Erfahren Sie mehr über ITAR-Compliance in Data Protection 101, unserer Serie zu den Grundlagen der Informationssicherheit.

Eine Definition von ITAR Compliance

International Traffic in Arms Regulations (ITAR) kontrollieren den export und import of defense-related articles and services on the United States Munitions List (USML). Laut den USA, Regierung, alle Hersteller, Exporteure und Makler von Verteidigungsartikeln, Verteidigungsdiensten oder verwandten technischen Daten müssen ITAR-konform sein. Daher verlangen immer mehr Unternehmen, dass ihre Lieferkettenmitglieder auch ITAR-konform sind., Im Allgemeinen:

Für ein Unternehmen, das an der Herstellung, dem Verkauf oder dem Vertrieb von Waren oder Dienstleistungen beteiligt ist, die unter die USML fallen, oder ein Komponentenlieferant von Waren, die unter die USML-Munitionsliste der Vereinigten Staaten fallen, bedeutet die Bestimmung oder Anforderung, „ITAR-zertifiziert (konform)“ zu sein, dass das Unternehmen bei der Direktion für Handelskontrollen des Verteidigungsministeriums (DDTC) des State Department registriert sein muss, falls dies auf der DDTC-Website angegeben ist, und das Unternehmen muss die ITAR verstehen und einhalten, wie es für ihre USML-verknüpften Waren oder Dienstleistungen gilt., Das Unternehmen selbst bescheinigt, dass sie gemäß ITAR tätig sind, wenn sie akzeptieren, Lieferant für den USML Prime Exporter zu sein.

Mit anderen Worten, Unternehmen müssen sich beim DDTC registrieren und wissen, was von ihnen verlangt wird, um ITAR-konform zu sein, und dann bestätigen, dass sie über dieses Wissen verfügen.

Was bedeutet die ITAR für mein Unternehmen?

Insgesamt ist es wichtig zu verstehen, dass die Registrierung bei der DDTC zum Verkauf Ihrer Produkte oder Dienstleistungen in der ITAR-Branche nicht ausreicht; Sie müssen sicher sein, dass Sie nicht gegen die ITAR-Compliance-Vorschriften verstoßen., Die Erwartung ist, dass Sie in ITAR-Vorschriften ausgebildet und geschult sind. Beachten Sie, dass ITR-Verstöße zu Straf-oder Zivilstrafen führen können, die von zukünftigen Exporten ausgeschlossen sind, und/oder zu Haftstrafen führen können, einschließlich:

  • Zivilstrafen bis zu 500,000 USD pro Verstoß
  • Strafstrafen von bis zu 1,000,000 USD und 10 Jahre Freiheitsstrafe pro Verstoß

ITAR-Compliance-und Technologieunternehmen

Als wichtiges US-Exportkontrollgesetz wirkt sich die ITAR auf die Herstellung, den Verkauf und den Vertrieb von Technologie aus., Ziel der Gesetzgebung ist es, den Zugang zu bestimmten Technologietypen und deren zugehörigen Daten zu kontrollieren. Insgesamt versucht die Regierung, die Offenlegung oder Weitergabe sensibler Informationen an einen ausländischen Staatsangehörigen zu verhindern. Infolgedessen kann ITAR globale Unternehmen vor Herausforderungen stellen, da Daten im Zusammenhang mit bestimmten Technologien möglicherweise über das Internet übertragen oder lokal außerhalb der USA gespeichert werden müssen, damit Geschäftsprozesse reibungslos ablaufen können., Die Verantwortung liegt beim Hersteller oder Exporteur, die erforderlichen Vorkehrungen und Schritte zu treffen, um zu bestätigen, dass sie tatsächlich die ITAR-Konformitätsanforderungen erfüllen.,

Insbesondere ITAR:

  • Deckt militärische Gegenstände oder Verteidigungsartikel ab
  • Regelt Waren und Technologien, die dazu bestimmt sind, in militärischer Umgebung zu töten oder sich gegen den Tod zu verteidigen
  • Umfasst weltraumbezogene Technologien aufgrund der Anwendung auf die Raketentechnologie
  • Enthält technische Daten zu Verteidigungsartikeln und-dienstleistungen
  • Beinhaltet strenge regulatorische Genehmigungen und befasst sich nicht mit kommerziellen oder Forschungszielen

2020 ITAR-Änderung

Im Dezember von 2019 fügte das Außenministerium eine Änderung der ITAR hinzu., Der Zusammenfassung zufolge zielt die Änderung darauf ab, “ die Artikel genauer zu beschreiben, die einen kritischen militärischen oder geheimdienstlichen Vorteil bieten oder im Falle von Waffen eine inhärent militärische Funktion ausüben und somit Export-und vorübergehende Importkontrolle auf der USML rechtfertigen.“

Die neue Regel trat am 9. März 2020 in Kraft und verändert möglicherweise die Art und Weise, wie Organisationen ITAR-Daten in der Cloud speichern und freigeben. Im Wesentlichen können bestimmte Daten in der Cloud gespeichert werden, solange sie vor dem Zugriff ausländischer Unternehmen sicher sind und bestimmte Kriterien erfüllen., Mit dieser neuen Änderung werden Daten nicht als „Export“ betrachtet, solange sie:

  • Nicht klassifiziert
  • Mit End-to-End-Verschlüsselung sicher aufbewahrt werden
  • Kryptographisch gesichert

ITAR-Datensicherheitsempfehlungen

Da Sie nun die Bedeutung der ITAR-Konformität und die Strafen für die Nichteinhaltung kennen, ist es wichtig zu verstehen, wie Sie Ihre ITAR-kontrollierten Daten sichern.,

  • Weisen Sie jeder Person mit Computerzugriff eine eindeutige ID zu
  • Testen Sie regelmäßig Sicherheitssysteme und-prozesse
  • Schützen Sie sensible Daten mit Verschlüsselung
  • Überwachen und testen Sie regelmäßig Netzwerke
  • Implementieren Sie starke Zugriffskontrollmaßnahmen
  • Verfolgen und überwachen Sie den gesamten Zugriff auf Netzwerkressourcen und sensible Daten
  • Pflegen Sie ein Schwachstellenmanagementprogramm
  • Implementieren Sie Maßnahmen, um den Verlust ITAR-gesteuerter Daten zu verhindern

    • Diese Liste ist erschöpfend, soll aber einen Ausgangspunkt für die Sicherung sensibler Daten und die Einhaltung der ITAR-Compliance bieten., Indem Sie diese Maßnahmen befolgen und an die Bedürfnisse Ihres Unternehmens anpassen, können Sie sicherstellen, dass ITAR-Daten weiterhin dort zugänglich sind, wo sie sein müssen, und gleichzeitig vor Verlust oder unbefugtem Zugriff geschützt bleiben.

    Experten Wiegen auf ITAR Compliance

    Hier ist ein Blick auf, was die Experten zu sagen haben ITAR compliance.

    1. Zertifizierung ist ein Mythos. „Viele haben den Begriff „zertifiziert“ in Bezug auf ITAR gehört. In Wirklichkeit gibt es keine ITAR-Zertifizierung. Es gibt nur eine regulatorische Anforderung, die registriert werden muss, und die Verpflichtung eines Unternehmens, konform zu sein., Die Verwirrung entsteht, wenn Sie einen Brief von Ihrem Kunden erhalten, in dem Sie aufgefordert werden, zu „zertifizieren“, dass Ihr Unternehmen ITAR-konform ist. Was sie wirklich fragen, ist: „Sind Sie für ITAR registriert und haben Sie ein etabliertes Compliance-Programm mit allen erforderlichen Kontrollen?'“ — Mark Bleckley, Was Es Wirklich Bedeutet ITAR-Konform: Warum Sollten Sie Aufhören zu Sagen, Sie sind ITAR-Zertifiziert, Grand Valley State University

    2. Registrierung bedeutet nicht, dass du aus dem Wald bist., „Wichtig zu verstehen ist, dass Sie, obwohl Sie Ihr Unternehmen bei der DDTC registrieren können, um Ihre Produkte oder Dienstleistungen in der ITAR-Branche zu verkaufen, auch nicht gegen die ITAR-Compliance-Vorschriften verstoßen dürfen. Es wird erwartet, dass Sie in ITAR-Vorschriften ausgebildet und geschult werden. Verstöße gegen die ITAR können zu Straf-oder Zivilstrafen führen, die durch zukünftige Exporte entlarvt werden, sowie zu Haftstrafen.“- Was bedeutet ITAR-konform/ITAR-Konform?, Dunlap-Stone University

    3. Verwenden Sie eine Checkliste., „Eine ITAR-Compliance-Checkliste ist ein Tool, mit dem Waffenlieferanten leicht feststellen können, ob sie ITAR-konform sind, ein Identifikationssystem für ITAR-kontrollierte Produkte einrichten und ein effektives ITAR-Compliance-Programm implementieren können.“- Jona Tarlengco, Top 3 ITAR-Compliance-Checklisten, Sicherheitskultur

    Wenn Ihr Unternehmen der ITAR-Konformität unterliegt, stellen Sie nach diesen Tipps und Best Practices sicher, dass Sie die aktuellsten Vorschriften einhalten, einschließlich der neuesten Änderung im Zusammenhang mit der Sicherung sensibler ITAR-kontrollierter Daten in der Cloud.

    Stichworte: Datenschutz 101