Blog Datensicherheit

Was bedeutet ITAR-Compliance? Definition und Vorschriften

Die ITAR regelt die Herstellung, den Verkauf und den Vertrieb von Ausrüstung, Daten und Dokumentation für militärische sowie Sicherheits- und Raumfahrtziele. Hier finden Sie eine Liste der ITAR-Compliance-Anforderungen und -Strafen, die Ihnen geläufig sein müssen.
Michael Buckbee
4 minute gelesen
Letzte aktualisierung 13. Januar 2023

Contents

    Die ITAR-Vorschriften (International Traffic in Arms Regulations) regeln die Herstellung, den Verkauf und den Vertrieb von verteidigungs- und raumfahrtbezogenen Artikeln und Dienstleistungen, gemäß der Definition in der United States Munitions List (USML).

    Neben Raketenwerfern, Torpedos und anderen militärischen Geräten belegt die Liste auch Pläne, Diagramme, Fotos und andere Unterlagen mit Einschränkungen, die zum Bau von Militärausrüstung verwendet werden, die den ITAR unterliegt. Dies wird im Rahmen von ITAR als „technische Daten“ bezeichnet.

    Holen Sie sich den kostenlosen Leitfaden für die Compliance mit US-Datenschutzbestimmungen und -vorschriften

    ITAR schreibt vor, dass der Zugriff auf physische Materialien oder technische Daten, die zu Verteidigungs- und Militärtechnologien gehören, ausschließlich auf US-Bürger beschränkt ist. Wie kann ein Unternehmen sicherstellen, dass nur US-Bürger solche Daten im Netzwerk haben und darauf zugreifen können, und dass dies ITAR-konform geschieht? Den Zugang zu den physischen Materialien zu beschränken ist einfach – der Zugang zu digitalen Daten ist jedoch schon schwieriger zu steuern.

    Wer muss mit ITAR konform sein?

    Wer muss ITAR-konform sein?

    Jedes Unternehmen, das mit den in der USML aufgeführten Gütern arbeitet, sie herstellt, entwirft, verkauft oder vertreibt, muss ITAR-konform sein. Das Directorate of Defense Trade Controls (DDTC) unter dem State Department verwaltet die Liste der Unternehmen, die mit USML-Gütern und -Dienstleistungen handeln dürfen. Es obliegt jedem Unternehmen, Richtlinien zur Einhaltung der ITAR-Vorschriften festzulegen.

    • Großhändler
    • Vertriebspartner
    • Anbieter von Computer-Software und -Hardware
    • Drittanbieter-Lieferanten
    • Auftragnehmer

    Jedes Unternehmen in der Lieferkette muss ITAR-konform sein. Wenn Unternehmen A ein Teil an Unternehmen B verkauft und Unternehmen B dieses Teil dann an einen ausländischen Staat verkauft, verstößt Unternehmen A ebenfalls gegen ITAR.

    ITAR-Vorschriften

    Die ITAR-Vorschriften sind einfach: Nur US-Bürger dürfen Zugang zu Artikeln in der USML-Liste haben.

    Die ITAR-Vorschriften sind für viele US-Unternehmen problematisch. Ein in den USA ansässiges Unternehmen, das im Ausland tätig ist, darf technische Daten, die den ITAR-Vorschriften unterliegen, nicht an lokal angestellte Mitarbeiter weitergeben, es sei denn, sie haben eine Genehmigung vom Außenministerium der Vereinigten Staaten. Dasselbe gilt, wenn US-Unternehmen mit Auftragnehmern außerhalb der USA zusammenarbeiten.

    Das State Department kann Ausnahmen zu dieser Regel autorisieren, und es gibt bestehende Ausnahmen für bestimmte Zwecke. Einige Länder haben derzeit ständige Abkommen mit den USA bezüglich ITAR – z. B. Australien, Kanada und das Vereinigte Königreich.

    Die US-Regierung schreibt die Einrichtung und Umsetzung eines dokumentierten ITAR-Konformitätsprogramms vor, das die Verfolgung, Überwachung und Prüfung technischer Daten umfassen muss. Bei technischen Daten empfiehlt es sich außerdem, jede Seite mit einem ITAR-Vermerk oder einer Markierung zu versehen, damit Mitarbeiter nicht versehentlich regulierte Informationen an unbefugte Personen weitergeben.

    ITAR dient dazu, militärische und sicherheitsrelevante Materialien zu verfolgen und sie nicht in die Hände von politischen Gegnern der USA gelangen zu lassen. Die Nichteinhaltung der Vorschriften kann zu hohen Geldstrafen sowie erheblichen Marken- und Reputationsschäden führen – ganz zu schweigen von dem potenziellen Geschäftsausfall zugunsten eines konformen Wettbewerbers.

    Strafen bei Verstößen gegen die ITAR-Vorschriften

    Strafen bei Verstößen gegen die ITAR-Vorschriften
    Die Strafen für ITAR-Verstöße sind erheblich:

    • Zivilrechtliche Geldstrafen von bis zu 500.000 US-Dollar pro Verstoß
    • Strafrechtliche Geldstrafen von bis zu 1 Million US-Dollar und/oder 10 Jahre Haft pro Verstoß

    Im April 2018 verhängte das State Department aufgrund einer Weitergabe von USML-Daten an Mitarbeiter mit doppelter Staatsangehörigkeit eine Geldstrafe in Höhe von 30 Millionen US-Dollar gegen FLIR Systems, Inc. Im Rahmen der Strafe wurde FLIR dazu verpflichtet, bessere Compliance-Maßnahmen zu implementieren und einen externen Beauftragten einzustellen, der die Einhaltung der mit dem State Department getroffene Vereinbarung überwacht.

    Im Jahr 2007 wurde ITT mit einer Geldstrafe von 100 Millionen US-Dollar belegt, da es Nachtsichttechnologien illegal exportiert hatte. ITT glaubte, die Beschränkungen umgehen zu können, aber die staatlichen Stellen waren mit der entsprechenden Auslegung des Gesetzes nicht einverstanden.

    Arten militärischer Artikel

    Es gibt 21 Kategorien von militärischen Artikeln gemäß USML. Alle Artikel auf dieser langen und merkwürdig spezifischen Liste sind militärische Artikel.

      1. Feuerwaffen, Nahkampfwaffen und Kampfschrotflinten
      2. Schusswaffen und zugehörige Ausrüstung
      3. Munition/Wehrmaterial
      4. Trägerraketen, Lenkraketen, ballistische Raketen, Raketen, Torpedos, Bomben und Minen
      5. Sprengstoffe und energetische Materialien, Treibstoffe, Brandstoffe und ihre Bestandteile
      6. Militärische Überwasserschiffe und spezielle Marineausrüstung
      7. Bodenfahrzeuge
      8. Flugzeuge und zugehörige Artikel
      9. Militärische Trainingsausrüstung und Training
      10. Persönliche Schutzausrüstung
      11. Militärische Elektronik
      12. Feuerkontroll-, Laser-, Bildgebungs- und Lenkausrüstung
      13. Materialien und verschiedene Artikel
      14. Toxikologische Wirkstoffe, einschließlich chemischer Wirkstoffe, biologischer Wirkstoffe und zugehörige Ausrüstung
      15. Raumfahrzeuge und zugehörige Artikel
      16. Artikel mit Bezug zu Nuklearwaffen
      17. Vertrauliche Artikel, technische Daten und militärische Dienstleistungen, die nicht anderweitig aufgezählt sind
      18. Strahlenwaffensysteme
      19. Gasturbinenmotoren und zugeordnete Geräte
      20. Tauchboote und zugehörige Artikel
      21. Artikel, technische Daten und militärische Dienstleistungen, die nicht anderweitig aufgezählt sind

    Wie Sie Ihre ITAR-Daten sichern können

    Angesichts der mit ITAR verbundenen Strafen ist es sinnvoll, die digitalen Daten mit so vielen Sicherheitsebenen wie möglich zu schützen. Da es sich bei ITAR um eine US-Bundesvorschrift handelt, ist ihre eigene Anleitung zur Datensicherheit ein guter Startpunkt. NIST SP 800-53 definiert die Standards und Richtlinien, die Bundesbehörden befolgen müssen, und jedes Unternehmen, das mit ITAR-regulierten Materialien arbeitet, sollte NIST SP 800-53 als Grundlage für seine eigenen Sicherheitsstandards verwenden. Mithilfe dieser Grundprinzipien können Sie Ihre ITAR-Daten schützen:

    • Erkennen und Klassifizieren sensibler Daten
      Auffinden und Sichern aller sensiblen Daten
      Klassifizieren von Daten auf der Grundlage von Geschäftsrichtlinien
    • Identifizieren von Benutzern, Gruppen, Ordner- und Dateiberechtigungen
      Festlegen, wer Zugriff auf welche Daten hat
    • Verwalten der Zugriffskontrolle
      Identifizieren und Deaktivieren veralteter Benutzer
      Verwalten von Benutzer- und Gruppenmitgliedschaften
      Entfernen globaler Zugriffsgruppen
      Implementieren eines Modells der notwendigsten Berechtigung
    • Überwachen von Daten, Datei-Aktivitäten und Benutzerverhalten
      Überwachen von Datei- und Ereignisaktivitäten und Erstellen entsprechender Berichte
      Überwachen auf Insider-Bedrohungen, Malware, Fehlkonfigurationen und Sicherheitsverstöße
      Erkennen und Beheben von Sicherheitslücken

    FAQs zur ITAR-Compliance

    1. Wie kann Varonis mir helfen, alle meine ITAR-Daten zu finden?
      Die Data Classification Engine identifiziert und klassifiziert regulierte Daten in Ihren Kerndatenspeichern – sowohl lokal als auch in der Cloud. Sie können Regeln zur Identifizierung von ITAR-Daten konfigurieren und sogar benutzerdefinierte Tags, Flags und Notizen zu regulierten Daten hinzufügen.
    2. Wer kann auf diese ITAR-Daten zugreifen?
      Varonis DatAdvantage crawlt Ihre Dateisysteme, um die Berechtigungen für alle Ihre Daten zu analysieren, einschließlich ITAR-Daten. Der erste Schritt besteht darin, zu verstehen, wer auf diese Daten zugreifen kann, um sie dann vor illegalem Zugriff zu schützen. Mit DatAdvantage können Sie diese Informationen in einer übersichtlichen, benutzerfreundlichen Benutzeroberfläche oder als exportierbaren Bericht anzeigen.
    3. Wie erfahre ich, wenn auf meine ITAR-Daten zugegriffen wird?
      Varonis DatAlert überwacht und löst Alarme aus, wenn auf Daten zugegriffen wird, einschließlich auf einen Ordner mit Ihren ITAR-Daten. Sie können jedes verdächtige Verhalten und jede ungewöhnliche Aktivität in Bezug auf Ihre ITAR-Daten erkennen, kennzeichnen und untersuchen. Außerdem können Sie einen vollständigen Audit Trail führen, um mit den ITAR-Vorschriften konform zu sein.
    4. Wie kann ich den Zugriff auf ITAR-Daten verwalten?
      Die Automation Engine repariert und verwaltet automatisch die Berechtigungen für das Dateisystem – so bleiben ITAR-Daten gesperrt und es kann ein Prinzip der notwendigsten Berechtigung aufrechterhalten werden. Varonis DataPrivilege hilft bei der Rationalisierung der Zugriffsverwaltung, der automatischen Durchsetzung von Sicherheitsrichtlinien und dem Compliance-Nachweis gegenüber staatlichen Prüfern.

    Möchten Sie mehr darüber erfahren, wie Sie Ihre ITAR-Daten verwalten können, um Compliance zu gewährleisten? Vereinbaren Sie eine 1:1-Demo mit einem Sicherheitsingenieur und erfahren Sie, wie Varonis Ihnen helfen kann.

    What should I do now?

    Below are three ways you can continue your journey to reduce data risk at your company:

    1

    Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.

    2

    See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.

    3

    Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.

    Michael Buckbee
    Michael Buckbee Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.

    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports

    Weiter lesen

    Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

    verstehen-und-anwenden-des-modells-der-gemeinsamen-verantwortung-in-ihrer-organisation
    Verstehen und Anwenden des Modells der gemeinsamen Verantwortung in Ihrer Organisation
    verstehen-und-anwenden-des-modells-der-gemeinsamen-verantwortung-in-ihrer-organisation
    Tristan Grush
    12. März 2024
    Um erhebliche Sicherheitslücken und Risiken für sensible Daten zu vermeiden, müssen Unternehmen verstehen, wie das Modell der gemeinsamen Verantwortung funktioniert, das viele SaaS-Anbieter verwenden.
    ultimativer-ransomware-leitfaden:-arten-und-definitionen-von-ransomware-angriffen
    Ultimativer Ransomware-Leitfaden: Arten und Definitionen von Ransomware-Angriffen
    ultimativer-ransomware-leitfaden:-arten-und-definitionen-von-ransomware-angriffen
    David Harrington
    31. August 2021
    Ransomware-Angriffe können zu einem erheblichen Verlust von Daten, Systemfunktionen und finanziellen Ressourcen führen. Aber was genau ist Ransomware? Ransomware kann eine Vielzahl von Formen annehmen. Außerdem entwickeln sich Angreifer ständig...
    was-ist-pci-compliance?-anforderungen-und-sanktionen
    Was ist PCI Compliance? Anforderungen und Sanktionen
    was-ist-pci-compliance?-anforderungen-und-sanktionen
    Michael Buckbee
    7. Juni 2019
    Die PCI-Cmpliance ist eine Reihe von Standards und Richtlinien für Unternehmen um personenbezogene Daten im Zusammenhang mit Kreditkarten zu verwalten und zu sichern. . Die großen Kreditkartenanbieter – Visa, Mastercard...
    was-ist-eine-datenschutzplattform?
    Was ist eine Datenschutzplattform?
    was-ist-eine-datenschutzplattform?
    Rob Sobers
    23. Juni 2017
    Eine Datenschutzplattform (DSP) ist eine Kategorie an Sicherheitsprodukten, die herkömmliche, isolierte Sicherheits-Tools ersetzen. DSP kombinieren Datenschutzfunktionalitäten, wie das Aufspüren sensibler Daten, die Zugriffsverwaltung, Benutzerverhaltensanalysen, erweiterte Bedrohungserkennung, Aktivitätsüberwachung sowie Compliance-Berichterstattung und...