Unterliegt Ihr Unternehmen den ITAR- oder EAR-Vorschriften? Wenn Sie sich nicht sicher sind, sollten Sie das unbedingt herausfinden – und zwar schnell. Andernfalls kann die Nichteinhaltung der Vorschriften schwerwiegende Folgen für Sie haben. Um herauszufinden, welchen Vorschriften Ihr Unternehmen unterliegt, erfahren Sie, was ITAR und EAR abdecken und wie eine Dateifreigabelösung die Einhaltung der Vorschriften erleichtern kann.
Die International Traffic in Arms Regulations (ITAR)
ITAR regelt die Ausfuhr von Verteidigungsgütern und -dienstleistungen mit dem Ziel, Materialien nicht in die Hände ausländischer Staatsangehöriger gelangen zu lassen. Diese Vorschriften gelten sowohl für staatliche Auftragnehmer als auch für Unterauftragnehmer, und die Artikel und Dienstleistungen, die unter diese Vorschriften fallen, sind in der United States Munitions List (USML) aufgeführt.
Auch wenn Ihr Unternehmen keine Raketen oder Panzer herstellt, kann es sein, dass Sie sich an ITAR halten müssen. Die USML umfasst eine breite Palette von Produkten, Dienstleistungen und technischen Daten, wie Fahrzeuge, Munition, Flugzeuge und mehr. Sie umfasst aber auch Artikel, von denen Sie es vielleicht nicht erwarten, wie militärisches Schulungsmaterial, Verschlusssachen und andere Daten.
ITAR regelt speziell die Einfuhr, die Ausfuhr und die vorübergehende Einfuhr und Ausfuhr von Produkten, Daten und Dienstleistungen, die unter die USML fallen. Das Versenden eines ITAR-abgedeckten Dokuments per E-Mail gilt als Datenexport, so dass Unternehmen besonders darauf achten müssen, wie ihre Daten weitergegeben werden.
Es mag zwar einfach klingen, USML-abgedeckte Artikel nur zugelassenen US-Bürgern zugänglich zu machen, doch kann dies komplexer sein, als es scheint. Es könnte bedeuten, dass der Zugang eines ausländischen Staatsbürgers, selbst eines Mitarbeiters Ihres Unternehmens, eingeschränkt werden muss, um sensible Hardware und Daten zu schützen.
Die Export Administration Regulations (EAR)
Die EAR decken die kommerzielle Komponente der Ein- und Ausfuhr von Produkten und Daten ab. Sie gilt für Güter mit doppeltem Verwendungszweck, die sowohl für den kommerziellen Verkauf als auch für den staatlichen Gebrauch zur Verfügung stehen, wie GPS-Systeme oder Hochleistungscomputer.
Güter, die den EAR unterliegen, sind in der Commercial Control List (CCL) in einigen wenigen Kategorien von Produkten oder Dienstleistungen aufgeführt:
-
Nuklear und Sonstiges
-
Materialien, Chemikalien, Mikroorganismen, und Toxine
-
Materialverarbeitung
-
Elektronik
-
Computer
-
Telekommunikation
-
Informationssicherheit
-
Sensoren und Laser
-
Navigation und Avionik
-
Marine
-
Luft- und Raumfahrt und Antrieb
Da jede der Kategorien sehr breit gefächert ist, muss Ihr Unternehmen wahrscheinlich ein wenig recherchieren oder sich mit einem U.S. Department of Commerce, Bureau of Industry and Security (BIS) in Verbindung setzen, um festzustellen, ob Ihre Produkte unter eine dieser Kategorien fallen. Das BIS ist die Regierungsbehörde, die die Einhaltung der EAR-Vorschriften regelt und durchsetzt.
ITAR vs. EAR: Wie sie sich unterscheiden
Es ist leicht zu sagen, dass ITAR die Ausfuhr aller verteidigungsrelevanten Materialien und Gegenstände abdeckt und die EAR alles andere. Es kann jedoch einige Zeit dauern, diese ähnlichen, aber unterschiedlichen Vorschriften zu entwirren. Nachdem Sie nun eine bessere Vorstellung davon haben, was ITAR und was EAR abdeckt, sehen Sie sich die drei Hauptbereiche an, in denen diese Verordnungen voneinander abweichen:
-
Regulierungsstelle: ITAR wird vom US-Außenministerium, Directorate of Defense Trade Controls (DDTC), reguliert, während EAR vom US-Handelsministerium, Bureau of Industry and Security (BIS), reguliert wird.
-
Regulierte Güter: ITAR deckt alle Verteidigungsartikel und -dienstleistungen ab, während EAR kommerzielle Artikel und Technologien mit doppeltem Verwendungszweck abdeckt.
-
Wo regulierte Artikel aufgeführt sind: ITAR-abgedeckte Artikel finden Sie auf der United States Munitions List (USML), während EAR-Artikel auf der Commercial Control List (CCL) aufgeführt sind.
Diese Zusammenfassung der Unterschiede zeigt, dass ITAR und EAR zwar unterschiedlich, aber in vielerlei Hinsicht parallele Vorschriften sind. Und letztlich haben beide das gleiche Ziel – sensible Materialien oder Gegenstände davor zu schützen, in die falschen Hände zu geraten.
Where File Sharing and Compliance Meet
Sie kennen wahrscheinlich bereits die schwerwiegenden Konsequenzen, die sich aus der Nichteinhaltung von Regierungsvorschriften ergeben können. Die Nichteinhaltung der ITAR- und EAR-Vorschriften kann Ihr Unternehmen erhebliche Geldstrafen und Geschäftseinbußen kosten. Es könnten sogar noch ernstere Konsequenzen wie strafrechtliche Anklagen auf Sie zukommen. Daher müssen Sie unbedingt für die Einhaltung der Vorschriften sorgen.
Einer der ersten Schritte, die Sie zum Schutz vor Nichteinhaltung der Vorschriften unternehmen sollten, ist die Einführung einer sicheren Dateifreigabelösung. Da beide Verordnungen nicht nur Hardware, sondern auch Daten betreffen, benötigen Sie eine Möglichkeit, diese Daten sowohl intern als auch extern auszutauschen, ohne dass sensible Informationen gefährdet werden.
Auch wenn Sie vielleicht nicht im herkömmlichen Sinne „exportieren“, werden Sie möglicherweise Informationen austauschen und an andere Parteien senden. Der Export von Daten ist heute in den meisten Unternehmen an der Tagesordnung. Wenn Sie ITAR- oder EAR-bezogene Informationen sowohl intern als auch an Ihre Kunden senden, müssen Sie Standards festlegen, um Ihre Daten sicher zu halten, unabhängig davon, wer sie weitergibt und mit wem sie geteilt werden.
Wenn Sie eine sichere Dateifreigabelösung verwenden, verfügen Sie über die erforderlichen Werkzeuge, um Ihre Daten sicher zu halten. Insbesondere ITAR beschreibt eine Reihe von Möglichkeiten zum Schutz Ihrer Daten, die in vier Kategorien unterteilt sind:
-
Zugangskontrollen
-
Der Zugriff auf Daten darf nicht über öffentliche Computer erfolgen. Sichere Dateifreigabelösungen ermöglichen es Ihnen, den Zugriff nach IP-Adresse einzuschränken, so dass der Zugriff auf Konten und Daten nur von zugelassenen, sicheren Computern erfolgt.
-
Der Zugriff auf Konten kann nur über Authentifizierungsmethoden gewährt werden. Das bedeutet, dass Konten mit Benutzernamen, Passwörtern, SSH-Schlüsseln usw. geschützt werden müssen.
-
ITAR-regulierte Daten müssen physisch geschützt werden. Wählen Sie einen FTP-Anbieter, der von einem sicheren Standort aus operiert.
-
Systemverwaltung
-
Aktualisieren Sie regelmäßig die Software zum Schutz vor Malware. Die besten FTP-Hosts verwalten und aktualisieren alle Software-Sicherheitsmaßnahmen.
-
Hardware, die Zugang zu kontrollierten Daten bietet, sollte über aktuelle Sicherheits-Patches und Updates verfügen. Ihr File-Sharing-Host verwaltet die sichere Lösung für Sie.
-
Elektronische Medien sollten gemäß NIST 800-88 gelöscht werden. Die besten Dateifreigabelösungen erfüllen dieses Mandat, ebenso wie Ihr Unternehmen.
-
Daten müssen bei der Speicherung verschlüsselt werden. Dies ist eine der Hauptfunktionen einer sicheren Filesharing-Lösung. Bei einer erstklassigen File-Sharing-Lösung werden die Daten automatisch verschlüsselt.
-
Datenübertragung
-
Übertragen Sie keine unverschlüsselten Daten. Mit einer sicheren Lösung für die gemeinsame Nutzung von Dateien können Administratoren die Verschlüsselung von Daten als Voraussetzung für die gemeinsame Nutzung von Dateien durchsetzen.
-
Wireless-Netzwerke sollten verschlüsselt werden. Dies liegt in der Verantwortung des Unternehmens, nicht des FTP-Hosts.
-
Überwachen Sie den ein- und ausgehenden Datenverkehr. Branchenführende Filesharing-Lösungen bieten Aktivitätsprotokolle, die zeigen, wer auf Daten zugreift. Sie können den Zugriff auch auf der Grundlage von Land und IP-Adresse kontrollieren.
-
Erkennen Sie Datenverletzungen, wenn sie auftreten. Mit einer Dateifreigabelösung wie FTP Today sind Sie durch Maßnahmen zur Erkennung und Verhinderung von Eindringlingen geschützt, um unbefugten Zugriff zu verhindern.
-
Subunternehmer müssen sich an Vorschriften halten. Als Subunternehmer garantieren die besten Anbieter von File-Sharing-Lösungen, dass Ihre Daten auf ihrer Seite nicht missbraucht werden.
-
Ausführbare Software auf gemeinsam genutzten Systemen
-
Verzeichnisse, die Software enthalten, haben strenge Zugriffsberechtigungen. Wenn Sie sich für eine FTP-Lösung wie FTP Today entscheiden, stellt der Host sicher, dass alle Software in isolierten Verzeichnissen enthalten ist.
-
Audit-Protokolle sind aktiviert und werden gesichert. Ihr FTP-Host stellt Protokolle bereit, die so lange aufbewahrt werden, wie Sie sie benötigen.
-
Systeme sollten nur von US-Bürgern verwaltet werden. FTP Today zum Beispiel beschäftigt nur US-Bürger, um die Einhaltung dieser Vorschrift zu gewährleisten.
-
Nur US-Bürger sollten physischen Zugang zu den Systemen haben. Die besten FTP-Hosts gewährleisten die Sicherheit an den Standorten ihrer physischen Infrastrukturen.
Der beste Weg, sich gegen all diese Vorschriften abzusichern, besteht darin, eine File-Sharing-Lösung zu wählen, mit der Sie die Vorschriften einhalten und Ihre Daten schützen können. Ein Dateifreigabe-Host kann sich auf die Komplexität der Einhaltung von Vorschriften in Bezug auf die Dateifreigabe konzentrieren, und Sie können sich wieder auf Ihr Geschäft konzentrieren.
Möchten Sie mehr darüber erfahren, wie Sie die ITAR-Vorschriften einhalten können? Lesen Sie diesen Leitfaden über die Einhaltung der ITAR-Bestimmungen und ihre Auswirkungen auf den Datenaustausch.