EU-souveränes KI-Gateway —
was sich verändert hat, als die Cloud-Lane konsolidierte.
Am 30. April 2026 hat Palo Alto Networks die Übernahme von Portkey AI angekündigt — Transaktionswert offiziell nicht beziffert; Economic Times (via Futurum-Group-Analystenberichte) berichtet eine Größenordnung von 120-140 Mio. USD. Die Cloud-KI-Gateway-Kategorie — die Schicht zwischen Ihrer Anwendung und dem LLM-Anbieter — verankert sich nun bei einem US-Sicherheits-Megavendor und integriert sich in Prisma AIRS als KI-Gateway für vereinheitlichte agentische Sicherheit. Für EU-Käufer ändert diese Konsolidierung die Beschaffungsfrage. Datenresidenz, Länge der Subunternehmer-Liste, Aufsichtsbehörden-Routing, EU-Rechtsweg-Position und die juristische Person hinter dem Gateway werden zu erstklassigen Fragen. Diese Seite bildet die Architektur-Klassen-Unterschiede zwischen der konsolidierten Cloud-Gateway-Lane und Lucairns EU-souveräner, BYOK-Passthrough-Alternative ab.
PANW + Portkey + Prisma AIRS
ist ein Signal in einer breiteren Lane.
Die PANW-Portkey-Ankündigung (30. April 2026, Pressemitteilung unter der oben genannten URL prüfbar) faltet das KI-Gateway in Prisma AIRS hinein — die Plattform, mit der sich PANW als vereinheitlichte Steuerungsebene für agentische KI positioniert. Laut Pressemitteilung wird Portkey als KI-Gateway innerhalb von Prisma AIRS dienen: die Schicht, die jede KI-Transaktion im Unternehmen überwacht, routet und absichert. Transaktionswert: nicht offiziell beziffert; Economic Times via Futurum Group berichtet die 120-140-Mio.-USD-Spanne. Die früher kursierende 700-Mio.-USD-Zahl war falsch.
PANW + Portkey ist ein Signal in einer breiteren Lane. Das KI-Gateway wird zur Unter-Funktion der breiteren US-Megavendor-Steuerungsebene für agentische Sicherheit. Mehrere weitere US-Sicherheitsanbieter umkreisen über angrenzende Fähigkeiten dieselbe architektonische Lane. Das Muster ist klar; die Architektur-Klassen-Verschiebung ist real. Die Beschaffungsfragen von EU-Käufern ändern sich dadurch — nicht weil die Konsolidierung schlecht für Kunden wäre, sondern weil sich Rechtsweg, Steuerungsebenen-Umfang und Subunternehmer-Karte verschieben, sobald das Gateway in einer US-Megavendor-Suite sitzt.
Fünf Beschaffungs-Eigenschaften,
die im Spec-Sheet zählen.
Jeder Punkt unten ist eine echte, EU-beschaffungsrelevante Eigenschaft unter DSGVO, KI-Verordnung, NIS 2 und DORA. Keine erfordert, Lucairn etwas zu glauben, das nicht öffentlich verifizierbar ist.
Datenresidenz.
Wo das Gateway läuft, wo Metadaten geloggt werden, wo Request-Bodies transitieren. KI-Verordnung + DSGVO Artikel 44 (Drittstaaten-Übermittlungen) machen das zur ersten Beschaffungsfrage. Lucairn läuft auf Hetzner (Deutschland); ein US-Megavendor-Gateway sitzt im Cloud-Footprint des Erwerbers — pro Produkt vor Vertragsabschluss prüfen.
Anzahl der Subunternehmer.
DSGVO Artikel 28 Absatz 2 + Artikel 30 verlangen aufzählbare, vertraglich gebundene Subunternehmer-Listen. Je kürzer und EU-residenter die Liste, desto schlanker das eigene AVV-Register des Kunden. Lucairns Liste ist auf 8 fixiert (Hetzner, Cloudflare, Supabase, Resend, Plausible, Anthropic, FreeTSA, Sigstore Rekor). Ein Megavendor-Stack führt typischerweise eine längere, teils US-residente Liste.
Aufsichtsbehörde.
Welcher Regulierer auf Ihren KI-Einsatz antwortet. Für EU-Kunden bedeutet EU-Rechtsprechung EU-Regulierer — BNetzA (DE) unter KI-MIG, sobald sich diese Kette stabilisiert, sowie die Datenschutzaufsicht und die zuständige KI-Verordnungs-Behörde, die jeder Mitgliedstaat benennt (CNIL in Frankreich, Garante in Italien auf der Datenschutz-Überschneidung; die Benennungen nach Artikel 70 der KI-Verordnung sind je Mitgliedstaat noch in Klärung). Direkter, schneller Eskalationsweg. Ein US-Megavendor-Gateway fügt eine längere Kooperationskette hinzu und routet manche Fragen durch US-Rechtsrahmen.
EU-Rechtsweg-Position.
Wo ein Vertragsstreit oder eine Meldepflicht-Klage verhandelt wird. EU-Anbieter + EU-Kunde = EU-Gericht. US-Anbieter + EU-Kunde = eine längere Schiedsdiskussion, bevor eine Partei ein Gericht zuständiger Gerichtsbarkeit erreicht.
BYOK-Position.
Ob das Gateway Upstream-LLM-Schlüssel hält oder nur weiterleitet. Lucairn persistiert Upstream-Schlüssel nie — der BYOK-Passthrough ist im Code verifizierbar. Architektonische Details unter /security/no-shared-credentials.
Architektur-Klassen-Vergleich
für einen EU-Beschaffungsprüfer.
Lesen Sie die Spalte, die Sie in einem Audit lieber verteidigen würden. Die mittlere Spalte ist die Architektur-Klasse, wie sie in öffentlichen Materialien beobachtbar ist — keine Produkt-Aussage über einen konkreten Wettbewerber. Wenn eine Zeile von Pro-Produkt-Konfiguration abhängt, sagt die Zelle „variiert — pro Produkt prüfen“.
| Beschaffungsfrage | Cloud-KI-Gateway unter US-Megavendor-Steuerungsebene | Lucairn EU-souveräner BYOK-Passthrough |
|---|---|---|
| Sitz der juristischen Person | US-inkorporierte Muttergesellschaft (Erwerber); Tochtergesellschaften variieren | Declade UG (i.G.) nach deutschem Recht; geplante Weiterentwicklung zu einer Holding-GmbH |
| Aufsichtsbehörden-Routing | Längere Kooperationskette über die Heim-Rechtsprechung der Mutter; variiert pro Produkt | BNetzA (DE) unter KI-MIG, sobald sich die Durchsetzungskette stabilisiert; direkter EU-Regulierer-Eskalationsweg |
| Anzahl der Subunternehmer | Variiert pro Produkt | 8 aufgeführt: Hetzner, Cloudflare, Supabase, Resend, Plausible, Anthropic, FreeTSA, Sigstore Rekor |
| Primäre Infrastruktur-Residenz | Variiert — pro Produkt prüfen | Hetzner, Deutschland (Gateway, Bridge, Sanitizer, Audit, Witness laufen alle dort) |
| BYOK-Position (hält das Gateway Upstream-LLM-Schlüssel?) | Variiert — pro Produkt prüfen | Nie. Pro-Anfrage-Passthrough; Schlüssel einmal gelesen, einmal benutzt, verworfen |
| Deployment-Form | Primär cloud-managed; variiert pro Produkt | EU-regionales Cloud-Gateway + Pro-Laptop-Daemon (lucairnd) für die Sensitive-Mode-Produktlinie |
| Pro-Entscheidung-Belegschicht | Variiert pro Produkt | Pro-Anfrage signiertes Decision Certificate; FreeTSA-RFC-3161-Zeitstempel; öffentlicher Sigstore-Rekor-Anker |
| Standard-Zertifizierungs-Position (Anbieter-Seite) | Variiert pro Produkt | EU-inkorporierter KMU; keine Zertifizierungs-Überaussagen (nur architektonische und kryptographische Garantien) |
| Gerichtsstand | Variiert pro Vertrag — pro Produkt prüfen | EU-Gericht zwischen EU-inkorporiertem Anbieter und EU-Kunde |
Der Differenzierer,
in ehrlicher Rahmung.
Jeder Punkt unten ist eine strukturelle Eigenschaft von Lucairn, die ein US-Megavendor-Erwerber nicht replizieren kann, ohne die Architektur von Grund auf neu zu bauen. Festgelegt; kein Marketing.
- Lucairn ist keine US-inkorporierte Gesellschaft. Die juristische Person ist Declade UG (i.G.) nach deutschem Recht, mit geplanter Weiterentwicklung zu einer Holding-GmbH vor dem ersten Produktionsvertrag.
- Die primäre Infrastruktur ist auf Hetzner (Deutschland). Das Gateway, die Bridge, der Sanitizer, das Audit und der Witness laufen alle dort. Cloudflare liefert nur CDN/DNS.
- Die Subunternehmer-Liste ist auf 8 fixiert. Hetzner, Cloudflare, Supabase, Resend, Plausible, Anthropic, FreeTSA, Sigstore Rekor. Keine stillen Ergänzungen; Änderungen erfordern eine öffentliche Aktualisierung der Subunternehmer-Liste.
- Aufsichtsbehörden-Routing für die KI-Verordnungs-Durchsetzung ist BNetzA. Sobald sich die KI-MIG-Durchsetzungskette stabilisiert, eskalieren EU-Kunden über EU-Regulierer — nicht über die Compliance-Verbindung einer US-Mutter.
- Das Gateway hält nie Upstream-LLM-Schlüssel. BYOK-Passthrough ist im Code verifizierbar. Architektonische Details unter /security/no-shared-credentials.
Keine dieser Eigenschaften ist durch einen US-Megavendor-Erwerber replizierbar, ohne die Architektur von Grund auf neu zu bauen.
Der ehrliche Scope
dieses Vergleichs.
- Lucairn behauptet nicht, dass PANW, Portkey oder ein anderer Wettbewerber unsicher sei. Die architektonische Klasse hat unter EU-Regulierung andere Beschaffungseigenschaften; das ist eine Tatsachenfeststellung über Rechtsprechung und Steuerungsebenen-Umfang, kein Qualitätsurteil.
- Lucairn behauptet nicht, dass „EU-souverän“ eine regulatorische Kategorie sei. Es ist eine Beschaffungs-Rahmung, die Kunden unter DSGVO, KI-Verordnung, NIS 2 und DORA zunehmend verwenden. Die rechtliche Wirkung kommt aus diesen Verordnungen, nicht aus dem Begriff.
- Lucairn ist ein kleiner EU-Anbieter. PANW ist ein Fortune-500-US-Sicherheits-Megavendor. Der Vergleich betrifft die architektonische Eignung für die EU-Beschaffung, nicht die Marktgröße.
- Die PANW-Portkey-Transaktion ist jung. Angekündigt am 30. April 2026; voraussichtlicher Abschluss im fiskalischen Q4 2026 von PANW, vorbehaltlich üblicher Bedingungen. Die Prisma-AIRS-Integrations-Roadmap kann sich entwickeln. Verfolgen Sie die Ankündigung direkt.
BYOK-Passthrough verifizieren
oder ein echtes Zertifikat prüfen.
Die architektonische Aussage ist überprüfbar. Die Credential-Isolations-Seite dokumentiert, wie Lucairns Gateway nie Upstream-LLM-Schlüssel hält; die Verify-Seite lässt Sie ein echtes signiertes Zertifikat prüfen, ohne Lucairn zu kontaktieren.
REFERENZEN
- PANW-Pressemitteilung · 30. April 2026 · Übernahme von Portkey
- Prisma AIRS · AI Runtime Security Landingpage
- Futurum Group · Analystenberichte zur Portkey-Übernahme (textuelle Zitierung)
- Economic Times · Berichterstattung zum Transaktionswert (120-140 Mio. USD; textuelle Zitierung)
- DSGVO Artikel 28 · Pflichten der Subunternehmer
- DSGVO Artikel 30 · Verzeichnis von Verarbeitungstätigkeiten
- KI-Verordnung Artikel 74 · Aufsichtsbehörden
- src/app/api/sandbox/run/route.ts:32 (im Repo)