Interoperabilität

API-Gateways für den Koalitionsdatenaustausch: Verträge, Richtlinien, Drosselung

Von Corvus Intelligence Engineering Team · Über das Team →

11. Juni 2026 9 Min. Lesezeit

Koalitionsoperationen hängen von gemeinsamer Lagebildkenntnis ab, und gemeinsame Lagebildkenntnis hängt davon ab, dass Daten zuverlässig und sicher zwischen nationalen Systemen fließen, die unabhängig entworfen, unterschiedlich klassifiziert und unter verschiedenen rechtlichen Rahmenbedingungen betrieben wurden. Das API-Gateway ist die Architekturkomponente, die dies ermöglicht: eine richtliniendurchsetzende Grenzschicht, die das Backend abstrahiert, Freigaberegeln durchsetzt, Partner über heterogene Identitätsanbieter hinweg authentifiziert, den Durchsatz begrenzt, um Backend-Ressourcen zu schützen, und jedes Datenaustauschereignis für das Audit aufzeichnet. Das Koalitions-API-Gateway richtig zu gestalten ist eine der folgenreichsten technischen Entscheidungen in einem Datenaustauschprogramm mit mehreren Nationen – und eine der am wenigsten standardisierten. Dieser Artikel behandelt die vier technischen Probleme, die darüber entscheiden, ob ein Koalitions-API-Gateway operativ erfolgreich ist: Schnittstellenverträge, Durchsetzung der Freigaberichtlinien, Authentifizierungsföderation sowie Ratenbegrenzung mit Beobachtbarkeit. Für einen breiteren Kontext zu den politischen und organisatorischen Dimensionen der Herausforderungen des Koalitionsdatenaustauschs siehe den begleitenden Artikel.

Die Rolle des API-Gateways in der Koalitionsarchitektur

In einem nationalen System sind die Hauptaufgaben eines API-Gateways Routing, Authentifizierung und Ratenbegrenzung – Fähigkeiten, die jedes moderne Gateway-Produkt standardmäßig bietet. In einem Koalitionskontext übernimmt das Gateway zwei zusätzliche Verantwortlichkeiten, für die es kein kommerzielles Standardäquivalent gibt: Freigabedurchsetzung und domänenübergreifendes Audit.

Freigabedurchsetzung bedeutet, dass das Gateway eine Antwort nicht einfach vom Backend an den anfragenden Partner weiterleiten kann. Es muss die Antwort prüfen, bestimmen, welche Felder die anfragende Nation sehen darf, und entweder die Antwort auf die autorisierte Teilmenge filtern oder einen Fehler zurückgeben, wenn keine der angeforderten Daten für diesen Partner freigegeben ist. Dies unterscheidet sich grundlegend von der Autorisierung in einem kommerziellen System, in dem die Autorisierung binär ist (Sie haben entweder Zugriff auf eine Ressource oder nicht). In einem Koalitionssystem kann ein einzelnes Antwortobjekt Felder enthalten, die für alle Partner freigegeben sind, Felder, die nur für eine Five-Eyes-Teilmenge freigegeben sind, und Felder, die nur national freigegeben sind – und das Gateway muss alle drei Richtlinien gleichzeitig anwenden.

Das domänenübergreifende Audit ist die zweite koalitionsspezifische Anforderung. Datenaustauschvereinbarungen zwischen Nationen schreiben typischerweise vor, dass jede Datenfreigabe protokolliert wird – wer was wann und unter welcher Freigabeautorisierung erhalten hat. Dies ist kein Standard-Zugriffsprotokoll; es ist ein strukturierter, manipulationssicherer Datensatz der Freigabeentscheidung selbst. Das Audit-Protokoll muss nicht nur aufzeichnen, was geteilt, sondern auch, was zurückgehalten wurde und warum, damit Datenverantwortliche im Falle einer Überprüfung oder eines Vorfalls die Einhaltung der Austauschvereinbarung nachweisen können.

Schnittstellenverträge: das ICD als maßgebliche Quelle

Jede Koalitions-API muss durch ein Interface Control Document (ICD) geregelt werden, das von allen teilnehmenden Nationen vereinbart wird, bevor die Implementierung beginnt. Das ICD erfüllt zwei Funktionen, die in Spannung zueinander stehen: Es muss spezifisch genug sein, um eine unabhängige Implementierung durch die Systemintegratoren jeder Nation zu ermöglichen, aber flexibel genug, um die Weiterentwicklung der Datenanforderungen über den Programmlebenszyklus hinweg zu berücksichtigen.

Das ICD spezifiziert Endpunktpfade, HTTP-Methoden, Anfrage- und Antwortschemata (vorzugsweise als OpenAPI-3.1-Spezifikationen mit maschinenlesbaren Schemadefinitionen), Fehlercodes und – entscheidend – die Freigabestufe jedes Antwortfelds. Die Freigabeannotation an einem Schemafeld ist kein Kommentar oder eine Notiz; sie ist ein erstklassiges Schemaattribut, das die Richtlinien-Engine des Gateways zur Laufzeit liest, um Filterentscheidungen zu treffen. Ein ICD, das Schemata ohne Freigabeannotationen spezifiziert, ist unvollständig; das Gateway kann keine Richtlinie durchsetzen, die nicht formell spezifiziert wurde.

Versionierung und Abwärtskompatibilität

Koalitions-ICDs ändern sich langsam und erfordern eine multilaterale Vereinbarung für Aktualisierungen, was Druck beim Versionsmanagement erzeugt. Eine Koalitions-API muss mindestens zwei Hauptversionen gleichzeitig unterstützen, da Partnernationen ihre Systeme nach unterschiedlichen Zeitplänen aktualisieren. Das Gateway übernimmt das Versions-Routing – es leitet Anfragen mit einem Accept: application/vnd.coalition.v2+json Header an den v2-Backend-Pfad und Anfragen ohne Versions-Header an den stabilen v1-Pfad. Zeitpläne für die Versionsabkündigung müssen im ICD dokumentiert und bilateral verhandelt werden; eine einseitige Versionsstilllegung ist ein garantierter Interoperabilitätsvorfall.

Die schmerzhafteste ICD-Änderung ist das Hinzufügen eines neuen Pflichtfelds zu einem bestehenden Antwortschema. Partner, deren Clients das neue Feld noch nicht verarbeiten, brechen nicht ab, wenn das Feld additiv ist, aber Partner, deren Antwortverarbeitung strikt schemavalidiert ist, schon. Das Designprinzip der Koalitions-API, das dies vermeidet, ist das auf Schemata angewandte Postel'sche Gesetz: Sei konservativ bei dem, was du sendest (nimm nur Felder auf, zu deren Weitergabe du autorisiert bist) und sei liberal bei dem, was du akzeptierst (ignoriere unbekannte Felder, statt einen Fehler zu erzeugen). Diese Erwartung im ICD ausdrücklich zu dokumentieren, verhindert nachgelagerte Integrationsfehler.

Durchsetzung der Freigaberichtlinien

Die Freigaberichtlinien-Engine ist die koalitionsspezifischste Komponente des Gateways und eine, die kein Standard-Gateway-Produkt von Haus aus bietet. Sie korrekt aufzubauen erfordert ein klares Datenmodell für die Freigabe, einen schnellen Auswertungspfad und ein Design, das von Datenverantwortlichen, die keine Ingenieure sind, geprüft werden kann.

Das Freigabemodell, das in den meisten Datenaustauschprogrammen der Allianz verwendet wird, bildet auf die NATO-Interoperabilitätsstandards für Datenklassifizierung und Freigabemarkierung ab – konkret das in STANAG 4774 (Confidentiality Metadata Label Syntax) und STANAG 4778 (Metadata Binding Mechanism) beschriebene Label-Modell. In diesem Modell trägt jedes Datenobjekt ein strukturiertes Label, das seine Klassifizierungsstufe (UNCLASSIFIED, RESTRICTED, CONFIDENTIAL, SECRET) und seine Freigabekennzeichner (NATO, FIN, GBR, NOR usw.) spezifiziert. Die Richtlinien-Engine des Gateways liest dieses Label und vergleicht es mit der autorisierten Freigabemenge des anfragenden Partners, um zu entscheiden, ob das Feld freigegeben werden kann.

Feldebenenfilterung in der Praxis

Feldebenenfilterung – statt Objektebenenfilterung – ist unerlässlich, wenn eine Antwort Felder auf unterschiedlichen Freigabestufen enthält. Ein Track-Datensatz könnte Positionsdaten enthalten, die für alle Koalitionsmitglieder freigegeben sind, Identitätsdaten, die nur für eine Five-Eyes-Teilmenge freigegeben sind, und Quellenaufklärungsreferenzen, die nur national freigegeben sind. Das Gateway muss das Positionsfeld an jeden Koalitionspartner zurückgeben, das Identitätsfeld nur an Five-Eyes-Partner zurückgeben und das Quellenreferenzfeld vollständig aus externen Antworten weglassen, alles in einem einzigen Antwortobjekt.

Dies zu implementieren erfordert, dass das Backend Antwortfelder mit Freigabemetadaten kennzeichnet, bevor es die Antwort an das Gateway sendet. Der operativ am stärksten bewährte Ansatz besteht darin, die Freigabe als parallele Metadatenstruktur zu tragen – eine Abbildung von Feldpfad auf (Klassifizierung, Freigabe)-Tupel –, die an jede Antwort angehängt wird. Das Gateway deserialisiert die Antwort und die Metadatenabbildung, wertet jeden Feldpfad gegen die Autorisierung des Anfragenden aus, baut eine gefilterte Antwort auf, die nur autorisierte Felder enthält, und leitet sie an den Client weiter. Die Filteroperation muss idempotent und deterministisch sein: Bei derselben Eingabeantwort und derselben Anfragenden-Autorisierung muss das Gateway immer dieselbe gefilterte Ausgabe erzeugen.

Authentifizierungsföderation über nationale Identitätsanbieter hinweg

Koalitionspartnernationen betreiben unabhängige Identitätsinfrastrukturen. Die Herausforderung der Authentifizierungsföderation besteht darin, einem Systembetreiber in Nation A zu ermöglichen, sich beim API-Gateway von Nation B zu authentifizieren, ohne dass Nation B dem Identitätsanbieter von Nation A direkt vertrauen muss – und ohne dass der Betreiber einen separaten Satz von Koalitionsanmeldeinformationen verwalten muss.

Das Muster, das sich in operativen Koalitionsbereitstellungen am praktischsten erwiesen hat, kombiniert Mutual TLS auf der Transportebene mit OAuth-2.0-Token-Austausch auf der Anwendungsebene. Mutual TLS verwendet Clientzertifikate, die von der PKI jeder Nation ausgestellt werden. Das Koalitions-API-Gateway unterhält einen Trust-Store, der die Stammzertifizierungsstellen aller teilnehmenden Nationen enthält, wie durch die Koalitions-PKI-Vereinbarung akkreditiert. Wenn ein Client eine Verbindung herstellt, verifiziert das Gateway das Clientzertifikat gegen diesen Trust-Store und extrahiert die Herkunftsnation aus dem Subjekt des Zertifikats oder der ausstellenden CA.

Ausstellung koalitionsgebundener JWTs

Die mTLS-Identität legt fest, wer sich auf der Transportebene verbindet. Die Anwendungsebene benötigt eine reichhaltigere Anmeldeinformation: eine, die nicht nur die Herkunftsnation spezifiziert, sondern die spezifischen Freigabeautorisierungen, die dieser Nation im Rahmen der Datenaustauschvereinbarung gewährt wurden. Hier wird der OAuth-2.0-Token-Exchange-Grant-Typ (RFC 8693) angewandt. Der Client präsentiert seine mTLS-verifizierte Nationsidentität einem Koalitions-Token-Exchange-Endpunkt; der Endpunkt schlägt die autorisierte Freigabemenge der Nation im Richtlinienspeicher nach (verwaltet von der Sicherheitsbehörde der datenbesitzenden Nation) und stellt ein kurzlebiges JWT aus, das diese Menge als strukturierten Anspruch enthält.

Nachfolgende API-Anfragen tragen dieses JWT als Bearer-Token. Die Freigabe-Engine des Gateways liest die JWT-Ansprüche, um die autorisierte Freigabemenge des Anfragenden zu bestimmen, ohne bei jeder Anfrage einen Live-Aufruf an den Richtlinienspeicher zu tätigen. Der JWT-Ablauf – typischerweise 15 bis 60 Minuten für operative Koalitionsumgebungen – stellt sicher, dass sich Richtlinienänderungen (etwa die Änderung der Autorisierung einer Nation nach einer Klassifizierungsüberprüfung) innerhalb eines begrenzten Zeitfensters ausbreiten. Dies vermeidet sowohl die Latenz von Richtlinien-Lookups pro Anfrage als auch das Veralterungsrisiko unbegrenzt langlebiger Token.

Ratenbegrenzung und Drosselung für Koalitions-APIs

Die Ratenbegrenzung in einer Koalitions-API dient zwei unterschiedlichen Zwecken: dem Schutz des Backends vor Überlastung und der Gewährleistung eines gerechten Zugangs für alle Partnernationen. Beide Zwecke erfordern unterschiedliche Begrenzungsstrukturen und müssen separat konfiguriert werden.

Der Backend-Schutz verwendet Ratenbegrenzungen pro Endpunkt, die für alle Anfragenden gelten. Kostenintensive Endpunkte – Bulk-Track-Abfragen, geospatiale Verschneidungssuchen, große Zeitbereichs-Verlaufsabfragen – erhalten niedrigere Begrenzungen als leichtgewichtige Lookups. Die Begrenzungswerte sollten aus Lasttests gegen das Backend unter realistischen Koalitionsverkehrsmustern abgeleitet werden, nicht aus willkürlichen Standardwerten. HTTP 429 mit einem Retry-After-Header ist die erforderliche Antwort bei Überschreitung der Begrenzung; Clients müssen exponentielles Back-off mit Jitter implementieren, um synchronisierte Retry-Stürme nach dem Zurücksetzen eines Begrenzungsfensters zu vermeiden.

Kontingente pro Nation und Fairness

Gerechter Zugang verwendet Kontingente pro Nation: eine Sliding-Window-Begrenzung der Gesamtanfragen pro Minute von jeder Nationsidentität. Ohne Kontingente pro Nation kann ein Partner mit hohem Volumen die Gateway-Kapazität monopolisieren und die Antwortzeiten für andere Koalitionsmitglieder verschlechtern – ein Fehlermodus, der politisch ebenso wie technisch schädlich ist. Kontingente pro Nation sollten im ICD definiert und bilateral vereinbart werden; eine Nation, die ihr Kontingent konsequent erreicht, sollte eine Kontingentneuverhandlung eröffnen, nicht Workarounds implementieren, die das Verkehrsmuster vor dem Gateway verbergen.

Die Kontingentüberwachung – das Verfolgen der Kontingentauslastung jeder Nation im Zeitverlauf – ist unabhängig von der Drosselung operativ wertvoll. Eine Nation, deren Auslastung konstant bei 90 % des Kontingents liegt, nähert sich einer Kapazitätsklippe; eine Nation, deren Auslastung plötzlich abfällt, könnte einen Systemausfall erlebt haben. Beide Zustände sind es wert, bekannt zu sein, bevor sie zu operativen Problemen werden.

Wichtige Erkenntnis: Der häufigste Fehlermodus von Koalitions-APIs in Übungen ist nicht Authentifizierung oder Freigabe – es sind undokumentierte Ratenbegrenzungen. Partnernationssysteme, die ohne dokumentierte Begrenzungsannahme entworfen wurden, treffen während hochfrequenter Operationen auf produktive Drosselungen und interpretieren HTTP 429 als Netzwerkfehler statt als Kontingentüberschreitung. Dokumentieren Sie jede Ratenbegrenzung im ICD, stellen Sie eine Testumgebung bereit, in der Begrenzungen vor der Übung validiert werden können, und verlangen Sie, dass Partnersysteme die korrekte HTTP-429-Behandlung als Teil der Integrationscheckliste nachweisen.

Beobachtbarkeit: Zugriffsprotokolle, Metriken, Traces und Audit-Ereignisse

Ein Koalitions-API-Gateway erzeugt vier Kategorien von Betriebsdaten, jede mit unterschiedlichen Konsumenten und Aufbewahrungsanforderungen.

Zugriffsprotokolle erfassen jede Anfrage und Antwort: Zeitstempel, Anfragenden-Nationsidentität, Endpunkt, HTTP-Methode, HTTP-Statuscode, Antwortgröße und Gateway-Verarbeitungslatenz. Zugriffsprotokolle werden vom Operations-Team für die Vorfalldiagnose und vom Sicherheitsteam für die Anomalieerkennung konsumiert. Sie müssen strukturiert sein (JSON ist das Standardformat) und für schnelle Abfragen nach Nationsidentität, Endpunkt und Statuscode indiziert werden. Die Aufbewahrung beträgt für Betriebsprotokolle typischerweise 90 Tage.

Metriken machen die Echtzeit-Gateway-Gesundheit sichtbar: Anfragerate, Fehlerrate und Latenzperzentile (p50, p95, p99) pro Nation und pro Endpunkt. Ein Prometheus-kompatibler Metrik-Endpunkt ist der Standard für Koalitions-API-Gateways, die in moderner Infrastruktur bereitgestellt werden. Das Operations-Team überwacht diese Metriken auf einem Dashboard und richtet Alarme für Fehlerraten- und Latenzschwellen ein. Die Kontingentauslastung pro Nation ist die koalitionsspezifische Metrik, die nicht in Standard-Gateway-Dashboards zu finden ist und als benutzerdefinierte Metrik implementiert werden muss.

Verteilte Traces bieten End-to-End-Latenztransparenz vom Gateway-Empfang bis zur Backend-Antwort. W3C-Trace-Context-Header (traceparent, tracestate), die durch jeden Hop propagiert werden, ermöglichen die Korrelation einer langsamen Antwort mit einer bestimmten Backend-Datenbankabfrage oder einem nachgelagerten Dienstaufruf. Traces werden von Ingenieuren konsumiert, die Leistungsregressionen diagnostizieren; sie sind typischerweise nicht für Compliance erforderlich, aber für die Ursachenanalyse während Übungen von unschätzbarem Wert.

Freigabe-Audit-Ereignisse sind die koalitionsspezifische Beobachtbarkeitsanforderung. Jede Antwort vom Gateway muss einen strukturierten Audit-Datensatz erzeugen: Anfragenden-Identität, Anfragezeitstempel, Endpunkt, zugegriffene Datenobjekte, Freigabeentscheidung für jedes Feld (geteilt oder zurückgehalten) und die Richtlinienregel, die die Entscheidung antrieb. Diese Ereignisse werden in einen manipulationssicheren Audit-Speicher geschrieben (append-only, kryptografisch signiertes Protokoll) mit einer Aufbewahrung, die durch die Koalitionsdatenaustauschvereinbarung festgelegt wird – üblicherweise 1 bis 5 Jahre. Der Audit-Speicher muss für die Sicherheitsbehörde der datenbesitzenden Nation zur Compliance-Überprüfung zugänglich, aber nach dem ersten Anhängen nicht durch die Gateway-Laufzeit selbst beschreibbar sein.

Setzen Sie Koalitionsrichtlinien auf der Integrationsebene durch

Das Corvus Interoperability Dashboard bietet eine einheitliche Steuerungsebene für das Koalitions-API-Richtlinienmanagement – Freigaberegelkonfiguration, Status der Authentifizierungsföderation, Kontingentüberwachung pro Nation und Audit-Ereignisprüfung in einer einzigen operativen Oberfläche, die für Datenaustauschprogramme mit mehreren Nationen konzipiert ist.

Interoperability Dashboard erkunden → Ein Briefing buchen

Diese Analyse wurde von Corvus-Intelligence-Ingenieuren erstellt, die missionskritische Interoperabilitätssoftware für Verteidigungs- und Regierungsorganisationen entwickeln. Erfahren Sie mehr über unser Team →

Häufig gestellte Fragen

Was ist ein Koalitions-API-Gateway und wie unterscheidet es sich von einem Standard-API-Gateway?

Ein Koalitions-API-Gateway ist ein richtliniendurchsetzender Reverse-Proxy, der an der Grenze zwischen einem nationalen System und einem Koalitionsnetz platziert wird. Anders als ein Standard-Unternehmens-API-Gateway muss es zusätzlich Freigaberegeln durchsetzen (welche Datenelemente mit welchen Partnernationen geteilt werden dürfen), die Authentifizierung über unterschiedliche Identitätsanbieter hinweg föderieren (nationale PKI, Koalitions-PKI, NATO-PKI) und jedes Datenaustauschereignis für Auditzwecke protokollieren, die durch Koalitionsdatenaustauschvereinbarungen vorgeschrieben sind. Standard-API-Gateways übernehmen Authentifizierung, Ratenbegrenzung und Routing — Koalitionsgateways legen Freigabedurchsetzung und domänenübergreifendes Audit darüber.

Wie wird die Freigabe auf der API-Gateway-Ebene durchgesetzt?

Die Freigabedurchsetzung am Gateway funktioniert, indem die Datenklassifizierung und die Freigabemarkierungen an jedem Antwortobjekt geprüft werden — typischerweise als strukturierte Metadatenfelder oder STANAG 4774 / STANAG 4778 Labels getragen — und Felder gefiltert oder geschwärzt werden, die die autorisierte Freigabestufe der anfragenden Partei überschreiten. Das Gateway unterhält eine Freigaberichtlinien-Engine: eine Tabelle, die (Datenkategorie, Klassifizierungsstufe) auf die Menge von Partnernationen oder Koalitionsgruppen abbildet, die zum Empfang berechtigt sind. Anfragen tragen einen verifizierten Identitätsanspruch (aus der föderierten Authentifizierungsebene), der auf eine Freigabeautorisierungsmenge abgebildet wird; die Engine wendet die Schnittmenge aus der Freigabe der Daten und der Autorisierung des Anfragenden an, um zu bestimmen, was zurückgegeben werden kann.

Welches Authentifizierungsföderationsmuster ist in Koalitions-API-Bereitstellungen am häufigsten?

Das häufigste Muster ist Mutual TLS (mTLS) auf der Transportebene kombiniert mit OAuth-2.0-Token-Austausch auf der Anwendungsebene. Jede Nation betreibt ihren eigenen Identitätsanbieter. Das Gateway vertraut einer Menge koalitionsakkreditierter Stammzertifizierungsstellen; von diesen CAs signierte Clientzertifikate begründen die Herkunftsnationsidentität auf der Transportebene. Ein Token-Austauschschritt — unter Verwendung des OAuth-2.0-Token-Exchange-Grant-Typs RFC 8693 — wandelt die nationale Identitätsbehauptung in ein koalitionsgebundenes Zugriffstoken um, das die autorisierte Freigabestufe des Anfragenden als Anspruch trägt. Dies vermeidet ein föderiertes Single Sign-on über nationale Identitätsanbieter hinweg, während dennoch ein verifizierbares, koalitionsgebundenes Autorisierungsanmeldeinformation erzeugt wird.

Wie sollte die Ratenbegrenzung für APIs zum Koalitionsdatenaustausch konfiguriert werden?

Die Ratenbegrenzung für Koalitions-APIs sollte auf zwei Ebenen konfiguriert werden: Kontingente pro Nation und Kontingente pro Endpunkt. Kontingente pro Nation verhindern, dass die Abfragen mit hohem Volumen eines einzelnen Partners den Dienst für andere Koalitionsmitglieder beeinträchtigen — eine Sliding-Window-Begrenzung von Anfragen pro Minute pro Nationskennung ist der Standardansatz. Kontingente pro Endpunkt schützen kostenintensive Backend-Operationen (Bulk-Track-Abfragen, geospatiale Verschneidungen) vor Abfragestürmen. Koalitions-APIs sollten HTTP 429 mit einem Retry-After-Header verwenden, um die Drosselung zu signalisieren; Clients müssen exponentielles Back-off implementieren. Kontingentwerte sollten im Interface Control Document der Koalitions-API dokumentiert und während der Datenaustauschvereinbarung verhandelt werden — willkürliche, zur Laufzeit entdeckte Ratenbegrenzungen sind eine häufige Ursache für Interoperabilitätsfehler während Übungen.

Welche Beobachtbarkeitsinstrumentierung ist an einem Koalitions-API-Gateway erforderlich?

Koalitions-API-Gateways erfordern vier Kategorien der Beobachtbarkeit: Zugriffsprotokolle (Anfragezeitstempel, Anfragenden-Identität, Endpunkt, HTTP-Status, Antwortgröße — für die Audit-Compliance), Metriken (Anfragerate, Fehlerrate, Latenzperzentile pro Nation und Endpunkt — für Kapazitäts- und SLA-Überwachung), verteilte Traces (End-to-End-Latenz vom Gateway-Empfang bis zur Backend-Antwort — zur Diagnose langsamer Abfragen) und Freigabe-Audit-Ereignisse (ein strukturierter Datensatz jeder Datenaustauschentscheidung: Anfragenden-Identität, Datenklassifizierung, Freigabeentscheidung und geschwärzte Felder — für rechtliche und Sicherheits-Compliance). Zugriffsprotokolle und Freigabe-Audit-Ereignisse müssen für den in der Koalitionsdatenaustauschvereinbarung festgelegten Zeitraum aufbewahrt werden, der je nach Klassifizierungsstufe typischerweise 90 Tage bis 5 Jahre beträgt.