Wenn man in Deutschland mit Kunden aus der Luft- und Raumfahrt, der Verteidigungsindustrie oder mit US-amerikanischen Behördenprojekten zu tun hat, stolpert man früher oder später über zwei Abkürzungen:
ITAR und CUI. Für viele Unternehmen wirken diese Begriffe anfangs wie etwas, das „uns hier in Europa ja eigentlich nichts angeht“. Schließlich gelten diese Regelungen in den USA – warum sollten sie also einen mittelständischen Zulieferer in Deutschland betreffen?
Genau hier beginnt das Missverständnis, das inzwischen vielen Firmen Aufträge, Ausschreibungen oder sogar langjährige Kundenbeziehungen gekostet hat. Denn ITAR und CUI enden nicht an der US-Grenze. Sie wandern über Verträge, Daten und technische Unterlagen die gesamte Lieferkette entlang – bis ganz unten, bis zu Tier-2- und Tier-3-Zulieferern. Manchmal sogar, ohne dass diese es bewusst merken.
Dieser Artikel ist Ihr Weckruf und Ihr Leitfaden zugleich. Wir klären, was hinter den Abkürzungen steckt, warum Sie als deutscher Zulieferer hellhörig werden müssen und welche praktischen Schritte Sie jetzt einleiten sollten, um wettbewerbsfähig zu bleiben.
Inhaltsverzeichnis
ITAR – Wenn militärisches Wissen nur in US-Hände gehört
ITAR, die International Traffic in Arms Regulations, ist ein extrem strenges Regelwerk, das militärische und verteidigungsrelevante Technologien schützt. Und unter „schützen“ versteht die US-Regierung vor allem eines: Dieses Wissen soll nur von Menschen verarbeitet werden, denen die USA vollständig vertrauen. Deshalb verlangt ITAR in fast allen Fällen, dass nur US-Personen auf diese Daten zugreifen dürfen – also US-Staatsbürger oder Menschen mit einer Green Card.
Was fällt darunter? Die Liste ist lang und wird in der United States Munitions List (USML) definiert. Es geht hierbei nicht nur um Panzer und Raketen. ITAR-kontrollierte Güter („Defense Articles“) und technische Daten („Technical Data“) können auch sein:
- Spezifische Bauteile für Satelliten
- Software für militärische Flugsimulatoren
- Technische Zeichnungen eines Fahrwerks für ein Militärflugzeug
- Materialspezifikationen für Panzerungen
Das bedeutet für Unternehmen hier in Deutschland: Sobald Unterlagen, Zeichnungen oder technische Informationen unter ITAR fallen, dürfen sie eigentlich nicht von deutschen Mitarbeitenden eingesehen werden. Ein „Export“ findet laut ITAR bereits dann statt, wenn ein Nicht-US-Bürger (z.B. ein deutscher Ingenieur) Daten einsieht – selbst wenn dies in Deutschland geschieht. Und schon gar nicht dürfen europäische Admins, die Zugriff auf die IT-Systeme haben, auf denen diese Daten liegen, diese einsehen. Das klingt streng – und ist es auch. Aber es erklärt, warum ITAR in internationalen Projekten schnell zur Herausforderung und zum K.O.-Kriterium wird.
CUI – Sensible Regierungsdaten, aber ein anderes Schutzprinzip
CUI, die Controlled Unclassified Information, ist im Vergleich dazu deutlich breiter und weniger dramatisch. Diese Informationen stammen zwar aus US-Behördenprojekten, sind aber nicht als geheim eingestuft. Sie müssen geschützt werden, aber der Schutz richtet sich nicht danach, wer sie verarbeitet, sondern wie sie verarbeitet werden.
Die „Bedienungsanleitung“ für den Schutz von CUI ist das Regelwerk NIST SP 800-171. Diese Publikation des National Institute of Standards and Technology beschreibt 110 Sicherheitskontrollen, die ein Unternehmen implementieren muss, um CUI sicher zu handhaben. Dazu gehören zum Beispiel:
- Zugangskontrolle: Wer darf auf welche Daten zugreifen?
- Verschlüsselung: Sind die Daten bei der Übertragung und Speicherung geschützt?
- Monitoring & Auditing: Wird protokolliert, wer wann auf die Daten zugreift?
- Physische Sicherheit: Sind die Serverräume und Arbeitsplätze geschützt?
Solange ein Unternehmen diese Anforderungen erfüllt, darf CUI grundsätzlich auch von Nicht-US-Personen verarbeitet werden. CUI ist also in der Regel leichter handhabbar als ITAR. Aber Vorsicht: Es gibt auch hier Sonderfälle. Bestimmte CUI-Kategorien, wie Export Control Information (ECI), können zusätzliche, strengere Anforderungen haben, die denen von ITAR ähneln.
Der „Flow-Down“-Effekt: Wie die US-Regeln unbemerkt in Ihrer Firma landen
In vielen Gesprächen mit Unternehmen aus der deutschen Industrie zeigt sich immer wieder das gleiche Bild: Viele Zulieferer wissen gar nicht, dass sie plötzlich ITAR- oder CUI-relevante Daten bekommen haben. Wie kann das sein? Die Antwort liegt im sogenannten „Flow-Down“.
Die USA verlangen, dass alle Anforderungen entlang der gesamten Lieferkette weitergegeben werden. Das bedeutet: Wenn ein großer Hauptauftragnehmer (Prime Contractor) wie zum Beispiel Airbus oder Rheinmetall einen Vertrag mit einer US-Behörde hat, verpflichtet er sich zur Einhaltung von ITAR und CUI. Diese Verpflichtung muss er vertraglich an seine direkten Zulieferer (Tier-1) weitergeben. Der Tier-1 wiederum gibt sie an seine Lieferanten (Tier-2) weiter, und so weiter.
Stellen wir uns das an einem Beispiel vor:
Die Müller GmbH aus dem Schwarzwald ist ein hochspezialisierter Hersteller von Präzisionsdichtungen (Tier-3). Sie liefert an die Schmidt AG (Tier-2), die daraus komplexe Ventilysteme baut. Die Schmidt AG ist Zulieferer für einen großen deutschen Systemintegrator (Tier-1), der wiederum Komponenten für ein amerikanisches Luft- und Raumfahrtprojekt liefert.
Der Tier-1-Lieferant schickt eine technische Zeichnung für ein neues Ventil an die Schmidt AG. In der E-Mail oder im Vertrag steht der unscheinbare Satz: „This project contains CUI. Compliance with NIST 800-171 is required.“ Die Schmidt AG, die die Dichtungen benötigt, leitet die relevanten Spezifikationen an die Müller GmbH weiter. Vielleicht wird der CUI-Hinweis kopiert, vielleicht auch nicht. Aber die Verpflichtung bleibt bestehen. Plötzlich muss die Müller GmbH nachweisen, dass ihre IT-Systeme und Prozesse sicher genug für US-Regierungsdaten sind – obwohl sie nur Dichtungen herstellt und nie direkt mit den USA zu tun hatte.
So entsteht eine Kettenreaktion, die irgendwann auch bei kleinen und mittleren Zulieferern in Deutschland ankommt.
Die häufigsten Missverständnisse, die Sie jetzt Geld kosten können
Die Unkenntnis über diese Mechanismen führt zu gefährlichen Fehleinschätzungen in deutschen Unternehmen. Hier sind die drei häufigsten:
„Das betrifft uns nicht, wir stellen ja keine Waffen her.“
Dieser Gedanke ist trügerisch. Viele Komponenten, die in zivilen Produkten zum Einsatz kommen, können auch militärisch relevant sein (sogenannte Dual-Use-Güter). Eine spezielle Legierung, eine fortschrittliche GPS-Komponente oder eine leistungsstarke Verschlüsselungssoftware können unter Exportkontrollgesetze fallen, selbst wenn sie für einen zivilen Zweck entwickelt wurden. Die USML und andere Kontrolllisten sind hier der entscheidende Maßstab, nicht das Endprodukt.
„Unsere IT ist doch sicher, wir haben eine Firewall und Virenscanner.“
Standard-IT-Sicherheit ist gut, aber NIST SP 800-171 ist eine andere Liga. Das Regelwerk fordert sehr spezifische Kontrollen, die weit über den Basisschutz hinausgehen. Haben Sie eine Multi-Faktor-Authentifizierung für alle administrativen Zugänge? Protokollieren Sie jeden Zugriff auf sensible Daten und werten diese Protokolle regelmäßig aus? Haben Sie einen dokumentierten Plan für den Umgang mit Sicherheitsvorfällen? Wenn Sie diese Fragen nicht sofort mit „Ja“ beantworten können, reicht Ihre IT-Sicherheit wahrscheinlich nicht aus.
„Das merkt doch keiner, wer soll das schon prüfen?“
Das ist die riskanteste Annahme.
Erstens werden Hauptauftragnehmer zunehmend von US-Behörden auditiert. Wenn sie die „Flow-Down“-Anforderungen nicht nachweisen können, drohen empfindliche Strafen oder der Verlust des Auftrags. Dieses Risiko geben sie weiter, indem sie ihre eigenen Zulieferer prüfen.
Zweitens: Im Falle eines Datenlecks oder Sicherheitsvorfalls rollt die Haftungskette die Lieferkette zurück.
Wenn nachgewiesen wird, dass Ihr Unternehmen die Ursache war, weil die CUI-Anforderungen ignoriert wurden, können die vertraglichen und finanziellen Konsequenzen existenzbedrohend sein.
Immer mehr Firmen berichten davon, dass sie plötzlich Nachweise zu NIST 800-171 erbringen sollen oder dass ein großer Kunde keine Angebote mehr annimmt, solange nicht klar ist, ob man mit bestimmten Daten sicher umgehen kann. Das liegt nicht daran, dass die Kunden schwierig geworden sind – sondern daran, dass sie selbst immer stärker geprüft und kontrolliert werden.
Was Unternehmen jetzt wirklich brauchen: Ein praktischer 5-Schritte-Plan
Für deutsche Firmen bedeutet das alles nicht, dass sie amerikanische Gesetzbücher auswendig lernen müssen. Aber sie müssen ein Gefühl dafür entwickeln, welche Art von Daten sie überhaupt erhalten und welche Regeln daran hängen. Sie müssen in der Lage sein, ihrem Kunden klar und verständlich zu zeigen: „Wir wissen, was wir da haben, und wir können damit umgehen.“Das funktioniert nur, wenn Unternehmen frühzeitig erkennen, ob sie mit ITAR oder CUI arbeiten. Hier ist ein einfacher Plan, um zu starten:
Schritt 1: Sensibilisierung schaffen
Das Thema muss auf die Agenda der Geschäftsführung. Schulen Sie vor allem den Vertrieb und die Projektleitung darin, in Angeboten, Verträgen und der Kommunikation mit Kunden auf Schlüsselbegriffe wie „ITAR“, „CUI“, „NIST 800-171“ oder „DFARS 252.204-7012“ zu achten.
Schritt 2: Eine erste Daten-Inventur durchführen
Fragen Sie sich: Welche unserer Kunden sind in der Luft- und Raumfahrt, Verteidigung oder in US-Projekten tätig? Welche Art von technischen Daten (Zeichnungen, Spezifikationen, Testprotokolle) erhalten wir von ihnen? Gibt es Projekte, bei denen der Schutz sensibler Daten besonders betont wird?
Schritt 3: Eine GAP-Analyse durchführen
Nehmen Sie die 110 Anforderungen aus NIST SP 800-171 und gleichen Sie sie ehrlich mit Ihrem aktuellen Stand ab. Wo sind die Lücken (Gaps)? Dokumentieren Sie, welche Kontrollen Sie bereits erfüllen und wo Handlungsbedarf besteht. Dies ist die Grundlage für alle weiteren Maßnahmen.
Wir wissen, es ist schwer, ein Self Assessment ohne genaues Hintergrundwissen durchzuführen. Daher haben wir die perfekte Lösung für Sie geschaffen. Mit unserem Control Center in 4Cyber bieten wir Ihnen die Möglichkeit, mit ausführlicher Dokumentation zu jedem Control und integrierter KI Prüfung, das Self Assessment ohne externen Berater durchzuführen.
Hört sich gut an und Sie möchten mehr erfahren? Dann buchen Sie gleich ein Gespräch oder schreiben Sie uns eine unverbindliche E-Mail.
Schritt 4: Eine Roadmap erstellen
Planen Sie konkrete Maßnahmen, um die identifizierten Lücken zu schließen. Das können technische Projekte sein (z.B. die Einführung von Multi-Faktor-Authentifizierung) oder organisatorische (z.B. die Erstellung eines Notfallplans). Priorisieren Sie die Maßnahmen und legen Sie Verantwortlichkeiten fest.
Schritt 5: Dokumentieren und kommunizieren
Der wichtigste Schritt: Schaffen Sie Nachweise! Dokumentieren Sie Ihre Prozesse, Richtlinien und technischen Konfigurationen in einem System Security Plan (SSP). Dieses Dokument ist Ihr wichtigstes Werkzeug, um Kunden zu beweisen, dass Sie das Thema ernst nehmen und im Griff haben. Kommunizieren Sie Ihre Fähigkeiten proaktiv – machen Sie Compliance zu Ihrem Wettbewerbsvorteil.
Fazit: Ein Thema, das längst in Europa angekommen ist
ITAR und CUI sind keine amerikanischen Sonderregeln mehr, die uns hier in Deutschland nichts angehen. Sie sind ein fester und unumgehbarer Bestandteil internationaler Projekte geworden. Wer heute in der Luft- und Raumfahrt, im Defence-Umfeld oder in sicherheitskritischen Branchen arbeitet – egal ob als Tier-1, Tier-2 oder Tier-3 –, kommt daran nicht mehr vorbei.
Die Frage ist nicht mehr, ob Sie sich damit beschäftigen müssen, sondern wann es Sie trifft. Warten Sie nicht, bis ein Kunde ein Angebot ablehnt oder eine Zertifizierung verlangt. Werden Sie jetzt aktiv. Je früher Sie sich damit beschäftigen, desto stärker wird Ihre Position in der Lieferkette. Und je besser Sie die Anforderungen verstehen, desto seltener kommt es zu bösen Überraschungen.
Sie sind ebenfalls betroffen in der US Lieferkette?
Dann melden Sie sich bei uns! Wir unterstützen Sie gerne bei der Umsetzung der US-Anforderungen. Mit unserer amerikanischen Schwester Ms Cybersecurity sind wir am Puls der Zeit und kennen die Anforderungen an Ihr Unternehmen aus erster Hand. Vereinbaren Sie ein kostenloses Erstgespräch oder schreiben Sie uns eine E-Mail.
Referenzen:
U.S. Department of State, Directorate of Defense Trade Controls: United States Munitions List (USML) https://www.ecfr.gov/current/title-22/chapter-I/subchapter-M/part-121
National Institute of Standards and Technology (NIST): Special Publication 800-171 https://csrc.nist.gov/publications/detail/sp/800-171/rev-2/final
Defense Federal Acquisition Regulation Supplement (DFARS): Clause 252.204-7012
