Unter ITAR versteht man die International Traffic in Arms Regulations aus den USA. Hierbei handelt es sich um den Waffenhandel und z.B. um den Handel mit Munition. Im Rahmen dessen müssen bestimmte Herausforderungen organisatorischer Natur und auch im Rahmen des Betriebs von technischen Einrichtungen, wie Microsoft365 und Infrastruktur in Azure angepasst und umgesetzt werden.
Im Rahmen des großen Finanzierungspaketes der Bundesregierung von 100 Mrd. Euro interessieren sich auch in Deutschland immer mehr Unternehmen hier einzusteigen und liefern zu können. Insbesondere werden Unternehmen im Bereich des Dual-Use einsteigen, also Güter herstellen, die auch im Bereich der Rüstung genutzt werden können. Viele dieser Unternehmen setzen bereits Microsoft 365 oder auch Azure für Ihre Cloud Infrastruktur ein.
Nun heißt es das Delta festzustellen und die Umgebungen so umzubauen, und dies möglichst so, dass nicht insgesamt die Umgebung umgebaut werden muss.
ITAR
Die Internation Traffic in Arms Regulations (ITAR) ist eine staatliche Kontrolle gerade der Güter die auf der United States Munitions List (USML) stehen. Beispielsweise gehören dazu Feuerwaffen mit hülsenloser Munition oder auch Vollautomatische Feuerwaffen bis einschließlich Kaliber .50 (12,7 mm) bis hin zu Geschütze, Haubitzen, Artillerie und Kanonen.
Es geht also um den Bereich der Regulatorik in den USA und den Waffenhandel mit und in den USA.
ITAR-Verstöße können der nationalen Sicherheit und der Außenpolitik der USA schaden und können zivil- und strafrechtliche Strafen sowie andere Kosten (einschließlich Rufschädigung und Widerruf/Ablehnung von Ausfuhrgenehmigungen) nach sich ziehen.
Um die Einhaltung der ITAR zu gewährleisten, fordert das Directorate of Defense Trade Controls registrierte Exporteure, Hersteller, Makler und andere im Verteidigungshandel tätige Personen nachdrücklich auf, Programme zur Einhaltung der ITAR zu unterhalten, die bei der Überwachung und Kontrolle von Exporten und anderen regulierten Aktivitäten helfen.*1
Beispiele
Datenklassifikation
Eines meiner Lieblingsthemen kommt auch bei ITAR zu tragen, die Datenklassifikation. Nur damit lässt sich überwachen und kontrollieren welche Daten wohin fließen und dass bestimmte Daten, wie Bauskripten und Baupläne von geschützt werden müssen. Damit kommt neben der Klassifikation auch der Bereich der Verschlüsselung. Diese wird im Compliance Center geführt.
Eine Datenklassifikation mit Microsoft Purview Information Protection kann sowohl in Microsoft 365, als auch mit Purview in Azure erfolgen. Dies für strukturierte (Datenbanken)und nicht strukturiere Daten (z.B. Dokumente).
Überwachung und Kontrolle
Es ist nötig den Handel und die Ausfuhr von Informationen und auch Unterlagen wie Lieferscheine und Ausfuhrdokumente zu kontrollieren und damit direkt und indirekt die ITAR Compliance herzustellen. Hierzu bieten sich verschiedene Werkzeuge an:
- Microsoft Priva
- Audiotlogs
- Defender for Cloud Apps
- Azure Sentinel
Eine genauere Darstellung findet sich im Compliance Center.
Links
*1 https://www.pmddtc.state.gov/ddtc_public/ddtc_public?id=ddtc_public_portal_compliance_landing