Die Verteidigungsindustrie war traditionell auf “Hardware” ausgerichtet. Panzer, Flugzeuge und Schiffe wurden anhand ihrer physischen Fähigkeit definiert, den Gegner zu bekämpfen. Die moderne Kriegsführung hat dieses Paradigma jedoch grundlegend verändert.
Verteidigungsanforderungen werden heute nahezu täglich aktualisiert, und Konzepte, die früher nur aus Computerspielen bekannt waren, werden Realität: Add-ons und Upgrade-Pakete modifizieren bestehende Plattformen, passen sie an neue Herausforderungen an und statten sie beispielsweise mit erweiterten Verteidigungsfähigkeiten aus. Diese neuen Fähigkeiten werden zunehmend auf Verbesserungen der zugrunde liegenden Technologie – insbesondere der Software – abzielen. Gleiches gilt für neu entwickelte Waffensysteme, für die „Software Defined Defence“ (SDD) eine zentrale Anforderung darstellt.
SDD erfordert die Optimierung und Steuerung von Verteidigungs- und Sicherheitsfähigkeiten, um Waffensysteme kontinuierlich zu verbessern und zu erweitern. Die wesentlichen Vorteile des SDD-Ansatzes liegen in verbesserten Upgrade-Zyklen, höherer Flexibilität, Skalierbarkeit, Resilienz sowie erweiterten Fähigkeiten im Bereich der Multi-Domain-Operations.
Während Hersteller von Waffensystemen über umfassende Erfahrung im Bau exzellenter „Hardware“ verfügen, erfordert SDD andere Kompetenzen. Mit dem Fokus auf Software verschieben sich auch die rechtlichen Herausforderungen – sie unterscheiden sich häufig von den bekannten Fragestellungen der klassischen Rüstungsentwicklung und werden bislang nicht immer prioritär adressiert.
Schutz des geistigen Eigentums ist essentiell
SDD-getriebene Waffenplattformen versprechen Agilität und Interoperabilität innerhalb der NATO und der EU-Mitgliedstaaten. Gleichzeitig müssen Unternehmen sicherstellen, dass unklare Rechteinhaberschaften oder Verstöße gegen strikte Lizenzvorgaben vermieden werden – Urheberrechtsstreitigkeiten sind keine Auseinandersetzungen, die man führen möchte.
EU-Programme wie der European Defence Fund (EDF) und die Ständige Strukturierte Zusammenarbeit (PESCO) richten sich häufig an Konsortien aus Start-ups und KMU, die gemeinsam Technologien für den Verteidigungssektor entwickeln. Diese Teams benötigen jedoch eindeutige Regelungen zu Quellcode, Modifikationen und Nutzungsrechten über Ländergrenzen hinweg – ebenso wie eine klare IP-Allokation. Andernfalls kann entwickelte Software weder lizenziert noch veräußert werden, was sich unmittelbar auf Unternehmenskennzahlen und steuerliche Compliance auswirkt.
Nach den europäischen Urheberrechtsgesetzen der Mitgliedstaaten (z. B. § 69 UrhG) ist unternehmensintern entwickelte Software per Gesetz urheberrechtlich geschützt. In Arbeitsverhältnissen werden Verwertungsrechte in der Regel auf den Arbeitgeber übertragen, während Persönlichkeitsrechte bei den Entwicklerinnen und Entwicklern verbleiben. Open-Source-Komponenten sind zwar technisch frei verfügbar, beinhalten aber Verpflichtungen. Lizenzen wie die GPL verlangen Offenlegung und reziproke Weitergabe – eine Rechtsfalle, die Unternehmen häufig unterschätzen. Insbesondere im government-nahen Umfeld müssen strenge OSS-Vorgaben eingehalten werden, und sämtliche Software wird in diesem Kontext sorgfältig auf nicht dokumentierte OSS-Bestandteile geprüft.
Eine belastbare IP-Strategie beginnt mit einer systematischen Erfassung aller Assets sowie der proaktiven Klärung von Eigentums- und Nutzungsrechten – insbesondere in Konsortialvereinbarungen, aber auch bei der Einbindung externer Entwickler.
Cybersecurity ist entscheidend
Die Verbesserung der Cybersicherheit gehört zu den zentralen Compliance-Herausforderungen und hat unmittelbare Auswirkungen auf die Handlungsfähigkeit eines Unternehmens. Für Unternehmen im Verteidigungssektor sind insbesondere die NIS2-Richtlinie, die Risikomanagement- und Meldepflichten für wesentliche und wichtige Einrichtungen in 18 Sektoren vorsieht, sowie der Cyber Resilience Act (CRA), der „Security by Design“ in der EU-Produktregulierung verankert, relevant.
Unter NIS2 fallen zahlreiche Verteidigungszulieferer in den Anwendungsbereich der Richtlinie – etwa als Anbieter digitaler Infrastrukturen, Cloud- oder Rechenzentrumsbetreiber oder Hersteller kritischer Produkte, die in Verteidigungssysteme eingebettet sind. NIS2 schreibt eine klare Governance und Verantwortlichkeit für das Cyberrisikomanagement vor, sieht Bußgelder von bis zu 10 Mio. EUR oder 2 % des globalen Umsatzes vor und definiert verbindliche Umsetzungsfristen. Die Rolle der nationalen CSIRTs wird gestärkt, und bedeutende Sicherheitsvorfälle müssen schnell gemeldet werden – was Unternehmen veranlassen wird, ihre Detection-&-Response-Fähigkeiten zu professionalisieren.
Der CRA baut auf diesen Grundlagen auf. Er legt horizontale Anforderungen für Produkte mit „digitalen Elementen“ fest, verlangt Prozesse zum Umgang mit Schwachstellen, zeitnahe Sicherheitsupdates, Transparenz über Supportzeiträume und – für höher eingestufte Risikokategorien – strengere Konformitätsverfahren vor der CE-Kennzeichnung. Auch wenn Rüstungsgüter aus dem Anwendungsbereich des CRA ausgenommen sind, können und werden die Anforderungen z.T. bereits jetzt entsprechend vertraglich vereinbart und vorausgesetzt.
Die Risiken für private Unternehmen sind real: Eine einzige verwundbare Bibliothek kann sich systemübergreifend ausbreiten, eine Meldekaskade nach NIS2 auslösen und zugleich Marktüberwachungsmaßnahmen unter dem CRA provozieren. Dies kann zu Vertragsstrafen, Audit-Feststellungen, dem Verlust von Akkreditierungen sowie zu erheblichen Reputationsschäden führen. Geschäftsleitende Organe haften unter NIS2 persönlich. Produktlinien können gestoppt werden, wenn Zweifel an der CRA-Konformität bestehen.
Exportkontrollvorgaben im Blick behalten
SDD rückt Vorschriften in den Fokus, die bislang primär auf physische Güter abzielten. Nach der EU-Verordnung 2021/821 werden Softwareprodukte mit militärischer oder überwachungstechnischer Eignung als „Dual-Use-Güter“ eingestuft und sind exportgenehmigungspflichtig. Ein aktueller Delegierter Rechtsakt (2025/2003) der Kommission verdeutlicht, dass auch nicht gelistete Software, die für militärische, menschenrechtsrelevante oder repressive Verwendungszwecke bestimmt ist, kontrollpflichtig sein kann.
Wie andere EU-Mitgliedstaaten setzt Deutschland die Dual-Use-Verordnung um, ergänzt sie jedoch durch nationale Regelungen, insbesondere das Kriegswaffenkontrollgesetz (KWG) und zugehörige Verordnungen. Diese Vorschriften erfordern zunehmend auch für immaterielle Übertragungen – etwa Feuerleit-, Verschlüsselungs- oder Cybersurveillance-Software – eine vorherige Genehmigung, sowohl für Exporte außerhalb als auch innerhalb der EU.
Nicht genehmigte Exporte können zu erheblichen Sanktionen führen: Bußgelder, Widerruf von Genehmigungen, Vertragskündigungen durch öffentliche Auftraggeber und erhebliche Reputationsschäden. Die Haftung kann sich nach nationalem Recht zudem persönlich auf Geschäftsleiter erstrecken.
KI: It’s a trap – die „Dual-Use-Falle“
Künstliche Intelligenz ist zweifellos ein zentrales Thema für Unternehmen im Verteidigungsbereich. Neben ethischen Fragestellungen steht erneut die Dual-Use-Problematik im Vordergrund.
KI entwickelt sich rasant zum Nervensystem europäischer Verteidigungssoftware – Modelle verarbeiten Sensordaten, automatisieren Wartung und unterstützen Entscheidungen im Einsatz. Die entscheidenden Fragen sind in Europa jedoch nicht nur technischer Natur, sondern in hohem Maße rechtlich. Die EU KI-Verordnung legt harmonisierte Vorgaben für KI-Systeme im EU-Binnenmarkt fest, verbietet bestimmte Praktiken und regelt strenge Anforderungen für Hochrisikosysteme. Für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) gelten besondere Transparenzpflichten, etwa bezüglich Trainingsdaten und Urheberrechtspolitik. Vorgaben zu verbotenen Anwendungen und KI-Kompetenz sind bereits in Kraft, die stufenweise Umsetzung der GPAI-Regeln beginnt am 2. August 2025, gefolgt von der vollständigen Umsetzung der Hochrisikoanforderungen.
Zwar ist der Verteidigungssektor auf den ersten Blick durch Art. 2 Abs. 3 KI-VO ausgenommen, diese Ausnahme gilt jedoch nicht für KI-Systeme, die nicht ausschließlich militärischen Zwecken dienen. Da die meisten KI-basierten Systeme im militärischen Kontext auch zivil genutzt werden, greift die Ausnahme in der Praxis selten – und die strengen Vorgaben der KI-VO gelten vollumfänglich.
Eine vorausschauende Planung bereits in der Designphase ist daher essenziell, um die „Dual-Use-Falle“ zu vermeiden.
How to SDD?
Das Bewusstsein, dass rechtliche Fragestellungen nicht nur Compliance-Risiken bergen, sondern unmittelbar das Kerngeschäft und den Erfolg neu entwickelter Waffensysteme im SDD-Kontext beeinflussen, ist der erste Schritt zur Vermeidung wesentlicher Probleme. Die meisten Herausforderungen lassen sich durch strukturierte Planung bereits in der Projektphase, durch klare Dokumentation und definierte Prozesse während der Entwicklungsphase sowie durch robuste vertragliche Regelungen effektiv vermeiden.
