Cybersecurity ist eine zentrale Aufgabe für die Hochtechnologiebranche – die Verteidigungswirtschaft ist hier keine Ausnahme. Der Fokus liegt nicht nur auf der Abwehr von Angriffen auf Know-How oder Diebstahl geistigen Eigentums, sondern auch der Sicherheit und Resilienz von Waffensystemen und -komponenten. Cybersecurity muss sowohl in Prozessen gelebt wie als Fähigkeit des jeweiligen Produkts existieren. Plakativ ausgedrückt: Firewalls und Verschlüsselungsprotokolle entscheiden künftig über Sicherheit und Souveränität. Cybersecurity ist Grundvoraussetzung, um Innovation und Verteidigungsfähigkeit zu sichern.
Verteidigungsindustrie im Fokus
Die Bedrohungslage im Cyberraum ist angespannt und dynamisch. Staatliche und nichtstaatliche Akteure nehmen gezielt Unternehmen der Verteidigungsindustrie ins Visier – sei es zur Spionage, Sabotage oder zur Vorbereitung hybrider Angriffe. Die Verteidigungsindustrie ist aufgrund ihrer strategischen Bedeutung ein besonders attraktives Ziel für Cyberangriffe: Digitale Technologien, vernetzte Systeme und softwarebasierte Komponenten sind längst zum Rückgrat moderner Rüstungsgüter und militärischer Dienstleistungen geworden. Und nicht nur die Unternehmen selbst stehen im Fokus, sondern vor allem ihre Produkte und Dienstleistungen, die sie für die Bundeswehr und befreundete Streitkräfte anderer Nationen bereitstellen. Die Branche ist Zielscheibe für eine stetig wachsende Zahl von Cyberangriffen, die nicht nur auf wirtschaftlichen Schaden, sondern auf die Schwächung der nationalen und europäischen Sicherheitsarchitektur abzielen.
Cybersicherheit als gesetzliche Pflicht
Den Schutz von IT-Systemen und -Prozessen, Netzwerken und Programmen gegen Cyberangriffe – kurz Cybersecurity – gebietet allem voran die betriebswirtschaftliche Vernunft. Angriffe gegen die eigene IT-Infrastruktur hat unmittelbar Einfluss auf die Verfügbarkeit von Systemen und Prozessen, im schlimmsten Fall ist die Produktivität des Unternehmens komplett zum Erliegen gebracht oder Know-How unkontrolliert abgeflossen.
Zunehmend ergibt sich die Verpflichtung zur Cybersecurity aus dem Gesetz. Entweder direkt als konkrete Verpflichtung, oder indirekt als Best Practice bzw. als Verpflichtung über Lieferketten. Unternehmen – insbesondere solche mit sicherheitsrelevanter Bedeutung – sind verpflichtet, angemessene technische und organisatorische Maßnahmen zur IT-Sicherheit zu implementieren.
Im Zentrum steht die europäische NIS-2-Richtlinie (Richtlinie (EU) 2022/2555), die mit ihrer Umsetzung in deutsches Recht durch das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (NIS-2-Umsetzungsgesetz) einen neuen Standard für die Cybersicherheit setzt. Künftig fallen nicht nur Betreiber kritischer Infrastrukturen, sondern auch „wichtige“ und „wesentliche“ Einrichtungen unter die erweiterten Pflichten zur Cybersicherheit.
Unternehmen, die als Verpflichtete oder als Zulieferer für diese tätig sind, unterliegen umfassenden Anforderungen. Sie müssen ein Risikomanagement etablieren, technische und organisatorische Maßnahmen zur Abwehr von Cyberangriffen treffen, Sicherheitsvorfälle melden und ihre Lieferketten aktiv steuern. Die Verteidigungsindustrie ist hiervon in besonderem Maße betroffen, da ihre Produkte und Dienstleistungen häufig als sicherheitskritisch eingestuft werden und sie in der Regel die Schwellenwerte für eine Einstufung als „wesentliche“ oder „wichtige“ Einrichtung überschreiten.
Mit dem Cyber Resilience Act (Verordnung (EU) 2024/2847, CRA) der Europäischen Union rückt erstmals die Cybersicherheit von Produkten mit digitalen Elementen in den Fokus der Regulierung. Hersteller, Importeure und Händler müssen sicherstellen, dass ihre Produkte grundlegende Cybersecurity-Anforderungen erfüllen – und zwar über den gesamten Lebenszyklus. Dies betrifft nicht nur klassische IT-Produkte, sondern auch eingebettete Systeme, Software und vernetzte Komponenten, wie sie in modernen Waffensystemen, Kommunikationsplattformen oder Sensorik zum Einsatz kommen. Der CRA verlangt von den Herstellern, dass sie Schwachstellenmanagement betreiben, regelmäßige Sicherheitsupdates bereitstellen und die Integrität ihrer Produkte nachweisen. Für die Verteidigungsindustrie besteht zwar eine Ausnahmeregelung in Art. 2 Abs. 7 CRA, jedoch gilt diese nicht für Dual-Use-Güter.
Unternehmen müssen zudem Risiken in ihrer Lieferkette identifizieren und zu minimieren – dazu zählen auch Cyberrisiken. Wer Vorprodukte, Software oder Dienstleistungen von Dritten bezieht, muss sicherstellen, dass diese keine Einfallstore für Angreifer bieten. Die Verantwortung für die Cybersicherheit lässt sich nicht outsourcen; sie bleibt beim Auftraggeber.
Die rechtlichen Pflichten lassen sich in zwei große Bereiche unterteilen: die Pflichten der Unternehmen als Organisationen und die Anforderungen an die von ihnen hergestellten Produkte und Dienstleistungen.
Umsetzung erfordert Einsatz
Als Folge der rechtlichen – direkten und indirekten – Pflichten müssen Unternehmen der Verteidigungsindustrie diverse Maßnahmen ergreifen. Hierzu zählt, ein umfassendes Informationssicherheitsmanagementsystem (ISMS) einzurichten und zu betreiben, sowie die Identifikation, Bewertung und Behandlung von Cyberrisiken, etwa durch regelmäßige Penetrationstests, Schwachstellenmanagement und Red Teaming.
Technische und organisatorische Maßnahmen wie Zugangskontrollen, Netzwerksegmentierung, Verschlüsselung und Monitoring sind ebenso verpflichtend wie die Einrichtung eines Incident-Response-Prozesses. Mitarbeitende müssen regelmäßig geschult und sensibilisiert werden, denn der Faktor Mensch bleibt eine der größten Schwachstellen. Kommt es zu einem schwerwiegenden Sicherheitsvorfall, besteht eine Meldepflicht gegenüber den zuständigen Behörden – in Deutschland in der Regel das BSI. Wer diese Pflicht verletzt, riskiert Bußgelder und den Ausschluss von Vergabeverfahren.
Ein weiterer zentraler Aspekt ist das Management der Lieferkette. Unternehmen müssen ihre Zulieferer und Dienstleister nach Cybersecurity-Kriterien auswählen, vertraglich zur Einhaltung von Mindeststandards verpflichten und regelmäßig Audits durchführen. Die Verantwortung für die Sicherheit endet nicht an dem eigenen Werkstor, sondern umfasst die gesamte Wertschöpfungskette. In der Praxis bedeutet dies, dass beispielsweise ein mittelständischer Hersteller von Rüstungselektronik nicht nur seine eigene Entwicklungs- und Produktionsumgebung im besten Fall nach Industriestandards zertifizieren lassen muss, sondern auch von seinen Zulieferern entsprechende Nachweise verlangt.
Der Umgang mit sicherheitsrelevanten Informationen muss im Sicherheitsmanagement ebenso vorgesehen werden. Insbesondere Mitarbeitende, die sicherheitsempfindlichen Tätigkeiten nachgehen (also alle Mitarbeitenden, die z.B. Zugang zu Verschlusssachen der Stufe VS-Vertraulich oder höher haben), unterliegen erhöhten Anforderungen, z.B. in der Regel der Durchführung einer Sicherheitsüberprüfung.
Die Anforderungen an Produkte und Dienstleistungen sind mindestens ebenso hoch. Produkte müssen zunehmend nach dem Prinzip „Security by Design“ entwickelt werden. Das heißt, Sicherheitsaspekte müssen von Anfang an in die Konzeption und Entwicklung einfließen. Produkte dürfen keine unnötigen Angriffsflächen bieten, müssen regelmäßig auf Schwachstellen geprüft und mit Sicherheitsupdates versorgt werden, Updates über den gesamten Lebenszyklus des Produkts bereitgestellt werden. Auch wenn der CRA bei reinen Rüstungsgütern keine Anwendung findet, deutet sich wie bei NIS-2 an, dass Auftraggeber und große Player bestimmte Prinzipien als „Industry Best Practice“ übernehmen und gesetzliche Anforderungen einfach als vertragliche Verpflichtungen.
Die Anforderungen der Auftraggeber – allen voran der Bundeswehr, aber auch anderer staatlicher und industrieller Partner – gehen nämlich oft über die gesetzlichen Mindeststandards hinaus. In Vergabeunterlagen, Verträgen und technischen Spezifikationen werden zusätzliche Standards verlangt.
Keine Delegation von Verantwortlichkeit
Pflichten zur Sicherstellung der Cybersecurity sind Teil der allgemeinen Legalitätspflicht der Geschäftsleitung (§ 93 Abs. 1 AktG, § 43 GmbHG) und werden durch branchenspezifische Normen konkretisiert.
Die Pflicht zur Abwehr von Cyberangriffen ist für Unternehmen der Verteidigungsindustrie damit alternativlos. Sie ergibt sich nicht nur aus dem Eigeninteresse am Schutz von Know-how und Reputation, sondern ist in einer Vielzahl von Gesetzen und Normen verankert. Die Anforderungen betreffen sowohl die Unternehmen als Organisationen als auch ihre Produkte und Dienstleistungen. Auftraggeber und Partner verlangen Nachweise, Audits und kontinuierliche Verbesserung. Wer Cybersecurity vernachlässigt, gefährdet nicht nur die eigene Existenz, sondern auch die nationale Sicherheit.
Mit dem NIS-2-Umsetzungsgesetz wird die Geschäftsleitung ausdrücklich in die Pflicht genommen: Eine Flucht in die Delegation oder das schlichte Nichtbefassen mit Cybersicherheitsanforderungen führt zur persönlichen Haftung (§ 38 NIS-2-Umsetzungsgesetz). Cybersecurity ist zur strategischen Führungsaufgabe geworden.
