Kurzfassung. Spätestens 2026 sind ITAR-Exportkontrolle und CMMC 2.0 nicht mehr bloße Zukunftsthemen - sie stecken verbindlich in Verträgen, inklusive spürbarer Sanktionen bei mangelhafter Zugriffsteuerung. Ein inaktives SaaS-Konto eines ausgeschiedenen Dienstleisters mit Zugriff auf ITAR-kontrollierte technische Daten ist nicht mehr nur ein IT-Rückstand; es ist potenzieller Beweis für einen unautorisierten Export. Dieser Beitrag erklärt den Wandel, wie Prüfer Dienstleister-Zugriffe unter die Lupe nehmen und wie moderne Identity Governance - wie bei Iden - sich weiterentwickeln muss.

Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Holen Sie für verbindliche Auslegungen von ITAR, EAR und verwandten Vorschriften stets qualifizierten Exportkontroll-Rechtsrat ein.

Die Enforcement-Landschaft 2026: Wenn ITAR auf CMMC trifft

Über Jahre liefen Exportkontrolle und Cybersicherheitsvorgaben weitgehend getrennt. 2026 wachsen sie zusammen - und rücken Identity- und Access-Management ins Zentrum.

Wichtige Meilensteine 2025-2028, die Sie nicht ignorieren können

Die CMMC 2.0 Acquisition Rule des Verteidigungsministeriums (48 CFR/DFARS) ist seit dem 10. November 2025 in Kraft; CMMC-Anforderungen sind damit in neuen DoD-Verträgen durchsetzbar

Phase 2 der CMMC-Durchsetzung beginnt am 10. November 2026, wenn Third-Party-Zertifizierungen auf Level 2 für Verträge mit Controlled Unclassified Information (CUI) verpflichtend werden

Die vollständige CMMC-Umsetzung ist bis zum 10. November 2028 geplant. Nahezu alle nicht-COTS-DoD-Verträge werden ein CMMC-Level als Vergabebedingung verlangen

Parallel dazu hat die DDTC (das vom Außenministerium beauftragte ITAR-Sekretariat) die Erwartungen an Exportkontroll-Compliance verschärft und verweist ausdrücklich auf Zugriffskontrollen, Monitoring und dokumentierte Verfahren als essenzielle Elemente.

Finden Sie ungenutzte Lizenzen

Konkret bedeutet das:

  • ITAR und CMMC sind in Verträgen verknüpft. Verteidigungsauftragnehmer, die ITAR-kontrollierte Daten verarbeiten, arbeiten fast immer auch mit CUI und unterliegen damit CMMC Level 2 auf Basis von NIST SP 800-171.
  • Identity Controls sind jetzt auditierbare Exportkontrollen. Wer auf exportkontrollierte Daten zugreifen kann und wie schnell Konten entzogen werden, sind Kernfragen der Compliance - nicht nur Themen der IT-Administration.
  • 2026 geht es um Beweise, nicht um Absichten. Selbstzertifizierungen und Policy-Dokumente werden durch Anforderungen ersetzt, Bewertungsscores im SPRS zu hinterlegen, Third-Party-Assessments durchzuführen und die technische Durchsetzung von Zugriffsregeln im Live-Betrieb zu belegen.

Warum verwaiste Dienstleister-Konten heute Exportkontroll-Risiken sind

ITAR wird oft mit physischen Exporten verbunden, doch für SaaS-geprägte Organisationen liegt das eigentliche Risiko darin, wer über den Browser auf technische Daten zugreifen kann.

Wie ITAR einen "Export" in Ihrem SaaS-Stack tatsächlich definiert

Nach ITAR und zugehöriger Exportkontroll-Guidance gilt:

  • Jede Weitergabe oder Übermittlung von ITAR-kontrollierten technischen Daten an eine ausländische Person in den USA gilt als Export in das Heimatland bzw. die Heimatländer dieser Person (die "Deemed Export"-Regel)
  • Eine "Weitergabe" umfasst visuelle Einsicht, Downloads oder die Nutzung von Zugangsdaten bzw. Zugriffsinformationen, die es einer ausländischen Person ermöglichen, die Daten einzusehen.

Ist ein verwaistes Konto mit einem ausländischen Staatsangehörigen verknüpft - oder für ihn zugänglich - und fehlt die entsprechende Autorisierung, interessieren sich Aufsichtsbehörden nicht für Nutzungslogs oder Absichten. Die Kernfrage lautet: Hatte eine ausländische Person die Möglichkeit, ohne ordnungsgemäße Autorisierung oder Kontrollen auf ITAR-Technikdaten zuzugreifen?

Verwaiste Dienstleister-Konten in:

  • Jira-Projekten mit exportkontrollierten Entwicklungs-Tickets
  • GitHub-Repositories mit ITAR-Code oder -Modellen
  • Confluence- oder Notion-Bereichen mit kontrollierter Dokumentation

...sind latente Deemed-Export-Verstöße, die in Audits oder Ermittlungen sichtbar werden.

Nur U.S. Persons, Need-to-know und ausufernde Dienstleister-Landschaft

Viele ITAR-Verträge und Technology Control Plans (TCPs) verlangen ausdrücklich:

  • Zugriff ausschließlich für U.S. Persons auf bestimmte Systeme oder Datensätze ("U.S. Person" im Sinn der Exportkontrolle, nicht nur laut HR-Staatsbürgerschaftsfeld).
  • Strikte Need-to-know-Segmentierung, also Zugriff nur für Personal, das für den jeweiligen Vertrag tatsächlich erforderlich ist.

Diese Vorgaben kollidieren mit weit verbreiteten Praktiken im Umgang mit Dienstleistern:

  • Geteilte Vendor-Konten statt individueller Identitäten
  • Zugriffe werden nach Vorbild früherer Dienstleister kopiert
  • Nicht erfasste Enddaten oder fehlende Offboarding-Prozesse
  • Lücken beim Nachweis, welche Konten U.S. Persons und welche ausländische Staatsangehörige sind

Wenn CMMC- und ITAR-Audits fordern: "Zeigen Sie mir exakt, wer in diesem Zeitraum auf exportkontrollierte Daten zugreifen konnte, und belegen Sie die Durchsetzung von U.S.-Person-only und Need-to-know", werden diese Schwächen zu Compliance-Risiken.

German (de-DE)

Decken Sie Ihre Shadow-IT auf

Sanktionen: Warum Aufsichtsbehörden jetzt Ihre Identity-Hygiene prüfen

Die finanziellen und operativen Konsequenzen machen es logisch, dass Aufseher Identity Management genau untersuchen.

Seit 2025 können zivilrechtliche Strafen für die meisten ITAR-Verstöße bei rund 1,27 Millionen US-Dollar pro Verstoß oder dem Doppelten des Werts des zugrundeliegenden Geschäfts liegen, inflationsbereinigt

Strafrechtliche Verstöße gegen den Arms Export Control Act (AECA) und ITAR können mit Geldstrafen von bis zu 1 Million US-Dollar pro Verstoß und Freiheitsstrafen von bis zu 20 Jahren geahndet werden

Aktuelle Enforcement-Fälle verdeutlichen den Trend:

  • 3D Systems zahlte 2023 eine Strafe von 20 Millionen US-Dollar wegen unautorisierter Exporte, darunter unlizenzierter Zugriff durch ausländische Mitarbeitende
  • Raytheon (heute RTX) einigte sich 2024 auf einen Vergleich von knapp 950 Millionen US-Dollar, unter anderem wegen angeblicher ITAR- und AECA-Verstöße

Nicht jeder Auftragnehmer wird mit Summen in dieser Größenordnung konfrontiert, aber die Botschaft ist eindeutig: "Wir wussten nicht, dass das Konto noch aktiv war" ist keine Verteidigung. Schwache Identity Governance wird inzwischen als eigentliche Ursache gewertet.

Wo manuelles Access Management und SSO unter ITAR an Grenzen stoßen

SSO und rollenbasierte Gruppen sind wichtig, aber nicht ausreichend.

Die SSO-Deckungslücke

Die meisten Defense Contractor setzen heute auf Okta oder Entra ID. Das löst das Thema Authentifizierung, adressiert aber Governance nur teilweise:

  • Viele ITAR-relevante Tools (PLM, Konstruktionssoftware, Lieferantenportale) unterstützen weder SCIM noch leistungsfähige APIs.
  • Wo SCIM existiert, steuert es meist Gruppenmitgliedschaften, nicht die fein granulierten Projekt-, Repo- oder Umgebungsberechtigungen, die für technische Daten notwendig sind.

Untersuchungen von Iden zeigen: SSO automatisiert nur einen Teil des Stacks; manuelle Governance bleibt insbesondere dort bestehen, wo sich verwaiste und "Zombie"-Konten ansammeln - und genau dort liegen häufig ITAR-Daten.

Manuelle Dienstleister-Workflows bestehen 2026 vor Prüfern nicht

Typische Problembilder 2026:

  • HR-E-Mails oder Slack-Nachrichten wie "Bitte diesen Dienstleister zum Missile-Guidance-Board in Miro hinzufügen" ohne strukturierte Workflows
  • Geteilte Vendor- oder Herstellerkonten mit gemeinsam genutzten Passwörtern
  • Vierteljährliche Access Reviews in Tabellen, bei denen Führungskräfte freigeben, ohne Zuweisungen wirklich zu überprüfen

CMMC Level 2 geht davon aus, dass Sie nahezu in Echtzeit belegen können:

  • Details zur Kontoanlage inklusive Freigaben
  • Welche Systeme und Daten eine Person potenziell erreichen konnte
  • Wann und wie sich ihre Zugriffe verändert haben
  • Wann Zugriffe widerrufen wurden - und dass dieser Widerruf in allen Systemen technisch durchgesetzt wurde

Wenn Ihr Compliance-Nachweis über Okta-Gruppen, Jira-Tickets, Tabellen und E-Mails verstreut ist, verlassen Sie sich auf Dokumentation, während die Aufsicht zunehmend evidenzbasierte Compliance verlangt.

Erstellen Sie revisionssichere Belege

Was Prüfer 2026 im Umfeld Dienstleister-Zugriff sehen wollen

ITAR und CMMC haben unterschiedliche Wurzeln, laufen aber bei zentralen Identity-Governance-Fragen zusammen.

Die Kontrollfragen hinter den Vorschriften

Auditoren und Assessoren werden fragen:

  • Transparenz über den Account-Lebenszyklus

    • Können Sie alle Joiner/Mover/Leaver-Ereignisse für ITAR-Dienstleister belegen?
    • Werden Start- und Enddaten technisch erzwungen?

  • Prüfungen zu U.S. Person und Export-Autorisierung

    • Gibt es ein verlässliches Attribut für U.S.-Person-Status und Exportfreigabe?
    • Werden diese Attribute in Provisioning-Workflows durchgesetzt?

  • Need-to-know-Durchsetzung

    • Werden Berechtigungen auf Projekt-/Repo-/Space-Ebene geschnitten?
    • Gibt es eine dokumentierte Begründung für jeden Zugriff?

  • Access Review und Rezertifizierung

    • Rezertifizieren Führungskräfte Dienstleister-Zugriffe regelmäßig?
    • Wird Evidenz automatisch erfasst - und nicht erst kurz vor einem Audit erzeugt?

  • Audit Trails und Forensik

    • Können Sie für ein beliebiges Datum rekonstruieren, welche Personen sich in ITAR-Systeme einloggen konnten und welche Zugriffe sie hatten?

Anforderungen auf Identity-Governance-Fähigkeiten abbilden

Testen Sie Ihre Compliance, indem Sie regulatorische Erwartungen auf Identity-Funktionen mappen:

Regulatorische Erwartung Identity- & Access-Anforderung Was Prüfer 2026 sehen wollen
Beschränkung von ITAR-Daten auf autorisierte U.S. Persons und Lizenznehmer Identity-Attribute für U.S. Person / Nationalität; Policy-gesteuerte Workflows, die diese Attribute in jedem System durchsetzen Nachweis, dass Nicht-U.S. Persons ohne dokumentierte Ausnahme nicht in ITAR-Systeme provisioniert werden können
Zugriff strikt nach Need-to-know Fein granulierte Berechtigungen auf Projekte, Repos, Spaces, Umgebungen - nicht nur breite Rollen Access Maps, die Entitlements auf konkrete Vertragsarbeiten oder Tasks zurückführen, nicht nur auf Jobtitel
Robustes Account Management nach CMMC Level 2 (NIST 800-171) Automatisierte Joiner/Mover/Leaver-Flows; zeitlich begrenzter Zugriff; kein manuelles Enddaten-Tracking Logs zu Kontoanlage/Deaktivierung und dazu, wie Rollenänderungen freigegeben wurden
Kontinuierliches Monitoring und zeitnahe Entziehung von Rechten Zentrale Sicht auf alle Identitäten inklusive Dienstleister- und Servicekonten Dashboards/Reports, die null oder nahezu null verwaiste Konten in exportrelevanten Systemen ausweisen

Wenn Ihre aktuellen Tools diese Sicht nicht schnell bereitstellen können, gehen Auditoren von Lücken aus - selbst bei besten Absichten.

Contractor Access Management für ITAR und CMMC gestalten

Im Folgenden ein Schritt-für-Schritt-Framework für IT- und Compliance-Verantwortliche, um vor den Audits 2026 handlungsfähig zu sein.

1. Eine echte Inventur exportkontrollierter Daten und Systeme erstellen

Identifizieren Sie, wo ITAR-Technikdaten und CUI liegen:

  • CAD-/PLM-Tools, Code-Repositories, Dokumenten-Systeme
  • Issue Tracker und Collaboration-Tools
  • Lieferanten- und Fertigungsportale

Verknüpfen Sie diese Systeme mit Verträgen und Exportgenehmigungen. Das ist der Scope, der präzise Kontrolle erfordert.

2. Jeden Dienstleister als vollwertige Identität behandeln

Behandeln Sie Dienstleister nicht als generische Vendor-Konten.

Jede Dienstleister-Identität sollte haben:

  • Ein eindeutiges, nicht geteiltes Konto
  • Verifizierte U.S.-Person-/Export-Autorisierungsattribute
  • Vertrags-Start-/Enddaten als Steuergröße für automatisiertes Provisioning und Deprovisioning
  • Zuordnung zu einer verantwortlichen internen Sponsor-Person

Innerhalb von Iden werden Mitarbeitende, Dienstleister und Servicekonten in einem gemeinsamen System of Record geführt.

3. Joiner/Mover/Leaver-Flows über alle Apps automatisieren - nicht nur über SCIM-Apps

Solange ITAR-Dienstleister-Zugriffe von manuellen Ticket-Abschlüssen abhängen, bleiben Risiken bestehen.

Sie benötigen:

  • Automatisierte, rollenbasierte Zugriffe, gesteuert über Identity-Attribute und Vertragsdaten
  • Zeitlich begrenzte, projektbezogene Zugriffe, die auslaufen, wenn sie nicht aktiv verlängert werden
  • Zero-Touch-Offboarding, ausgelöst aus HRIS oder Vendor-Management, das Zugriffe in allen Apps widerruft

Iden-Kunden konnten durch automatisiertes Provisioning und Deprovisioning über mehr als 175 Apps - inklusive nicht-SCIM-Tools - innerhalb von 60 Tagen bis zu 80 % der manuellen Access-Tickets eliminieren

Für ITAR bedeutet das: deutlich weniger verwaiste Dienstleister-Konten in Ihrer Umgebung.

4. Über Gruppen hinausgehen: Need-to-know auf Projekt- und Repo-Ebene durchsetzen

ITAR-Anforderungen zielen auf die tatsächliche Datenexposition, nicht auf abstrakte Jobfunktionen.

Iden ermöglicht fein granulierte Kontrolle:

  • Slack: Zugriffe auf Channel- und Workspace-Ebene
  • GitHub/GitLab: Berechtigungen auf Repo- und Branch-Level
  • Jira/Linear: Rollen auf Projektebene

Die Connectoren von Iden steuern Zugriffe auf Channel-, Repository- und Projektebene und gehen damit weit über das gruppenbasierte SCIM-Modell hinaus, um echtes Need-to-know durchzusetzen

Bei exportkontrollierten Programmen wird Ihr Technology Control Plan so zur automatisierten Realität: Nur U.S.-Person-Identitäten mit passenden Attributen und Projekt-Tags erhalten Zugang zu ITAR-Bereichen.

5. Access Reviews in kontinuierliche, automatisierte Evidenz verwandeln

Vierteljährliche oder jährliche Access Reviews sind ausdrücklich gefordert und eine Best Practice für CMMC Level 2 und ITAR.

Ersetzen Sie manuelle Verfahren durch IGA-gesteuerte Prozesse, die:

  • Zielgerichtete Kampagnen erzeugen (z. B. "Alle Dienstleister mit Zugriff auf ITAR-getaggte Repos")
  • Automatisch an die richtigen Verantwortlichen routen
  • Kontext bereitstellen: letzter Login, Projekt, Vertrag, Begründung
  • Freigaben/Ablehnungen erfassen und Zugriffe automatisch anpassen oder entziehen

Iden-Nutzer berichten, dass sie pro Quartal rund 120 Stunden bei User Access Reviews einsparen, indem sie Zertifizierungen und Beweiserfassung automatisieren

Beschleunigen Sie Ihre JML-Prozesse

Für Defense Contractor mit ITAR- und CMMC-Audits ist das der Unterschied zwischen hektischem Reagieren und einer sauberen, sofort vorzeigbaren Audit-Historie.

6. Audit Trails für Multi-Framework-Compliance normalisieren

ITAR, CMMC, SOC 2, HIPAA und branchenspezifische Vorgaben fokussieren letztlich dieselben Identity-Themen.

Iden führt einen einheitlichen, normalisierten Audit Trail, der erfasst:

  • Access Requests
  • Freigaben (inklusive zugrunde liegender Policies)
  • Zeitpunkte von Vergabe und Entzug
  • Betroffene Systeme und Entitlements

Compliance-Teams erhalten damit eine zentrale "Source of Truth", filterbar nach regulatorischem Kontext - ohne redundante Evidenzerstellung.

Konkrete nächste Schritte für 2026

Überführen Sie diese Prinzipien in einen Umsetzungsplan für IT, Security und Compliance:

  1. Führen Sie einen Orphaned-Account-Drill auf Ihren ITAR-Systemen durch.

    • Wählen Sie ein exportkontrolliertes System (z. B. PLM oder Code-Host).
    • Erfassen Sie alle aktiven externen Konten und Dienstleister-Konten.
    • Prüfen Sie für jedes Konto Vertragsstatus, U.S.-Person-Berechtigung und Projektbeteiligung.

  2. Mappen Sie Ihre Identity-Abdeckung auf den exportkontrollierten Scope.

    • Listen Sie alle ITAR-relevanten Apps auf: Welche werden vollständig durch IGA/SSO gesteuert, welche manuell?
    • Untersuchen Sie Long-Tail-SaaS, Lieferantenportale und Collaboration-Tools besonders genau.

  3. Definieren Sie Ihr Compliance-Zielbild vor dem nächsten Audit.

    • Setzen Sie SLAs für Dienstleister-Offboarding (z. B. 30 Sekunden bis zum Zugriffsentzug nach HR-Beendigung).
    • Klären Sie, wie Sie externen Assessoren U.S.-Person-only- und Need-to-know-Durchsetzung belegen wollen.

  4. Bewerten Sie IGA-Lösungen anhand ITAR-spezifischer Szenarien.
    Fragen Sie in Demos oder POCs:

    • Können Sie allen Zugriff für einen Dienstleister nach Enddatum über SCIM- und Non-SCIM-Apps in unter einer Minute automatisch entziehen?
    • Können Sie Nicht-U.S. Persons ohne dokumentierte Ausnahme von ITAR-Projekten ausschließen?
    • Können Sie eine vollständige Zugriffshistorie auf Projektebene für einen bestimmten Zeitraum exportieren?

  5. Pilotieren Sie automatisierte Governance in einem Hochrisiko-Programm.

    • Wählen Sie ein ITAR-intensives Programm und führen Sie dort automatisierte Identity Governance ein.
    • Messen Sie die Reduktion manueller Tickets, beseitigte verwaiste Konten und eingesparte Zeit bei Access Reviews.

Iden ist genau dafür gebaut: schnelle Einführung, Anbindung an jede App (SCIM, API oder proprietär) und ermöglicht schlanken IT-Teams, End-to-End-Governance ohne Legacy-Großprojekte umzusetzen.

Starten Sie Ihre automatisierten Access Reviews

Häufig gestellte Fragen

Gilt ein aktives Konto eines Ex-Dienstleisters wirklich schon als ITAR-Exportverstoß?

Ja. Nach der Deemed-Export-Regel in ITAR kann bereits die Möglichkeit für eine ausländische Person, über aktive Zugangsdaten auf kontrollierte technische Daten zuzugreifen, als Export gelten. Ermittler prüfen ITAR-Systeme routinemäßig auf solche verwaisten Konten.

Bin ich vor ITAR-Problemen sicher, wenn alle Daten in US-Rechenzentren liegen und hinter SSO geschützt sind?

Nein. Standort der Daten und SSO helfen, aber Aufsichtsbehörden konzentrieren sich darauf, wer auf exportkontrollierte Daten zugreifen kann - nicht nur auf Speicherort oder SSO. Schwache Identity Governance - geteilte Konten, schlechtes Offboarding, nicht durchgesetzte U.S.-Person-Prüfungen - birgt weiterhin Risiken für Deemed-Exports und Zugriffsverstöße, unabhängig von der Infrastruktur.

Wie wirkt CMMC 2.0 in der Praxis mit ITAR-Pflichten zusammen?

CMMC ersetzt ITAR nicht, es ergänzt die Anforderungen. Für Verteidigungsauftragnehmer mit ITAR-Daten gilt:

  • ITAR und AECA regeln, wer auf technische Daten zugreifen darf und welche Genehmigungen erforderlich sind.
  • CMMC Level 2 (über NIST SP 800-171) legt fest, wie Sie diesen Zugriff technisch durchsetzen und überwachen - inklusive Account Management, Least Privilege und Auditing.

Identity Governance operationalisiert beide Regelsätze, liefert die nötige Durchsetzung und die geforderte Audit-Evidenz.

Welche Nachweise sollte ich zu Dienstleister-Zugriffen für einen Auditor bereithalten?

Sie sollten für einen definierten Zeitraum (z. B. das vergangene Jahr) liefern können:

  • Eine Liste von Dienstleistern mit Zugriff auf ITAR-relevante Systeme inklusive Schlüsseldaten (Zeiträume, U.S.-Person-/Exportstatus)
  • Logs zu gewährten, geänderten und entzogenen Zugriffen
  • Nachweise zu Access Reviews sowie zu bestätigten oder widerrufenen Berechtigungen
  • Dokumentation oder Workflows, die die Durchsetzung von U.S.-Person-only und Need-to-know belegen

Iden bündelt all dies in einem zentralen Audit Trail und ermöglicht schnelle, gezielte Reports (nach Programm, nach Zugriffsebene) in wenigen Minuten.

Kann ich ITAR- und CMMC-Anforderungen ohne eine Legacy-IGA-Plattform erfüllen?

Ja. Für die meisten SaaS-lastigen Organisationen (50-2.000 Mitarbeitende) ist klassische Legacy-IGA überdimensioniert. Entscheidend sind:

  • Abdeckung aller Apps, inklusive Non-SCIM-Tools und Lieferantenportale
  • Fein granulierte Steuerung (Repos, Projekte, Channels)
  • Automatisiertes Lifecycle Management für alle Identitätstypen
  • Integrierte Access Reviews und Beweiserfassung

Iden wurde dafür entwickelt: Die Plattform stellt vollständige Governance über mehr als 175 Apps bereit, reduziert manuelle Access Requests um bis zu 80 % und kann innerhalb von 24 Stunden eingeführt werden - ohne Berater oder dediziertes IAM-Team. Genau dieses Tempo und diese Abdeckung verlangen moderne Compliance-Anforderungen.

Buchen Sie Ihre 25-Minuten-Demo