Cyber Atlas Israel

Cybersicherheit, Cyber Defense und künstliche Intelligenz

Compliance by Design – warum Regulierung kein Nachgedanke sein darf

Compliance by Design – warum Regulierung kein Nachgedanke sein darf

Verfasst von:

Thorsten Kraft

Executive Security Architect

EEin Drohnenabwehrsystem liegt in einem bayerischen Gefängnisschrank. Legal beschafft, technisch sauber — und nie eingesetzt. Die Geschichte dahinter ist kein Einzelfall: Sie ist das präziseste Bild des Compliance-Bruchs, der täglich in Behörden, Unternehmen und Beschaffungsprozessen passiert. Wer zu spät fragt, beschafft Dinge die im Schrank landen — oder erschließt Märkte nie, die sich ohne Compliance-Nachweis schlicht nicht öffnen. Compliance by Design ist die Antwort auf den Bruch. Compliance as a Feature ist der Ausweg aus dem Schrank — und der Schlüssel zum regulierten Markt.

Der Schrank

In einem bayerischen Gefängnis steht ein Schrank. Darin liegt ein Drohnenabwehrsystem der Schweizer Firma Droptec 📎 — der sogenannte „Dropster“. Eine Netzpistole, die von einem Menschen manuell bedient wird. Kein Jamming, keine Frequenzstörung, keine autonome Wirkung. Ein Mensch holt es heraus, zielt, schießt ein Netz auf eine Drohne.

Theoretisch: einfach, präzise, legal.

Praktisch: zu spät. Bis jemand die Drohne bemerkt, den Schrank aufschließt, das System herausholt und zielt — ist die Drohne längst weg. Die operative Logik funktioniert nicht.

Aber das ist ohnehin irrelevant. Denn der Schrank muss zu bleiben.

Wie es dazu kam, ist eine Geschichte in drei Akten.

Zuerst wurde ein israelisches Jamming-System evaluiert — ein System von MCTECH RF Technologies 📎 aus Kfar Saba. Ihr MC-HORIZON jamt die Drohnenfrequenzen, die Drohne kehrt zum Operator zurück oder landet irgendwo. Technisch funktioniert das. Aber es scheitert in Deutschland gleich zweifach.

Erstens: Frequenzrecht. Jamming erfordert eine BNetzA-Frequenzzuteilung nach §91 TKG 📎. Der Einsatz aktiver Störtechnik setzt in Deutschland regelmäßig eine hoheitliche Rechtsgrundlage sowie eine frequenzrechtliche Zuteilung bzw. Ausnahmegenehmigung voraus — selbst eine kurze Vorführung über einem Gefängnis benötigte eine Sondergenehmigung der Bundesnetzagentur 📎.

Zweitens — und das ist das eigentliche Compliance-Thema auf Kundenseite: MCTECH hinterlässt keine Spur. Die Drohne fliegt weg oder landet irgendwo. Kein Beweis, kein Täter, keine Strafverfolgung. Das Problem ist nicht die technische Wirksamkeit, sondern die mangelnde Anschlussfähigkeit an Beweis-, Dokumentations- und Strafverfolgungslogiken des Betreibers. Der MCTECH-CEO hat das selbst beschrieben: die Behörden im Gefängnis konnten nur versuchen, die Waren zu konfiszieren — sie haben keine Befugnis, jemanden außerhalb zu verhaften, also riefen sie die Polizei und warteten. Für einen Justizvollzug der Vorfälle dokumentieren, Beweise sichern und Strafverfolgung ermöglichen muss, ist das keine Lösung. Was Decision-Grade Compliance [🔗] bedeutet — und warum Nachweis und Entscheidung strukturell getrennt bleiben müssen — ist andernorts auf dieser Plattform beschrieben.

Also wich man aus. Das Fangnetz war der Kompromiss: keine Frequenzstörung, keine hoheitliche Sondergenehmigung, legal beschaffbar — und vor allem: Beweissicherung möglich. Man kaufte 15 Netzpistolen, verteilte sie auf acht Gefängnisse, schulte das Personal 📎. Technisch sauber. Regulatorisch unbedenklich. Compliance-tauglich.

Dann kamen die Gesetze nach. Ein Gesetzentwurf zur Drohnenabwehr fiel der parlamentarischen Diskontinuität zum Opfer — das bedeutet: er lief mit dem Ende der Legislaturperiode automatisch aus, weil nicht verabschiedete Gesetze in Deutschland nicht in die nächste Wahlperiode übernommen werden. Das haben die Wissenschaftlichen Dienste des Deutschen Bundestages 📎 in ihrer Analyse zur Drohnenabwehr-Rechtslage explizit dokumentiert. Das Bundeskabinett verabschiedete erst im Oktober 2025 einen neuen Entwurf 📎. Bayern musste im selben Jahr das Polizeiaufgabengesetz ändern 📎 um überhaupt klare Regeln zu schaffen.

Und trotzdem: Schrank zu.

Warum? Drei Gründe, die zusammen das vollständige Bild ergeben.

Erstens: die Gesetze kamen nach — und für die falsche Behörde. Bayern brachte 2025 eine PAG-Änderung auf den Weg, um klare Regeln für die Drohnenabwehr durch die Polizei zu schaffen. Der Dropster liegt aber im Justizvollzug — betrieben von Justizvollzugsbeamten, nicht von Polizisten. Andere Behörde, andere Ermächtigungsgrundlage, anderer Zeitplan. Das Bundesgesetz, das alle betroffenen Behörden einschließen würde, war im Oktober 2025 noch ein Entwurf im Bundeskabinett, im Dezember 2025 im Bundesrat.

Zweitens: die operative Logik funktioniert nicht. Seit der Installation im Oktober 2020 kam das System nicht ein einziges Mal zum Einsatz — eine Drohne flog zu hoch, eine andere über eine Anstalt ohne Dropster. Bis jemand die Drohne bemerkt, den Schrank aufschließt und zielt, ist die Drohne weg.

Drittens: die systemische Infrastruktur fehlt. Selbst wo die Rechtsgrundlage da ist, müssen Prozesse, Ausbildung, Dokumentationspflichten und Meldewege erst aufgebaut werden. Das Gesetz ist nicht die Lösung — es ist der Anfang.

Ich kenne diese Geschichte nicht nur aus der Zeitung. Denn das israelische Jamming-System kam aus einer Welt, in der man über solche Fragen nicht nachdenkt — weil man es nicht muss. Was das für israelische Anbieter bedeutet, die nach Deutschland kommen — und warum Deutschland kein Markt ist, den man erschließt, sondern einer für den man sich qualifiziert [🔗] — ist andernorts auf dieser Plattform ausführlich beschrieben.

Der größere Kontext

Arrow 3, Iron Dome, Iron Beam — Systeme die fliegen wenn es darauf ankommt. In Krisenregionen gibt es ein einziges Kriterium: funktioniert es oder nicht. Technische Exzellenz, auf den Punkt gebracht.

Aber Arrow 3 fliegt auch in Deutschland 📎. Seit dem 3. Dezember 2025 ist das System bei der Bundeswehr in Betrieb — in der Annaburger Heide bei Holzdorf, als erstes Land weltweit außerhalb Israels. Das verdient Respekt. Und es zeigt: Compliance ist möglich. Dass Deutschland-israelische Sicherheitskooperation auch in anderen Bereichen Fahrt aufnimmt — und wie die öffentliche Debatte darüber geführt wird — ist hier eingeordnet [🔗].

Aber der Weg dorthin dauerte Jahre. US-Exportgenehmigung. Bundestags-Haushaltsausschuss. Beschaffungsvertrag. 3,6 Milliarden Euro 📎. ITAR-Compliance. Diplomatische Vereinbarungen auf höchster Regierungsebene. Militärische Ausnahmen die für zivile Produkte nicht gelten. Und am Ende betreibt es ausschließlich die Luftwaffe — kein privates Unternehmen, kein Justizvollzug, kein Sicherheitsdienstleister.

Das ist der entscheidende Punkt. Was in Krisenregionen ohne Compliance-Fragen funktioniert, braucht in Deutschland Jahre und Milliarden um betrieben werden zu dürfen — und dann nur durch staatliche Kanäle. Ein ziviles Unternehmen, das eine ähnliche Technologie kommerzialisieren will, steht vor denselben Fragen ohne dieselben Ressourcen. Wie unterschiedlich Israel und Deutschland an kritische Infrastruktur herangehen — und was Hamburg von Ashdod lernen könnte — ist hier beschrieben [🔗].

Was bedeutet das erst für Unternehmen, die Komponenten bauen, die andere zu Produkten integrieren? Wenn der Staat nicht 3,6 Milliarden mobilisiert und kein Bundestag abstimmt — wer öffnet dann den Markt? Der Integrator. Alleine. Mit dem Schrank im Rücken.

Das eigentliche Problem ist nicht die Regulierung. Es ist der Zeitpunkt — und die fehlende Spürnase dafür.

Der Compliance-Bruch

Compliance wird in den meisten Entwicklungsprozessen als nachgelagerte Aufgabe behandelt. Man baut zuerst, man zertifiziert danach. Man kauft zuerst, man fragt nach den Gesetzen danach. Das Ergebnis ist bekannt: teure Nachbesserungen, verschlossene Schränke, im schlimmsten Fall Systeme die nie eingesetzt werden können. Das Muster ist nicht auf Drohnenabwehr beschränkt — wie Starlink im KRITIS-Betrieb [🔗] zeigt: operativ unverzichtbar, strategisch unbeherrschbar. Auch dort ist die Technologie nicht das Problem. Der regulatorische Rahmen ist es.

Was dabei verloren geht, ist nicht nur Zeit und Geld. Es ist Kontinuität. Der Bruch zwischen dem was entwickelt oder beschafft wurde, und dem was eingesetzt werden darf, ist dieselbe Art von Diskontinuität die Hardware-Entwickler kennen wenn sie vom Prototyp zur Serienproduktion wechseln. Man fängt neu an. Das Wissen akkumuliert sich nicht.

Ich nenne das den Compliance-Bruch.

Die regulatorische Welle ist keine Ankündigung mehr. Sie ist da.

Europa hat in den letzten Jahren eine regulatorische Infrastruktur aufgebaut, die tief in Produktentwicklung, Beschaffung, Betrieb und Haftung eingreift. Wer die Geschichte des bayerischen Schranks liest und denkt „das ist ein Einzelfall“ — der unterschätzt was gerade passiert. Hier die Regelwerke, die heute bereits in Produktentwicklung, Beschaffung und Haftung hineinwirken:

Der Cyber Resilience Act 📎 (CRA, Regulation EU 2024/2847) ist seit dem 10. Dezember 2024 in Kraft. Schwachstellenmeldepflichten für Hersteller digitaler Produkte gelten ab dem 11. September 2026, volle Compliance ab dem 11. Dezember 2027. Wer vernetzte Hardware in den EU-Markt bringt — Microcontroller, Embedded Systems, IoT-Module — ist betroffen. SBOM-Dokumentation, Secure by Design, Vulnerability Management, CE-Kennzeichnung: das sind Marktzugangsvoraussetzungen, keine Empfehlungen. Warum SBOM und Vertrauen in Komponenten keine akademischen Fragen sind, zeigt der Trivy-Angriff [🔗] — wenn das Sicherheitstool selbst zur Waffe wird. Was der CRA konkret für Hardware-Hersteller bedeutet, ist hier ausführlich beschrieben [🔗].

Die NIS2-Richtlinie 📎 (Directive EU 2022/2555) ist in Deutschland seit dem 6. Dezember 2025 in Kraft, umgesetzt im neuen BSIG (NIS2UmsuCG). Rund 30.000 Unternehmen sind direkt betroffen. Im Energiesektor gilt zusätzlich das neue EnWG mit §5c, der IT-Sicherheitskatalog der BNetzA, und ab 2026 das KRITIS-Dachgesetz. NIS2 trifft nicht nur die direkt betroffenen Einrichtungen — es trifft ihre gesamte Lieferkette. Wer als Lieferant nicht vorbereitet ist, verliert Aufträge. Und das C-Level der betroffenen Unternehmen haftet persönlich. Was bei Verstößen gegen CRA und NIS-2 konkret droht — und warum die Zahl auf dem Papier die kleinere Bedrohung ist [🔗] — ist hier ausführlich beschrieben.

Die neue Produkthaftungsrichtlinie 📎 (PLD, Directive EU 2024/2853) gilt für Produkte, die nach dem 9. Dezember 2026 in Verkehr gebracht oder in Betrieb genommen werden. Sie benennt explizit den Hersteller einer defekten Komponente als direkt haftbare Partei — gesamtschuldnerisch, ohne Verschuldensnachweis. Vertraglich lässt sich das gegenüber Geschädigten nicht ausschließen. Software, Firmware und digitale Fertigungsdateien sind ausdrücklich als Produkte definiert.

Die Radio Equipment Directive 📎 (RED, Directive 2014/53/EU), erweitert durch Delegierte Verordnung EU 2022/30, schreibt seit dem 1. August 2025 verbindliche Cybersicherheitsanforderungen für alle funkfähigen Produkte vor — Bluetooth, WiFi, Zigbee, LoRa.

Der AI Act 📎 (Regulation EU 2024/1689) greift ab dem 2. August 2026. Wer ein LLM in ein Design-Tool integriert, das Hardware-Architekturen generiert, ist als Anbieter eines KI-Systems zu betrachten. Wer KI-generierte Outputs in physische Produkte überführt, kann unter der neuen Produkthaftungsrichtlinie direkt haftbar sein — als Hersteller des Produkts oder der Komponente. Was das für Anbieter aus Nicht-EU-Märkten konkret bedeutet, ist hier beschrieben [🔗].

Das BSIG 📎 in seiner neuen Fassung, das KRITIS-Dachgesetz (ab Frühjahr 2026), das TKG (Telekommunikationsgesetz, §91 für Frequenznutzung) und die GPSR 📎 (EU 2023/988, seit dem 13. Dezember 2024) schließen die nationalen und sektoralen Lücken. Warum KRITIS dabei seine Sicherheitslogik grundlegend neu ordnen muss [🔗] — und was das für die Beschaffung bedeutet — ist ein eigenes Kapitel.

Was im bayerischen Schrank liegt, ist kein Zufall. Es ist ein Symptom.

Compliance by Design ist die Antwort auf den Compliance-Bruch

Die Idee ist einfach: Regulierung gehört in das Design eines Produkts oder einer Dienstleistung, nicht dahinter. Das bedeutet nicht, dass Juristen die Ingenieure ersetzen. Es bedeutet, dass die relevanten regulatorischen Anforderungen — Betreiberpflichten, Haftungsrahmen, Zertifizierungserfordernisse, Dokumentationspflichten, Frequenzrecht — von Anfang an als Gestaltungsparameter behandelt werden, nicht als externe Einschränkungen die man am Ende noch irgendwie erfüllen muss. Und es bedeutet nicht, jedem Entwurf hinterherzulaufen — sondern Strukturen zu bauen, die mit der Regulierung mitwachsen. Ansätze wie das Grundschutz++ des BSI 📎 — seit Januar 2026 als maschinenlesbares OSCAL-Format verfügbar, international anschlussfähig an ISO 27001 und NIST 800-53 — zeigen, wohin das führt: Compliance-Anforderungen nicht mehr als statische Dokumente, sondern als automatisch verarbeitbare Datenstrukturen, die sich in Produktarchitekturen und Auditprozesse integrieren lassen.

Das klingt nach Mehraufwand. In Wirklichkeit ist es das Gegenteil.

Wer Compliance nicht früh integriert — oder bei der Auswahl von Produkten und Lieferanten nicht auf Compliance achtet — investiert in Systeme, die operativ nie freigegeben werden: weil der Auditor, der Compliance Officer oder die Rechtsabteilung den Einsatz nicht zulassen, weil erst nach der Beschaffung klar wird, dass die gesetzlichen Grundlagen fehlen, oder weil neue Regularien wie NIS2 und CRA den weiteren Betrieb ab sofort unerträglich machen — das C-Level haftet persönlich, der Nachweis fehlt, der Einsatz wird gestoppt. Oder man möchte Märkte erschließen, die sich ohne Compliance schlicht nicht öffnen lassen: öffentliche Auftraggeber, regulierte Branchen, internationale Ausschreibungen. Das ist kein Randphänomen. Es passiert täglich, in Behörden, in Unternehmen, in Krankenhäusern, auf Flughäfen.

Wer Compliance früh integriert, öffnet sich dagegen den Markt — denn vieles scheitert nicht erst am Einsatz, sondern bereits in der Beschaffung. Wer als Lieferant Compliance as a Feature mitliefert, kommt überhaupt erst in die Ausschreibung, besteht den Sicherheitsaudit, überlebt die Vergabeprüfung. Und gibt seinen Kunden etwas, das diese sonst selbst erarbeiten müssten — unter NIS2-Meldepflichten, unter CRA-Dokumentationsanforderungen, unter der persönlichen Managementhaftung, die beide Regelwerke vorsehen. Was das für den europäischen Luftfahrtmarkt konkret bedeutet [🔗] — und warum Compliance dort das Produkt ist — ist ein eigenes Kapitel.

Kunden wissen das. Und sie schauen, wie sie ihren Compliance-Anteil verringern — nicht erhöhen.

Was das für Hersteller bedeutet

Wer Compliance as a Feature mitliefert, macht aus einem regulatorischen Problem ein Verkaufsargument. Und aus einem Verkaufsargument — wenn man konsequent ist — einen Standard, den andere nicht einfach kopieren können. CRA-konforme Dokumentation, SBOM-Infrastruktur, RED-Zertifizierung, Haftungsarchitektur: das braucht Zeit und Erfahrung. Wer das zuerst aufbaut, setzt den Referenzpunkt.

Die Regulierung arbeitet dann für den Hersteller, nicht gegen ihn. Einkäufer suchen aktiv nach Lieferanten, die ihnen Compliance-Arbeit abnehmen. C-Level und Compliance-Officer — die unter NIS2 und BSIG persönlich haften — schreiben Anforderungen in Ausschreibungen, die nur ein Anbieter erfüllt. Nicht weil er besonders aggressiv verkauft hat — sondern weil er früh genug verstanden hat, dass der Compliance-Bruch seiner Kunden sein Marktproblem ist.

Das ist die eigentliche Logik hinter Compliance by Design. Nicht Pflichterfüllung. Sondern Positionierung.

Zum Schluss

Der Schrank in Bayern ist nicht das Problem. Der Schrank ist das Symbol. Er steht für alle Systeme, die gebaut wurden ohne zu fragen ob sie eingesetzt werden dürfen. Für alle Beschaffungen, die abgeschlossen wurden ohne zu fragen ob die Gesetze mitgekommen sind. Für alle Innovationen, die an der regulatorischen Wirklichkeit gescheitert sind — nicht weil sie schlecht waren, sondern weil niemand früh genug die richtige Frage gestellt hat.

Technische Exzellenz wie bei Arrow 3 und Iron Dome verdient Respekt. Arrow 3 fliegt heute in Deutschland — aber nach Jahren diplomatischer Arbeit, Milliarden-Investment und staatlicher Ausnahmeregeln. In europäischen Märkten reicht Exzellenz allein nicht. Wer hier bestehen will, braucht beides: die Fähigkeit zu bauen — und die Spürnase zu verstehen, in welchem regulatorischen Kontext das Gebaute eingesetzt werden soll.

Das Gespräch über Compliance wird zu oft von Juristen geführt, zu spät im Prozess, zu weit entfernt von den Menschen die tatsächlich bauen und beschaffen. Was fehlt, ist die Spürnase früher — bei Ingenieuren, bei Produktentwicklern, bei Beschaffern, bei Gründern, bei Investoren. Warum gerade Investoren jetzt handeln sollten [🔗] — und was Cybersicherheit für Portfolioentscheidungen bedeutet — ist andernorts auf dieser Plattform ausführlich beschrieben.

Die Unternehmen die das verstehen, bauen nicht nur bessere Produkte. Sie bauen Produkte die ankommen — in den Märkten, in den Institutionen, in den Händen der Menschen für die sie gedacht sind.

Der Schrank bleibt zu. Bis jemand früh genug fragt.

Das muss nicht sein. Damit der Schrank — oder der regulierte Markt — für Sie nicht zu bleibt: Sprechen Sie mich an.

Dies ist der erste Beitrag einer losen Reihe zu Compliance by Design — dem Ansatz, Regulierung als Gestaltungsparameter zu behandeln statt als nachgelagerte Aufgabe. Weitere Beiträge zur Thematik: Decision-Grade Compliance [🔗] · Compliance als Marktzugang in der Luftfahrt [🔗] · AI Act für Nicht-EU-Anbieter [🔗]

Anmelden zu unserem Newsletter:

Vom Wissen zum Austausch: Sicherheit weiterdenken.

Diese Beiträge folgen der Überzeugung, dass echte Sicherheit dort beginnt, wo die bloße Compliance endet. Sie sind als Denkangebote zu verstehen – geformt aus der Praxis, aber offen für den Diskurs.

Ich schätze den fundierten Widerspruch ebenso wie die Ergänzung aus dem operativen Alltag. Ob als Gründer, Betreiber oder strategischer Entscheider: Ihre Sichtweise ist der Schlüssel zur Weiterentwicklung dieser Ansätze.

Lassen Sie uns den Dialog dort führen, wo er am fruchtbarsten ist – öffentlich in den Kommentaren oder vertraulich im direkten Gespräch. Substanz braucht Raum.

Kontakt aufnehmen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Translate »