Cybersicherheit ist für die Hightech-Industrie unverzichtbar – und die Verteidigungsbranche bildet hier keine Ausnahme. Im Zentrum steht nicht nur der Schutz von Know-how und geistigem Eigentum, sondern ebenso die Funktionsfähigkeit und Robustheit von Waffensystemen und deren Komponenten. Sicherheitsfunktionen müssen als integraler Bestandteil der Prozesse und als inhärente Produkteigenschaft gedacht werden: Firewalls, Verschlüsselung, Segmentierung und vergleichbare Mechanismen werden künftig maßgeblich über technologische Souveränität und Verteidigungsfähigkeit entscheiden. Cybersecurity ist damit Grundvoraussetzung für Innovationskraft und militärische Einsatzfähigkeit.

Die Lage im Cyberraum ist angespannt und von ständiger Veränderung geprägt. Staatliche und nichtstaatliche Angreifer fokussieren sich gezielt auf Unternehmen der Rüstungsindustrie – zur Spionage, Sabotage oder zur Vorbereitung hybrider Angriffe. Aufgrund ihrer strategischen Rolle ist die Verteidigungsindustrie ein besonders attraktives Ziel, denn digitale Technologien, vernetzte Systeme und softwarebasierte Komponenten bilden heute das Rückgrat moderner Rüstungsgüter und militärischer Dienste. Dabei geraten nicht nur die Unternehmen selbst ins Visier, sondern vor allem deren Produkte und Leistungen für die Bundeswehr und verbündete Streitkräfte. Die Zahl der Angriffe wächst kontinuierlich und zielt nicht nur auf wirtschaftliche Schäden, sondern auch darauf, nationale und europäische Sicherheitsarchitekturen zu schwächen.

Der Schutz von IT-Systemen, Netzen, Anwendungen und Prozessen ist zunächst eine Frage soliden unternehmerischen Handelns. Angriffe auf die eigene Infrastruktur wirken sich direkt auf Verfügbarkeit, Produktion und Betriebsfähigkeit aus; im Extremfall kommt es zum Stillstand oder zu unkontrolliertem Abfluss von Know-how. Zunehmend wird Cybersicherheit aber auch durch konkrete gesetzliche Vorgaben, „Best Practices“ und Lieferkettenanforderungen verpflichtend. Unternehmen mit sicherheitsrelevanter Bedeutung müssen angemessene technische und organisatorische IT-Sicherheitsmaßnahmen umsetzen.

Kernstück ist auf europäischer Ebene die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555), die in Deutschland durch das NIS-2-Umsetzungsgesetz („Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“) umgesetzt wird. Damit werden die Pflichten deutlich ausgeweitet: Künftig unterliegen nicht nur Betreiber kritischer Infrastrukturen, sondern auch „wichtige“ und „wesentliche“ Einrichtungen zusätzlichen Cybersicherheitsanforderungen. Betroffene Unternehmen – sowie deren Lieferanten – müssen Risikomanagement etablieren, technische und organisatorische Schutzmaßnahmen umsetzen, Sicherheitsvorfälle melden und ihre Lieferketten aktiv steuern. Die Verteidigungsindustrie ist hiervon in besonderem Maße betroffen, da ihre Leistungen zumeist als sicherheitskritisch gelten und regelmäßig die Schwellenwerte für „wesentliche“ oder „wichtige“ Einrichtungen überschreiten.

Mit der Cyber Resilience Act-Verordnung (Verordnung (EU) 2024/2847, CRA) rückt erstmals die Cybersicherheit von Produkten mit digitalen Elementen eigenständig in den Regulierungsfokus. Hersteller, Importeure und Vertreiber müssen sicherstellen, dass ihre Produkte über den gesamten Lebenszyklus grundlegenden Sicherheitsanforderungen genügen. Dies betrifft nicht nur klassische IT-Produkte, sondern insbesondere eingebettete Systeme, Software und vernetzte Komponenten in modernen Waffensystemen, Kommunikationsplattformen und Sensoren. Der CRA verlangt u.a. ein systematisches Schwachstellenmanagement, regelmäßige Sicherheitsupdates und Nachweise zur Integrität der Produkte. Zwar sieht Artikel 2 Absatz 7 CRA eine Ausnahme für reine Rüstungsgüter vor, diese greift jedoch nicht bei Dual-Use-Produkten.

Unternehmen müssen zudem Risiken in ihren Lieferketten identifizieren und minimieren – inklusive der Cyberrisiken. Wer Hard- oder Software, Komponenten oder Services von Dritten einkauft, muss sicherstellen, dass keine zusätzlichen Einfallstore für Angreifer geschaffen werden. Die Verantwortung für Cybersicherheit bleibt beim Auftraggeber und ist nicht delegierbar. Inhaltlich lassen sich die Pflichten in zwei Blöcke unterteilen: Anforderungen an das Unternehmen als Organisation und Anforderungen an die von ihm entwickelten Produkte und erbrachten Services.

Aufgrund der direkten und indirekten Pflichten müssen Unternehmen der Verteidigungsindustrie ein umfassendes Informationssicherheitsmanagementsystem (ISMS) implementieren und betreiben. Dazu gehören die systematische Identifikation, Bewertung und Behandlung von Cyberrisiken – etwa mithilfe regelmäßiger Penetrationstests, strukturiertem Vulnerability Management und Red-Teaming.

Technische und organisatorische Maßnahmen wie Zugriffssteuerung, Netzwerksegmentierung, Verschlüsselung und kontinuierliches Monitoring sind ebenso unerlässlich wie ein belastbarer Incident-Response-Prozess. Mitarbeitende benötigen regelmäßige Schulungen und Sensibilisierung, da der „Faktor Mensch“ weiterhin zu den größten Schwachstellen zählt. Schwere Sicherheitsvorfälle sind an die zuständigen Behörden – in Deutschland in der Regel das BSI – zu melden; Verstöße können Bußgelder und Ausschlüsse von Vergabeverfahren nach sich ziehen.

Ein weiterer Schwerpunkt liegt im Lieferkettenmanagement. Lieferanten und Dienstleister sind nach Cybersicherheitskriterien auszuwählen, vertraglich an Mindeststandards zu binden und regelmäßig zu auditieren. Die Sicherheitsverantwortung endet nicht am Werkstor, sondern erstreckt sich über die gesamte Wertschöpfungskette. Praktisch bedeutet dies etwa, dass ein mittelständischer Hersteller von Verteidigungselektronik idealerweise nicht nur seine eigene Entwicklungs- und Produktionsumgebung nach einschlägigen Standards zertifizieren lässt, sondern vergleichbare Nachweise auch von seinen Zulieferern einfordert.

Das Sicherheitsmanagement muss auch den Umgang mit sicherheitsrelevanten Informationen abdecken. Beschäftigte in sicherheitssensiblen Funktionen – insbesondere mit Zugang zu Verschlusssachen ab VS-Vertraulich oder höher – unterliegen erhöhten Anforderungen, in der Regel einschließlich einer Sicherheitsüberprüfung. Für Produkte und Services gilt mindestens ein ebenso hohes Niveau: Sie sind nach dem Prinzip „Security by Design“ zu entwickeln, das heißt Sicherheitsanforderungen müssen von Beginn an in Konzeption und Entwicklung verankert sein. Produkte sollen keine unnötigen Angriffsflächen bieten, müssen fortlaufend auf Schwachstellen geprüft und über den gesamten Lebenszyklus mit Sicherheitsupdates versorgt werden. Auch wenn der CRA formal nicht für reine Rüstungsgüter gilt, zeichnet sich ab, dass Auftraggeber und große Marktteilnehmer zentrale Prinzipien als „Industry Best Practice“ übernehmen und rechtliche Mindestanforderungen in ihren Verträgen fortschreiben.

Die Anforderungen der Auftraggeber – insbesondere der Bundeswehr, aber auch anderer staatlicher und industrieller Partner – gehen häufig über das gesetzlich Geforderte hinaus. Häufig werden zusätzliche Standards und Vorgaben in Ausschreibungsunterlagen, Verträge und technische Spezifikationen aufgenommen.

Cybersicherheitsanforderungen sind Ausdruck der allgemeinen Legalitätspflicht der Geschäftsleitung, wie sie etwa in § 93 Absatz 1 AktG und § 43 GmbHG verankert ist, und werden durch branchenspezifische Standards weiter konkretisiert. Für Unternehmen der Verteidigungsindustrie ist die Pflicht zur Abwehr von Cyberangriffen daher nicht disponibel. Sie folgt sowohl aus dem eigenen Interesse am Schutz von Know-how und Reputation als auch aus einem Geflecht aus Gesetzen, Normen und Standards. Die Anforderungen adressieren gleichermaßen das Unternehmen als Organisation sowie seine Produkte und Dienstleistungen. Auftraggeber und Partner fordern Nachweise, Auditierungen und kontinuierliche Verbesserungsprozesse. Wer Cybersicherheit vernachlässigt, gefährdet nicht nur das eigene Unternehmen, sondern auch die nationale Sicherheit.

Das NIS-2-Umsetzungsgesetz weist die Verantwortung ausdrücklich der Unternehmensleitung zu. Eine bloße Delegation oder das Ignorieren einschlägiger Vorgaben kann zu persönlicher Haftung führen, etwa nach § 38 NIS-2-Umsetzungsgesetz. Cybersicherheit ist damit endgültig zu einer strategischen Führungsaufgabe geworden.

Wir bauen mit Ihnen ein Informationssicherheit Managementsystem (ISMS) auf oder integrieren spezifisch für die Verteidigungs- und Rüstungsindustrie geltende Standards.

Dies erfolgt auf Basis von Standards, wie

Gerade CADIS ist ein speziell für die Verteidigungs- und Rüstungsindustrie entwickelter umfassender Standard. Gerne informieren wir sie darüber. Sprechen Sie uns an.