Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Datenhoheit in der Verteidigungsindustrie: Was Auftragnehmer wissen müssen

Datenhoheit in der Verteidigungsindustrie: Was Auftragnehmer wissen müssen

von Danielle Barbour updated März 4, 2026 CMMC Compliance
Lesezeit: 9 Minuten

In den meisten Branchen dreht sich die Einhaltung der Datensouveränität um eine geografische Frage: Wo dürfen Daten gespeichert werden und welches Recht gilt? Für Rüstungsunternehmen reicht diese Frage allein jedoch nicht aus. Souveränität in der Defense Industrial Base (DIB) verläuft auf zwei Ebenen – geografische Beschränkungen, wo kontrollierte Daten gespeichert werden dürfen, und autorisierungsbasierte Beschränkungen, wer darauf zugreifen darf, einschließlich ausländischer Staatsangehöriger innerhalb der USA. Fehler auf einer dieser Ebenen führen nicht zu einer Geldstrafe, sondern zu Vertragsverlust, möglicher Disqualifikation und in schwerwiegenden Fällen zu strafrechtlicher Haftung.

Dieser Beitrag erklärt, wie Datensouveränität im Verteidigungsbereich funktioniert, wie sie sich von anderen Sektoren unterscheidet, welche Rahmenwerke sie durchsetzen und welche Kontrollen beide Ebenen tatsächlich abdecken.

Executive Summary

Hauptaussage: Die Datensouveränität bei Rüstungsunternehmen basiert auf zwei Ebenen. Erstens: Geografisch – CUI– und ITAR-kontrollierte technische Daten müssen auf Infrastrukturen unter US-Gerichtsbarkeit gespeichert werden. Cloud-Anbieter, die ausländischen Zugriffsrechten unterliegen, schaffen ein unmittelbares Souveränitätsrisiko – unabhängig vom Serverstandort. Zweitens: Autorisierungsbasiert – ITAR beschränkt den Zugriff auf kontrollierte technische Daten durch ausländische Personen, unabhängig vom Standort – eine personenbezogene Souveränitätsanforderung, die es in DSGVO, HIPAA oder zivilen Rahmenwerken nicht gibt. CMMC, ITAR und FedRAMP sind die Durchsetzungsmechanismen für beide Ebenen.

Warum das relevant ist: Ab 2026 erfordern alle DoD-Verträge eine entsprechende CMMC-Zertifizierung. ITAR-Verstöße können mit bis zu 1 Mio. US-Dollar pro Verstoß und strafrechtlicher Haftung für Führungskräfte geahndet werden. Nichteinhaltung bedeutet Vertragsverlust und Ausschluss vom Verteidigungsmarkt – keine Strafe, die man einfach hinnehmen kann.

wichtige Erkenntnisse

  1. Die Datensouveränität im Verteidigungsbereich hat zwei Dimensionen, die zivile Rahmenwerke nicht abdecken. Geografische Beschränkungen regeln, wo CUI gespeichert werden darf. Personenbezogene Beschränkungen regeln, wer darauf zugreifen darf – einschließlich ausländischer Staatsangehöriger in den USA. Die meisten zivilen Rahmenwerke adressieren nur die erste Dimension.
  2. Der CLOUD Act schafft ein geografisches Souveränitätsrisiko – selbst für Daten, die inländisch gespeichert werden. CUI bei einem US-Cloud-Anbieter unterliegt US-Behördenzugriff, unabhängig vom Serverstandort. Nur kundenseitig verwaltete Verschlüsselung schließt diese Lücke.
  3. ITARs Deemed-Export-Regel erweitert die Souveränität auf die Belegschaft. Wenn ein ausländischer Mitarbeiter in den USA ITAR-kontrollierte technische Daten einsehen kann, gilt das rechtlich als Export in sein Heimatland – ganz ohne physische Datenübertragung.
  4. CMMC ist eine Souveränitätsvorgabe für die gesamte Lieferkette, nicht nur für Auftragnehmer. Die Souveränitätslage eines Hauptauftragnehmers ist kompromittiert, wenn ein Subunternehmer CUI auf nicht-konformer oder ausländisch exponierter Infrastruktur speichert.
  5. Kundenseitig verwaltete Verschlüsselung überbrückt geografische und autorisierungsbasierte Souveränität. Wenn der Cloud-Anbieter keinen Zugriff auf Entschlüsselungsschlüssel hat, liefert ein behördliches Auskunftsersuchen nur verschlüsselte, unzugängliche Daten. Das Private Data Network von Kiteworks mit BYOK/BYOE schließt diese Lücke für Rüstungsunternehmen.

Wie sich die Datensouveränität im Verteidigungsbereich von anderen Branchen unterscheidet

Im Gesundheitswesen, in der Finanzbranche und im allgemeinen Unternehmenskontext ist Datensouveränität primär geografisch: Daten über Personen in einer bestimmten Jurisdiktion unterliegen deren Gesetzen, müssen oft innerhalb der Landesgrenzen bleiben und können von der Regierung unter bestimmten Voraussetzungen eingesehen werden. DSGVO, HIPAA und Chinas PIPL regeln, wo Daten gespeichert werden und welche Rechte Einzelpersonen daran haben. Der Verteidigungsbereich teilt diese geografische Ebene, ergänzt sie jedoch um personenbezogene Zugriffsrestriktionen, die es im zivilen Bereich nicht gibt:

Dimension Verteidigung (DIB) Gesundheitswesen Finanzdienstleistungen
Primärer Souveränitätsauslöser Datentyp (CUI, ITAR-Technikdaten) + wer darauf zugreifen darf Standort der betroffenen Person; Datensensitivität (PHI) Standort der betroffenen Person; branchenspezifische Speicherregeln
Geografische Anforderung Infrastruktur unter US-Gerichtsbarkeit; FedRAMP-zertifizierte Cloud für CUI Jurisdiktionsspezifische Speicherung (DSGVO, nationale Gesundheitsgesetze) Jurisdiktionsspezifische Speicherung (DSGVO, Branchenregulierung)
Personenbezogene Beschränkung Ja – ITAR verbietet ausländischen Personen den Zugriff auf kontrollierte technische Daten, unabhängig vom Standort Nein – jeder autorisierte Anwender kann zugreifen, unabhängig von der Staatsangehörigkeit Nein – jeder autorisierte Anwender kann zugreifen, unabhängig von der Staatsangehörigkeit
Durchsetzungsmechanismus CMMC-Zertifizierung, ITAR-Lizenzierung, FedRAMP-Zertifizierung, DFARS-Vertragsklauseln HIPAA-Durchsetzung, DSGVO-Bußgelder der Aufsichtsbehörden Branchenaufsicht, DSGVO-Durchsetzung
Folgen eines Verstoßes Vertragsverlust, Disqualifikation, ITAR-Strafen bis zu 1 Mio. USD/Verstoß, strafrechtliche Haftung Finanzielle Strafen, betriebliche Einschränkungen, Reputationsschäden Finanzielle Strafen, Marktzugangsbeschränkungen

Die Kombination aus beiden Ebenen – geografische Speicheranforderungen und personenbezogene Zugriffsrestriktionen – entlang einer mehrstufigen Lieferkette macht den Verteidigungsbereich zum komplexesten Souveränitätsumfeld, in dem ein Unternehmen tätig sein kann.

CMMC 2.0 Compliance Roadmap für DoD-Auftragnehmer

Jetzt lesen

Track 1: Wo dürfen Verteidigungsdaten gespeichert werden?

Die geografische Souveränitätsfrage für Rüstungsunternehmen konzentriert sich auf einen zentralen Punkt: Sicherstellen, dass kontrollierte Verteidigungsdaten durch die zugrunde liegende Infrastruktur nicht für ausländische Regierungen oder gegnerische Akteure zugänglich sind. Es reicht also nicht, einfach ein Rechenzentrum im richtigen Land auszuwählen.

Die Infrastruktur-Anforderung

Controlled Unclassified Information muss auf Systemen gespeichert werden, die die Anforderungen der CMMC 2.0 erfüllen. Für Cloud-Deployments bedeutet das: FedRAMP-Compliance – die Bestätigung der US-Regierung, dass die Sicherheitskontrollen, Speicherpraktiken und das Zugriffsmanagement eines Cloud-Anbieters den Standards für CUI entsprechen. Ein Rüstungsunternehmen, das für CUI eine nicht-FedRAMP-zertifizierte Cloud nutzt, hat eine Souveränitätslücke – unabhängig vom Serverstandort. Darüber hinaus verbieten die Beschaffungsregeln des DoD ausdrücklich bestimmte ausländische Telekommunikationsinfrastrukturen – ein Anbieter mit chinesischer oder russischer Eigentümerschaft, auch über Tochtergesellschaften, schafft ein Zugriffsrisiko für ausländische Regierungen, das keine Compliance-Richtlinie beseitigen kann.

Das CLOUD-Act-Problem

Der US CLOUD Act erlaubt es US-Strafverfolgungsbehörden, US-Cloud-Anbieter zur Herausgabe von Kundendaten zu zwingen – unabhängig davon, wo diese gespeichert sind. Für Rüstungsunternehmen entsteht dadurch ein doppeltes Risiko: Daten bei einem US-Cloud-Anbieter unterliegen immer dem Zugriff der US-Regierung; Daten bei einem ausländischen Anbieter können den Gesetzen des jeweiligen Landes unterliegen. Die Einhaltung von Speicheranforderungen regelt, wo Daten liegen – kundenseitig verwaltete Verschlüsselung regelt, wer sie lesen kann. Hält der Auftragnehmer alle Entschlüsselungsschlüssel über BYOK oder BYOE, liefert ein CLOUD-Act-Auskunftsersuchen an den Anbieter nur verschlüsselte, unzugängliche Daten.

Track 2: Wer darf auf Verteidigungsdaten zugreifen?

Hier unterscheidet sich die Datensouveränität im Verteidigungsbereich am deutlichsten von zivilen Rahmenwerken. Die ITAR-Regelungen für ausländische Personen behandeln wer auf kontrollierte Daten zugreifen darf als Souveränitätsfrage – nicht nur als Sicherheitsfrage – mit Compliance-Pflichten, die es in DSGVO, HIPAA oder anderen zivilen Rahmenwerken nicht gibt.

ITARs Deemed-Export-Regel

ITAR-Compliance erfordert das Verständnis, dass „ausländische Person“ jede Person ist, die weder US-Staatsbürger noch rechtmäßiger Daueraufenthaltsberechtigter oder geschützte Person nach dem Immigration and Nationality Act ist. Die Deemed-Export-Regel behandelt den Zugriff eines ausländischen Mitarbeiters auf ITAR-kontrollierte technische Daten innerhalb der USA rechtlich wie einen Export in sein Herkunftsland – und löst dieselben Lizenzanforderungen aus wie ein physischer Datenexport. Keine Datenübertragung nötig. Kein Verstoß erforderlich. Der Zugriff selbst ist der Verstoß.

Das schafft Souveränitätsanforderungen für die Belegschaft, die es im zivilen Bereich nicht gibt. Rüstungsunternehmen müssen nicht nur wissen, wer Systemzugriff hat, sondern auch den Staatsbürgerschaftsstatus jeder Person, die kontrollierte technische Daten sehen könnte – das gilt auch für das Personal des Cloud-Anbieters: Wenn Administratoren des Anbieters ausländische Staatsangehörige sind und Infrastrukturzugriff auf Systeme mit ITAR-Daten haben, liegt ein potenzieller Deemed-Export-Verstoß vor.

Die drei Datenkategorien und ihre Zugriffsregeln

Die drei wichtigsten Datenkategorien im Verteidigungsbereich bringen jeweils eigene Souveränitätsanforderungen mit sich:

Datenkategorie Definition Geltendes Rahmenwerk Zentrale Zugriffsbeschränkung
Federal Contract Information (FCI) Informationen, die von der Regierung bereitgestellt oder im Rahmen eines Vertrags generiert werden und nicht für die Öffentlichkeit bestimmt sind FAR 52.204-21, CMMC Level 1 Darf nicht außerhalb der Vertragsbeziehung offengelegt werden; grundlegende Zugriffskontrollen erforderlich
Controlled Unclassified Information (CUI) Von der Regierung als sensibel eingestufte Informationen, die laut Gesetz, Regulierung oder Richtlinie geschützt werden müssen DFARS 252.204-7012, CMMC Level 2, NIST 800-171 Compliance Need-to-know-Prinzip; FedRAMP-zertifizierte Infrastruktur für Cloud; vollständiger CMMC-Level-2-Kontrollsatz
ITAR Technical Data Informationen zu Verteidigungsgütern auf der US-Munitionsliste – z. B. Zeichnungen, Designs, Spezifikationen, Software ITAR-Compliance, durchgesetzt vom US-Außenministerium (DDTC) Kein Zugriff durch ausländische Personen (nur US-Personen, sofern keine Exportlizenz vorliegt); restriktivste Kategorie

Das Durchsetzungsrahmenwerk

CMMC 2.0 ist die Souveränitätsvorgabe für die Lieferkette. Jeder DIB-Auftragnehmer, der CUI verarbeitet, muss – nach Drittanbieterprüfung auf Level 2 – Kontrollen für Zugriff, Verschlüsselung, Protokollierung und Incident Response implementieren und nachweisen. Die 110 Level-2-Kontrollen entsprechen der NIST 800-171 Compliance; Level 3 mit 145 Kontrollen auf Basis von NIST 800-172 adressiert die kritischsten Programme. Ab 2026 ist für alle DoD-Verträge mit CUI-Verarbeitung die entsprechende Zertifizierung Pflicht – die Vertragsfähigkeit ist der Durchsetzungsmechanismus.

ITAR, durchgesetzt vom Directorate of Defense Trade Controls des US-Außenministeriums, regelt den Export und die Weitergabe von Verteidigungsgütern und technischen Daten auf der US-Munitionsliste. ITAR ist personenbezogen, während CMMC kontrollbasiert ist: Strafen reichen bis zu 1 Mio. USD pro Verstoß, Disqualifikation und strafrechtliche Haftung für Führungskräfte. Ein Auftragnehmer kann alle CMMC-Kontrollen erfüllen und dennoch gegen ITAR verstoßen, wenn ein ausländischer Mitarbeiter Zugriff auf einen Waffenzeichnungsplan erhält.

FedRAMP-Compliance ist die geografische Souveränitätsvalidierung für Cloud-Infrastrukturen. DFARS 252.204-7012 und FAR 52.204-21 sind die vertraglichen Durchsetzungsmechanismen, die NIST 800-171 Compliance in Vertragsbedingungen aufnehmen und eine 72-Stunden-Meldepflicht für Vorfälle vorgeben. Nichteinhaltung von DFARS kann zu Haftung nach dem False Claims Act führen, nicht nur zur Vertragskündigung.

Wo Rüstungsunternehmen bei der Datensouveränität Fehler machen

Das Cloud-Anbieter-Problem. Die Nutzung einer kommerziellen Cloud ohne FedRAMP-Zertifizierung für CUI oder ohne kundenseitig verwaltete Verschlüsselung lässt beide Souveränitätsebenen ungeschützt. Der Microsoft-BitLocker-Fall – bei dem Microsoft dem FBI die Entschlüsselungsschlüssel für Kundengeräte übergab – zeigt das strukturelle Problem: Hält der Cloud-Anbieter Ihre Schlüssel, kann jede behördliche Anfrage auf Ihre CUI zugreifen. FedRAMP-zertifizierte Infrastruktur plus kundenseitig verwaltete Verschlüsselung ist die notwendige Kombination.

Das Problem ausländischer Mitarbeiter. Rüstungsunternehmen mit internationaler Belegschaft, die ITAR-Beschränkungen nur durch Richtlinien und nicht durch technische Zugriffskontrollen umsetzen, riskieren bei einer einzigen Fehlkonfiguration einen Deemed-Export-Verstoß. Rollenbasierte Zugriffskontrollen und dokumentenbasierte DRM sind die technische Umsetzung der Deemed-Export-Regel – keine Ersatzmaßnahmen.

Das Lieferketten-Problem. Ein Hauptauftragnehmer kann vollständig CMMC-zertifiziert sein und dennoch CUI mit einem Subunternehmer teilen, der keine Zertifizierung besitzt. Die Kiteworks-Umfrage 2025 unter 104 CMMC-orientierten Organisationen ergab, dass 62 % keine umfassenden Governance-Kontrollen hatten und nur 22 % vertragliche Sicherheitsanforderungen an Lieferanten umsetzten. Vertragliche Regelungen dokumentieren die Pflicht – technische Kontrollen setzen sie durch. Die CMMC-Compliance-Checkliste bietet einen vollständigen Überblick über die Anforderungen an die Lieferkette.

Das Kollaborationsproblem. Standard-Filesharing mit Lieferanten, Partnern oder ausländischen Partnern unter Exportlizenz überträgt Daten in deren Umgebung – und damit in deren Jurisdiktion. Kollaborationslösungen ohne Dateitransfer, die Dokumente lediglich anzeigen, eliminieren das Souveränitätsrisiko vollständig.

Wie Kiteworks die Datensouveränität im Verteidigungsbereich adressiert

Datensouveränität im Verteidigungsbereich ist ein Zwei-Ebenen-Problem. Die geografische Ebene – wo Daten gespeichert werden, auf welcher Infrastruktur, unter welcher Regierung Zugriff erzwungen werden kann – ähnelt den Souveränitätsanforderungen aus DSGVO oder HIPAA, wobei FedRAMP-Zertifizierung und kundenseitig verwaltete Verschlüsselung die zentralen Kontrollen sind. Die autorisierungsbasierte Ebene – das ITAR-Verbot für ausländische Personen, unabhängig vom Standort – hat kein ziviles Pendant und erfordert technische Kontrollen, die Richtlinien allein nicht leisten können.

Das Private Data Network von Kiteworks adressiert beide Souveränitätsebenen in einer Plattform, die speziell für die DIB entwickelt wurde.

Auf der geografischen Ebene: FedRAMP-Compliance auf Moderate-Level bietet die validierte Cloud-Infrastruktur für CUI. Eine Single-Tenant-Architektur verhindert Datenvermischung. Kundenseitig verwaltete Verschlüsselung (BYOK/BYOE) mit FIPS 140-3 Level 1 validierter Verschlüsselung, AES-256 im ruhenden Zustand und TLS 1.3 während der Übertragung schließt die CLOUD-Act-Lücke – weder Kiteworks noch ein Cloud-Anbieter können Kundendaten auf behördliche Anweisung entschlüsseln. Die Bereitstellung ist flexibel: On-Premises, IaaS, FedRAMP-zertifizierte Cloud und hybride Modelle für spezifische Programm-Anforderungen.

Auf der autorisierungsbasierten Ebene: Rollenbasierte Zugriffskontrollen setzen das Need-to-know-Prinzip systemweit durch. SafeEDIT DRM ermöglicht kollaboratives Arbeiten ohne Dateibesitz – Lieferanten, Partner und ausländische Partner mit Exportlizenz können CUI- und ITAR-kontrollierte Dokumente einsehen und kommentieren, ohne dass Dateien die Sicherheitsgrenzen des Auftragnehmers verlassen. Ein einheitliches, unveränderliches Prüfprotokoll dokumentiert alle Bewegungen von CUI und FCI über Filesharing, MFT, SFTP, E-Mail und Web-Formulare – sichtbar im CISO Dashboard, exportierbar für Ihr SIEM und direkt für C3PAO-Assessments nutzbar. Kiteworks unterstützt fast 90 % der CMMC-2.0-Level-2-Anforderungen out-of-the-box und reduziert so Zertifizierungsdauer und Kosten erheblich.

Erfahren Sie mehr über Datensouveränitäts-Compliance für Rüstungsunternehmen – vereinbaren Sie jetzt eine individuelle Demo.

Häufig gestellte Fragen

DSGVO und HIPAA sind geografische und rechtebasierte Rahmenwerke – sie regeln, wo Daten gespeichert werden und welche Rechte Einzelpersonen daran haben. Im Verteidigungsbereich kommt eine zweite Ebene hinzu, die es im zivilen Bereich nicht gibt: ITARs personenbezogene Beschränkungen, die ausländischen Personen den Zugriff auf kontrollierte technische Daten unabhängig vom Standort verbieten. Rüstungsunternehmen stehen zudem vor der Herausforderung, die Souveränitäts-Compliance über die gesamte Lieferkette hinweg nachzuweisen – mit Vertragsfähigkeit als Konsequenz, nicht nur finanziellen Strafen. Die Compliance-Landschaft – CMMC, ITAR, FedRAMP und DFARS – gilt parallel, nicht als Alternative.

Wahrscheinlich nicht allein. Der Standort im Inland erfüllt die Speicheranforderung, aber drei weitere Bedingungen sind zu beachten: Der Anbieter muss auf dem passenden Level FedRAMP-zertifiziert sein; kundenseitig verwaltete Verschlüsselung muss die CLOUD-Act-Lücke schließen (hält der Anbieter Ihre Schlüssel, kann eine behördliche Anfrage auf Ihre CUI zugreifen); und das Personal sowie die Subunternehmer des Anbieters dürfen auf Infrastrukturebene keine ITAR-Risiken durch ausländische Personen schaffen.

Die ITAR-Deemed-Export-Regel behandelt den Zugriff eines ausländischen Mitarbeiters auf ITAR-kontrollierte technische Daten als rechtlich gleichwertig mit einem Export in sein Herkunftsland – selbst im US-Büro. Das erfordert technische Umsetzung: Rollenbasierte Zugriffskontrollen müssen den Zugriff systemseitig verhindern, nicht nur durch HR-Richtlinien. Sie benötigen Inhaltsklassifizierung und -tagging, damit das System ITAR-kontrollierte Daten erkennt, kombiniert mit identitätsbasierten Zugriffskontrollen, die an den US-Personen-Status geknüpft sind.

Ja, und zwar in erheblichem Maße. Nach DFARS 252.204-7012 und CMMC müssen Hauptauftragnehmer Sicherheitsanforderungen an Subunternehmer weitergeben, die CUI verarbeiten. Die eigene Zertifizierung schützt nicht vor Souveränitätslücken bei Subunternehmern – wenn CUI an einen Subunternehmer auf nicht-konformer Infrastruktur weitergegeben wird, entsteht eine Chain-of-Custody-Lücke, die die eigene Compliance beeinträchtigt. Die CMMC-Compliance-Checkliste zeigt alle Anforderungen für die Lieferkette im Detail.

Beide adressieren unterschiedliche Ebenen derselben Souveränitätsstruktur. FedRAMP-Compliance validiert die Cloud-Infrastruktur selbst – prüft, ob die Kontrollen, Speicherpraktiken und das Zugriffsmanagement eines Anbieters den Bundesstandards für CUI entsprechen. Die CMMC-Zertifizierung validiert die Sicherheitspraktiken des Auftragnehmers – wie das Unternehmen CUI in den eigenen Prozessen und der Lieferkette handhabt, speichert und überträgt. FedRAMP ist eine Anforderung an das Tool; CMMC ist eine Anforderung an das Unternehmen, das es nutzt. Für vollständige Souveränitäts-Compliance sind beide erforderlich.

Weitere Ressourcen 

  • Blog Post
    Datensouveränität: Best Practice oder regulatorische Pflicht?
  • eBook
    Datensouveränität und DSGVO
  • Blog Post
    Vermeiden Sie diese Fallstricke bei der Datensouveränität
  • Blog Post &
    Best Practices für Datensouveränität
  • Blog Post
    Datensouveränität und DSGVO [Verständnis von Datensicherheit]

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks