Nozomi Networks EU Alternative 2026: OT/IoT Security, CLOUD Act und das Alpen-Schild-Paradox
Post #1265 in der sota.io EU OT/ICS Security Serie (3/5)
Zurich. Der Name allein evoziert Schweizer Präzision, Bankgeheimnis und maximalen Datenschutz. Nozomi Networks — Marktführer in OT/IoT-Anomalieerkennung — hat seinen Hauptsitz genau dort. Und nutzt diese geografische Tatsache konsequent in seinen Marketingbotschaften für europäische Kunden in kritischer Infrastruktur.
Das Problem: Nozomi Networks ist eine Delaware Corporation. Der US Clarifying Lawful Overseas Use of Data Act (CLOUD Act, 18 U.S.C. § 2703) gilt unabhängig davon, wo die Firmenzentrale ihren Briefkasten hat. Das Zurich-HQ schützt europäische KRITIS-Betreiber nicht vor dem US-Justizministerium — es schützt Nozomi vor europäischen Regulatoren.
Im dritten Teil unserer EU-OT/ICS-Security-Serie analysieren wir Nozomi Networks mit demselben Maßstab wie Claroty (Teil 1, 12/25) und Dragos (Teil 2, 17/25): Was bedeutet die US-Inkorporation für OT-Daten aus deutschen und europäischen KRITIS-Anlagen?
Was ist Nozomi Networks?
Nozomi Networks wurde 2013 von Andrea Carcano (CEO) und Moreno Carullo (CTO) in San Jose, Kalifornien gegründet — beide haben italienische Wurzeln und haben das Unternehmen seither zu einem der führenden OT/IoT-Security-Anbieter weltweit aufgebaut.
Produktportfolio:
- Guardian — passiver Netzwerksensor für OT-Umgebungen (Protokoll-Tiefenanalyse: IEC 61850, Modbus, DNP3, OPC-UA, Profinet)
- Arc — Software-Sensor für Endgeräte, auch in air-gapped Umgebungen deploybar
- Vantage — Cloud-basierte Management- und Analytics-Plattform
Marktposition:
- Über $100 Millionen ARR (FY2024), ~60% Jahreswachstum
- Kunden in 100+ Ländern, Fokus auf Energieversorger, Wasserwerke, Fertigung, Transportation
- Konkurrenten: Claroty, Dragos, Microsoft Defender for IoT, Forescout
Investoren: Sequoia Capital (US), Temasek Holdings (Singapur), Mitsubishi Electric (Japan), Honeywell Ventures (US), GE Ventures (US). Die US-Investorenbasis ist relevant für die CLOUD Act-Analyse.
CLOUD Act Score: 14/25
Wir bewerten Nozomi Networks nach fünf Dimensionen mit je maximal 5 Punkten. Ein hoher Score bedeutet hohes CLOUD Act-Risiko für europäische KRITIS-Betreiber.
| Dimension | Score | Begründung |
|---|---|---|
| D1 – Rechtsform/Inkorporation | 5/5 | Delaware C-Corp — CLOUD Act gilt vollumfänglich |
| D2 – Cloud-Infrastruktur-Exposure | 3/5 | Vantage-Plattform auf AWS, EU-Regions verfügbar aber nicht mandatorisch |
| D3 – US-Investoren-Einfluss | 3/5 | Sequoia + Honeywell Ventures = US-VC-Mehrheit im Cap-Table |
| D4 – Government/Intelligence-Nexus | 1/5 | Kein ex-NSA/ex-FBI-Gründerteam, keine bekannten US-DoD-Primärverträge |
| D5 – OT-Datensensitivität | 2/5 | OT-Telemetrie aus KRITIS hochsensibel; Air-gap-Option vorhanden aber Vantage bleibt |
Gesamt: 14/25 — erhebliches CLOUD Act-Risiko. Niedriger als Dragos (17/25) aufgrund fehlendem Intelligence-Community-Nexus, aber signifikant höher als alle EU-nativen Alternativen (0/25).
Was Score 14/25 bedeutet
Das US-Justizministerium kann Nozomi Networks per National Security Letter oder Grand Jury Subpoena zur Herausgabe von Vantage-Daten verpflichten — einschließlich:
- OT-Netzwerktopologien europäischer Energieversorger, Wasserwerke und Fertigungsanlagen
- Anomalie-Alerts und Sicherheitsvorfälle aus KRITIS-Anlagen
- Asset-Inventare mit Gerätekonfigurationen und Protokoll-Details
- Historische Traffic-Metadaten aus industriellen Steuernetzen
Für KRITIS-Betreiber unter dem deutschen KRITIS-Dachgesetz (in Kraft ab 2026-07-17) und der europäischen NIS2-Richtlinie (Art. 21 Sicherheitsmaßnahmen) ist dies keine abstrakte Bedrohung: Jede externe Offenlegung von OT-Infrastruktur-Details kann als Sicherheitsvorfall meldepflichtig sein.
Vier Paradoxien für europäische KRITIS-Betreiber
1. Das Alpen-Schild-Paradox
Nozomi vermarktet seinen Zurich-Hauptsitz aktiv als Qualitätsmerkmal für europäische Kunden. Die Botschaft ist subtil aber wirksam: Schweizer Präzision, Schweizer Datenschutz.
Die Realität: Der Schweizer Sitz schützt Nozomi vor europäischen Regulatoren (DSGVO, NIS2, KRITIS-Dachgesetz). Er schützt europäische Kunden nicht vor dem US CLOUD Act. Die operative Entität, die Vantage betreibt und Kundendaten hält, ist eine Delaware Corporation — und damit vollständig CLOUD Act-exponiert.
Der Alpen-Schild funktioniert als Marketing-Instrument für Nozomi, nicht als Datenschutz-Instrument für die KRITIS-Betreiber die Nozomi einkaufen.
Zum Vergleich: Eine tatsächlich schützende Struktur würde verlangen, dass eine unabhängige EU-inkorporierte Tochtergesellschaft ohne US-Mehrheitseigentümer die EU-Kundendaten hält — wie es etwa bei einigen europäischen Cloud-Providern der Fall ist. Nozomi bietet das nicht an.
2. Das Air-Gap-Paradox
Nozomi bewirbt Guardian und Arc explizit für air-gapped und hochsichere OT-Umgebungen. Diese Positionierung ist wirkungsvoll: KRITIS-Betreiber in Atomkraft, Wasserversorgung und kritischen Fertigungsanlagen benötigen genau das — lokale Überwachung ohne externe Netzwerkverbindungen.
Das Paradox entsteht beim nächsten Produkt im Stack: Vantage. Die Cloud-Management-Plattform überträgt OT-Telemetrie, Anomalie-Daten und Geräteinventare in Nozomis Cloud-Infrastruktur — und damit unter US-Jurisdiktion. Das Air-Gap das Guardian am Perimeter schließt wird durch Vantage für die Managementebene wieder geöffnet.
KRITIS-Betreiber stehen vor einer Wahl:
- Vantage deaktivieren → verlieren zentrale Management- und Analytics-Funktionen
- Vantage aktivieren → OT-Telemetrie fließt unter CLOUD Act-Reichweite
Diese Wahl ist nicht in Nozomis Vertriebs-Pitch explizit.
3. Das Sequoia-Kapital-Paradox
Sequoia Capital ist einer der bekanntesten US-Venture-Capital-Fonds — und zugleich ein Investor mit tiefen Verbindungen zu Silicon Valley, US-Tech-Establishment und implizit zur US-Technologiepolitik. Honeywell Ventures, ebenfalls US-Investor, hat direkte Verbindungen zur US-Industriepolitik und Rüstungsinfrastruktur.
Wenn europäische KRITIS-Betreiber Nozomi als OT-Security-Lösung wählen, finanzieren ihre Security-Budgets indirekt diese US-VC-Struktur mit. Das ist kein Argument gegen Nozomi als Technologie — aber es ist ein struktureller Aspekt den Beschaffungsverantwortliche in deutschen Behörden und KRITIS-Unternehmen kennen sollten.
Das BSI und die EU-Kommission haben in verschiedenen Kontexten die Notwendigkeit betont, strategisch wichtige Infrastruktur nicht von US-kapitaldominierten Anbietern abhängig zu machen. OT-Security-Monitoring ist strategisch wichtige Infrastruktur.
4. Das KRITIS-Dachgesetz-Timing-Paradox
Das deutsche KRITIS-Dachgesetz tritt zum 17. Juli 2026 in Kraft — in weniger als zwei Monaten. Es verpflichtet KRITIS-Betreiber unter anderem zu:
- Angemessenen technischen Sicherheitsmaßnahmen (§10)
- Dokumentation und Meldepflichten für Sicherheitsvorfälle
- Nachweis der Lieferantensicherheit in der IT-Lieferkette
Genau in dieser Evaluierungsphase werden KRITIS-Sicherheitsverantwortliche Nozomi Networks als etablierten Marktführer bewerten. Das Timing ist paradox: Das neue Gesetz macht US-inkorporierte OT-Security-Anbieter regulatorisch riskanter — genau dann wenn der Markt sie noch als Gold-Standard betrachtet.
KRITIS-Betreiber die jetzt Nozomi evaluieren sollten explizit prüfen: Wie bewertet das zuständige Bundesamt (BSI, BNetzA) den CLOUD Act-Aspekt im Kontext der neuen Meldepflichten? Eine behördliche Anfrage durch das US-Justizministerium an Nozomi über OT-Infrastruktur-Details könnte selbst ein meldepflichtiger Sicherheitsvorfall sein.
EU-native Alternativen: 0/25 CLOUD Act Score
Vier europäische Unternehmen bieten vergleichbare OT/IoT-Security-Funktionalität ohne US-Jurisdiktion:
Rhebo GmbH — Leipzig, Deutschland (Teil von Landis+Gyr)
CLOUD Act Score: 0/25 — keine US-Inkorporation, kein US-Parent, kein US-Investor-Controlling-Interest
Rhebo wurde 2014 in Leipzig gegründet und ist heute Teil der Landis+Gyr AG (Zug, Schweiz — börsenkotiert an der SIX Swiss Exchange). Landis+Gyr ist ein globaler Anbieter von Smart-Grid-Technologie ohne US-Mehrheitseigentümer.
Stärken:
- Spezialisierung auf Energie-OT: Smart Grids, Substations, IEC 61850, IEC 60870
- Bewährt bei europäischen Energieversorgern und Netzbetreibern
- BSI-Kontakt und direkte Erfahrung mit deutschen KRITIS-Anforderungen
- Passive Anomalieerkennung ohne Netzwerkunterbrechung
Schwächen: Fokus auf Energie-Sektor; weniger breit aufgestellt als Nozomi für Manufacturing/Transportation
DSGVO-Position: Deutsche Betriebsgesellschaft, EU-Datenschutz vollständig anwendbar, kein CLOUD Act-Nexus.
Phoenix Contact Cybersecurity — Blomberg, Nordrhein-Westfalen, Deutschland
CLOUD Act Score: 0/25 — Familienunternehmen, keine US-Investoren, keine US-Tochtergesellschaft mit Datenzugriff
Phoenix Contact ist einer der weltweit führenden Anbieter von Industrieautomation und Verbindungstechnik — und ein deutsches Familienunternehmen (Eigentümer: Stiftung der Familie Lüttringhaus/Materna). Die Cybersecurity-Sparte bietet:
Produktportfolio:
- Industrielle Security-Gateways und Firewalls für OT-Netzwerke
- Network Monitoring und Anomalieerkennung für Fertigungsanlagen
- Secure Remote Access für SCADA-Systeme
- Zertifiziert nach IEC 62443
Stärken:
- Tiefste Integration in die Welt der Industrieautomation (Phoenix Contact liefert Komponenten an dieselben Anlagen die es dann absichert)
- Kein externer Investor, keine Kapitalmarkt-Logik, keine Exit-Strategie
- Vollständig deutsches Unternehmen, KRITIS-Erfahrung seit Jahrzehnten
Schwächen: OT-Security ist nicht das Kerngeschäft; weniger spezialisiertes Threat-Intelligence-Netzwerk als Nozomi
Stamus Networks — Lyon, Frankreich
CLOUD Act Score: 0/25 — Französische SAS, EU-Hosting, Open-Source-basiert (Suricata/SELKS)
Stamus Networks entwickelt Network Detection & Response (NDR) basierend auf dem Open-Source-Framework Suricata (maintained von der Open Information Security Foundation). Das Unternehmen selbst ist eine französische Société par Actions Simplifiée — unter EU-Recht inkorporiert.
Produktportfolio:
- SELKS — Suricata-basiertes NDR für OT- und IT-Netzwerke
- Scirius Business Edition — Enterprise-NDR mit UI und Analytics
- Open-Source-Basis ermöglicht On-Premises-Deployment ohne Vendor-Lock-In
Stärken:
- Open-Source-Transparenz: Kunden können den Code auditieren
- Keine proprietäre Cloud-Abhängigkeit — vollständiges On-Premises-Deployment möglich
- EU-Hosting, Frankreich-Inkorporation (GDPR Art. 28 direkt anwendbar)
- Aktive Suricata-Community, breite Protokollunterstützung
Schwächen: Weniger OT-spezifisch als Rhebo; erfordert mehr interne Expertise für Regelkonfiguration
genua GmbH — Kirchheim bei München, Deutschland
CLOUD Act Score: 0/25 — 100% Bundeseigentum (Tochter der Bundesdruckerei), höchste staatliche Vertrauensstufe
genua GmbH ist eine Tochtergesellschaft der Bundesdruckerei — und damit zu 100% im Eigentum der Bundesrepublik Deutschland. Kein privater Investor, kein Börsengang, kein US-Nexus möglich.
Produktportfolio:
- Genugate — hochsichere IT/OT-Firewall, BSI-zugelassen für VS-NfD
- Genuscreen — Industrie-Firewall für OT-Segmentierung
- Genuwall — Anomalieerkennung für industrielle Netzwerke
- Fokus: IT/OT-Trennung, sichere Fernwartung, SCADA-Absicherung
Stärken:
- Einziger OT-Security-Anbieter in Deutschland der als Bundesunternehmen betrieben wird
- BSI-Zulassung für Verschlusssachen (VS-NfD) — höchste staatliche Vertrauensstufe
- Direkte Verbindung zu BSI-Sicherheitsstandards und KRITIS-Regulierung
- Keine kommerzielle Exit-Logik, kein US-Investor-Druck
Schwächen: Fokus auf IT/OT-Separation und Firewalling statt Anomalieerkennung; weniger breit aufgestellt als Nozomi für moderne OT-Bedrohungsszenarien; kürzere internationale Referenzliste
Vergleichstabelle: CLOUD Act Exposure
| Anbieter | HQ | Inkorporation | Investoren | CLOUD Act Score |
|---|---|---|---|---|
| Nozomi Networks | Zurich, CH | Delaware C-Corp 🇺🇸 | Sequoia (US) + Honeywell (US) | 14/25 |
| Rhebo (Landis+Gyr) | Leipzig, DE | GmbH (DE) + AG (CH) 🇩🇪🇨🇭 | Börse Zürich, kein US | 0/25 |
| Phoenix Contact Cybersecurity | Blomberg, DE | GmbH (DE) 🇩🇪 | Familienstiftung DE | 0/25 |
| Stamus Networks | Lyon, FR | SAS (FR) 🇫🇷 | Europäische VCs | 0/25 |
| genua GmbH | Kirchheim, DE | GmbH (DE) 🇩🇪 | Bundesdruckerei (Bund) | 0/25 |
Was KRITIS-Verantwortliche jetzt tun sollten
Das KRITIS-Dachgesetz tritt in weniger als zwei Monaten in Kraft. Für KRITIS-Sicherheitsverantwortliche empfehlen wir:
Kurzfristig (vor 2026-07-17):
- Bestehende Nozomi-Verträge prüfen: Welche Daten fließen in die Vantage-Cloud? Sind EU-only-Regions konfiguriert? Gibt es eine Datenlokalisierungsgarantie im Vertrag?
- Datenschutz-Folgenabschätzung (DSGVO Art. 35) für OT-Security-Monitoring-Lösungen mit US-Anbietern durchführen
- BSI-Beratung anfragen: Das BSI bietet KRITIS-Betreibern spezifische Sicherheitsberatung an
Mittelfristig: 4. EU-native Alternativen in die nächste Evaluierungsrunde aufnehmen — besonders Rhebo für Energie und genua für hochsicherheitskritische OT-Umgebungen 5. Hybrid-Ansatz prüfen: On-Premises-Anomalieerkennung (Guardian/Arc ohne Vantage) kombiniert mit EU-nativer Management-Plattform
Strategisch: 6. Lieferantensicherheit nach KRITIS-Dachgesetz: US-Inkorporation ist ein Risikofaktor der in der Lieferantenbewertung explizit dokumentiert werden sollte
Warum das für EU-Betreiber wichtiger wird
Nozomi Networks ist kein schlechtes Produkt. Die Technologie ist reif, die Referenzliste beeindruckend, das Gründerteam erfahren. Das Problem ist strukturell und liegt außerhalb der Produktqualität: US-Inkorporation + Vantage-Cloud = CLOUD Act-Exposition von OT-Telemetrie europäischer Kritischer Infrastruktur.
Die europäische Regulierungswelle — KRITIS-Dachgesetz, NIS2, CRA — erhöht die Anforderungen an die Jurisdiktion von Security-Anbietern systematisch. Was heute noch eine Grauzone ist wird mit dem KRITIS-Dachgesetz zunehmend schwarz-weiß: KRITIS-Betreiber sind für die Sicherheit ihrer IT- und OT-Infrastruktur verantwortlich — und das schließt die Sicherheit der Sicherheitslösungen selbst ein.
Für neue OT-Security-Projekte 2026 und 2027 sollte die Frage "Kann das US-Justizministerium auf diese Daten zugreifen?" Teil der Standard-Evaluierungscheckliste sein — neben Protokollunterstützung, Performance und Preis.
Dieser Post ist Teil der sota.io EU OT/ICS Security Serie (3/5): Claroty (1/5) — Dragos (2/5) — Nozomi Networks (3/5) — Fortinet OT (4/5) — Finale (5/5)
sota.io bietet EU-natives managed PaaS ohne US-Jurisdiktion — für Unternehmen die auch ihre Plattform-Infrastruktur souverän halten wollen. Jetzt kostenlos testen
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.