Die vier analysierten EU-nativen Alternativen (Secunet, Rhebo, genua, Phoenix Contact) erzielen alle 0/25. Das ist das politisch korrekte Ergebnis. Aber es verdeckt einen wichtigen Befund: Die EU-nativen Alternativen sind nicht funktional äquivalent zu Claroty oder Dragos.

• Kein EU-nativer Anbieter hat eine vergleichbare globale Threat-Intelligence-Datenbank wie Dragos WorldView (mit TRITON/TRISIS/CRASHOVERRIDE-Analysen).
• Kein EU-nativer Anbieter hat die Asset-Discovery-Breite von Claroty xDome (XIoT — klassische ICS + IoT + BMS + medical devices).
• Genua ist ein Gateway-Produkt, kein OT-Security-Monitoring-Tool.

Diese Lücke ist das eigentliche Problem. Die EU-OT-Security-Landschaft ist fragmentiert: BSI-Kompetenz für staatliche High-Assurance-Anlagen (Secunet/genua), Netzwerk-IDS für Energie (Rhebo), Firewall-Appliances für industrielle Umgebungen (Phoenix Contact) — aber kein EU-native Full-Stack-OT-Security-Anbieter mit vergleichbarer Threat-Intelligence-Kapazität.

Die Lösung kann nicht sein, US-Anbieter pauschal abzulehnen. Die Lösung muss sein: Für KRITIS-Betreiber mit höchster nationaler Sicherheitsrelevanz (Atom, Strom, Gas, kritische staatliche Infrastruktur) EU-native Alternativen bevorzugen und die EU-native OT-Security-Industrie stärken. Für alle anderen KRITIS-Betreiber: CLOUD Act-Score bewusst in die Risikoanalyse einbeziehen und auf Air-Gap-Optionen (Nozomi Guardian, Fortinet on-prem) drängen.

Zusammenfassung der EU-OT/ICS-Security-Serie

Die EU-OT/ICS-Security-Serie fügt sich in ein größeres Bild ein, das diese Blog-Reihe dokumentiert: US-SaaS-Dominanz in europäischer KRITIS-Infrastruktur ist kein zufälliges Marktversagen, sondern das Ergebnis jahrelanger Investitionen in Produkt und Vertrieb in einem Zeitraum, in dem EU-Regulatoren die digitale Souveränität als sekundäre Priorität behandelten.

Das KRITIS-Dachgesetz §10 (17. Juli 2026), NIS2 Art.21 (Oktober 2024), DORA Art.28 (Januar 2025) und der EU AI Act schaffen jetzt den regulatorischen Rahmen, der EU-KRITIS-Betreiber zwingt, diese Fragen schriftlich zu beantworten: Unter wessen Jurisdiktion liegen eure OT-Sicherheitsdaten? Wer könnte ohne euer Wissen Zugriff darauf bekommen?

Die Antwort kann ab dem 17. Juli 2026 keine implizite mehr sein.

Diese Analyse ist Teil der sota.io EU Compliance Blog-Reihe. Alle CLOUD Act-Scores basieren auf öffentlich verfügbaren Informationen zu Unternehmensstruktur, Eigentümerschaft, Zertifizierungen und Deployment-Architektur. Sie stellen keine Rechtsberatung dar.

Serie abgeschlossen: EU-OT/ICS-Security #1263 Claroty — #1264 Dragos — #1265 Nozomi — #1266 Fortinet — #1267 Finale