Für jedes Unternehmen, das vom US-Verteidigungsministerium Aufträge erhalten oder um sie bieten möchte, ist die Einhaltung der CMMC-Vorschriften ein Muss. Die Abkürzung steht für Cybersecurity Maturity Model Certification und ist der Maßstab, den die US-Regierung verwendet, um die Erwartungen an ihre Auftragnehmer zu strukturieren. In den neu veröffentlichten CMMC 2.0-Standards sind einige dieser Anforderungen geändert und verschlankt worden. Sie basieren jedoch weiterhin auf der Art der Daten, mit denen Ihr Unternehmen umgeht und auf die es Zugriff hat. Manche Unternehmen benötigen nur grundlegende Daten. Andere müssen strenge Prüfungen bestehen und rigorose Kontrollmaßnahmen für sensible Daten einhalten. Und dies betrifft mehr als nur die IT. Es berührt Bereiche wie Beschaffung, Operations, Cloud-Infrastruktur, Personalwesen und sogar Lieferantenbeziehungen. Je besser Ihre Systeme und Prozesse aufeinander abgestimmt sind, desto einfacher wird es, die Anforderungen zu erfüllen – und zu beweisen, dass Sie bereit sind.
Die Cybersecurity Maturity Model Certification (CMMC) ist ein Rahmenwerk des US-Verteidigungsministeriums, das Cybersicherheitsnormen für Auftragnehmer und Lieferanten in der Rüstungsindustrie vorschreibt. Es prüft die Fähigkeit eines Unternehmens, vertrauliche, nicht als geheim eingestufte Informationen (Controlled Unclassified Information, CUI) und föderale Vertragsdaten (Federal Contract Information, FCI) durch einen mehrstufigen Zertifizierungsprozess zu schützen.
Wenn Ihr Unternehmen mit Daten des US-Verteidigungsministeriums arbeitet oder die Rüstungsindustrie (Defense Industrial Base, DIB) unterstützt, müssen Sie die Anforderungen an die Cybersicherheit erfüllen. Dies gilt ebenso für Hauptauftragnehmer, Subunternehmer, Lieferanten und Dienstleister.
Alle Unternehmen, die Arbeiten für das US-Verteidigungsministerium anbieten oder weiter vergeben, müssen die Anforderungen der im Vertrag festgelegten CMMC-Ebene erfüllen. Dabei gelten Flow-Down-Regelungen, was bedeutet, dass die Compliance über die gesamte Lieferkette hinweg erforderlich ist, nicht nur für den Hauptauftragnehmer.
Wenn Sie in den USA auf Federal Contract Information (FCI), Controlled Unclassified Information (CUI) oder High Value Assets (HVA) zugreifen oder wenn Sie Dokumente, technische Spezifikationen oder sensible Designs für das US-Verteidigungsministerium verwalten, müssen Sie sich auf der richtigen CMMC-Ebene zertifizieren.
Drittanbieter, die DoD-Auftragnehmern Infrastruktur, Speicherung oder Dienstleistungen anbieten, müssen mindestens FedRAMP Moderate oder äquivalent erfüllen. Das gilt für SaaS-, PaaS- und IaaS-Anbieter, Managed Service Provider (MSPs), Logistikunternehmen, Cybersicherheitsanbieter und andere, die Arbeiten im Verteidigungsbereich unterstützen.
Wenn Ihr Unternehmen nicht auf dem richtigen Level zertifiziert ist, laufen Sie Gefahr, zukünftige Chancen zu verpassen. Sie können auch bestehende Verträge gefährden, von Ausschreibungen ausgeschlossen werden oder sogar das schwache Glied sein, das zum Scheitern Ihres Hauptauftragnehmers führt. Zur Verdeutlichung betrachten wir hier die Non-Compliance-Risiken aus drei Perspektiven:
Verträge mit dem US-Verteidigungsministerium erfordern zwingend den Nachweis der CMMC-Zertifizierung. Ohne sie können Sie nicht einmal ein Angebot abgeben. Subunternehmer sollten sich bewusst sein, dass Lieferanten 12 bis 18 Monate im Voraus überprüft werden, um die vollständige Compliance bis zum Vergabezeitpunkt zu sichern.
Die Vorbereitung auf den Zertifizierungsprozess sowie die Prüfung und Behebung von Lücken kann Monate dauern. Nur zertifizierte Unternehmen erscheinen im Supplier Performance Risk System (SPRS). Wer Vorschriften nur verzögert einhält, kann Zeit und Geld verlieren.
Wenn Sie zu dem Zeitpunkt, an dem ein Vertrag eines Kunden verlängert werden soll, nicht CMMC-zertifiziert sind, können Sie den Kunden verlieren. Und wenn Sie die Mindeststandards bei der Cybersicherheit nicht erfüllen, können Sie haftbar gemacht oder von der Liste der genehmigten Anbieter des US-Verteidigungsministeriums gestrichen werden.
DFARS steht für Defense Federal Acquisition Regulation Supplement und NIST ist das National Institute of Standards and Technology. Dies sind die Normen, die als Leitlinien für das Cybersicherheitsrahmenwerk dienen. CMMC 2.0 ersetzt nicht DFARS oder NIST 800-171. Es handelt sich vielmehr um eine Formalisierung dieser Normen. Sie hat eine klarere Durchsetzung, eine mehrstufige Zertifizierung und weitaus weniger Unklarheiten. Um zu verstehen, wie alles zusammenhängt, ist es wichtig zu wissen, was sich geändert hat, was nicht und was jetzt für die Compliance erforderlich ist. Hier eine Zusammenfassung der neuen Aufstellung:
Neuerungen bei CMMC 2.0 (gegenüber CMMC 1.0)
Was hat sich nicht geändert
Warum ist das wichtig?
CMMC 2.0 präzisiert, was seit Jahren von Auftragnehmern technisch gefordert wird, und setzt dies nun durch eine abgestufte Zertifizierung durch. Für Auftragnehmer des US-Verteidigungsministeriums bedeutet dies, dass Ihre Systeme mehr leisten müssen als nur Richtlinien zu unterstützen – sie müssen dazu beitragen, die technischen Kontrollen durchzusetzen, die geprüft werden, einschließlich Zugriffskontrolle und Verschlüsselung für Workflows, Prüfpfade und Rückverfolgbarkeit der Lieferkette und vieles mehr.
Eine Bewertung der CMMC-Compliance hängt von der allgemeinen Haltung Ihres Unternehmens in Bezug auf die Cybersicherheit ab. Dabei spielen die Tools und Lösungen, die Sie einsetzen, eine wesentliche Rolle. Eine CMMC-fähige Plattform unterstützt nicht nur Ihre Compliance-Prozesse, sondern muss auch Teil der zertifizierten Umgebung selbst sein.
Für Software, die CUI oder FCI verarbeitet, ist diese Infrastruktur entscheidend. Sie sollten nach Lösungsanbietern suchen, die Cloud-Dienste anbieten, welche die Sicherheitsanforderungen erfüllen, die den Vorgaben des Federal Risk and Authorization Management Program (FedRAMP) der USA entsprechen. Die effektivsten Lösungen – ob ERP, Dokumentenmanagement oder andere Betriebsplattformen – umfassen Sicherheitsvorkehrungen wie rollenbasierte Zugriffsrechte, Verschlüsselung im Ruhezustand und während des Transports, Prüfpfade und Workflow-Kontrollen, die mit den wichtigsten CMMC-Domänen übereinstimmen.
Die Einhaltung von CMMC-Vorschriften erfordert jedoch mehr als den Kauf sicherer Tools. Sehr wichtig ist auch die Art und Weise, wie sie konfiguriert, überwacht und verwendet werden. Oder anders ausgedrückt: Software allein garantiert keine Zertifizierung, aber Software, die unter Berücksichtigung der Konformität entwickelt und genutzt wird, kann Risiken und den Aufwand erheblich reduzieren. Deshalb sollten Sie nicht nur bewerten, ob eine Plattform „sicher“ ist, sondern auch, ob sie dazu beiträgt, die Rückverfolgbarkeit aufrechtzuerhalten, Zugriffsbeschränkungen durchzusetzen, Aktivitäten zu protokollieren und jede Art der gemeinsamen Verantwortung zu unterstützen, die für FedRAMP- und CMMC-konforme Umgebungen entscheidend ist.
Kurz: Konforme Software ersetzt Ihr Cybersicherheitsprogramm nicht, kann es jedoch konsistenter, verteidigungsfähiger und effizienter machen.
Geschäftsführungen sehen sich heute mit beispiellosen Veränderungen, Herausforderungen und Wettbewerbsbedingungen konfrontiert. Und obwohl die CMMC-Anforderungen einschüchternd und kompliziert erscheinen können, ist die Sache im Grunde ziemlich einfach, wenn Sie die richtigen Tools und die richtige Struktur haben. Es erfordert Planung, Teamarbeit und Systeme, die unter Kontrolle bleiben und sich ändernden Anforderungen anpassen. Wenn Sie entsprechend aufgestellt sind, können Sie sich auf die Innovationen und Strategien konzentrieren, die Sie brauchen, um erfolgreich und fit für die Zukunft zu sein.
Erfahren Sie, wie Infor Auftragnehmer des US-Verteidigungsministeriums mit branchenspezifischen Lösungen und vollständig CMMC-konformen Softwarelösungen unterstützt.
| Abkürzung | Vollständiger Begriff | Definition |
|---|---|---|
| AC | Access Control (Zugriffskontrolle) | CMMC-Domäne, die sich auf die Zugriffsbeschränkungen auf Systeme und Daten konzentriert |
| AU | Audit and Accountability (Prüfung und Rechenschaftspflicht) | CMMC-Domäne, die Audit-Protokollierung und Rückverfolgbarkeit erfordert |
| AWS | Amazon Web Services | Cloud-Plattform, die von vielen Anbietern verwendet wird, um sichere Umgebungen für Verträge im Verteidigungswesen zu hosten |
| C3PAO | CMMC Third-Party Assessor Organization | Autorisiertes Unternehmen, das offizielle CMMC-Assessments durchführt |
| CMMC | Cybersecurity Maturity Model Certification (Zertifizierung des Cybersecurity-Reifegradmodells) | Rahmenwerk des US-Verteidigungsministeriums zur Bewertung der Cybersicherheitspraktiken von Auftragnehmern im Verteidigungswesen |
| CUI | Controlled Unclassified Information (vertrauliche, nicht als geheim eingestufte Informationen) | Vertrauliche Informationen, die geschützt werden müssen, aber nicht gesetzlich als geheim eingestuft sind |
| DCAA | Defense Contract Audit Agency (Prüfstelle für Verteidigungsverträge) | Führt Prüfungen von Regierungsverträgen durch, um Compliance und Kostenkontrolle zu gewährleisten |
| DCMA | Defense Contract Management Agency (Verwaltungsbehörde für Verteidigungsverträge) | Behörde des US-Verteidigungsministeriuns, die die Leistung von Auftragnehmern überwacht |
| DFARS | Defense Federal Acquisition Regulation Supplement (Ergänzung zur bundesstaatlichen Erwerbsverordnung im Verteidigungswesen) | Spezifische Regeln des US-Verteidigungsministeriums für Akquisitionen mit Cybersicherheitsvorgaben |
| DIB | Defense Industrial Base (Rüstungsindustrie) | Netzwerk von Unternehmen, Einrichtungen und Ressourcen, das die US-Regierung mit Materialien, Produkten und Dienstleistungen beliefert |
| DIBCAC | Defense Industrial Base Cybersecurity Assessment Center (Bewertungszentrum für Cybersicherheit in der Rüstungsindustrie) | Durchführung von Cybersicherheitsbewertungen für das US-Verteidigungsministerium, insbesondere für CMMC Level 3 |
| DoD | Department of Defense (US-Verteidigungsministerium) | Bundesbehörde, die US-Militäroperationen und Verteidigungsverträge überwacht |
| EAR | Export Administration Regulations (Ausfuhrverwaltungsvorschriften) | Regelungen für die Ausfuhr von nicht unter ITAR fallende Dual-Use-Gütern |
| FCI | Federal Contract Information (Föderale Vertragsdaten) | Von der oder für die US-Regierung bereitgestellte Informationen, die nicht zur Veröffentlichung bestimmt sind |
| FIPS | Federal Information Processing Standards (Bundesstandards für die Datenverarbeitung) | Computer-Sicherheitsnormen der US-Regierung |
| FedRAMP | Federal Risk and Authorization Management Program (Föderales Risiko- und Genehmigungsmanagementprogramm) | US-Regierungsprogramm zur Normierung der Sicherheit von Cloud-Diensten |
| IAM | Identity and Access Management (Identitäts- und Zugriffsverwaltung) | Technologien und Richtlinien zur Kontrolle des Benutzerzugriffs auf Systeme |
| IR | Incident Response (Reaktion auf Vorfälle) | CMMC-Domäne, die Prozesse zur Erkennung und Reaktion auf Sicherheitsvorfälle abdeckt |
| ITAR | International Traffic in Arms Regulations (Internationales Regelwerk für den Waffenhandel) | US-amerikanische Vorschriften zur Kontrolle des Exports von Rüstungsgütern |
| MP | Media Protection (Medienschutz) | CMMC-Domäne zur Sicherung physischer und digitaler Medien |
| NIST | National Institute of Standards and Technology (Nationales Institut für Normung und Technologie) | US-Behörde für die Entwicklung von Rahmenwerken für Cybersicherheit und technische Normen |
| NIST SP 800–171 | NIST Special Publication 800-171 | NIST-Leitlinie zum Schutz von CUI in nicht-staatlichen Systemen |
| OSC | Organization Seeking Certification (Unternehmen, das eine Zertifizierung beantragt) | Unternehmen oder Einheit, die einer CMMC-Bewertung unterzogen wird |
| POA&M | Plan of Action and Milestones (Maßnahmenplan und Meilensteine) | Dokument, das beschreibt, wie ein Unternehmen Sicherheitsmängel beheben will |
| RMF | Risk Management Framework (Rahmenwerk für die Risikobewertung) | Strukturierter Prozess zur Identifizierung und Verwaltung von Cybersicherheitsrisiken |
| SIEM | Security Information and Event Management (Sicherheitsinformationen und Ereignismanagement) | System, das Sicherheitsdaten bündelt und auswertet |
| SPRS | Supplier Performance Risk System (Lieferantenleistungsrisikosystem) | System des US-Verteidigungsministeriums, das die Compliance und Risikobewertungen von Auftragnehmern überwacht |
| SSP | System Security Plan (Plan für die Systemsicherheit) | Dokument, das beschreibt, wie ein Unternehmen seine Cybersicherheitsvorgaben umsetzt |
| TLS | Transport Layer Security (Sicherheit der Übertragungsschicht) | Protokoll zur Verschlüsselung von Daten bei der Übertragung |