TL;DR

Wenn Sie DoD-Verträge abwickeln und mit Bundesdaten (FCI oder CUI) in Berührung kommen, ist die CMMC-Zertifizierung (Cybersecurity Maturity Model Certification) obligatorisch.

Drei Stufen:

• Stufe 1: Grundlegende Cyber-Hygiene (Selbsteinschätzung).
• Stufe 2: NIST 800-171 (Bewertung durch Dritte).
• Stufe 3: Fortgeschrittene Sicherheit (staatlich geführte Audits).

Kein CMMC = kein Vertrag. Zertifiziert werden, förderfähig bleiben.

CMMC Scorecard Zusammenfassung:

• Entwickelnde Aufwand: Mäßig bis hoch (je nach Stufe; erfordert die Implementierung von Kontrollen in Bezug auf Zugangskontrolle, Konfigurationsmanagement, Systemintegrität, Schwachstellenmanagement, sichere Kodierungsverfahren, die für den Schutz von CUI relevant sind).
• Tooling-Kosten: Mäßig bis hoch (Erfordert Tools für Zugriffskontrolle, MFA, Endpunktsicherheit, Schwachstellen-Scanning, Protokollierung/SIEM, Konfigurationsmanagement, möglicherweise DLP, abgestimmt auf NIST 800-171-Kontrollen).
• Auswirkungen auf den Markt: Kritisch (obligatorisch für die Teilnahme an DoD-Verträgen mit FCI/CUI; wird zu einer grundlegenden Anforderung für das gesamte DIB).
• Flexibel: Gering bis mäßig (basierend auf spezifischen NIST-Kontrollen; Level 2 erlaubt begrenzte Aktionspläne und Meilensteine (POA&Ms) zum Zeitpunkt der Bewertung, aber die vollständige compliance ist das Ziel).
• Intensität der Prüfung: Hoch (Stufe 1 ist eine Selbstbewertung, aber Stufe 2 erfordert eine formelle Bewertung durch eine C3PAO und Stufe 3 eine staatliche Bewertung).

Was ist CMMC?

Das Cybersecurity Maturity Model Certification (CMMC)-Programm ist eine Initiative des US-Verteidigungsministeriums (DoD) zur Durchsetzung von Cybersicherheitsstandards in der Defense Industrial Base (DIB). Sein Hauptziel ist der Schutz sensibler, nicht klassifizierter Informationen, die sich in den Netzwerken von Auftragnehmern befinden, insbesondere:

• Bundesvertragsinformationen (FCI): Informationen, die nicht für die Öffentlichkeit bestimmt sind und von der Regierung im Rahmen eines Vertrags bereitgestellt oder für sie erstellt wurden.
• Kontrollierte nicht klassifizierte Informationen (CUI): Informationen, die aufgrund von Gesetzen, Vorschriften oder regierungsweiten Richtlinien geschützt oder weitergegeben werden müssen.

CMMC 2.0, die aktuelle Iteration, vereinfacht das ursprüngliche Modell in drei Reifegradstufen:

• Stufe 1 (Grundlegend): Konzentriert sich auf die grundlegende Sicherung von FCI. Entspricht den 15 in FAR 52.204-21 aufgeführten Grundanforderungen. Erfordert eine jährliche Selbsteinschätzung.
• Stufe 2 (Fortgeschrittene): Konzentriert sich auf den Schutz von CUI. Stimmt vollständig mit den 110 Sicherheitsanforderungen in NIST SP 800-171 Rev 2 überein. Erfordert für die meisten Verträge, die CUI betreffen, eine alle drei Jahre stattfindende Bewertung durch eine akkreditierte CMMC Third Party Assessment Organization (C3PAO). Eine Teilmenge der Level-2-Programme kann eine Selbstbewertung zulassen.
• Stufe 3 (Experte): Konzentriert sich auf den Schutz von CUI vor Advanced Persistent Threats (APTs). Umfasst alle 110 Kontrollen aus NIST SP 800-171 sowie eine Teilmenge der Kontrollen aus NIST SP 800-172 (Erweiterte Sicherheitsanforderungen). Erfordert alle drei Jahre von der Regierung durchgeführte Bewertungen.

Im Gegensatz zu früheren Ansätzen der Selbstbestätigung nach NIST 800-171 führt CMMC obligatorische Bewertungen ein (je nach Stufe Selbst-, Fremd- oder Regierungsbewertungen), um die Umsetzung der geforderten Cybersicherheitspraktiken zu überprüfen. Die erforderliche CMMC-Stufe wird in Ausschreibungen und Verträgen des DoD festgelegt.

Warum ist sie wichtig?

CMMC ist ein entscheidender Faktor für die Verteidigungsindustrie (Defense Industrial Base, DIB):

• Obligatorisch für DoD-Verträge: Das Erreichen und Aufrechterhalten des geforderten CMMC-Niveaus wird in Zukunft eine Voraussetzung dafür sein, dass Unternehmen den Zuschlag für DoD-Verträge, die FCI oder CUI beinhalten, erhalten oder sogar daran teilnehmen können. Die compliance bedeutet den Verlust der Berechtigung für DoD-Aufträge.
• Schützt empfindliche Informationen: Ziel ist es, den Diebstahl sensibler Verteidigungsinformationen (FCI/CUI) aus der DIB-Lieferkette erheblich zu reduzieren, was ein wichtiges Anliegen der nationalen Sicherheit ist.
• Standardisierung der Cybersicherheit: Schaffung eines einheitlichen Cybersicherheitsstandards für die DIB, weg von uneinheitlichen Selbstbescheinigungen, hin zu verifizierter compliance.
• Erhöht die Sicherheit der Lieferkette: Die Anforderungen reichen bis zu den Unterauftragnehmern, die mit FCI/CUI umgehen, und zielen auf die Sicherung der gesamten Lieferkette ab.
• Erhöht die Rechenschaftspflicht: Durch den Übergang von der Selbstbescheinigung zu verifizierten Bewertungen wird die Verantwortlichkeit für die Umsetzung der erforderlichen Sicherheitskontrollen erhöht.
• Schafft Vertrauen: Die CMMC-Zertifizierung gibt dem Verteidigungsministerium (und den Hauptauftragnehmern) die Gewissheit, dass die Unterauftragnehmer über angemessene Cybersicherheitsmaßnahmen verfügen.

Für alle Unternehmen, die derzeit mit dem Verteidigungsministerium zusammenarbeiten oder dies planen, ist das Verständnis und die compliance von entscheidender Bedeutung für das Überleben und Wachstum auf dem Verteidigungsmarkt.

Was und wie umsetzen (technisch und politisch)

Die Umsetzung von CMMC beinhaltet die Übernahme der mit der Zielstufe verbundenen Cybersicherheitspraktiken, die sich weitgehend aus FAR 52.204-21 und NIST SP 800-171 / 800-172 ergeben:

1. Erforderliche Stufe bestimmen: Bestimmen Sie die erforderliche CMMC-Stufe auf der Grundlage der Art der behandelten Informationen (nur FCI für Stufe 1; CUI für Stufe 2/3) und der spezifischen Vertragsanforderungen.
2. Definieren Sie den Umfang: Eindeutige Bestimmung der Systeme, Anlagen, Standorte und Mitarbeiter, die mit FCI/CUI umgehen. Diese "CUI-Grenze" ist für die Bewertung entscheidend. Datenflüsse dokumentieren.
3. Lückenanalyse: Bewertung der aktuellen Sicherheitslage anhand der Anforderungen für die angestrebte CMMC-Stufe (15 Kontrollen für L1; 110 NIST 800-171-Kontrollen für L2; L2 + NIST 800-172-Teilmenge für L3). Identifizierung von Lücken.
4. Sanierung und Umsetzung: Behebung festgestellter Lücken durch Implementierung der erforderlichen Kontrollen. Dies umfasst 14 Bereiche, die von NIST 800-171 abgeleitet sind:
   
   • Zugriffskontrolle (AC): Implementierung der geringsten Rechte, Verwaltung von Konten, Kontrolle des Fernzugriffs, Verwendung von MFA (für CUI erforderlich).
   • Sensibilisierung und Schulung (AT): Durchführung von Schulungen zum Sicherheitsbewusstsein.
   • Prüfung und Rechenschaftspflicht (AU): Erstellung und Aufbewahrung von Systemprotokollen, Gewährleistung der Rückverfolgbarkeit von Aktionen zu den Benutzern.
   • Konfigurationsmanagement (CM): Erstellen von Konfigurations-Baselines, Verwaltung von Änderungen, Einschränkung der Softwareinstallation.
   • Identifizierung und Authentifizierung (IA): Eindeutige Identifizierung und Authentifizierung von Benutzern (einschließlich MFA für CUI-Zugang).
   • Reaktion auf Zwischenfälle (IR): Entwickeln und testen Sie einen Plan zur Reaktion auf Vorfälle.
   • Wartung (MA): Führen Sie die Systemwartung sicher durch.
   • Medienschutz (MP): Medien, die CUI enthalten, reinigen oder vernichten.
   • Personelle Sicherheit (PS): Überprüfen Sie Personen, bevor Sie ihnen Zugang gewähren.
   • Physischer Schutz (PE): Beschränkung des physischen Zugangs, Begleitung von Besuchern.
   • Risikobewertung (RA): Regelmäßige Risikobewertung, Suche nach Schwachstellen.
   • Sicherheitsbewertung (CA): Entwicklung eines Systemsicherheitsplans (SSP), Überwachung der Kontrollen, Verwaltung von POA&Ms.
   • System- und Kommunikationsschutz (SC): Überwachung/Kontrolle der Kommunikationsgrenzen (Firewalls), Implementierung kryptografischer Schutzmaßnahmen (z. B. FIPS 140-validierte Verschlüsselung für CUI im Ruhezustand/im Transit), Verweigerung des Netzwerkverkehrs als Standard.
   • System- und Informationsintegrität (SI): Identifizierung/Verwaltung von Schwachstellen, Schutz vor Malware, Überwachung auf unbefugte Änderungen.
5. Dokumentation: Entwickeln Sie wichtige Unterlagen:
   
   • System-Sicherheitsplan (SSP): Beschreibt, wie jede geforderte Kontrolle erfüllt wird.
   • Richtlinien und Verfahren: Formale Dokumentation zur Unterstützung der Durchführung von Kontrollen.
   • Aktionsplan und Meilensteine (POA&M): Wenn Lücken verbleiben (für CMMC Level 2 nur vorübergehend unter bestimmten Bedingungen zulässig), dokumentieren Sie den Plan zur Behebung dieser Lücken.
6. Selbstbeurteilung (alle Stufen): Führen Sie eine interne Bewertung anhand der Anforderungen durch und berechnen Sie, falls zutreffend, eine NIST SP 800-171-Bewertungsnote (erforderlich für die SPRS-Einreichung).
7. Bereiten Sie sich auf die Bewertung vor: Sammeln Sie Beweise, bereiten Sie das Personal auf die Befragung vor, stellen Sie sicher, dass die Dokumentation vollständig ist.
8. Unterziehen Sie sich einer Bewertung:
   
   • Stufe 1: Jährliche Selbstbeurteilung.
   • Stufe 2: Dreijährliche Fremdbewertung durch C3PAO (für die meisten) oder Selbstbewertung (für einige).
   • Stufe 3: Dreijährliche Bewertung unter Leitung der Regierung.

Bei der Umsetzung kommt es vor allem darauf an, die Praktiken an NIST SP 800-171 auszurichten und die Reife und Wirksamkeit durch Dokumentation und Bewertung nachzuweisen.

Häufig zu vermeidende Fehler

Eine CMMC-Zertifizierung erfordert eine sorgfältige Planung. Vermeiden Sie diese Fehler:

1. Unterschätzung von Umfang/Komplexität: Wenn nicht alle Systeme/Standorte, in denen FCI/CUI gespeichert, verarbeitet oder übertragen werden, genau identifiziert werden, führt dies zu einer unvollständigen Bewertung.
2. Mangelndes Buy-In der Führungskräfte: CMMC wird als reines IT-Problem behandelt, ohne dass die Führungsebene die notwendigen Ressourcen, politischen Veränderungen und kulturellen Veränderungen unterstützt.
3. Unzureichende Ressourcen: Unterfinanzierung des Aufwands oder Mangel an Personal mit dem nötigen Fachwissen, um NIST 800-171-Kontrollen korrekt umzusetzen und zu dokumentieren.
4. Schlechte Dokumentation: Schwache oder nicht vorhandene SSP, Strategien, Verfahren oder das Versäumnis, angemessene Nachweise für die Durchführung der Kontrollen während der Bewertung zu sammeln.
5. Ignorieren von NIST SP 800-171: Annahme, dass die bestehenden Sicherheitspraktiken ausreichend sind, ohne eine detaillierte Lückenanalyse im Hinblick auf die 110 für Stufe 2 erforderlichen Kontrollen durchzuführen.
6. Vernachlässigung der Lieferkette: Versäumnis, CMMC-Anforderungen an Unterauftragnehmer weiterzugeben, die mit FCI/CUI arbeiten, oder kein Risikomanagement bei externen Dienstleistern (ESPs) wie Cloud-Plattformen.
7. Zögern: Abwarten, bis die CMMC-Anforderungen in den Verträgen auftauchen, und Unterschätzung der 9-18+ Monate, die oft für die Vorbereitung und Behebung benötigt werden.
8. Sie als "Check-the-Box"-Übung zu behandeln: Oberflächliche Implementierung von Kontrollen, ohne sicherzustellen, dass sie tatsächlich wirksam und in die Abläufe integriert sind.

Was Prüfer/Beurteiler fragen werdenEntwickelnde Focus)

Während CMMC-Bewertungen umfassende IT- und Sicherheitspraktiken abdecken, können Entwickler, die mit CUI umgehen oder an Systemen innerhalb des CMMC-Bereichs arbeiten, in den Nachweis der compliance von Kontrollen wie diesen einbezogen werden:

• (CM Controls) "Wie werden Änderungen an der Softwarekonfiguration verwaltet und nachverfolgt?"
• (SI-Kontrollen) "Welche Maßnahmen gibt es, um bösartigen Code während der Entwicklung zu erkennen und zu verhindern?"
• (SA-Kontrollen - bezogen auf 800-171) "Beschreiben Sie Ihre Praktiken zur sicheren Softwareentwicklung." (Obwohl in 800-171 selbst nicht explizit auf den Umfang von SSDF eingegangen wird, ist die sichere Entwicklung eine implizite Erwartung zum Schutz von CUI).
• (AC Controls) "Wie wird der Zugang zu Entwicklungsumgebungen und Quellcode mit CUI kontrolliert?"
• (AU-Kontrollen) "Werden die Aktionen der Entwickler protokolliert, insbesondere beim Zugriff auf Systeme mit CUI?"
• (RA-Kontrollen) "Wie werden Schwachstellen in eigens entwickelter Software für den Umgang mit CUI ermittelt und behoben?" (z. B. Verwendung von SAST/DAST)
• (SC-Kontrollen) "Wie werden CUI während der Übermittlung geschützt (z. B. durch Verschlüsselung in APIs)?"

Die Prüfer achten auf implementierte technische Kontrollen, dokumentierte Verfahren, die von den Entwicklern befolgt werden, und Nachweise (Protokolle, Scan-Ergebnisse, Zugriffsüberprüfungen), die die compliance bestätigen.

Quick Wins für Entwicklungsteams

Entwicklungsteams können zur CMMC-Bereitschaft beitragen, insbesondere für Stufe 2 (NIST 800-171-Anpassung):

1. Identifizieren von CUI in der Entwicklung: Verstehen, ob/wo CUI im Code, in den Testdaten, in der Dokumentation oder in den Entwicklungswerkzeugen vorhanden sein könnten. Implementieren Sie, falls erforderlich, Verfahren zur Behandlung.
2. Sichere Entwicklungsumgebungen: Wenden Sie Zugriffskontrollen (geringste Rechte, MFA) auf Entwicklungsserver, Code-Repositories und CI/CD-Pipelines an, insbesondere bei der Verarbeitung von CUI.
3. Integration von SAST/SCA: Einsatz automatisierter Tools zum frühzeitigen Auffinden von Schwachstellen in Code und Abhängigkeiten. (Unterstützt RA.L2-3.11.2, SI.L2-3.14.1)
4. Verwaltung vonSecrets : Sicherstellen, dass keine secrets(insbesondere solche, die Zugang zu CUI ermöglichen) fest codiert sind. (Unterstützt AC.L1-3.1.1, AC.L1-3.1.2)
5. Formalisieren Sie das Änderungsmanagement: Gitflow/PRs verwenden, Genehmigungen verlangen, Änderungen mit Issues verknüpfen. (Unterstützt CM.L2-3.4.1, CM.L2-3.4.2)
6. Entwickelnde Sicherheitsschulung: Grundlegendes Sicherheitsbewusstsein und Schulung in sicherer Codierung. (Unterstützt AT.L2-3.2.1)

Ignorieren Sie dies und... (Folgen der Compliance)

Für die Unternehmen der Verteidigungsindustrie wird diecompliance CMMC direkte und schwerwiegende Folgen haben, wenn der Rahmen eingeführt wird:

• Untauglichkeit für DoD-Verträge: Die wichtigste Konsequenz. Das Nichterreichen des geforderten CMMC-Levels führt zum Ausschluss von Organisationen, die neue DoD-Verträge erhalten oder möglicherweise die Arbeit an bestehenden Verträgen fortsetzen, die FCI/CUI beinhalten.
• Einnahmeverluste: Der Ausschluss von DoD-Verträgen kann für Rüstungsunternehmen einen erheblichen Verlust an aktuellen und zukünftigen Einnahmen bedeuten.
• Ausschluss aus der Lieferkette: Hauptauftragnehmer werden von ihren Unterauftragnehmern verlangen, die CMMC-Anforderungen zu erfüllen, was bedeutet, dass Unterauftragnehmer, die die Anforderungen nicht erfüllen, von den DoD-Lieferketten ausgeschlossen werden.
• Wettbewerbsnachteil: Unternehmen, die die CMMC-Zertifizierung erlangen, haben einen erheblichen Vorteil gegenüber Konkurrenten, die dies nicht tun.
• Mögliche vertragliche Sanktionen: Bestehende Verträge könnten in Mitleidenschaft gezogen werden, wenn die CMMC-Anforderungen nicht erfüllt werden, was zu Vertragsverletzungen führen könnte (die Einzelheiten sind jedoch noch in der Entwicklung).

Im Grunde genommen wird die compliance für die DIB zu einer Art Geschäftskosten.

FAQ

Wer braucht eine CMMC-Zertifizierung?

Alle Organisationen innerhalb der Lieferkette der Defense Industrial Base (DIB), die mit Federal Contract Information (FCI) oder Controlled Unclassified Information (CUI) umgehen, müssen gemäß ihren DoD-Verträgen eine bestimmte CMMC-Stufe erreichen.

Was ist der Unterschied zwischen CMMC 1.0 und CMMC 2.0?

CMMC 2.0 reduzierte die ursprünglichen 5 Stufen auf 3. Es entfernte CMMC-spezifische Praktiken und Prozesse und richtete Stufe 2 direkt an NIST SP 800-171 und Stufe 3 an NIST SP 800-171 + einer Untermenge von NIST SP 800-172 aus. Sie erlaubt auch Selbstbewertungen auf Stufe 1 (und einer Teilmenge von Stufe 2) und gestattet unter bestimmten Bedingungen die begrenzte Verwendung von Aktionsplänen und Meilensteinen (POA&Ms) zum Zeitpunkt der Bewertung auf Stufe 2.

Was ist der Unterschied zwischen FCI und CUI?

FCI (Federal Contract Information) sind Informationen, die nicht für die Öffentlichkeit bestimmt sind und von/für die Regierung im Rahmen eines Vertrags bereitgestellt werden. CUI (Controlled Unclassified Information - kontrollierte, nicht klassifizierte Informationen) ist eine umfassendere Kategorie, die aufgrund von Gesetzen, Vorschriften oder Regierungsrichtlinien Sicherheitskontrollen erfordert (z. B. exportkontrollierte Daten, bestimmte technische Daten). Der Umgang mit CUI erfordert die CMMC-Stufen 2 oder 3.

Wann wird CMMC in Verträgen vorgeschrieben sein?

Das Verteidigungsministerium führt CMMC schrittweise ein und beginnt möglicherweise Mitte bis Ende 2025 mit der Fertigstellung der CMMC-Programmregel (die derzeit geprüft wird). Es wird erwartet, dass CMMC in den folgenden Jahren zunehmend in Verträgen auftauchen wird, bis es etwa Ende 2027/Anfang 2028 zu einer Anforderung für fast alle DoD-Verträge wird, die FCI/CUI betreffen.

Was ist NIST SP 800-171 und wie bezieht es sich auf CMMC?

NIST SP 800-171 umreißt die Anforderungen zum Schutz von CUI in nicht-bundesstaatlichen Systemen. CMMC Level 2 ist direkt auf die 110 Sicherheitsanforderungen in NIST SP 800-171 Rev 2 abgestimmt. Compliance von NIST 800-171 ist die Grundlage für das Erreichen von CMMC Level 2.

Was ist ein C3PAO?

Eine CMMC Third Party Assessment Organization (C3PAO) ist eine von der CMMC-Akkreditierungsstelle (The Cyber AB) akkreditierte Organisation, die berechtigt ist, CMMC Level 2 Zertifizierungsprüfungen durchzuführen.

Können wir Cloud-Dienste (wie AWS, Azure, Google Cloud) für CMMC nutzen?

Ja, aber die Umgebung des Cloud Service Providers (CSP) muss bestimmte Anforderungen erfüllen. Bei Verträgen, die CMMC Level 2 erfordern, können Auftragnehmer CSP-Angebote nutzen, die nach FedRAMP Moderate (oder High) autorisiert oder gleichwertig sind. Die Zuständigkeiten für die Kontrollen werden zwischen dem Auftragnehmer und dem CSP geteilt, was eine sorgfältige Dokumentation erfordert (z. B. Matrix der geteilten Verantwortung).