ITAR: Die Verteidigungsindustrie verteidigen

ITAR: Die Verteidigungsindustrie verteidigen

Verschlüsselung, Tresorit und ITAR-Compliance

Es gibt nur wenige Branchen, in denen Sicherheit wichtiger ist, als in der Verteidigungsindustrie. Die Garantie, dass die nationale Sicherheit betreffende Informationen sicher verwahrt werden und nicht in unbefugte Hände gelangen können, ist eine wesentlicher Punkt, den jedes in der Verteidigungsindustrie involvierte Unternehmen erwägen muss. Ende-zu-Ende-Verschlüsselung in Kombination mit granularen Zugriffskontrollen und Datenresidenzoptionen ist ein unerlässliches Feature für jeden Cloudspeicheranbieter, der in der Branche Verwendung findet.

ITAR – Was, wo und warum?

Die Regelung des internationalen Waffenhandels (International Traffic in Arms Regulation), die allgemein als ITAR bekannt ist, ist ein Regelwerk, das den Ex- und Import von verteidigungs- und militärbezogenen Technologien, die auf der United States Munitions List (USML) eingetragen sind, reguliert. Es verlangt, dass jedes auf jegliche Art mit Einträgen auf der USML verbundene Unternehmen (Forschung & Entwicklung, Herstellung, Import, Export etc.) oder technische Daten, die sich auf Einträge in der Liste beziehen (Entwürfe, Dokumentation, Reparatur, Instandhaltung, Montage, Betrieb etc.) ITAR-konform sein müssen.

Was sind die Auswirkungen, wenn die ITAR-Richtlinien nicht befolgt werden?

Im Herzen von ITAR ist der Auftrag verankert sicherzustellen, dass der Zugriff auf jegliche mit der Herstellung, dem Verkauf, der Distribution oder dem Betrieb von Militär- oder Verteidigungstechnologie verbundene Daten auf US-Bürger beschränkt ist.Diese Richtlinien können internationalen Unternehmen erhebliches Kopfzerbrechen bereiten. Deren Arbeitsabläufe verlangen möglicherweise, dass US-Bürger, die rund um den Globus stationiert sind, auf sensible Informationen zugreifen können oder dass der Zugriff auf bestimmte Dateien nur ausgewählten Mitarbeitergruppen gestattet ist.

Verletzungen des Regelwerks können zu sowohl zivilrechtlicher als auch strafrechtlicher Haftung führen. Sanktionen können Bußgelder, einen Ausschluss aus zukünftigen Einsätzen in der Verteidiungsbranche und Freiheitsstrafen beinhalten. Im April 2018  belegte das State Department FLIR Systems, Inc mit einer zivilrechtlichen Geldstrafe in Höhe von 30 Millionen US-Dollar für den Transfer von USML-Daten an Mitarbeiter mit doppelter Staatsbürgerschaft. Gemäß ITAR wird die Weitergabe von Informationen innerhalb der USA an jegliche andere Nation als Export angesehen.

Wie unterstützt Tresorit Compliance mit ITAR?

Zero-Knowledge-Technologie mit Ende-zu-Ende-Verschlüsselung (E2EE) ist die zuverlässigste Weise ITAR-regulierte Daten zu schützen. Eine ITAR-Ergänzung, in Kraft seit März 2020 und bekannt unter dem Namen “Encryption Carve-Out,” empfiehlt die Verwendung clientseitiger Ende-zu-Ende-Verschlüsselung zum Schutz sensibler Informationen. Die Regeln besagen außerdem, dass für den Transfer von kontrollierten technischen Daten über die Landesgrenzen der USA hinaus keine Exportlizenz nötig ist, so lange diese Daten mit Ende-zu-Ende-Verschlüsselung verschlüsselt werden. Tresorit bietet eine Vielzahl von Sicherheitsfunktionen, um ITAR-Compliance zu garantieren:

  • Sicherung von ITAR-Daten: Tresorit bietet Sicherheit auf Militärebene für das Speichern und Organisieren sensibler technischer Daten.
  • Verwaltung von Zugriffsrechten und -berechtigungen: Rollenbasierte Benutzerrechte zum Verwalten von Abonnementrichtlinien und diverse Zugriffsberechtigungen ermöglichen es Unternehmen auf effiziente Weise zu kontrollieren, wer Zugriff auf ITAR-regulierte Daten hat.
  • Teilen von ITAR-Anhängen mittels sicherer Links: E-Mails sind oftmals der effektivste Weg Informationen zu teilen. Jedoch stellen Anhänge ein erhebliches Sicherheitsrisikodar. Mit Tresorit können Anhänge durch E2EE-Links zum Teilen ersetzt werden, um für ITAR-Compliance zu sorgen. Durch das Festlegen eines Passworts und Ablaufdatums und das Deaktivieren von Downloads können Mitarbeiter die volle Kontrolle über geteilte Dateien behalten.
  • ITAR-konforme Zusammenarbeit mit Drittzulieferern, -auftragnehmern etc.: E2EE-Dateianforderungen ermöglichen Unternehmen Informationen von Partnern anzufordern, während sie gleichzeitig ITAR-konform handeln und E-Mail-Anhänge vermeiden.
  • Verwaltung von Nutzern und Kontrolle über Dateiaktivität: Das Admin-Center bietet einfachen Zugriff auf detaillierte Aktivitätsberichte, Benutzerverwaltung, zugelassene Geräte, teambasierte Richtlinien und wichtige Nutzerstatistiken.

Diese Regeln befähigen Unternehmen in der Verteidigungsbranche dazu von Cloudanbietern zu profitieren, so lange diese die in ITAR festgelegten Auflagen erfüllen. Tresorit geht noch einen Schritt weiter und erspart den Organisationen das vom Bemühen um reibungslose Compliance verursachte Kopfzerbrechen, während garantiert wird, dass alle Daten geschützt bleiben. Machen Sie Ihren ersten Schritt in Richtung neue Sicherheit mit Tresorit.