Pressemitteilung

Neuer Kiteworks-Bericht zu Datensicherheit und Compliance-Risiken: Jahresumfrage zeigt kritische Lücken in der Defense Industrial Base

Kiteworks, das Unternehmen, das Organisationen befähigt, Risiken bei jedem Versand, Teilen, Empfang und bei der Nutzung vertraulicher Daten effektiv zu steuern, hat heute die Ergebnisse seines 2025 Data Security and Compliance Risk: Annual Survey Report veröffentlicht. Der Bericht zeigt erhebliche Governance-Herausforderungen für Verteidigungsauftragnehmer auf, die sich auf die Anforderungen von CMMC 2.0 vorbereiten.

Die Umfrage ergab, dass nur 56 % aller Befragten eine vollständige Ende-zu-Ende-Verschlüsselung für alle sensiblen Daten implementiert haben und nur etwas mehr als die Hälfte über zentralisierte Governance-Prozesse verfügt. Diese Lücken sind besonders kritisch für Verteidigungsauftragnehmer, die mit kontrollierten, nicht klassifizierten Informationen (CUI) arbeiten, da CMMC 2.0 umfassende Governance- und Sicherheitskontrollen über die gesamte Lieferkette hinweg fordert. Hinweis: Während die Gesamtumfrage 461 Unternehmen aus verschiedenen Branchen umfasste, zeigt die Analyse der 104 Unternehmen, die aktiv eine CMMC 2.0-Zertifizierung anstreben, spezifische Herausforderungen für die Verteidigungsindustrie auf.

„Die Daten zeigen eine grundlegende Herausforderung für Verteidigungsauftragnehmer“, sagt Frank Balonis, CISO und SVP Operations bei Kiteworks. „Ohne geeignete Governance-Kontrollen können Unternehmen den umfassenden Schutz von CUI, wie ihn CMMC verlangt, nicht nachweisen. Der Weg zur Compliance beginnt mit dem Verständnis und der Kontrolle der eigenen Datenlandschaft.“

Zentrale Governance-Lücken gefährden die CMMC-Bereitschaft

Die Untersuchung identifiziert kritische Lücken, die die CMMC-Compliance direkt beeinflussen:

Unvollständige Sicherheitsgrundlagen. Verteidigungsauftragnehmer, die CMMC 2.0 anstreben, stehen vor erheblichen Herausforderungen bei der Umsetzung grundlegender Sicherheitskontrollen. Unter den 104 befragten CMMC-Unternehmen variiert die Umsetzung von Verschlüsselung je nach Unternehmensgröße erheblich, wobei größere Unternehmen besorgniserregende Lücken aufweisen. Nur 38 % der Unternehmen mit mehr als 20.000 Mitarbeitenden erreichen eine Verschlüsselungsabdeckung im Top-Bereich (76–100 %), im Vergleich zu 59 % der mittelständischen Unternehmen (5.000–9.999 Mitarbeitende).

Die Lücke im Governance-Tracking zeigt eine starke Abhängigkeit von manuellen Prozessen: Während 95 % der CMMC-Unternehmen zumindest einige Effektivitätsmetriken verfolgen, verfügen nur 38 % über umfassende Governance-Kontroll- und Tracking-Systeme. Diese Differenz von 57 Prozentpunkten verdeutlicht eine weit verbreitete Abhängigkeit von manuellen Workflows, die die Fehleranfälligkeit erhöhen, kontinuierliches Monitoring erschweren und Audit-Trail-Herausforderungen schaffen, die CMMC-Prüfer fordern. Unternehmen ohne Governance-Tracking verzeichnen 5 Prozentpunkte mehr niedrige Verschlüsselungsraten (20 % vs. 15 %), was ihre Fähigkeit, den umfassenden CUI-Schutz nachzuweisen, direkt beeinträchtigt.

Blindheit im Drittparteien-Ökosystem. Unternehmen, die CMMC anstreben, kämpfen mit dem Lieferantenrisikomanagement, obwohl sie mit derselben Lieferkettenkomplexität wie andere Branchen konfrontiert sind. Die 104 CMMC-Unternehmen zeigen nahezu identische Lieferantenverteilungen wie die Gesamtpopulation, dennoch rangiert die Einhaltung der Vorgaben durch Anbieter als zweithöchste Herausforderung (73 von 100 Punkten), wobei 39 % dies als Top-Thema nennen – 7 Prozentpunkte mehr als bei Nicht-CMMC-Unternehmen.

Kritische Lücken zeigen sich in der vertraglichen Governance: Nur 22 % der CMMC-Unternehmen setzen vertragliche Sicherheitsanforderungen bei Lieferanten um, was unter dem Branchendurchschnitt von 27 % liegt. Dies stellt ein grundlegendes Compliance-Risiko dar, da Verteidigungsauftragnehmer die Kontrolle über CUI im gesamten Ökosystem nachweisen müssen.

Aufkommende KI-Governance-Krise: Die Herausforderung der Dateninventargenauigkeit betrifft 27 % der CMMC-Unternehmen und rangiert auf Platz sechs von sieben zentralen Herausforderungen. Das deutet darauf hin, dass zwar die meisten grundlegende Inventarkontrollen haben, die Nachverfolgung von KI-generierten Inhalten und die korrekte CUI-Klassifizierung jedoch weiterhin problematisch sind.

Die Lücke in der Messdisziplin verdeutlicht das Kernproblem: Unternehmen, die Effektivitätsmetriken verfolgen, weisen 6 Prozentpunkte weniger gravierende Verschlüsselungslücken auf (19 % vs. 25 %), was darauf hindeutet, dass ungemessene KI-Nutzung zu nicht dokumentierten CUI-Flüssen führen kann. Dies ist besonders kritisch, weil:

• KI-Systeme unbeabsichtigt CUI verarbeiten, speichern oder übertragen können, ohne dass eine korrekte Klassifizierung erfolgt
• Generative KI-Tools CUI über Trainingsdaten oder Ausgaben offenlegen können
• Unternehmen ohne umfassendes Governance-Tracking keine kontinuierliche Überwachung von KI-Dateninteraktionen nachweisen können, wie sie CMMC-Prüfer fordern

Geografische Verteilung und Auswirkungen. Die geografische Verteilung der CMMC-Teilnehmenden (63 % Nordamerika, 11 % Europa, 20 % Asien-Pazifik, 7 % Naher Osten/Afrika) verdeutlicht die Konzentration der Lieferketten-Aktivitäten im Verteidigungsbereich und zeigt erhebliche regionale Unterschiede in der Vorbereitung. Die regionale Aufschlüsselung offenbart bedenkliche Lücken: Europas überraschend niedriger Anteil von 11 % trotz NATO-Partnerschaften deutet auf mögliche Awareness-Defizite hin, während die 20 % Beteiligung im Asien-Pazifik-Raum vor allem auf Technologie- und Fertigungspartner in verbündeten Staaten zurückzuführen ist. Die Beteiligung im Nahen Osten bleibt mit 7 % begrenzt und spiegelt die aktuelle Marktdynamik wider. Kritisch ist, dass 51 % aller CMMC-Befragten mit internationalen Datenflüssen von erhöhter Komplexität bei der Entwicklung von Richtlinien und der Umsetzung von Kontrollen berichten. Das schafft zusätzliche Compliance-Herausforderungen für Unternehmen, die in mehreren Rechtsräumen tätig sind, in denen CUI verarbeitet oder gespeichert werden könnte.

„CMMC 2.0-Compliance bedeutet mehr als nur das Abhaken von Vorgaben – es geht darum, eine reife, konsistente Governance über das gesamte Datenökosystem hinweg nachzuweisen“, resümiert Balonis. „Die in unserer Untersuchung aufgezeigten Lücken zeigen, dass viele Verteidigungsauftragnehmer noch viel zu tun haben. Wer jetzt handelt und diese Governance-Lücken schließt, positioniert sich nicht nur für Compliance, sondern verschafft sich auch einen Wettbewerbsvorteil in der Verteidigungsindustrie.“

Lesen Sie den vollständigen 2025 Data Security and Compliance Risk: Annual Survey Report hier.

Über Kiteworks

Kiteworks hat es sich zur Aufgabe gemacht, Unternehmen dabei zu unterstützen, Risiken beim Senden, Teilen, Empfangen und Nutzen vertraulicher Daten effektiv zu steuern. Die Kiteworks-Plattform bietet Kunden ein Private Data Network, das Daten-Governance, Compliance und Schutz gewährleistet. Diese Plattform vereint, überwacht, steuert und schützt sensible Daten, die innerhalb des Unternehmens sowie bei externen und internen Transfers übertragen werden. Dadurch verbessert sie das Risikomanagement erheblich und gewährleistet die Einhaltung gesetzlicher Vorgaben bei allen vertraulichen Datentransfers. Mit Hauptsitz im Silicon Valley schützt Kiteworks über 100 Millionen Endanwender sowie mehr als 1.500 Unternehmen und Behörden weltweit.

Pressekontakt:
David Schutzman
PR Manager
David.schutzman@kiteworks.com