Einhaltung der ITAR-Vorschriften: Was sie sind, für wen sie gelten und was IT-Teams tun müssen

Laut dem „Kaseya State of the MSP Report 2026“ gehören die Einhaltung gesetzlicher Vorschriften und die Berichterstattung zu den zehn wichtigsten Serviceanforderungen von MSP-Kunden im Jahr 2026, und für Kunden aus dem Verteidigungssektor ist die Einhaltung der ITAR-Vorschriften unabdingbar. Laden Sie den vollständigen Bericht herunter.

ITAR (International Traffic in Arms Regulations) ist das US-amerikanische Exportkontrollsystem für Verteidigungsgüter, Verteidigungsdienstleistungen und zugehörige technische Daten, die in der United States Munitions List (USML) aufgeführt sind. Für IT-Teams und MSPs ist die Einhaltung der ITAR-Vorschriften immer dann relevant, wenn sie mit technischen Daten umgehen oder Dienstleistungen erbringen, die in den Geltungsbereich dieser Vorschriften fallen, und die Folgen von Verstößen sind schwerwiegend.

Im Gegensatz zu den meisten Compliance-Rahmenwerken, bei denen es sich um finanzielle Sanktionen handelt, können Verstöße gegen die ITAR zu strafrechtlicher Verfolgung, zum Ausschluss von öffentlichen Aufträgen und zur persönlichen Haftung einzelner Mitarbeiter führen. Vor der Annahme eines Auftrags im Verteidigungssektor ist es unerlässlich zu wissen, ob die ITAR gilt und welche Anforderungen sie stellt. Die Compliance-Tools von Kaseya unterstützen das Compliance-Management über mehrere Rahmenwerke hinweg für MSPs, die Verteidigungsunternehmen und Kunden aus dem Umfeld der Bundesbehörden betreuen.

Was ist ITAR?

Die ITAR werden von der Direktion für Rüstungshandelskontrolle (DDTC) des US-Außenministeriums verwaltet. Sie setzen das Waffenexportkontrollgesetz um und regeln den Export und Import von rüstungsrelevanten Gütern und Dienstleistungen, um zu verhindern, dass sensible Militärtechnologie in die Hände von Gegnern gelangt.

Die Verordnung regelt Güter, die in der United States Munitions List (USML) aufgeführt sind, darunter Waffensysteme, militärische Elektronik, Raumfahrzeuge, Kernmaterialien sowie die damit verbundenen technischen Daten und Verteidigungsdienstleistungen. Die USML umfasst 21 Kategorien, und viele Güter, die nicht offensichtlich als „Waffen“ zu erkennen sind, fallen in ihren Geltungsbereich, darunter Trainingssimulatoren, bestimmte Software mit militärischen Anwendungsmöglichkeiten und technische Daten zu den kontrollierten Gütern.

Die USML wurde im September 2025 überarbeitet, wobei Positionen gestrichen wurden, die nicht mehr als sensibel genug angesehen wurden, um eine Kontrolle zu rechtfertigen, und andere hinzugefügt wurden. Organisationen, die zuvor zu dem Schluss gekommen waren, dass die ITAR für ihre Tätigkeit nicht gelten, sollten diese Einschätzung überprüfen, wenn sie in den Bereichen Luft- und Raumfahrt, Weltraumtechnologie oder aufstrebende Technologien tätig sind, die von der Überarbeitung betroffen waren.

ITAR unterscheidet sich von den EAR (Export Administration Regulations), die vom Handelsministerium verwaltet werden, ist jedoch mit diesen verbunden; die EAR regeln Güter mit doppeltem Verwendungszweck: zivile Produkte mit potenziellen militärischen Anwendungsmöglichkeiten. Güter, die nicht in der USML aufgeführt sind, aber für die Ausfuhrkontrolle von Bedeutung sind, können stattdessen unter die EAR fallen.

Für wen gelten die ITAR-Bestimmungen?

Die ITAR-Bestimmungen gelten für US-Personen, Staatsbürger, Personen mit ständigem Wohnsitz in den USA sowie in den USA eingetragene Unternehmen, die Verteidigungsgüter oder -dienstleistungen herstellen, exportieren, vorübergehend einführen oder vermitteln.

Der Begriff „Export“ im Sinne der ITAR hat eine umfassendere technische Bedeutung, als die meisten Menschen erwarten:

• Die Weitergabe technischer Daten an einen Ausländer innerhalb der Vereinigten Staaten gilt als „fiktiver Export“ und wird wie ein Export in dessen Heimatland behandelt
• Der Zugriff auf ITAR-kontrollierte technische Daten von außerhalb der Vereinigten Staaten, einschließlich über aus dem Ausland zugängliche Cloud-Speicher, stellt eine Ausfuhr dar
• Die Weitergabe von ITAR-kontrollierten technischen Daten an eine ausländische Einrichtung oder die Gewährung des Zugriffs darauf an ausländische Staatsangehörige bedarf einer Genehmigung

Die ITAR-Anforderungen gelten auch für die gesamte Lieferkette. Subunternehmer, Werkzeuglieferanten und Dienstleister, die ITAR-kontrollierte Daten erhalten, verarbeiten oder speichern, müssen selbst die Einhaltung der Vorschriften gewährleisten. Ein MSP, der einen Auftrag eines Rüstungsunternehmens übernimmt, übernimmt nicht nur die Compliance-Verpflichtung des Kunden, sondern auch eine eigene.

Für IT-Teams und MSPs bedeutet dies, dass bei jedem Projekt, das ITAR-kontrollierte technische Daten umfasst, die Staatsangehörigkeit aller Mitarbeiter mit Zugriffsberechtigung, der Standort jedes Systems, auf dem die Daten gespeichert sind oder zugänglich sind, sowie die geltenden Ausfuhrgenehmigungen bekannt sein müssen.

Was gilt als ITAR-kontrollierte technische Daten?

Technische Daten im Sinne der ITAR sind Informationen, die für die Konstruktion, Entwicklung, Produktion, Herstellung, Montage, den Betrieb, die Reparatur, die Prüfung, die Wartung oder die Änderung von Verteidigungsgütern erforderlich sind. Dazu gehören:

• Technische Zeichnungen, Spezifikationen und Konstruktionsunterlagen
• Software, die in direktem Zusammenhang mit USML-gesteuerter Hardware steht
• Fertigungsverfahren für USML-Artikel
• Leistungsspezifikationen und Prüfdaten für Verteidigungsgüter

Nicht alle technischen Daten von Rüstungsunternehmen unterliegen den ITAR-Bestimmungen. Die entscheidende Frage ist, ob die Informationen für die Entwicklung, Herstellung oder den Betrieb eines in der USML aufgeführten Artikels erforderlich sind. Unternehmen, die den ITAR-Bestimmungen unterliegen, sollten über ein formelles Technologiekontrollprogramm (TCP) verfügen, das festlegt, welche Daten in ihrem Umfeld den ITAR-Bestimmungen unterliegen.

Ein IT-Team oder ein MSP, das von einem Kunden aus der Rüstungsindustrie keine Klarheit darüber erhält, ist nicht in der Lage, den Auftrag sicher zu übernehmen. Bevor Sie Aufträge annehmen, die Systeme des Verteidigungssektors betreffen, sollten Sie sich schriftlich bestätigen lassen, welche Daten als ITAR-kontrolliert eingestuft sind und was der TCP des Kunden abdeckt.

Das Exportkonzept und warum IT-Systeme davon betroffen sind

Das Konzept der fiktiven Ausfuhr stellt die größte Herausforderung im Bereich der IT-Compliance dar. Ein System, in dem ITAR-kontrollierte technische Daten gespeichert sind, könnte als Ausfuhr gelten, wenn:

• Auf das System kann auch von außerhalb der Vereinigten Staaten zugegriffen werden, einschließlich des Cloud-Speichers ohne geografische Einschränkungen
• Ein Ausländer hat Zugriff auf das System oder dessen Daten, einschließlich der IT-Administratoren
• Das System wird von einem entfernten Standort aus verwaltet oder aufgerufen

Speziell in Bezug auf Cloud-Speicher hat das DDTC klargestellt, dass die Speicherung von ITAR-kontrollierten Daten auf einer Cloud-Infrastruktur, auf die von Standorten im Ausland aus zugegriffen wird oder die von dort aus betrieben wird, eine Ausfuhrgenehmigung oder die Nutzung einer speziell für die ITAR-Konformität konzipierten Cloud-Infrastruktur erfordert. Das bedeutet eine Datenaufbewahrung ausschließlich in den USA, Zugangsbeschränkungen für US-Personen sowie angemessene vertragliche und technische Kontrollmaßnahmen. Standardmäßige kommerzielle Cloud-Tarife bei AWS, Microsoft 365 und Google Workspace erfüllen diese Anforderungen in der Regel nicht ohne spezifische Konfiguration. Speziell entwickelte Umgebungen wie AWS GovCloud und Microsoft Azure Government sind für ITAR-konforme Workloads ausgelegt.

Zudem gibt es zunehmend Bedenken, die speziell KI- und Kollaborationstools betreffen. Wenn ITAR-kontrollierte Inhalte von KI-Plattformen verarbeitet, in Kollaborationstools erstellt oder über gemeinsame Arbeitsbereiche übertragen werden, stellt jeder dieser Vorgänge einen potenziellen Exportfall dar, sofern eine ausländische Person Zugriff auf das Tool hat oder die Daten über ausländische Infrastruktur geleitet werden.

Für MSPs hat dies unmittelbare Konsequenzen. Wenn ein MSP IT-Dienstleistungen für einen Rüstungsunternehmen erbringt, das mit ITAR-Daten umgeht, und zu den Technikern des MSP ausländische Staatsangehörige gehören oder der MSP Tools mit Support aus dem Ausland oder Fernzugriff nutzt, kann der MSP im Namen seines Kunden und für sich selbst gegen Exportbestimmungen verstoßen.

Was ITAR von IT-Systemen und MSPs verlangt

Es gibt keine einheitliche Checkliste für technische Kontrollen im Rahmen der ITAR, die mit dem PCI DSS oder HIPAA vergleichbar wäre. Bei der ITAR-Konformität im IT-Bereich geht es in erster Linie darum, den Zugriff auf technische Daten so zu kontrollieren, dass diese nicht ohne entsprechende Genehmigung in die Hände ausländischer Personen oder an ausländische Standorte gelangen.

Datenlokalisierung. ITAR-kontrollierte technische Daten müssen auf Systemen gespeichert werden, die sich physisch in den Vereinigten Staaten befinden und von außerhalb der USA ohne Ausfuhrgenehmigung nicht zugänglich sind.

Zugriffskontrolle nach Staatsangehörigkeit. Der Zugriff auf ITAR-kontrollierte Daten muss auf US-Personen beschränkt sein. Ausländische Staatsangehörige, einschließlich IT-Mitarbeiter, Auftragnehmer und Systemadministratoren, dürfen ohne eine spezifische Ausfuhrgenehmigung oder eine entsprechende Ausnahmegenehmigung keinen Zugriff auf Systeme oder Daten haben, die unter die ITAR fallen.

Cloud-Infrastruktur ausschließlich in den USA. Die Speicherung von ITAR-unterliegenden Daten in der Cloud erfordert eine Datenspeicherung ausschließlich in den USA sowie Zugriffskontrollen durch US-Personen. Große Cloud-Anbieter bieten ITAR-konforme Konfigurationen über ihre Regierungs-Cloud-Stufen an. Standardmäßige kommerzielle Stufen erfüllen in der Regel nicht die ITAR-Anforderungen.

Fernzugriffskontrollen. Der Fernzugriff auf ITAR-relevante Systeme muss auf US-Personen beschränkt sein, die von innerhalb der Vereinigten Staaten darauf zugreifen. VPN- oder Fernzugriffslösungen, die Verbindungen von jedem beliebigen geografischen Standort aus ermöglichen, sind ohne zusätzliche Kontrollen für ITAR-relevante Systeme nicht geeignet.

Kontrollen bei Subunternehmern und in der Lieferkette. MSPs, die auf ITAR-Daten zugreifen, müssen sicherstellen, dass auch ihre eigenen Subunternehmer und Tool-Anbieter den Zugriff angemessen kontrollieren. Ein MSP, der für Funktionen, die Kunden im ITAR-Anwendungsbereich betreffen, einen Dienstleister in ausländischem Besitz oder mit ausländischem Personal einsetzt, kann unabhängig von seiner Absicht Verstöße verursachen.

Technologiekontrollprogramm (TCP). Die Leitlinien des DDTC und die branchenübliche Praxis verlangen ein dokumentiertes TCP: Richtlinien und Verfahren, die regeln, wie ITAR-kontrollierte Daten identifiziert, gespeichert, abgerufen und geschützt werden. Für IT-Teams und MSPs in diesem Bereich entspricht das TCP in Bezug auf die Governance einem HIPAA-Sicherheitsprogramm oder einem CMMC-Systemsicherheitsplan.

Zusammenhang mit CMMC. Die meisten Organisationen, die mit ITAR-Daten umgehen, sind auch für Aufträge des Verteidigungsministeriums zuständig, was bedeutet, dass sich die ITAR-Verpflichtungen mit den Anforderungen der Cybersecurity Maturity Model Certification (CMMC) überschneiden. ITAR-kontrollierte technische Daten gelten in der Regel als „Controlled Unclassified Information“ (CUI), wodurch die Anforderungen der CMMC-Stufe 2 zum Tragen kommen. MSPs, die Verteidigungsunternehmen unterstützen, sollten ITAR und CMMC als ein kombiniertes Compliance-Programm betrachten und nicht als getrennte Arbeitsbereiche.

Folgen der Nichteinhaltung

Verstöße gegen die ITAR-Bestimmungen gelten als schwere Straftaten auf Bundesebene. Die Durchsetzungsmaßnahmen wurden in den letzten Jahren verschärft.

Zivilrechtliche Strafen. Die derzeitige Höchststrafe beträgt ab Januar 2025 1.271.078 US-Dollar pro Verstoß oder das Doppelte des Transaktionswerts, je nachdem, welcher Betrag höher ist. Jede unbefugte Offenlegung oder Ausfuhr gilt als separater Verstoß, und das Gesamtrisiko kann sich bei wiederholten Verstößen rasch vervielfachen.

Strafrechtliche Sanktionen. Bis zu 1 Million Dollar pro Verstoß und bis zu 20 Jahre Freiheitsstrafe bei vorsätzlichen Verstößen. Eine strafrechtliche Verfolgung setzt den Nachweis von Vorsatz oder wissentlichem Handeln voraus, was eine höhere Schwelle darstellt als bei zivilrechtlichen Verfahren.

Ausschluss. Organisationen, bei denen ein Verstoß gegen die ITAR festgestellt wurde, können von der Vergabe von Aufträgen der US-Regierung ausgeschlossen werden, wodurch ihre Berechtigung zur Ausführung von Bundesaufträgen faktisch erlischt. Die Wiederherstellung der Ausfuhrrechte erfolgt nicht automatisch und erfordert einen formellen Antrag beim Außenministerium.

Die Durchsetzung der Vorschriften wird verschärft. Im Oktober 2024 erklärte sich RTX (ehemals Raytheon) bereit, über 950 Millionen US-Dollar zu zahlen, um Ermittlungen wegen Verstößen gegen die ITAR und den Arms Export Control Act beizulegen – der bislang höchste Vergleich im Zusammenhang mit der ITAR. Der Fall machte deutlich, dass die Behörden aktiv vorgehen, die Strafen streng sind und die Folgen weit über die unmittelbare Geldstrafe hinausgehen und auch eine obligatorische Überwachung der Einhaltung der Vorschriften sowie Reputationsschäden umfassen.

Freiwillige Offenlegung. Das DDTC betreibt ein Programm zur freiwilligen Offenlegung, das in der Regel zu einer Strafminderung für Organisationen führt, die Verstöße selbst melden. Eine freiwillige Offenlegung ist in der Regel einer passiven Abwartung von Durchsetzungsmaßnahmen vorzuziehen und sollte der erste Schritt sein, sobald ein potenzieller Verstoß festgestellt wird.

Praktische Checkliste zur Einhaltung der ITAR-Vorschriften

Für IT-Teams und MSPs, die Projekte im Geltungsbereich der ITAR prüfen oder verwalten:

• Klären Sie mit dem Kunden, welche Daten den ITAR-Bestimmungen unterliegen, und prüfen Sie dessen Programm zur Technologiekontrolle
• Stellen Sie sicher, dass alle Mitarbeiter und Auftragnehmer, die Zugang zu ITAR-relevanten Systemen haben, US-Personen sind
• Stellen Sie sicher, dass der für ITAR-Daten genutzte Cloud-Speicher ausschließlich in den USA gehostet wird und über Zugriffskontrollen für US-Personen verfügt
• Den Fernzugriff auf ITAR-relevante Systeme auf US-Personen beschränken, die von innerhalb der USA darauf zugreifen
• Prüfen Sie alle Werkzeuglieferanten und Subunternehmer auf Risiken im Zusammenhang mit dem Zugang ausländischer Personen
• Bewertung von KI- und Kollaborationstools hinsichtlich des Risikos der Offenlegung von ITAR-Daten
• Geeignete vertragliche Schutzmaßnahmen zur Erfüllung der ITAR-Verpflichtungen treffen
• Dokumentieren Sie alle Compliance-Maßnahmen für Prüfungszwecke
• Stellen Sie fest, ob sich die CMMC-Verpflichtungen mit dem Geltungsbereich der ITAR überschneiden, und verwalten Sie diese als ein gemeinsames Programm

Compliance Manager GRC Kaseya unterstützt das Compliance-Management für verschiedene Rahmenwerke, darunter CMMC und an den Bundesbereich angrenzende Rahmenwerke, die sich mit ITAR-Verpflichtungen überschneiden.