Was ist CMMC-Compliance?

Durch CMMC-Compliance sorgen Sie dafür, dass Ihre Systeme und Teams die vom US-Kriegsministerium geforderten Cybersicherheitsstandards erfüllen. Sie schützt sensible Daten, stärkt Ihre Berechtigung für Verträge und verschafft Ihnen einen starken Wettbewerbsvorteil.

Was ist CMMC-Compliance?

Bedeutung von CMMC
Wer braucht eine CMMC-Zertifizierung?
Risiko der Nichteinhaltung
CMMC 2.0 im Vergleich zu CMMC 1.0 und DFARS
CMMC-konforme Software
Häufig gestellte Fragen
Glossar

Für jedes Unternehmen, das vom US-Verteidigungsministerium Aufträge erhalten oder um sie bieten möchte, ist die Einhaltung der CMMC-Vorschriften ein Muss. Die Abkürzung steht für Cybersecurity Maturity Model Certification und ist der Maßstab, den die US-Regierung verwendet, um die Erwartungen an ihre Auftragnehmer zu strukturieren. In den neu veröffentlichten CMMC 2.0-Standards sind einige dieser Anforderungen geändert und verschlankt worden. Sie basieren jedoch weiterhin auf der Art der Daten, mit denen Ihr Unternehmen umgeht und auf die es Zugriff hat. Manche Unternehmen benötigen nur grundlegende Daten. Andere müssen strenge Prüfungen bestehen und rigorose Kontrollmaßnahmen für sensible Daten einhalten. Und dies betrifft mehr als nur die IT. Es berührt Bereiche wie Beschaffung, Operations, Cloud-Infrastruktur, Personalwesen und sogar Lieferantenbeziehungen. Je besser Ihre Systeme und Prozesse aufeinander abgestimmt sind, desto einfacher wird es, die Anforderungen zu erfüllen – und zu beweisen, dass Sie bereit sind.

Bedeutung von CMMC

Die Cybersecurity Maturity Model Certification (CMMC) ist ein Rahmenwerk des US-Verteidigungsministeriums, das Cybersicherheitsnormen für Auftragnehmer und Lieferanten in der Rüstungsindustrie vorschreibt. Es prüft die Fähigkeit eines Unternehmens, vertrauliche, nicht als geheim eingestufte Informationen (Controlled Unclassified Information, CUI) und föderale Vertragsdaten (Federal Contract Information, FCI) durch einen mehrstufigen Zertifizierungsprozess zu schützen.

Wer benötigt eine CMMC-Zertifizierung?

Wenn Ihr Unternehmen mit Daten des US-Verteidigungsministeriums arbeitet oder die Rüstungsindustrie (Defense Industrial Base, DIB) unterstützt, müssen Sie die Anforderungen an die Cybersicherheit erfüllen. Dies gilt ebenso für Hauptauftragnehmer, Subunternehmer, Lieferanten und Dienstleister.

Auftragnehmer und Unterauftragnehmer des US-Verteidigungsministeriums

Alle Unternehmen, die Arbeiten für das US-Verteidigungsministerium anbieten oder weiter vergeben, müssen die Anforderungen der im Vertrag festgelegten CMMC-Ebene erfüllen. Dabei gelten Flow-Down-Regelungen, was bedeutet, dass die Compliance über die gesamte Lieferkette hinweg erforderlich ist, nicht nur für den Hauptauftragnehmer.

Unternehmen, die mit FCI, CUI oder HVA arbeiten

Wenn Sie in den USA auf Federal Contract Information (FCI), Controlled Unclassified Information (CUI) oder High Value Assets (HVA) zugreifen oder wenn Sie Dokumente, technische Spezifikationen oder sensible Designs für das US-Verteidigungsministerium verwalten, müssen Sie sich auf der richtigen CMMC-Ebene zertifizieren.

Cloud-Anbieter, IT-Services und Support-Anbieter

Drittanbieter, die DoD-Auftragnehmern Infrastruktur, Speicherung oder Dienstleistungen anbieten, müssen mindestens FedRAMP Moderate oder äquivalent erfüllen. Das gilt für SaaS-, PaaS- und IaaS-Anbieter, Managed Service Provider (MSPs), Logistikunternehmen, Cybersicherheitsanbieter und andere, die Arbeiten im Verteidigungsbereich unterstützen.

Welche Risiken bestehen, wenn Sie die CMMC-Compliance-Anforderungen nicht erfüllen?

Wenn Ihr Unternehmen nicht auf dem richtigen Level zertifiziert ist, laufen Sie Gefahr, zukünftige Chancen zu verpassen. Sie können auch bestehende Verträge gefährden, von Ausschreibungen ausgeschlossen werden oder sogar das schwache Glied sein, das zum Scheitern Ihres Hauptauftragnehmers führt. Zur Verdeutlichung betrachten wir hier die Non-Compliance-Risiken aus drei Perspektiven:

Berechtigungen

Verträge mit dem US-Verteidigungsministerium erfordern zwingend den Nachweis der CMMC-Zertifizierung. Ohne sie können Sie nicht einmal ein Angebot abgeben. Subunternehmer sollten sich bewusst sein, dass Lieferanten 12 bis 18 Monate im Voraus überprüft werden, um die vollständige Compliance bis zum Vergabezeitpunkt zu sichern.

Pipeline-Auswirkungen

Die Vorbereitung auf den Zertifizierungsprozess sowie die Prüfung und Behebung von Lücken kann Monate dauern. Nur zertifizierte Unternehmen erscheinen im Supplier Performance Risk System (SPRS). Wer Vorschriften nur verzögert einhält, kann Zeit und Geld verlieren.

Arbeit und Reputation

Wenn Sie zu dem Zeitpunkt, an dem ein Vertrag eines Kunden verlängert werden soll, nicht CMMC-zertifiziert sind, können Sie den Kunden verlieren. Und wenn Sie die Mindeststandards bei der Cybersicherheit nicht erfüllen, können Sie haftbar gemacht oder von der Liste der genehmigten Anbieter des US-Verteidigungsministeriums gestrichen werden.

CMMC 2.0 im Vergleich zu CMMC 1.0 und DFARS: Was ist neu und was gilt noch?

DFARS steht für Defense Federal Acquisition Regulation Supplement und NIST ist das National Institute of Standards and Technology. Dies sind die Normen, die als Leitlinien für das Cybersicherheitsrahmenwerk dienen. CMMC 2.0 ersetzt nicht DFARS oder NIST 800-171. Es handelt sich vielmehr um eine Formalisierung dieser Normen. Sie hat eine klarere Durchsetzung, eine mehrstufige Zertifizierung und weitaus weniger Unklarheiten. Um zu verstehen, wie alles zusammenhängt, ist es wichtig zu wissen, was sich geändert hat, was nicht und was jetzt für die Compliance erforderlich ist. Hier eine Zusammenfassung der neuen Aufstellung:

Neuerungen bei CMMC 2.0 (gegenüber CMMC 1.0)

Weniger Levels, klarerer Fokus: CMMC 2.0 reduziert fünf Levels auf drei. Dies beseitigt unklare Schnittflächen und orientiert sich besser an den tatsächlichen vertraglichen Gegebenheiten.
Stärkere Anbindung an bestehende Normen: Verzicht auf benutzerdefinierte Reifegradprozesse zugunsten einer 1:1-Ausrichtung an NIST SP 800–171 (Level 2) und NIST SP 800–172 (Level 3).
Mehr Flexibilität bei der Zertifizierung: Ermöglicht Selbsteinschätzungen auf Level 1 und für einige nicht priorisierte Akquisitionen auf Level 2. Dies senkt die Kosten und den Zeitaufwand für kleine und mittelgroße Auftragnehmer.
Verwendung von POA&Ms: Erlaubt Aktionspläne und Meilensteine (POA&M) für einige nicht erfüllte Kontrollen, wenngleich unter Auflagen. Dies war bei CMMC 1.0 nicht zulässig.
Schnellere Regelungen: CMMC 2.0 wurde über DFARS Case 2019-D041 eingeführt und soll bis 2026 im Eilverfahren vollständig implementiert werden.

Was hat sich nicht geändert

DFARS ist nach wie gültig: Auftragnehmer müssen weiterhin DFARS 252.204-7012 einhalten, einschließlich der schnellen Meldung von Cybervorfällen und der Implementierung von NIST 800–171 für Systeme, die CUI verarbeiten.
SPRS bleibt zentral: Unternehmen müssen die Ergebnisse der Selbstbewertung im Supplier Performance Risk System (SPRS) registrieren, das jetzt routinemäßig zur Bewertung der Eignung von Subunternehmern verwendet wird.
CUI sind nach wie vor die Trennlinie: Wenn Sie vertrauliche, nicht als geheim eingestufte Informationen (CUI) verarbeiten, müssen Sie dennoch die gesamten 110 Kontrollen in NIST 800–171 erfüllen – jetzt validiert über CMMC.

Warum ist das wichtig?

CMMC 2.0 präzisiert, was seit Jahren von Auftragnehmern technisch gefordert wird, und setzt dies nun durch eine abgestufte Zertifizierung durch. Für Auftragnehmer des US-Verteidigungsministeriums bedeutet dies, dass Ihre Systeme mehr leisten müssen als nur Richtlinien zu unterstützen – sie müssen dazu beitragen, die technischen Kontrollen durchzusetzen, die geprüft werden, einschließlich Zugriffskontrolle und Verschlüsselung für Workflows, Prüfpfade und Rückverfolgbarkeit der Lieferkette und vieles mehr.

Loading component...

Was macht eine Cloud-Plattform CMMC-fähig?

Eine Bewertung der CMMC-Compliance hängt von der allgemeinen Haltung Ihres Unternehmens in Bezug auf die Cybersicherheit ab. Dabei spielen die Tools und Lösungen, die Sie einsetzen, eine wesentliche Rolle. Eine CMMC-fähige Plattform unterstützt nicht nur Ihre Compliance-Prozesse, sondern muss auch Teil der zertifizierten Umgebung selbst sein.

Für Software, die CUI oder FCI verarbeitet, ist diese Infrastruktur entscheidend. Sie sollten nach Lösungsanbietern suchen, die Cloud-Dienste anbieten, welche die Sicherheitsanforderungen erfüllen, die den Vorgaben des Federal Risk and Authorization Management Program (FedRAMP) der USA entsprechen. Die effektivsten Lösungen – ob ERP, Dokumentenmanagement oder andere Betriebsplattformen – umfassen Sicherheitsvorkehrungen wie rollenbasierte Zugriffsrechte, Verschlüsselung im Ruhezustand und während des Transports, Prüfpfade und Workflow-Kontrollen, die mit den wichtigsten CMMC-Domänen übereinstimmen.

Die Einhaltung von CMMC-Vorschriften erfordert jedoch mehr als den Kauf sicherer Tools. Sehr wichtig ist auch die Art und Weise, wie sie konfiguriert, überwacht und verwendet werden. Oder anders ausgedrückt: Software allein garantiert keine Zertifizierung, aber Software, die unter Berücksichtigung der Konformität entwickelt und genutzt wird, kann Risiken und den Aufwand erheblich reduzieren. Deshalb sollten Sie nicht nur bewerten, ob eine Plattform „sicher“ ist, sondern auch, ob sie dazu beiträgt, die Rückverfolgbarkeit aufrechtzuerhalten, Zugriffsbeschränkungen durchzusetzen, Aktivitäten zu protokollieren und jede Art der gemeinsamen Verantwortung zu unterstützen, die für FedRAMP- und CMMC-konforme Umgebungen entscheidend ist.

Kurz: Konforme Software ersetzt Ihr Cybersicherheitsprogramm nicht, kann es jedoch konsistenter, verteidigungsfähiger und effizienter machen.

Loading component...

Fazit

Geschäftsführungen sehen sich heute mit beispiellosen Veränderungen, Herausforderungen und Wettbewerbsbedingungen konfrontiert. Und obwohl die CMMC-Anforderungen einschüchternd und kompliziert erscheinen können, ist die Sache im Grunde ziemlich einfach, wenn Sie die richtigen Tools und die richtige Struktur haben. Es erfordert Planung, Teamarbeit und Systeme, die unter Kontrolle bleiben und sich ändernden Anforderungen anpassen. Wenn Sie entsprechend aufgestellt sind, können Sie sich auf die Innovationen und Strategien konzentrieren, die Sie brauchen, um erfolgreich und fit für die Zukunft zu sein.

Loading component...

Erfahren Sie, wie Infor Auftragnehmer des US-Verteidigungsministeriums mit branchenspezifischen Lösungen und vollständig CMMC-konformen Softwarelösungen unterstützt.

Infor A&D-Software erkunden

Loading component...

Häufig gestellte Frage zu CMMC

Loading component...

CMMC-Abkürzungen

Abkürzung	Vollständiger Begriff	Definition
AC	Access Control (Zugriffskontrolle)	CMMC-Domäne, die sich auf die Zugriffsbeschränkungen auf Systeme und Daten konzentriert
AU	Audit and Accountability (Prüfung und Rechenschaftspflicht)	CMMC-Domäne, die Audit-Protokollierung und Rückverfolgbarkeit erfordert
AWS	Amazon Web Services	Cloud-Plattform, die von vielen Anbietern verwendet wird, um sichere Umgebungen für Verträge im Verteidigungswesen zu hosten
C3PAO	CMMC Third-Party Assessor Organization	Autorisiertes Unternehmen, das offizielle CMMC-Assessments durchführt
CMMC	Cybersecurity Maturity Model Certification (Zertifizierung des Cybersecurity-Reifegradmodells)	Rahmenwerk des US-Verteidigungsministeriums zur Bewertung der Cybersicherheitspraktiken von Auftragnehmern im Verteidigungswesen
CUI	Controlled Unclassified Information (vertrauliche, nicht als geheim eingestufte Informationen)	Vertrauliche Informationen, die geschützt werden müssen, aber nicht gesetzlich als geheim eingestuft sind
DCAA	Defense Contract Audit Agency (Prüfstelle für Verteidigungsverträge)	Führt Prüfungen von Regierungsverträgen durch, um Compliance und Kostenkontrolle zu gewährleisten
DCMA	Defense Contract Management Agency (Verwaltungsbehörde für Verteidigungsverträge)	Behörde des US-Verteidigungsministeriuns, die die Leistung von Auftragnehmern überwacht
DFARS	Defense Federal Acquisition Regulation Supplement (Ergänzung zur bundesstaatlichen Erwerbsverordnung im Verteidigungswesen)	Spezifische Regeln des US-Verteidigungsministeriums für Akquisitionen mit Cybersicherheitsvorgaben
DIB	Defense Industrial Base (Rüstungsindustrie)	Netzwerk von Unternehmen, Einrichtungen und Ressourcen, das die US-Regierung mit Materialien, Produkten und Dienstleistungen beliefert
DIBCAC	Defense Industrial Base Cybersecurity Assessment Center (Bewertungszentrum für Cybersicherheit in der Rüstungsindustrie)	Durchführung von Cybersicherheitsbewertungen für das US-Verteidigungsministerium, insbesondere für CMMC Level 3
DoD	Department of Defense (US-Verteidigungsministerium)	Bundesbehörde, die US-Militäroperationen und Verteidigungsverträge überwacht
EAR	Export Administration Regulations (Ausfuhrverwaltungsvorschriften)	Regelungen für die Ausfuhr von nicht unter ITAR fallende Dual-Use-Gütern
FCI	Federal Contract Information (Föderale Vertragsdaten)	Von der oder für die US-Regierung bereitgestellte Informationen, die nicht zur Veröffentlichung bestimmt sind
FIPS	Federal Information Processing Standards (Bundesstandards für die Datenverarbeitung)	Computer-Sicherheitsnormen der US-Regierung
FedRAMP	Federal Risk and Authorization Management Program (Föderales Risiko- und Genehmigungsmanagementprogramm)	US-Regierungsprogramm zur Normierung der Sicherheit von Cloud-Diensten
IAM	Identity and Access Management (Identitäts- und Zugriffsverwaltung)	Technologien und Richtlinien zur Kontrolle des Benutzerzugriffs auf Systeme
IR	Incident Response (Reaktion auf Vorfälle)	CMMC-Domäne, die Prozesse zur Erkennung und Reaktion auf Sicherheitsvorfälle abdeckt
ITAR	International Traffic in Arms Regulations (Internationales Regelwerk für den Waffenhandel)	US-amerikanische Vorschriften zur Kontrolle des Exports von Rüstungsgütern
MP	Media Protection (Medienschutz)	CMMC-Domäne zur Sicherung physischer und digitaler Medien
NIST	National Institute of Standards and Technology (Nationales Institut für Normung und Technologie)	US-Behörde für die Entwicklung von Rahmenwerken für Cybersicherheit und technische Normen
NIST SP 800–171	NIST Special Publication 800-171	NIST-Leitlinie zum Schutz von CUI in nicht-staatlichen Systemen
OSC	Organization Seeking Certification (Unternehmen, das eine Zertifizierung beantragt)	Unternehmen oder Einheit, die einer CMMC-Bewertung unterzogen wird
POA&M	Plan of Action and Milestones (Maßnahmenplan und Meilensteine)	Dokument, das beschreibt, wie ein Unternehmen Sicherheitsmängel beheben will
RMF	Risk Management Framework (Rahmenwerk für die Risikobewertung)	Strukturierter Prozess zur Identifizierung und Verwaltung von Cybersicherheitsrisiken
SIEM	Security Information and Event Management (Sicherheitsinformationen und Ereignismanagement)	System, das Sicherheitsdaten bündelt und auswertet
SPRS	Supplier Performance Risk System (Lieferantenleistungsrisikosystem)	System des US-Verteidigungsministeriums, das die Compliance und Risikobewertungen von Auftragnehmern überwacht
SSP	System Security Plan (Plan für die Systemsicherheit)	Dokument, das beschreibt, wie ein Unternehmen seine Cybersicherheitsvorgaben umsetzt
TLS	Transport Layer Security (Sicherheit der Übertragungsschicht)	Protokoll zur Verschlüsselung von Daten bei der Übertragung

Loading component...

Was ist CMMC-Compliance?