Luft- und Raumfahrtindustrie

ITAR- und CMMC-Compliance-Software: was Ihr ERP leisten muss

23/6/2026
  |  
Lynn Heidmann
Inhaltsverzeichnis
Danke für deine Anmeldung zum Bonx-Newsletter! Wir melden uns, wenn wir denken, dass unsere Inhalte zu dir passen.

ITAR-Compliance-Software und CMMC-Compliance-Software entwickeln sich von einem Backoffice-Thema zu einem kommerziellen Kriterium. Für US-Zulieferer in Aerospace und Defense geht es nicht mehr darum, ob Compliance irgendwo im Unternehmen existiert. Die Frage ist, ob die Systeme, mit denen die Produktion gesteuert wird, belegen können, wer auf kontrollierte Daten zugegriffen hat, was geändert wurde, welche Teile bewegt wurden, welche Lieferanten an einem Auftrag beteiligt waren und welche Aufzeichnungen den Vertrag stützen.

An diesem Punkt kommen viele Hersteller ins Stocken. Compliance liegt in Richtlinien, Ordnern, SharePoint-Verzeichnissen, Tabellen und Sicherheitstools, während die eigentliche Arbeit durch ERP, Einkauf, Produktion, Qualität, Versand und Lieferantenkommunikation läuft. Wenn diese beiden Welten nicht verbunden sind, wird Compliance zu Rekonstruktionsarbeit.

Dieser Artikel beschreibt, was die International Traffic in Arms Regulations (ITAR) und die Cybersecurity Maturity Model Certification (CMMC) auf operativer Ebene verlangen. Danach wird daraus ein praktischer ERP-Standard für Hersteller abgeleitet, die Zugriffskontrollen, Rückverfolgbarkeit, Audit-Trails und Nachweise brauchen, ohne das ERP selbst zu einem Compliance-Projekt zu machen.

Warum ITAR und CMMC zu operativen Anforderungen werden

Aerospace- und Defense-Compliance wirkte lange wie ein Spezialthema. Legal kümmerte sich um Exportkontrolle, IT um Cybersicherheit, Qualität um Rückverfolgbarkeit und Operations hielt die Fabrik am Laufen.

Diese Trennung lässt sich immer schwerer halten. Prime Contractors und öffentliche Auftraggeber erwarten zunehmend, dass Zulieferer nachweisen können, dass kontrollierte Informationen, kontrollierte Teile, Produktionsaufzeichnungen und Cybersicherheitspraktiken im normalen operativen Ablauf gehandhabt werden.

ITAR und CMMC verlangen nicht dasselbe. ITAR betrifft die Exportkontrolle von Defense Articles, Defense Services und zugehörigen Technical Data. CMMC betrifft den Cybersicherheitsnachweis für Defense Contractors und Subcontractors, die Federal Contract Information (FCI) oder Controlled Unclassified Information (CUI) verarbeiten.

In einem Fertigungsunternehmen überschneiden sich die operativen Auswirkungen trotzdem. Beide Themen erhöhen den Druck rund um Zugriff, Identität, Dokumentation, Audit-Trails, Lieferantenkontrolle, Nachweise und die Fähigkeit, ohne manuelle Rekonstruktion zu zeigen, was passiert ist.

ITAR in der Fertigung: Artikel, Daten und Zugriff kontrollieren

ITAR gilt für Defense Articles, Defense Services und Technical Data, die unter der US Munitions List kontrolliert werden. Für Hersteller kann das physische Teile und die technischen Informationen umfassen, die benötigt werden, um diese Artikel zu entwickeln, zu konstruieren, zu produzieren, herzustellen, zu montieren, zu reparieren, zu testen, zu warten oder zu ändern.

Der operative Punkt ist einfach: ITAR betrifft nicht nur den Versand eines Teils über eine Grenze. Eine kontrollierte Zeichnung, Arbeitsanweisung, Arbeitsplan-Notiz, Prüfdatei, Lieferantenmappe oder technische Änderung kann Exportkontrollrisiko erzeugen, wenn die falsche Person darauf zugreift.

Nach 22 CFR Part 122 müssen sich US-Hersteller von Defense Articles in der Regel bei der Directorate of Defense Trade Controls registrieren, auch wenn sie nicht exportieren. Die Registrierung ist keine Exportlizenz und gewährt für sich genommen keine Exportrechte. Sie ist der Ausgangspunkt dafür, dass die US-Regierung ein Unternehmen als Beteiligten an Defense-Manufacturing-Aktivitäten kennt.

Dieser Teil der Regulierung ist auch für das ERP-Design relevant. Registrants müssen Aufzeichnungen über Herstellung, Erwerb und Verbleib von Defense Articles und Technical Data führen. Elektronische Aufzeichnungen müssen reproduzierbar, lesbar und geschützt sein, sodass Änderungen zeigen, wer sie vorgenommen hat und wann.

Das ist eine sehr konkrete Softwareanforderung. Wenn ein ERP kontrollierte Aufzeichnungen ohne Änderungshistorie überschreiben lässt, Technical Data außerhalb der Zugriffsregeln speichert oder ITAR-markierte Artikel ohne Exportkontrollkontext durch Einkauf und Produktion bewegt, macht das System Compliance schwerer als nötig.

ITAR macht außerdem unautorisierte Exporte, Retransfers und die Erbringung von Defense Services ohne erforderliche Freigabe nach 22 CFR Part 127 unzulässig. Im Tagesgeschäft führt das zu strengeren Kontrollen darüber, wer kontrollierte Daten sehen darf, welcher Lieferant welches Paket erhält, was extern geteilt wird und ob jede Offenlegung belastbar begründet ist.

CMMC in der Fertigung: FCI und CUI dort schützen, wo gearbeitet wird

CMMC unterscheidet sich insofern, als es keine Exportkontrolle ist. Es ist das Assurance-Modell des Department of Defense, um zu prüfen, ob Contractors und Subcontractors die erforderlichen Cybersicherheitsstandards für Systeme umgesetzt haben, die FCI oder CUI verarbeiten, speichern oder übertragen.

Die offizielle CMMC-Programmseite definiert drei Bewertungsstufen. Level 1 deckt grundlegende Schutzmaßnahmen für FCI ab, Level 2 umfasst einen breiteren Schutz von CUI und ist an 110 Sicherheitsanforderungen aus NIST SP 800-171 Revision 2 ausgerichtet, und Level 3 ergänzt höheren Schutz von CUI gegen Advanced Persistent Threats.

Auch der Zeitplan ist wichtig. Die phasenweise CMMC-Umsetzung begann am 10. November 2025. Phase 1, vom 10. November 2025 bis zum 9. November 2026, konzentriert sich vor allem auf Self-Assessments für Level 1 und Level 2, während spätere Phasen zusätzliche Zertifizierungsanforderungen einführen.

Für Hersteller wird CMMC in den Systemen praktisch, in denen Vertrags- und Produktionsinformationen tatsächlich liegen. CUI kann in Zeichnungen, Spezifikationen, Prüfaufzeichnungen, Arbeitsanweisungen, Qualitätsdateien, Lieferantenkommunikation, Produktionsnotizen und Auftragsdokumenten auftauchen. Wenn diese Aufzeichnungen im ERP liegen, wird das ERP Teil der Umgebung, die abgegrenzt, geschützt oder bewusst segmentiert werden muss.

Das bedeutet nicht, dass das ERP allein ein Unternehmen CMMC-konform macht. CMMC umfasst Richtlinien, Menschen, Geräte, Netzwerke, Incident Response, Schulungen, Identitätsmanagement, Mediensicherheit und weitere Kontrollen. Wenn das ERP aber zentral für die Produktion ist und CUI speichert, muss es das Cybersicherheitsprogramm des Unternehmens unterstützen, statt selbst zur Ausnahme zu werden.

Was ITAR und CMMC für ERP-Anforderungen bedeuten

Ein ERP ersetzt weder Exportkontrollberatung, noch einen CMMC-Assessor oder ein Sicherheitsprogramm. Es sollte aber operative Nachweise leichter erzeugbar machen, weil diese Nachweise im Arbeitsfluss entstehen:

1. Klassifizierung kontrollierter Artikel und Daten

Das ERP braucht eine Möglichkeit, kontrollierte Teile, Dokumente, Aufträge, Kunden, Verträge, Lieferanten und Arbeitsanweisungen zu kennzeichnen. Ein einfaches Notizfeld reicht nicht.

Hersteller sollten erkennen können, ob ein Artikel oder eine Aufzeichnung ITAR-controlled, CUI, unter einem anderen Regime export-controlled, kundenseitig eingeschränkt oder von Lieferanten-Flowdown-Anforderungen betroffen ist. Diese Klassifizierung sollte mit der operativen Aufzeichnung mitlaufen: vom Kundenauftrag über Stückliste, Arbeitsplan, Fertigungsauftrag, Bestellung, Qualitätsprüfung, Versand und Archiv.

Der Test ist, ob das System verhindern kann, dass jemand einen kontrollierten Auftrag wie einen normalen Auftrag behandelt. Wenn das ITAR- oder CUI-Label verschwindet, sobald die Planung einen Fertigungsauftrag erstellt, trägt das ERP den Compliance-Kontext nicht weit genug.

2. Rollen- und attributbasierte Zugriffskontrolle

ITAR und CMMC erhöhen beide die Anforderungen an Zugriffskontrollen, wenn auch aus unterschiedlichen Gründen.

Für ITAR muss der Hersteller Technical Data möglicherweise auf autorisierte US Persons oder Personen beschränken, die von der jeweiligen Freigabe abgedeckt sind. Für CMMC muss das Unternehmen den Zugriff auf FCI und CUI gemäß seinen Sicherheitsrichtlinien und seinem Assessment-Scope kontrollieren.

Ihr ERP sollte Least-Privilege-Zugriff nach Rolle, Standort, Team, Dokumenttyp, Auftragstyp, Projekt, Kunde, Lieferant und Kontrollstatus unterstützen. Es sollte außerdem mit den Identitätskontrollen arbeiten, die das Unternehmen bereits nutzt, darunter Single Sign-on, Multi-Faktor-Authentifizierung und User-Lifecycle-Management.

Im mittleren Bereich scheitern viele Systeme. Sie können ein ganzes Modul sperren, aber nicht eine bestimmte Zeichnung. Sie können einen Kundendatensatz verbergen, aber nicht den Anhang an einer Bestellung. Sie können Mitarbeitende kontrollieren, aber nicht den Zugriff im Lieferantenportal. Für Aerospace- und Defense-Zulieferer reicht das nicht.

3. Rückverfolgbarkeit über Teile, Lose, Seriennummern, Revisionen und Lieferanten

Compliance-Nachweise hängen von Rückverfolgbarkeit ab. Das ERP sollte wissen, was hergestellt wurde, aus welchen Materialien, gegen welche Revision, durch welchen Arbeitsschritt, geprüft von wem, freigegeben unter welcher Genehmigung und versendet an welches Ziel.

Für Aerospace- und Defense-Hersteller sollte Rückverfolgbarkeit Folgendes abdecken:

  • Teilenummern, Lose, Batches und Seriennummern.
  • Stücklistenversionen und technische Revisionen.
  • Fertigungsaufträge, Arbeitspläne und Vorgangshistorie.
  • Materialeingänge, Lieferantenzertifikate und Lieferantenlose.
  • Qualitätsprüfungen, Nichtkonformitäten, Verfügungen und Korrekturmaßnahmen.
  • Versandaufzeichnungen, Exportdokumente und Liefernachweise.

Hier unterscheiden sich Compliance-Software und Fertigungssoftware oft. Ein separates Compliance-Tool kann Dokumente speichern, aber das ERP muss diese Dokumente mit der realen Produktionskette verbinden. Wenn ein Einkäufer fragt, welches Lieferantenlos in eine ausgelieferte Seriennummer eingegangen ist, sollte die Antwort nicht davon abhängen, dass jemand manuell E-Mails, eine Tabelle und drei Ordner durchsucht.

Audit-Trails sollten nüchtern, vollständig und schwer zu umgehen sein

Audit-Trails werden nützlich, wenn sie in die normale Arbeit eingebaut sind. Sie sollten zeigen, wer kontrollierte Aufzeichnungen erstellt, angesehen, geändert, genehmigt, freigegeben, gedruckt, heruntergeladen, exportiert oder geteilt hat, mit Zeitstempeln und vorherigem Wert, wenn eine Aufzeichnung geändert wird.

Für ITAR müssen Aufzeichnungen so geführt werden, dass Änderungen, der Verantwortliche und der Zeitpunkt sichtbar sind. Für CMMC gehören Audit und Accountability zu den Sicherheitskontrollfamilien, die mit dem Schutz von CUI nach NIST SP 800-171 verbunden sind.

Das ERP sollte Audit-Historie nüchtern machen: vollständig genug, um ihr zu vertrauen, leicht genug auffindbar und verfügbar, bevor ein Vorfall sie zu dringender forensischer Arbeit macht.

Das bedeutet, dass Nutzer die Spur nicht löschen können sollten, indem sie ein PDF manuell bearbeiten, einen Anhang ersetzen, einen Arbeitsplan nach Abschluss ändern oder kontrollierte Daten exportieren, ohne dass das System die Aktion aufzeichnet. Sobald der Audit-Trail von guten Gewohnheiten außerhalb des ERP abhängt, hat das Unternehmen eine schwächere Geschichte zu erzählen.

Lieferanten- und Subcontractor-Flowdown gehört ins ERP

Die meisten Aerospace- und Defense-Hersteller produzieren nicht jedes Teil, jede Behandlung oder jeden Arbeitsschritt intern. Fremdbearbeitung, Spezialprozesse, Finishing, Prüfung, Zerspanung, Tests, Logistik und technische Unterstützung können Lieferanten oder Subcontractors einbeziehen.

Das ERP sollte helfen zu kontrollieren, was an diese Partner weitergegeben wird. Mindestens sollte es diese Fragen beantworten:

  • Welche Lieferanten sind für kontrollierte Arbeit freigegeben?
  • Welche Lieferantenkontakte sind berechtigt, kontrollierte Informationen zu erhalten?
  • Welche Bestellungen enthalten ITAR-, CUI-, Kunden- oder Vertrags-Flowdown-Bedingungen?
  • Welche Dokumente wurden wann, von wem und über welchen Kanal gesendet?
  • Welche Lieferantenzertifikate, Prüfberichte und Bestätigungen kamen zurück?
  • Welche Lieferanten waren an einem bestimmten serialisierten Teil oder Los beteiligt?

Das ist eine der schnellsten Möglichkeiten zu erkennen, ob ein ERP wirklich für Defense Supply Chains geeignet ist. Wenn Lieferantenkontrolle in Einkaufsnotizen und Compliance-Dateien liegt, während Bestellungen separat laufen, verbringt das Unternehmen zu viel Zeit damit, Nachweise zusammenzufügen.

Qualitätsaufzeichnungen müssen Konformität und Kontrolle belegen

Qualitätsmanagement ist nicht getrennt von ITAR- und CMMC-Readiness. In Aerospace und Defense gehören Prüfaufzeichnungen, Nichtkonformitäten, Korrekturmaßnahmen, Konzessionen und Freigaben oft zur Nachweiskette.

Das ERP sollte Qualitätsereignisse mit dem kontrollierten Artikel und seinem Produktionskontext verbinden. Eine Nichtkonformität sollte auf Seriennummer, Los, Vorgang, Revision, Arbeitsplatz, Lieferant, Verfügung, Freigebenden und betroffenen Kundenauftrag verweisen. Eine Korrekturmaßnahme sollte mit den Aufzeichnungen verbunden sein, auf die sie sich bezieht. Ein Konformitätszertifikat sollte aus kontrollierten Daten erzeugt werden, nicht manuell aus dem zusammengesetzt werden, was das Team findet.

Hier wird präzise Rückverfolgbarkeit auch kommerziell relevant. Käufer wollen Vertrauen, dass ein Lieferant das Teil herstellen und seine Historie nachweisen kann, ohne jeden Auftrag zu verlangsamen.

Was Sie ERP-Anbieter fragen sollten, bevor Sie ihnen ITAR- und CMMC-Arbeit anvertrauen

Ein Anbieter muss nicht versprechen, dass sein ERP "Sie compliant macht". Wenn er es doch tut, ist Vorsicht angebracht. Ein belastbarer Anbieter kann zeigen, wie das System die Kontrollen, Aufzeichnungen und Nachweise unterstützt, die Ihr Compliance-Programm braucht.

Stellen Sie praktische Fragen wie:

  • Können kontrollierte Artikel, Dokumente, Kunden, Aufträge, Lieferanten und Arbeitsanweisungen im System klassifiziert werden?
  • Läuft diese Klassifizierung durch Planung, Einkauf, Produktion, Qualität, Bestand, Logistik und Archiv weiter?
  • Kann Zugriff unterhalb der Modulebene eingeschränkt werden, einschließlich bestimmter Dokumente, Anhänge, Projekte, Aufträge oder Lieferantendatensätze?
  • Unterstützt das ERP SSO, MFA, Rollenverwaltung und Workflows zur Deaktivierung von Nutzern?
  • Kann das System zeigen, wer eine kontrollierte Aufzeichnung angesehen, geändert, genehmigt, exportiert, heruntergeladen oder geteilt hat?
  • Sind Änderungen an Aufzeichnungen ausreichend unveränderbar, um den vorherigen Wert, den Nutzer und den Zeitstempel zu zeigen?
  • Können Lieferanten-Flowdown-Bedingungen und die Weitergabe kontrollierter Dokumente von der Bestellung bis zum Wareneingang verfolgt werden?
  • Kann das ERP eine ausgelieferte Seriennummer oder ein Los über Materialien, Lieferanten, Vorgänge, Prüfungen, Nichtkonformitäten und Revisionen zurückverfolgen?
  • Kann CUI so segmentiert, abgegrenzt oder eingeschränkt werden, dass es zur CMMC-Grenze des Unternehmens passt?
  • Wie schnell kann das System implementiert werden, ohne Zugriffskontrolle, Rückverfolgbarkeit oder Audit-Trails zu schwächen?

Die letzte Frage ist wichtiger, als sie auf den ersten Blick wirkt. Compliance-Druck kommt oft mit einer Vertragsfrist. Wenn die ERP-Implementierung 18 Monate dauert, verpasst das System möglicherweise das kommerzielle Zeitfenster, das das Projekt überhaupt dringend gemacht hat.

FAQ zu ITAR- und CMMC-Compliance-Software

Was ist ITAR-Compliance-Software?

ITAR-Compliance-Software hilft Unternehmen, operative Kontrollen im Zusammenhang mit den International Traffic in Arms Regulations zu verwalten, einschließlich Klassifizierung kontrollierter Artikel, Zugriff auf Technical Data, Exportdokumentation, Aufbewahrung von Aufzeichnungen, Audit-Trails und Lieferanten-Flowdown. Für Hersteller muss das ERP diese Kontrollen oft unterstützen, weil kontrollierte Teile und Technical Data durch Produktion, Qualität, Einkauf, Bestand und Versand laufen.

Was ist CMMC-Compliance-Software?

CMMC-Compliance-Software hilft Defense Contractors, Cybersicherheitsanforderungen zum Schutz von FCI und CUI zu verwalten. Dazu können Sicherheitsdokumentation, Assessments, Nachweise, Zugriffskontrolle, Audit-Logs und Kontrollüberwachung gehören. Ein ERP ist kein vollständiges CMMC-Programm, aber wenn es CUI speichert oder verarbeitet, muss es die Zugriffs-, Audit- und Nachweisanforderungen unterstützen, die mit dem CMMC-Scope des Unternehmens verbunden sind.

Macht ein ERP einen Hersteller ITAR-konform?

Nein, kein ERP macht einen Hersteller allein ITAR-konform. ITAR-Compliance hängt von Klassifizierung, Registrierung, Lizenzen oder Freigaben, sofern erforderlich, Exportkontrollverfahren, Personalkontrollen, Lieferantenmanagement, Schulung und rechtlicher Beurteilung ab. Das ERP sollte die operative Seite unterstützen: Labels für kontrollierte Daten, eingeschränkten Zugriff, Rückverfolgbarkeit, Aufbewahrung von Aufzeichnungen, Änderungshistorie und Nachweise.

Macht ein ERP einen Hersteller CMMC-konform?

Nein, kein ERP macht einen Hersteller allein CMMC-konform. CMMC umfasst die Cybersicherheitspraktiken der Organisation über Menschen, Prozesse, Systeme und Netzwerke hinweg. Ein ERP kann aber in den Scope fallen, wenn es FCI oder CUI speichert, verarbeitet oder überträgt. In diesem Fall sollte das ERP Zugriffskontrolle, Identitätsmanagement, Audit-Historie, Datensegmentierung und Nachweiserfassung unterstützen.

Worauf sollten Aerospace- und Defense-Hersteller bei einem ERP achten?

Aerospace- und Defense-Hersteller sollten ein ERP suchen, das Klassifizierung kontrollierter Artikel, rollenbasierte Zugriffskontrolle, Dokumentenkontrolle, Los- und Seriennummern-Rückverfolgbarkeit, Lieferanten-Flowdown, Qualitätsaufzeichnungen, unveränderbare Audit-Trails und schnelle Nachweisabfrage unterstützt. Das System sollte dem Team helfen zu belegen, was passiert ist, ohne die Historie aus Tabellen, Ordnern, E-Mails und manuellen Exporten zusammenzubauen.

Andere Artikel, die dir gefallen könnten

Framework zur Auswahl eines Manufacturing ERP mit Bewertungsschritten, Geschäftsanforderungen, Abstimmung der Beteiligten und ERP-Projektplanung.
ERP-Einführung und Implementierung

3 Schritte vor der ERP-Wahl für produzierende Unternehmen

Lesen Sie den Artikel
Reorder Point im Bestandsmanagement mit Lagerkartons auf Paletten, zur Veranschaulichung automatisierter Meldebestandsberechnungen und Nachschubplanung.
KI für Fertigungsprozesse

Was ist der Meldebestand und wie lässt sich die manuelle Berechnung abschaffen?

Lesen Sie den Artikel
Demand forecasting software und demand planning software mit historischen Nachfragetrends, Prognoseprojektionen und Unsicherheitsbereichen für Produktionsplanung und Bestandsmanagement.
KI für Fertigungsprozesse

Was ist Nachfrageprognose, und warum scheitert sie immer wieder für Planer?

Lesen Sie den Artikel

Klingt interessant?

Holen Sie sich eine maßgeschneiderte Demo in 48 Stunden.

Eine Demo buchen
Bonx-Logo in weiß
Endlich ein ERP, das Ihnen zuhört und für Sie ausführt
Bleiben Sie auf dem Laufenden:
Danke, dass du den Bonx-Newsletter abonniert hast! Sie werden von uns hören, ob wir der Meinung sind, dass unsere Inhalte zu Ihnen passen.
© 2026 Bonx
Sprachen