Sicherheitsüberprüfungen sind eine der greifbarsten Einschränkungen, die die Verteidigungssoftwareentwicklung von der kommerziellen Entwicklung unterscheiden. Bei einem kommerziellen Projekt stellt ein Anbieter das fähigste verfügbare Team zusammen und beginnt mit der Arbeit. Bei einem geheimen Verteidigungsprogramm ist die Teamzusammensetzung auf diejenigen beschränkt, die den für den Zugang zu den geheimen Informationen des Programms erforderlichen Überprüfungsgrad besitzen oder erhalten können. Diese Einschränkung wirkt sich auf Einstellungszeitpläne, Teamgröße, die Möglichkeit zur Kapazitätserweiterung während des Programms und die Kostenstruktur der Zusammenarbeit aus.

Das Verständnis der Funktionsweise von Sicherheitsüberprüfungen, der organisatorischen Anforderungen auf institutioneller Ebene und der Strukturierung von Programmen zur Minimierung überprüfungsbedingter Reibung ist für jeden Softwareanbieter, der mit Verteidigungsprogrammen arbeiten möchte, unverzichtbares Wissen.

Überprüfungsgrade: NATO Secret, Cosmic Top Secret und nationale Entsprechungen

Sicherheitsüberprüfungen existieren sowohl auf nationaler als auch auf NATO-Ebene, und diese beiden Systeme interagieren auf spezifische Weise, die internationale Verteidigungsprogramme beeinflusst.

Auf nationaler Ebene verfügen die meisten NATO-Mitgliedsstaaten über ein drei- oder vierstufiges Klassifizierungssystem: Vertraulich (oder Entsprechung), Geheim und Streng Geheim, wobei einige Länder eine Kategorie für besonders sensible Nachrichteninformationen (SCI) oberhalb von Streng Geheim hinzufügen. Die spezifischen Bezeichnungen variieren je nach Land. Persönliche Überprüfungen entsprechen diesen Ebenen: Eine Geheim-Überprüfung gewährt Zugang zu geheimen Informationen, nicht jedoch zu streng geheimen.

Die NATO verfügt über ein eigenes Klassifizierungssystem: NATO RESTRICTED, NATO CONFIDENTIAL, NATO SECRET und Cosmic Top Secret (CTS). Der Begriff „Cosmic" ist ein Codepräfix, das auf die höchste NATO-Klassifizierungsebene angewendet wird. Eine nationale Streng-Geheim-Überprüfung eines NATO-Mitgliedsstaats wird in der Regel für den Zugang zu NATO-SECRET-Informationen anerkannt; der Zugang zu Cosmic Top Secret erfordert eine spezielle Überprüfung auf NATO-Ebene.

Anforderungen an Softwareentwickler: Staatsangehörigkeit, Hintergrundüberprüfung und Identitätsprüfung

Staatsangehörigkeit. Die meisten Länder verlangen, dass Personal, das eine Geheim- oder höhere Überprüfung besitzt, Staatsangehörige des überprüfenden Landes sind. Personen mit doppelter Staatsangehörigkeit können einer zusätzlichen eingehenden Prüfung unterliegen. Ausländische Staatsangehörige sind in der Regel nicht für nationale Sicherheitsüberprüfungen berechtigt. Dies wirkt sich direkt auf Anbieter mit internationalen Entwicklungsteams aus: Teammitglieder, die keine Staatsangehörigen des betreffenden Landes sind, können keine Überprüfung dieses Landes erhalten und dürfen nicht auf geheime Informationen der entsprechenden Ebenen zugreifen.

Hintergrundüberprüfung. Der Überprüfungsprozess für eine Geheim-Überprüfung umfasst in der Regel eine Hintergrunduntersuchung, die Beschäftigungshistorie, Wohnsitze, Finanzhistorie, Strafregister, ausländische Kontakte und Reisen sowie Referenzen abdeckt. Tiefe und Umfang der Untersuchung nehmen mit dem Überprüfungsgrad zu. Die Untersuchung wird von einer nationalen Überprüfungsbehörde durchgeführt und kann bei erstmaligen Überprüfungen Monate dauern.

Kontinuierliche Überprüfung. Nach Erteilung sind Überprüfungen nicht unbefristet gültig. Die meisten Länder führen periodische erneute Untersuchungen durch — in der Regel alle fünf bis sieben Jahre für die Geheim-Ebene, häufiger für höhere Ebenen. Personal, das bereits eine Überprüfung besitzt, ist eine Ressource, um die Programme konkurrieren; ein Anbieter mit einem vorab überprüften Entwicklerpool hat einen materiellen Vorteil hinsichtlich der Programmbesetzungszeiten.

Reale Zeitrahmen: Erstuntersuchungen für Softwareentwickler, die neu im Verteidigungssektor sind, können je nach Land, Überprüfungsebene und aktueller Auslastung der Überprüfungsbehörde sechs bis achtzehn Monate dauern. Programme, die überprüfte Entwickler benötigen und diese Zeitrahmen nicht im Budget eingeplant haben, werden auf Personalbeschaffungsverzögerungen stoßen, die Zeitplan und Kosten beeinflussen. Die Planung der Bearbeitungszeit für Überprüfungen ist keine Option — sie ist eine obligatorische Voraussetzung für das Programmmanagement.

Einrichtungsüberprüfung: Was Organisationen benötigen

Neben persönlichen Überprüfungen müssen Organisationen, die an geheimen Verteidigungsprogrammen arbeiten, eine Einrichtungssicherheitsüberprüfung (FSC) — oder nationales Äquivalent — besitzen, die die Organisation berechtigt, geheime Informationen zu empfangen, zu speichern und zu verarbeiten. Die FSC wird der Organisation erteilt, nicht einzelnen Mitarbeitern.

Die Erlangung einer FSC erfordert den Nachweis, dass die Organisation physische Sicherheitsmaßnahmen, Informationssicherheitskontrollen und administrative Verfahren implementiert hat, die zum Schutz geheimer Informationen der entsprechenden Ebene erforderlich sind. Dazu gehören: genehmigte sichere Einrichtungen (Geheimbesprechungsräume, sichere Aufbewahrung geheimer Dokumente, geeignete IT-Systeme); ein benannter Einrichtungssicherheitsbeauftragter (FSO); Personalsicherheitsverfahren; und die Einhaltung des entsprechenden nationalen Sicherheitsstandards.

Die FSC muss der entsprechenden Ebene für die ausgeführte Arbeit entsprechen. Eine Organisation mit einer Geheim-FSC kann keine Verträge annehmen, die Streng-Geheim-Arbeit erfordern. Die Anhebung einer FSC erfordert eine Inspektion durch die nationale Sicherheitsbehörde und muss vor Beginn geheimer Arbeit abgeschlossen sein.

Alternativen: Kontrollierte nicht klassifizierte Informationen versus klassifizierte Informationen

Nicht alle Arbeiten an Verteidigungssoftware erfordern Überprüfungen. Viele Verteidigungsprogramme operieren mit Kontrollierten Nicht Klassifizierten Informationen (CUI) — Informationen, die Schutz erfordern, aber nicht die Schwelle klassifizierter Informationen erreichen. Die Arbeit mit CUI erfordert die organisatorische Einhaltung entsprechender Sicherheitsstandards, erfordert aber in der Regel keine persönlichen Überprüfungen.

Programm-Architekturentscheidungen können manchmal Überprüfungsanforderungen reduzieren oder beseitigen, indem klassifizierte und nicht klassifizierte Komponenten getrennt werden. Anbieter, die aufgrund der Teamzusammensetzung, FSC-Einschränkungen oder zeitlichen Beschränkungen keine Überprüfungen erlangen können, sollten es nicht versuchen, Programme zu realisieren, die diese erfordern — die Folgen von Sicherheitsverstößen sind schwerwiegend, und die regulatorischen und vertraglichen Konsequenzen von Überprüfungsverstößen sind erheblich.