Fortinet OT Security EU Alternative 2026: FortiGate-OT, CLOUD Act und das CNSA-Suite-Paradox
Post #1266 in der sota.io EU OT/ICS Security Serie (4/5)
NSA CNSA Suite 2.0. FedRAMP High. DoD IL2. Diese Zertifizierungen klingen nach kompromisslosen Sicherheitsstandards — und das sind sie auch. Fortinet hat sie alle. Was Fortinet nicht sagt: Diese US-Regierungszertifizierungen wurden entwickelt, um US-föderale Daten zu schützen, nicht um europäische Datensouveränität zu gewährleisten.
Wenn ein deutsches Energieversorgungsunternehmen FortiGate-OT Edition zum Schutz seiner SCADA-Netzwerke einsetzt und gleichzeitig Fortinet zur FortiGuard-Telemetrie verbunden ist, passiert Folgendes: Ein US-Unternehmen mit NSA-zertifizierten Sicherheitsarchitekturen verarbeitet OT-Netzwerkdaten aus deutschen KRITIS-Anlagen — und ist dabei nach US-Recht zur Kooperation mit US-Behörden verpflichtet.
Im vierten Teil unserer EU-OT/ICS-Security-Serie analysieren wir Fortinet mit demselben Fünf-Dimensionen-Maßstab wie Claroty (Teil 1, 12/25), Dragos (Teil 2, 17/25) und Nozomi Networks (Teil 3, 14/25). Fortinet ist ein anderer Fall — kein reines OT-Startup, sondern ein $4,4 Milliarden-Netzwerksicherheitskonzern mit tiefen Verwurzelungen im US-Regierungssektor.
Was ist Fortinet OT Security?
Fortinet Inc. wurde 2000 von Ken Xie (CEO) und Michael Xie (President/CTO) in San Jose, Kalifornien gegründet. Die Brüder sind chinesisch-amerikanisch und haben Fortinet zu einem der global größten Netzwerksicherheitsanbieter aufgebaut.
Eckdaten:
- Rechtsform: Delaware Corporation
- Börsennotierung: NASDAQ: FTNT
- Umsatz: ~$4,4 Milliarden (FY2024)
- Mitarbeiter: ~13.000 weltweit
- Hauptsitz: San Jose, Kalifornien (kein EU-HQ mit operativer Kontrolle)
- Eigentümerstruktur: Hauptsächlich institutionelle US-Investoren (Vanguard, BlackRock, State Street); Ken Xie ~3% persönlicher Anteil
OT-spezifisches Portfolio:
- FortiGate-OT Edition — industrielle Firewall der nächsten Generation mit OT-Protokollinspektionen (Modbus, DNP3, IEC 61850, PROFINET, EtherNet/IP, OPC-UA)
- FortiSIEM (mit OT-Integration) — Security Information and Event Management, das IT/OT-Konvergenz auf Purdue-Modellebene abbildet
- FortiNDR (Network Detection and Response) — KI-basierte Anomalieerkennung für OT/ICS-Netzwerke
- FortiDeceptor — Honeypot-Technologie für OT-Umgebungen (ICS-Protokoll-Emulation)
- FortiSOAR — Security Orchestration für automatisierte OT-Incident-Response
- FortiGuard ICS/SCADA Service — Spezialisierter Threat Intelligence Feed für OT-Protokolle
Marktposition im OT-Bereich: Fortinet ist kein OT-Spezialist wie Claroty oder Dragos, sondern ein Netzwerksicherheitsgeneralist mit starker OT-Erweiterung. Der entscheidende Unterschied: FortiGate-OT-Firewalls sind in vielen KRITIS-Netzwerken bereits als primäre Perimeter-Security installiert — oft lange bevor OT-spezifische Security ein Thema war. Fortinet ist bereits in der Infrastruktur.
CLOUD Act Score: 16/25
Wir bewerten Fortinet nach denselben fünf Dimensionen wie die vorangegangenen Serienteile. Ein hoher Score bedeutet hohes CLOUD Act-Risiko für europäische KRITIS-Betreiber.
| Dimension | Score | Begründung |
|---|---|---|
| D1 – Rechtsform/Inkorporation | 5/5 | Delaware C-Corp + NASDAQ FTNT — CLOUD Act gilt vollumfänglich |
| D2 – Cloud-Infrastruktur-Exposure | 2/5 | FortiGate-OT primär on-premise; FortiCloud optional; air-gapped Deployment möglich |
| D3 – US-Investoren-Einfluss | 3/5 | Institutionelle US-Aktionäre (Vanguard/BlackRock) dominant; keine ausländische Mehrheit |
| D4 – Government/Intelligence-Nexus | 5/5 | FedRAMP High + DoD IL2 + NSA CNSA Suite 2.0 + CISA-Partner — höchste US-Gov-Bindung |
| D5 – OT-Datensensitivität | 1/5 | Vollständiges Air-gap möglich; FortiGuard OT-Telemetrie optional; lokale Deployment-Option |
Gesamt: 16/25 — erhebliches CLOUD Act-Risiko, primär getrieben durch den beispiellosen Government/Intelligence-Nexus. Fortinet ist der einzige OT-Security-Anbieter dieser Serie, der explizit NSA-zertifizierte Kryptographiearchitekturen in OT-Netzwerken einsetzt.
Was Score 16/25 bedeutet
Fortinet liegt über Claroty (12/25) und Nozomi (14/25), aber unter Dragos (17/25). Der Unterschied zu Dragos: Fortinet hat eine stärkere on-premise-Option (niedrigeres D2/D5), aber den mit Abstand stärksten Government/Intelligence-Nexus (D4=5/5 vs. Dragos D4=4/5).
Der Score-Treiber ist einzigartig: Kein anderer Anbieter in dieser Serie hat gleichzeitig NSA CNSA Suite 2.0, FedRAMP High und DoD IL2-Autorisierung. Das bedeutet, Fortinets Sicherheitsarchitektur wurde von US-Bundesbehörden für den Schutz nationaler Sicherheitskommunikation zertifiziert — was impliziert, dass US-Geheimdienste diese Architektur vollständig verstehen und navigieren können.
Die vier Paradoxien
1. Das CNSA-Suite-Paradox
Fortinet ist NSA CNSA Suite 2.0 (Commercial National Security Algorithm Suite) konform. Diese Suite definiert die Kryptographiealgorithmen, die für den Schutz US-nationaler Sicherheitsinformationen zugelassen sind. Sie wurde von der NSA entwickelt und wird von NSA-approbierten Kryptographen auditiert.
Das Paradox: EU-KRITIS-Betreiber, die FortiGate-OT einsetzen, profitieren von NSA-zertifizierter Kryptographie — aber genau diese Zertifizierung bedeutet, dass die NSA die Sicherheitsarchitektur vollständig kennt. Die Verschlüsselung schützt vor externen Angreifern, nicht vor US-Behörden.
Konkret: Wenn ein deutsches Energieunternehmen FortiGate-OT zur Absicherung seiner Level-2-SCADA-Kommunikation (IEC 61850 GOOSE/SV) einsetzt und gleichzeitig FortiGuard-Telemetrie aktiviert hat, fließen Anomalie-Events in verschlüsselter CNSA-Suite-Übertragung zu Fortinets Infrastruktur — einer Infrastruktur, deren Kryptographie von derselben US-Behörde zertifiziert wurde, die im Zweifelsfall auch Zugang zu den Daten erhalten kann.
2. Das FortiGuard Intelligence Aggregation-Paradox
Fortinets FortiGuard Labs ist einer der größten kommerziellen Threat-Intelligence-Operationen weltweit. Der Service aggregiert Telemetriedaten aus über 700.000 FortiGate-Sensoren global und produziert OT-spezifische Threat Intelligence für ICS-Protokolle.
Das Paradox: Wenn europäische KRITIS-Betreiber zur FortiGuard OT-Intelligence-Community beitragen (durch Anomalie-Reporting, Threat-Sharing), erstellen sie gemeinsam mit Fortinet eine US-kontrollierte, globale Datenbank europäischer OT-Sicherheitsvorfälle. Diese Datenbank enthält indirekt:
- Angriffsversuche auf spezifische ICS-Protokolle in EU-KRITIS-Netzwerken
- Asset-Inventarisierung via FortiGate OT-Profiling (welche PLC-Modelle, welche Protokollversionen)
- Vulnerabilität-Timing: wann welche Schwachstellen in EU-OT-Netzen ausgenutzt wurden
Unter CLOUD Act § 2703 könnte das US-Justizministerium diese konsolidierte EU-OT-Threat-Intelligence-Datenbank bei Fortinet anfordern — nicht die Daten eines einzelnen Unternehmens, sondern das aggregierte Sicherheitsprofil europäischer kritischer Infrastruktur.
3. Das FedRAMP-KRITIS-Widerspruchsparadox
Fortinets FedRAMP High Authorization ist ein Qualitätssignal: Es bedeutet, dass US-Bundesbehörden mit hochsensiblen, nicht-klassifizierten Daten Fortinets Infrastruktur als ausreichend sicher betrachten. Viele EU-Beschaffungsabteilungen verwenden FedRAMP als Proxy für allgemeine Cloud-Sicherheitsqualität.
Der Widerspruch: FedRAMP-Standards wurden entwickelt, um US-Bundesbehörden gegenüber externen Angreifern zu schützen. Sie enthalten keine Mechanismen, die US-Regierungszugang zu den gespeicherten Daten verhindert. Im Gegenteil — FedRAMP-Anbieter müssen mit US-Strafverfolgungsbehörden kooperieren.
Wenn ein EU-KRITIS-Betreiber Fortinet wählt, weil es "FedRAMP-zertifiziert" ist, wählt er einen Anbieter, der explizit für US-Regierungsnutzung optimiert wurde — und damit für US-Regierungszugang geöffnet ist.
4. Das Purdue-Topologie-Expositionsparadox
FortiGate-OT Edition führt Deep Packet Inspection für 70+ OT-Protokolle durch, einschließlich IEC 61850, Modbus, DNP3, PROFINET und EtherNet/IP. Durch diese Inspektion lernt FortiGate das komplette Purdue-Modell des OT-Netzwerks:
- Level 0: Feldgeräte (Sensoren, Aktoren) — identifizierte Hersteller und Modelle
- Level 1: PLCs/RTUs — Konfigurationen, Firmware-Versionen, Steuerungslogik
- Level 2: SCADA/HMI — Control-Server, Historian-Datenbanken
- Level 3: Manufacturing Operations — MES-Systeme, Produktionsplanung
In Kombination mit FortiSIEM (Event-Korrelation) und FortiNDR (Anomalieerkennung) entsteht eine vollständige, dynamische Karte der OT-Netzwerkarchitektur. Diese Karte ist kein abstraktes Sicherheits-Tool — sie ist eine detaillierte Blaupause der kritischen Infrastruktur.
Unter CLOUD Act § 2703: Das US-DOJ könnte Fortinet auffordern, diese OT-Topologiekarte zu liefern — für jedes EU-KRITIS-Unternehmen, das FortiSIEM/FortiNDR mit Cloud-Anbindung betreibt.
EU-native Alternativen: 0/25 CLOUD Act-Risiko
Alle folgenden Anbieter sind vollständig europäisch inkorporiert, haben keinen US-Börsenlistung und keine bekannte US-Intelligence-Anbindung.
Secunet Security Networks AG
Essen, Nordrhein-Westfalen, Deutschland. Secunet ist börsennotiert (XETRA: YSN) und hat eine einzigartige Eigentümerstruktur: Die Bundesrepublik Deutschland hält über Giesecke+Devrient eine Beteiligung von ~21%. Secunet ist offizielles IT-Sicherheitsunternehmen der Bundesrepublik Deutschland.
Relevante Produkte für OT:
- secunet wall 2 — Industrielle DMZ-Firewall für KRITIS-Netzwerke (BSI TR-02102 konform)
- secunet industrial protection — Netzwerksegmentierung für OT-Umgebungen nach IEC 62443
- BSI-Auftragslabor: Evaluierung kryptographischer Produkte nach Common Criteria
CLOUD Act Score: 0/25. Keine US-Inkorporation, keine US-Investoren, kein US-Government-Nexus. Im Gegenteil: Bundesrepublik Deutschland als Anteilseigner ist ein strukturelles CLOUD Act-Immunisierungsmerkmal.
Rhebo GmbH
Leipzig, Sachsen, Deutschland. Rhebo ist seit 2020 eine 100%-Tochter der Lenze SE (Hameln, Deutschland — Familienunternehmen, Brinkmann-Familie). Fokus: OT-Netzwerkmonitoring und Anomalieerkennung für Industrienetzwerke.
Produkte:
- Rhebo Industrial Protector — Passives OT-Netzwerkmonitoring mit ML-basierter Anomalieerkennung
- Integration mit Energieversorgern (Wasserwerke, Stromnetze, Gas-Pipeline) via IEC 104, IEC 61850, Modbus
Positionierung: Direkte funktionale Alternative zu Nozomi Networks Guardian und Claroty CTD — aber ohne CLOUD Act-Risiko. Deutsche Bundesbehörden (BSI-Empfehlung) und europäische Energieversorger als Hauptkunden.
Phoenix Contact Cyber Security AG
Blomberg, Nordrhein-Westfalen, Deutschland. Phoenix Contact ist ein deutsches Familienunternehmen (Stiftung Mooren + Familie Stecke), spezialisiert auf industrielle Automatisierungstechnik. Die Cyber Security AG ist der Security-Arm.
Produkte:
- mGuard Secure Router — Industrielle Sicherheitsrouter mit Stateful Packet Inspection für PROFINET, EtherNet/IP
- FL mGuard — Security-Appliances für Maschinenschutz und Fertigungslinien
- Integration in Siemens TIA Portal und Rockwell Automation (Interoperabilität)
Besonderheit: Phoenix Contact ist einer der wenigen Anbieter, der Security-Hardware und Automatisierungstechnik aus einer Hand liefert — relevant für Level-0/Level-1-Schutz (Field Devices, PLCs).
Genua GmbH
Kirchheim bei München, Bayern, Deutschland. Genua ist eine 100%-Tochter der Bundesdruckerei GmbH — und die Bundesdruckerei ist zu 100% im Besitz der Bundesrepublik Deutschland. Zweifache indirekte Bundesbeteiligung.
Produkte:
- genuscreen — High-Assurance Firewall für KRITIS (BSI-Zulassung, Common Criteria EAL 4+)
- genugate — Application-Level-Gateway für hochsichere Netzwerktrennung
- Häufig in Bundesbehörden, Finanzsektor und Energie-KRITIS eingesetzt
Genua ist keine FedRAMP-Lösung — sie ist BSI-zertifiziert. Das ist für europäische KRITIS-Betreiber der entscheidende Unterschied: Zertifiziert von derselben deutschen Bundesbehörde, die auch die Sicherheitsanforderungen für KRITIS-Betreiber definiert.
Fortinet vs. EU-native Alternativen: Direktvergleich
| Kriterium | Fortinet OT | Secunet wall 2 | Rhebo Industrial | Phoenix Contact mGuard | Genua genuscreen |
|---|---|---|---|---|---|
| CLOUD Act-Risiko | 16/25 | 0/25 | 0/25 | 0/25 | 0/25 |
| US-Inkorporation | Delaware C-Corp | Nein (XETRA) | Nein (Lenze SE) | Nein (Familienunternehmen) | Nein (Bundesdruckerei) |
| NSA-Zertifizierung | CNSA Suite 2.0 ✓ | Nein | Nein | Nein | BSI (nicht NSA) |
| FedRAMP | High ✓ | Nein | Nein | Nein | BSI CC EAL 4+ |
| Air-gap möglich | Ja (vollständig) | Ja | Ja | Ja | Ja |
| Bundesbeteiligung | Nein | ~21% (via G+D) | Nein | Nein | 100% (Bundesdruckerei) |
| OT-Protokollsupport | 70+ Protokolle | IEC 62443-Fokus | ICS/SCADA | PROFINET/EtherNet/IP | Netzwerktrennung |
| KRITIS-Referenzkunden | International | D-A-CH Behörden | Energie/Wasser DE | Fertigungslinien | Bundesbehörden/Energie |
Wann Fortinet eine vertretbare Wahl sein kann
Fortinets CLOUD Act-Score von 16/25 bedeutet erhebliches Risiko — aber nicht in jeder Deployment-Konfiguration gleiches Risiko. Es gibt Szenarien, wo Fortinet vertretbar ist:
Air-gapped Deployment ohne FortiGuard-Telemetrie: FortiGate-OT kann vollständig offline betrieben werden. Kein FortiGuard-Update-Subscription, kein Telemetrie-Upload, keine Cloud-Konnektivität. In dieser Konfiguration reduziert sich das praktische CLOUD Act-Risiko erheblich — das rechtliche Risiko (Delaware-Inkorporation) bleibt, aber die faktische Datenpräsenz bei Fortinet ist minimal.
Brownfield-Umgebungen mit bestehenden FortiGate-Installationen: Wenn FortiGate-Hardware bereits als Perimeter-Firewall installiert ist und der Wechsel zu einem EU-nativen Anbieter signifikante Neuinvestition erfordern würde, ist eine kurzfristige Weiterbetrieb mit striktem Air-gap-Protokoll vertretbar — als Übergangsarchitektur.
Nicht-KRITIS-OT-Umgebungen: Fertigungsunternehmen unterhalb KRITIS-Schwellenwerten (§2 KRITIS-DG) haben weniger strenge Anforderungen. Für sie ist die Fortinet-Lösung pragmatisch vertretbar.
Wann Fortinet nicht vertretbar ist:
Für KRITIS-Betreiber in den Sektoren Energie, Wasser, Gesundheit mit NIS2/KRITIS-DG-Verpflichtungen:
- FortiGuard-Telemetrie aktiviert = KRITIS-Daten unter US-Jurisdiktion
- FortiSIEM Cloud-Connected = vollständige OT-Topologie bei Fortinet abrufbar
- FortiGate + CNSA Suite als primäre KRITIS-Security = NSA-Architektur schützt EU-KRITIS
Das ist kein theoretisches Risiko. Es ist die Rechtsrealität der Delaware-Inkorporation unter CLOUD Act § 2703.
Marktkontext: Fortinets Bedeutung für EU-KRITIS
Fortinet ist in europäischen KRITIS-Netzwerken massiv präsent — nicht primär als OT-Security-Spezialist, sondern als Netzwerksicherheitsgeneralist. FortiGate-Firewalls sind in Tausenden europäischer Netzwerke die primäre Perimeter-Security, auch in KRITIS-Umgebungen.
Das macht Fortinets CLOUD Act-Status zu einem systemischen Risiko: Es geht nicht um wenige spezialisierte OT-Security-Deployments (wie bei Claroty oder Dragos), sondern um eine weitverbreitete Netzwerkinfrastruktur, die OT-Netzwerke überwacht.
Das KRITIS-Dachgesetz (KRITIS-DG), das zum 17. Juli 2026 in Kraft tritt, wird diese Frage für deutsche KRITIS-Betreiber erzwingen: §10 KRITIS-DG verlangt "dem Stand der Technik entsprechende" Sicherheitsmaßnahmen. Ob ein NSA-CNSA-Suite-zertifiziertes, US-CLOUD-Act-exponiertes System "dem Stand der Technik" für souveräne KRITIS-Security entspricht — diese Frage wird das BSI beantworten müssen.
Fazit: Der Government-Nexus ist der Unterschied
Fortinets 16/25 unterscheidet sich von Claroty (12/25) und Nozomi (14/25) nicht primär durch höhere Cloud-Exposition oder mehr sensitive Daten, sondern durch den Government/Intelligence-Nexus (D4=5/5). NSA CNSA Suite 2.0 + FedRAMP High + DoD IL2 ist kein zufälliger Akkreditierungsportfolio — es ist die systematische Integration in die US-Sicherheitsinfrastruktur.
Für EU-KRITIS-Betreiber ist die Frage nicht "Ist Fortinet schlecht?" — die Produkte sind technisch exzellent. Die Frage ist: "Wollen wir US-Regierungs-zertifizierte Sicherheitsarchitektur in unseren nationalen KRITIS-Netzwerken, knowing that the same US government can compel data access?"
EU-native Alternativen — Secunet, Rhebo, Phoenix Contact, genua — bieten 0/25 CLOUD Act-Risiko. Sie sind nicht immer funktional gleichwertig (Fortinets 70+ Protokoll-Support und FortiGuard-Intelligence-Coverage ist schwer zu replizieren), aber für Kernfunktionen (Netzwerktrennung, Anomalieerkennung, Firewalling) sind sie vollwertig.
Im fünften und letzten Teil dieser Serie fassen wir alle vier Anbieter zusammen und entwickeln eine Entscheidungsmatrix für KRITIS-Betreiber: Wann welcher Anbieter — und unter welchen Bedingungen ist die CLOUD Act-Exposition vertretbar?
Über diese Serie:
- Teil 1: Claroty EU Alternative 2026 (CLOUD Act 12/25)
- Teil 2: Dragos EU Alternative 2026 (CLOUD Act 17/25)
- Teil 3: Nozomi Networks EU Alternative 2026 (CLOUD Act 14/25)
- Teil 4: Fortinet OT Security EU Alternative 2026 (CLOUD Act 16/25) ← dieser Post
- Teil 5: EU OT/ICS Security Vergleich Finale 2026 (demnächst)
sota.io ist eine europäische PaaS-Alternative für Teams, die Datensouveränität ernst nehmen — deploy auf EU-Servern, kein US-CLOUD-Act-Risiko.
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.