Die Entwicklung von Rüstungselektronik und Verteidigungselektronik unterliegt besonderen Auflagen. Unternehmen, die als Elektronikentwicklungspartner Verteidigung agieren oder als technologischer Entwicklungspartner der Bundeswehr oder eines NATO-Partners auftreten möchten, müssen strenge Kriterien erfüllen. B2B-Einkäufer und technische Entscheider in der Verteidigungs- und Sicherheitsindustrie achten dabei genau auf Compliance und Sicherheit entlang der gesamten Lieferkette. Vom Umgang mit sensiblen Informationen bis zur Herkunft von Komponenten gibt es hohe Hürden. Gerade Elektronik für militärische Anwendungen stellt besondere Anforderungen an Hersteller und Dienstleister mit dem Blick auf Geheimnisschutz. Im Folgenden werden die zentralen Anforderungen strukturiert erläutert.
Beachtung der Staatenliste (§13 SÜG) und Nationenanforderungen bei NATO-Rüstungsprojekten
Sicherheit beginnt beim Personal und den beteiligten Ländern. Das deutsche Sicherheitsüberprüfungsgesetz (SÜG) sieht eine sogenannte Staatenliste vor – eine Liste von Staaten, bei denen für Personen in sicherheitsrelevanten Tätigkeiten besondere Risiken vermutet werden. Diese Liste umfasste zuletzt 26 Länder (Stand 2022), darunter beispielsweise China, Russland, Iran, Nordkorea, Syrien und weitere Staaten außerhalb des NATO-/EU-Raums. Dienstleister der Rüstungsindustrie Elektronik müssen darauf achten, dass Mitarbeiter mit Zugriff auf sensible Verteidigungsprojekte keine ungeklärten Verbindungen in solche Länder haben. Aufenthalte, familiäre Bindungen oder frühere Beschäftigungen in diesen Staaten müssen offengelegt werden und können zu Auflagen oder Ausschlüssen bei Sicherheitsüberprüfungen führen. In der Praxis werden Mitarbeiter dieser Herkünfte von NATO-Rüstungsprojekten ausgeschlossen. Das SÜG interpretiert den Einsatz von Mitarbeitern dieser Nationen als riskant, was den Einsatz dieser Mitarbeiter in Elektronik für Verteidigungssysteme stark einschränkt oder verhindert. Ausnahmen betreffen mitunter privatwirtschaftliche Rüstungsprojekte ohne staatlichen Bezug wie eigenfinanzierte Rüstungsvorhaben ohne Bundeswehr- oder NATO-Kunden.
Darüber hinaus gelten für NATO-Rüstungsprojekte spezielle Nationenanforderungen. Bei als NATO SECRET oder höher eingestuften Projekten dürfen in der Regel nur Angehörige von NATO-Mitgliedsländern auf die entsprechenden Informationen und Systeme zugreifen. So dürfen beispielsweise nur Staatsbürger der 32 NATO-Staaten für Positionen mit Zugriff auf NATO-Geheimnisse eingestellt werden. In Ausnahmefällen sind enge Partnerländer wie etwa Australien, Schweden oder die Schweiz einbezogen, doch auch dies erfordert besondere Abkommen.
Ein Entwicklungspartner in der Verteidigung muss folglich sein Personal entsprechend auswählen und gegebenenfalls Sicherheitsüberprüfungen (Ü1/Ü2/Ü3 nach SÜG) frühzeitig einleiten. Praktisch bedeutet dies: Wer z.B. Embedded Systems für ein NATO-Projekt entwickelt, sollte ausschließlich mit Personal planen, das die nötige Sicherheitsfreigabe erhalten kann (typischerweise NATO-Staatsangehörige mit einwandfreiem Hintergrund).
Auch die Unternehmensstruktur spielt hinein – Entwicklungspartner aus nicht-alliierten Staaten oder Entwicklungsstandorten in kritischen Ländern dürfte bei sicherheitsbewussten Auftraggebern auf Vorbehalte stoßen. Die Beachtung der Staatenliste gemäß SÜG und der NATO-Nationenanforderungen ist somit ein erster Filter, um vertrauenswürdige Elektronikentwicklung Rüstung zu gewährleisten.
Ausschluss von Herstellern mit Einschränkungen für militärische Nutzung
Neben dem Personal rückt die Auswahl der Zulieferer und Hersteller in den Fokus. In der Rüstungsindustrie ist Elektronik oft dual-use-fähig – Bauteile könnten zivil oder militärisch eingesetzt werden. Doch nicht jeder Hersteller ist bereit, seine Produkte in Waffen oder Verteidigungssystemen zu sehen. Daher gilt es, Hersteller mit Einschränkungen für militärische Nutzung konsequent auszuschließen.
Tatsächlich schließen einige Komponentenhersteller die Verwendung ihrer Produkte in Rüstungsgütern vertraglich aus. So verbietet etwa der japanische Hersteller Murata in seinen Exportkontrollrichtlinien die Nutzung seiner Elektronik in konventionellen Waffen oder Massenvernichtungswaffen. Der Speicherhersteller Kioxia verlangt von Kunden sogar eine Zusicherung, dass seine Chips nicht für Waffen oder militärische Endanwendungen verwendet werden. Solche Klauseln sind kritisch: Setzt man dennoch Bauteile dieser Hersteller ein, drohen Lieferstopps oder rechtliche Konsequenzen, sobald der Anwendungszweck bekannt wird. Ein vorausschauender Elektronikdienstleister Verteidigung prüft daher frühzeitig die AGB und Exportregeln seiner Lieferanten.
Andere Hersteller gehen einen etwas weicheren Weg: Sie empfehlen lediglich, ihre Produkte nicht in Militärgeräten einzusetzen, und schließen jegliche Haftung in solchen Fällen aus. Beispielsweise stellt Rohm klar, dass seine Komponenten nicht für militärische Zwecke oder andere „Spezialanwendungen“ ausgelegt sind; nutzt der Kunde sie dennoch im Rüstungsbereich, übernimmt Rohm keine Haftung, sofern nicht ausdrücklich anders vereinbart. Ähnliches findet sich bei Herstellern wie Littelfuse und Nexperia: Sie weisen darauf hin, dass ihre Produkte nicht für Militär, medizinische Lebenserhaltung oder sicherheitskritische Zwecke vorgesehen sind – bei zweckwidrigem Einsatz erlöschen Garantien und Gewährleistungen. Komponenten solcher Hersteller sollten möglichst gemieden werden, es sei denn, man trifft individuelle Abmachungen. Andernfalls riskiert man im Ernstfall den Verlust von Support oder Ersatzteilen, wenn der Lieferant vom militärischen Einsatzzweck erfährt.
In der Praxis hat sich gezeigt, dass Auftraggeber zunehmend sensibilisiert sind. Einige öffentliche Ausschreibungen verlangen explizit ITAR-freie und uneingeschränkt militärisch nutzbare Komponenten. Für Entwicklungspartner und Dienstleister bedeutet das strategisch: Bereits in der Entwicklungsphase muss geklärt werden, ob ein geplantes Bauteil „militärisch unbedenklich“ ist. Idealerweise baut man auf Lieferanten, die den Verteidigungssektor aktiv beliefern und unterstützen möchten. Elektronikentwicklung für Rüstung sollte die Lieferantenauswahl als Teil des Risiko- und Anforderungsmanagements begreifen, um spätere Einschränkungen auszuschließen.
Umsetzung eines ISMS
Verteidigungsprojekte gehen regelmäßig mit vertraulichen Daten, innovativer Technologie und teils sogar klassifizierten Informationen einher. Ein strukturiertes Informationssicherheits-Managementsystem (ISMS) ist daher unerlässlich, um diese Werte zu schützen.
Unternehmen, die Zugang zu als VS-NfD eingestuften Informationen erhalten, müssen bis spätestens 1. September 2025 eine Selbst-Akkreditierung vorlegen, in der eine verantwortliche Person bestätigt, dass alle IT-Sicherheitsanforderungen umgesetzt sind – inklusive eines etablierten ISMS. Erreicht werden kann dies beispielsweise durch Anwendung der BSI IT-Grundschutz-Standards oder eine ISO 27001-Zertifizierung. Leider ist das eine sehr breite Spanne an Maßnahmen. Ist der BSI-Grundschutz noch für die meisten Unternehmen erfüllbar, bedarf es bei einer ISO-27001-Umsetzung einer Umsetzungsspanne von mindestens 2-3 Jahren sowie umfassenden Management und Auditierungsmaßnahmen.
Für den Einstieg ist ein pragmatischer Ansatz möglich. So helfen bspw. VDA- und TISAX-Self-Assessment um Systeme hinsichtlich der Erfüllbarkeit von IT-Sicherheitsanforderungen zu prüfen. Maßnahmen wie Zugangskontrollen, Schulungen, Notfallpläne, regelmäßige Audits usw. sind in der Regel ohnehin im Lieferantenaudit abzuhaken.
Mit einem ISMS stellt ein Elektronikdienstleister der Verteidigung insgesamt systematisch sicher, dass Vertraulichkeit, Integrität und Verfügbarkeit sensibler Informationen gewahrt bleiben. Ein zertifiziertes ISMS nach ISO 27001 genießt bei Auftraggebern hohe Glaubwürdigkeit. Die Praxis zeigt, dass dies bis 2030 vermutlich vollumfänglich Pflicht für Lieferanten wird, die mit der Rüstungsindustrie sensible Daten austauschen.
Aufbewahrungs- und Löschrichtlinien für Entwicklungsgegenstände
In Entwicklungsprojekten der Verteidigungselektronik fallen häufig Prototypen, Muster und Testgeräte an, die sensible Technologien verkörpern. Der Umgang mit diesen Prototypen erfordert Regeln für Aufbewahrung und Löschung bzw. Vernichtung. Zum einen, um zu verhindern, dass vertrauliche Informationen durchsickern; zum anderen, um eine effiziente Projektorganisation und Compliance mit Pflichten gegenüber dem Auftraggeber sicherzustellen.
Aufbewahrungsrichtlinien legen fest, wo und wie Entwicklungsgegenstände gelagert werden. In vielen Fällen müssen physische Muster unter vergleichbaren Sicherheitsbedingungen verwahrt werden wie Verschlusssachen auf Papier. Das kann bedeuten: abschließbare, alarmgesicherte Schränke oder Räume, Zugriff nur für autorisiertes Personal, Inventarisierung aller Prototypen mit Seriennummer und Verbleib. Gerade bei sicherheitsrelevanter Elektronik für Verteidigungssysteme sollte jederzeit nachvollziehbar sein, welcher Prototyp sich wo befindet und wer Zugriff hatte. Ein betriebliches Register kann hier hilfreich sein, in dem Ein- und Ausgänge von vertraulichem Material dokumentiert werden. Außerdem gilt das Prinzip der Mindestaufbewahrung: Prototypen sollten nur so lange aufbewahrt werden, wie es für Entwicklungs- und Testzwecke nötig ist. Laufen Projekte aus oder werden Muster obsolet, greifen die Löschrichtlinien.
Dokumentation und Rückverfolgbarkeit aller eingesetzten Bauteile
In sicherheitskritischen elektronischen Systemen der Verteidigung ist es unverzichtbar, sämtliche verbauten Komponenten lückenlos zu dokumentieren. Rückverfolgbarkeit (Traceability) bedeutet, dass zu jedem Bauteil festgehalten wird, woher es stammt, welche Charge/Lot-Nummer es hat, und wo es im Endprodukt eingesetzt wurde. Diese Anforderung dient mehreren Zwecken: Qualitätssicherung, Sicherheit und auch spätere Wartbarkeit.
Zum einen schreibt die Qualitätssicherung nach Normen wie ISO 9001, EN 9100 (für Luft- und Raumfahrt) oder den NATO-Standards (z.B. AQAP) eine lückenlose Dokumentation vor. Verteidigungsprojekte, insbesondere in der Rüstungselektronik, unterliegen häufig ergänzenden Verträgen, die Berichte über Bauteilherkünfte und Prüfungen verlangen. Beispielsweise prüfen Stellen der Bundeswehr (wie die Zentrale militärische Qualitätssicherung) bei Audits, ob der Auftragnehmer Prüf- und Dokumentationsprozesse etabliert hat und auch seine Zulieferkette im Griff hat. Ein Elektronikdienstleister in der Verteidigung muss also in der Lage sein, jederzeit nachzuweisen, welche Komponente von welchem Hersteller in welcher Version verbaut wurde.
Gründliche Rückverfolgung ermöglicht es auch, bei Änderungen oder Upgrades im Feld genau zu wissen, was ersetzt werden muss. Beispielsweise, wenn es ein Elektronik für Verteidigungssysteme im Feld ein Software-Update braucht, ist es wichtig zu wissen, welcher Hardwarestand vorliegt – das geht nur mit sauberer Dokumentation aller Komponenten.
Zusammenarbeit mit erprobten Defence-EMS
Die Wahl der richtigen Fertigungspartner ist für Entwicklungsprojekte im Verteidigungssektor ebenfalls strategisch entscheidend. Oft verfügen die Entwicklungsdienstleister nicht über eigene Produktionsstraßen, sondern arbeiten mit Electronics Manufacturing Services (EMS) zusammen, die auf Fertigung und Bestückung spezialisiert sind.
Europäische oder deutsche Fertigungsstätten unterliegen den hiesigen Exportkontrollgesetzen und Sicherheitstandards, was das Risiko politisch motivierter Lieferstopps senkt. Auch die Nähe ist ein Faktor: Ein deutscher Auftraggeber kann deutlich einfacher einen inländischen EMS auditieren oder bei Problemen persönlich aufsuchen, als wenn die Produktion etwa in Fernost stattfände.
Hinzu kommt der Schutz geistigen Eigentums: Innerhalb der EU gelten weitreichende Regeln zum Schutz von Betriebsgeheimnissen. Ein technologischer Entwicklungspartner der Bundeswehr, der in Deutschland fertigt, kann eher sicherstellen, dass seine Baupläne und Quellcodes nicht unkontrolliert abfließen. Fertigt man hingegen in Regionen mit anderen Rechtslagen, steigt das Risiko von Know-how-Verlust. Zudem spielt die Abschirmung vor Spionage eine Rolle.
EMS werben sogar zum Teil damit, ITAR-frei produzieren zu können – das heißt, sie nutzen vorzugsweise Bauteile aus nicht-amerikanischen Quellen, um keine US-Reexportbeschränkungen zu triggern. So etwas kann ein Wettbewerbsvorteil sein, wenn der Endkunde Exportflexibilität wünscht.
Fazit
Die aufgeführten Anforderungen verdeutlichen, dass Projekte im Bereich Elektronik für militärische Anwendungen auf vielen Ebenen durchdacht sein müssen – von personeller Sicherheit über Lieferantenauswahl bis hin zu Qualitäts- und Informationssicherheitsaspekten. Dienstleister und Entwicklungspartner, die diese Anforderungen erfüllen, schaffen Vertrauen und minimieren Risiken für ihre Auftraggeber. Wer die genannten Kriterien erfüllt, positioniert sich nicht nur als Entwicklungspartner der Verteidigung als erste Wahl, sondern leistet auch einen Beitrag zur Souveränität der Europäischen Union.
