International Traffic in Arms Regulations in den USA

Die ITAR (Regelungen des internationalen Waffenhandels) kontrollieren den Export von Verteidigungsartikeln aus den USA und besagen, dass keine Person, die nicht in den USA ansässig ist, physischen oder logischen Zugriff auf in der ITAR-Umgebung gespeicherte Artikel haben darf.

Die in den ITAR festgelegte Kampfmittelliste der USA (United States Munitions List, USML) umfasst Geräte, Bauteile, Werkstoffe, Software und technische Informationen, die außer bei Vorliegen einer speziellen Genehmigung oder im Falle einer Ausnahmeregelung nur an in den USA ansässige Personen ausgehändigt werden dürfen. In den USA ansässige Personen sind Inhaber einer US Green Card (Permanent Resident Card) oder US-Bürger.

ITAR-Konformität in der Cloud konzentriert sich darauf, sicherzustellen, dass als technische Daten eingestufte Informationen nicht versehentlich ohne ordnungsgemäße Genehmigung an ausländische Personen oder Nationen weitergegeben werden.

AWS bietet Kunden die Möglichkeit, ihre Daten in AWS GovCloud (USA) zu speichern, die ausschließlich von US-Bürgern an Standorten in den USA verwaltet wird. AWS GovCloud (USA) ist die isolierte Cloud-Umgebung von Amazon, in der Konten nur in den USA ansässigen Personen für US-amerikanische Organisationen gewährt werden.

Da AWS weder Einblick hat, noch weiß, was Kunden in sein Netzwerk hochladen, auch nicht, ob diese Daten den ITAR-Regulierungen unterliegen, werden alle Kundendaten innerhalb der GovCloud-Region als ITAR-Daten behandelt. 

Es gibt keine formale ITAR-Zertifizierung. AWS GovCloud (USA) wird fortlaufend durch eine im Federal Risk Authorization Management Program (FedRAMP) zugelassene externe Prüforganisation (3PAO) geprüft und hat vom Joint Authorization Board (JAB) eine vorläufige Betriebszulassung (Provisional Authorization to Operate, P-ATO) des FedRAMP auf High Baseline-Niveau erhalten. Das JAB wird aus den CIOs (Chief Information Officers) des US-Verteidigungsministeriums, der Homeland Security und der GSA (General Services Administration) gebildet. Weitere Informationen finden Sie im Artikel AWS erreicht High Compliance des FedRAMP in der Region AWS GovCloud (USA).

AWS ist für die logische und physische Compliance der von uns angebotenen Cloud-Infrastruktur und Kerndienste verantwortlich. Kunden sind für ihre eigene, lokal vorhandene IT-Infrastruktur, Anwendungen und Systeme verantwortlich. Die vom Joint Authorization Board (JAB) des FedRAMP für die Region AWS GovCloud (USA) erteilte vorläufige Betriebszulassung (P-ATO) auf High Baseline-Niveau bestätigt die innerhalb von AWS GovCloud (USA) eingerichteten Kontrollen. AWS unterstützt Kunden, die ITAR-konforme Systeme auf AWS entwickeln und bereitstellen. Im Folgenden sind beispielhaft einige AWS-Services aufgeführt, die Kunden bei der Verwaltung ihrer Sicherheitscompliance-Anforderungen unterstützen:

• Sichern vertraulicher Daten: Kunden können vertrauliche, unklassifizierte Daten in Amazon S3 durch serverseitige Verschlüsselung schützen, Sicherheitsschlüssel mit AWS CloudHSM speichern und verwalten oder AWS Key Management Service (KMS) verwenden, mit dem alles in nur einem Klick erledigt ist.
• Verbessern der Cloud-Transparenz: Kunden können den Zugriff auf und die Verwendung von vertraulichen Daten in Amazon CloudTrail überprüfen, unserem API-Protokollierungsservice, der in den USA verwaltet und von in den USA ansässigen Personen betrieben wird.
• Stärken der Identitätsverwaltung: Kunden können den Zugriff auf vertrauliche Daten nach Person, Uhrzeit und Standort beschränken. Zur Einschränkung der von den Benutzern ausgeführten API-Aufrufe können Sie Identitätsverbunde, eine einfache Schlüsselrotation und andere leistungsstarke Zugriffskontrollen von AWS nutzen.