Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Wie AES-256-Verschlüsselung die CMMC-Compliance unterstützt

Wie AES-256-Verschlüsselung die CMMC-Compliance unterstützt

von Danielle Barbour updated November 24, 2025 CMMC Compliance
Lesezeit: 8 Minuten

Rüstungsunternehmen, die eine Cybersecurity Maturity Model Certification (CMMC) 2.0 anstreben, stehen vor einer grundlegenden Anforderung: Sie müssen kontrollierte, nicht klassifizierte Informationen (CUI) mit einer Verschlüsselung schützen, die den föderalen kryptografischen Standards entspricht. AES-256-Verschlüsselung erfüllt diese Anforderung, wenn sie durch FIPS-validierte kryptografische Module implementiert wird. Der Verschlüsselungsalgorithmus allein garantiert jedoch keine Compliance. CMMC-Prüfer bewerten nicht nur, ob Verschlüsselung vorhanden ist, sondern auch, ob sie korrekt implementiert, angemessen validiert und durch ein solides Schlüsselmanagement gestützt wird.

Die meisten Unternehmen im Defense Industrial Base (DIB) streben eine CMMC Level 2-Zertifizierung an, die alle 110 Sicherheitskontrollen aus NIST SP 800-171 umfasst. Mehrere dieser Kontrollen verlangen explizit einen kryptografischen Schutz für CUI im ruhenden Zustand und während der Übertragung. Zu verstehen, wie AES-256-Verschlüsselung auf diese spezifischen Anforderungen einzahlt – und wo häufig Umsetzungsdefizite auftreten – ist entscheidend für das Erreichen und Aufrechterhalten der Zertifizierung.

Dieser Leitfaden beleuchtet die Verschlüsselungsanforderungen innerhalb von CMMC Level 2, erklärt, warum AES-256 bei korrekter Implementierung den föderalen Standards entspricht, und behandelt die kritische Frage des Schlüsselmanagements, wenn CUI in Cloud-Infrastrukturen gespeichert wird.

wichtige Erkenntnisse

  1. CMMC Level 2 verlangt FIPS-validierte Verschlüsselung zum Schutz von CUI im ruhenden Zustand und während der Übertragung. Die spezifischen Anforderungen sind in den NIST SP 800-171-Kontrollen SC.L2-3.13.8 und SC.L2-3.13.16 definiert.
  2. Rüstungsunternehmen müssen FIPS-validierte kryptografische Module einsetzen, nicht nur FIPS-zugelassene Algorithmen – die FIPS 140-3-Validierung stellt den aktuellen Standard dar und belegt zukunftssichere Compliance.
  3. AES-256-Verschlüsselung erfüllt die CMMC-Anforderungen, wenn sie innerhalb eines validierten Moduls implementiert und konsequent über alle Systeme und Kommunikationskanäle angewendet wird, in denen CUI gespeichert ist.
  4. Wenn CUI auf FedRAMP-zertifizierter Cloud-Infrastruktur gespeichert wird, wirkt sich der Besitz der Verschlüsselungsschlüssel direkt auf die CMMC-Compliance aus – kundeneigene Schlüssel (bei denen nur Sie Zugriff haben) schaffen klare Kontrollgrenzen im Gegensatz zu kundenverwalteten Schlüsseln (bei denen der Cloud-Anbieter Zugriff behält).
  5. Schlüsselmanagement-Praktiken werden bei CMMC-Audits besonders geprüft, einschließlich der Dokumentation zu Schlüsselgenerierung, -speicherung, -rotation und -vernichtung im System Security Plan.

Verschlüsselungsanforderungen nach CMMC-Zertifizierungslevel

CMMC 2.0 definiert drei Zertifizierungslevel mit jeweils unterschiedlichen Anforderungen, abhängig von der Sensibilität der zu schützenden Informationen. Level 2 gilt für Unternehmen, die CUI verarbeiten, und ist die Zertifizierungsstufe, die die meisten DIB-Auftragnehmer anstreben.

CMMC Level 1 betrifft Unternehmen, die ausschließlich Federal Contract Information (FCI) verarbeiten, und umfasst 17 grundlegende Schutzmaßnahmen. Diese Basiskontrollen enthalten keine expliziten Verschlüsselungsanforderungen, dennoch bleibt Verschlüsselung eine empfohlene Maßnahme zum Schutz sensibler Daten.

CMMC Level 2 beinhaltet alle 110 Kontrollen aus NIST SP 800-171 Revision 2, einschließlich spezifischer Anforderungen an kryptografischen Schutz. Die Kontrollfamilie System and Communications Protection (SC) enthält die zentralen Verschlüsselungsvorgaben. Kontrolle SC.L2-3.13.8 fordert kryptografische Mechanismen zum Schutz von CUI während der Übertragung, während SC.L2-3.13.16 den Schutz von CUI im ruhenden Zustand verlangt. Diese Kontrollen nennen AES-256 nicht explizit, verlangen jedoch den Einsatz von FIPS-validierten kryptografischen Modulen.

CMMC Level 3 richtet sich an Unternehmen, die besonders sensible CUI verarbeiten, und ergänzt Kontrollen aus NIST SP 800-172. Diese erweiterten Anforderungen können strengere Schlüsselmanagement-Prozesse, häufigere kryptografische Prüfungen und zusätzliche Schutzmaßnahmen gegen Advanced Persistent Threats umfassen. Unternehmen, die Level 3 anstreben, müssen mit einer besonders genauen Prüfung ihrer Verschlüsselungsarchitektur und Schlüsselmanagement-Praktiken rechnen.

CMMC 2.0 Compliance Roadmap für DoD-Auftragnehmer

Jetzt lesen

Warum AES-256 die CMMC Level 2-Anforderungen erfüllt

Der Advanced Encryption Standard mit 256-Bit-Schlüsseln (AES-256) ist vom National Institute of Standards and Technology (NIST) für den Schutz klassifizierter und nicht klassifizierter Bundesinformationen zugelassen. Diese Zulassung macht AES-256 zur geeigneten Wahl für CMMC-Compliance, jedoch entscheidet ein entscheidendes Detail darüber, ob Ihre Implementierung tatsächlich die Prüfanforderungen erfüllt.

CMMC-Prüfer kontrollieren, dass die Verschlüsselung über FIPS-validierte kryptografische Module implementiert ist – nicht nur, dass ein FIPS-zugelassener Algorithmus verwendet wird. Ein Unternehmen könnte AES-256-Verschlüsselung mit nicht validierten Softwarebibliotheken einsetzen und trotz des richtigen Algorithmus die CMMC-Prüfung nicht bestehen. Das kryptografische Modul selbst – egal ob Software, Firmware oder Hardware – muss über ein gültiges FIPS 140-Zertifikat verfügen.

Die Bundesregierung stellt derzeit von FIPS 140-2 auf FIPS 140-3 als Validierungsstandard für kryptografische Module um. FIPS 140-2-Zertifikate bleiben bis zu ihrem Ablaufdatum gültig, neue Validierungen erfolgen jedoch nach FIPS 140-3. Unternehmen sollten bei der Auswahl von Verschlüsselungslösungen FIPS 140-3-validierte Produkte bevorzugen, da diese den aktuellen föderalen Anforderungen entsprechen und das Risiko vermeiden, auf auslaufende FIPS 140-2-Zertifikate zu setzen, die während der Vertragslaufzeit ablaufen könnten.

Die 256-Bit-Schlüssellänge bietet die nötige Sicherheitsreserve zum Schutz von CUI. Während auch AES-128 von NIST zugelassen ist, bietet AES-256 einen höheren Schutz gegen zukünftige kryptanalytische Fortschritte und entspricht den Präferenzen des DoD für den Schutz sensibler Verteidigungsinformationen.

Verschlüsselung von CUI im ruhenden Zustand für CMMC-Compliance

NIST SP 800-171 Kontrolle SC.L2-3.13.16 verlangt von Unternehmen, die Vertraulichkeit von CUI im ruhenden Zustand zu schützen. Diese Anforderung gilt überall dort, wo CUI gespeichert wird: Dateiserver, Datenbanken, Endgeräte, Backupsysteme, E-Mail-Archive und Cloud-Speicher.

Rüstungsunternehmen müssen alle Speicherorte identifizieren, an denen CUI abgelegt ist, und sicherstellen, dass jede Ablage durch Verschlüsselung geschützt wird. Typische Speicher-Szenarien, die Verschlüsselung erfordern, sind Konstruktionszeichnungen und technische Spezifikationen auf Dateifreigaben, Vertragsdokumente und Korrespondenz in Dokumentenmanagementsystemen, E-Mail-Archive mit CUI-Austausch mit Behörden oder Subunternehmern, Datenbankeinträge mit kontrollierten technischen Informationen, Backup-Tapes und Systeme zur Notfallwiederherstellung sowie Endgeräte wie Laptops von Mitarbeitern mit CUI-Zugriff.

Verschlüsselung im ruhenden Zustand kann auf mehreren Ebenen implementiert werden. Festplattenverschlüsselung schützt komplette Speicherbereiche, während Dateiebene-Verschlüsselung einzelne Dateien unabhängig vom Speicherort absichert. Datenbankverschlüsselung schützt strukturierte Daten innerhalb von Datenbanksystemen. Viele Unternehmen setzen auf eine mehrschichtige Verschlüsselung und kombinieren Volumen- und Dateiebene-Schutz für Defense-in-Depth.

Die Verschlüsselung muss über ein FIPS-validiertes Modul erfolgen. Selbstverschlüsselnde Festplatten, Betriebssystemfunktionen und Drittanbieter-Lösungen benötigen alle eine FIPS 140-Validierung, um CMMC-Anforderungen zu erfüllen. Unternehmen sollten die FIPS-Zertifikatsnummern aller eingesetzten Verschlüsselungsprodukte dokumentieren.

Verschlüsselung von CUI während der Übertragung für CMMC-Compliance

NIST SP 800-171 Kontrolle SC.L2-3.13.8 verlangt kryptografische Mechanismen, um eine unbefugte Offenlegung von CUI während der Übertragung zu verhindern. Diese Anforderung betrifft alle Kommunikationskanäle, über die CUI übertragen wird: Netzwerkverbindungen, E-Mails, Dateitransfers und API-Kommunikation.

Transport Layer Security (TLS) bildet die Grundlage für die meisten Übertragungssicherungen. TLS 1.2 und TLS 1.3 unterstützen Cipher Suites, die AES-256 für die Datenverschlüsselung nutzen und damit die Anforderungen an die kryptografische Stärke zum Schutz von CUI erfüllen. Unternehmen sollten ihre Systeme so konfigurieren, dass mindestens TLS 1.2 erforderlich ist und ältere, unsichere Protokollversionen deaktiviert werden. TLS 1.3 bietet gegenüber TLS 1.2 verbesserte Sicherheit und Performance und gilt als aktueller Best Practice für den Schutz von CUI während der Übertragung.

E-Mails stellen für Rüstungsunternehmen eine besondere Herausforderung dar. Standardmäßiger E-Mail-Versand verschlüsselt Inhalte nicht Ende-zu-Ende, sodass CUI beim Durchlauf von Mailservern ungeschützt bleibt. Sichere E-Mail-Lösungen, die AES-256-Verschlüsselung auf den Nachrichteninhalt anwenden – nicht nur auf den Übertragungskanal –, bieten den von CMMC geforderten Schutz für E-Mails mit CUI.

Dateitransfers erfordern ähnliche Aufmerksamkeit. SFTP (Secure File Transfer Protocol) und FTPS unterstützen beide verschlüsselte Übertragungen, jedoch müssen Unternehmen sicherstellen, dass ihre Implementierungen FIPS-validierte kryptografische Module nutzen. Große Dateitransfers zwischen Rüstungsunternehmen, Subunternehmern und Behörden enthalten häufig CUI und müssen durchgängig verschlüsselt werden.

Auch API-Kommunikation zwischen Systemen unterliegt den Anforderungen an Übertragungssicherheit. Unternehmen, die mit Behörden integrieren oder CUI über automatisierte Schnittstellen austauschen, müssen sicherstellen, dass diese Verbindungen angemessen verschlüsselt sind.

Schlüsselmanagement auf FedRAMP-zertifizierter Infrastruktur

Viele Rüstungsunternehmen nutzen FedRAMP-zertifizierte Cloud-Services zur Speicherung und Verarbeitung von CUI. Die FedRAMP-Zertifizierung bestätigt, dass ein Cloud Service Provider die föderalen Sicherheitsanforderungen erfüllt, entbindet den Auftragnehmer jedoch nicht von seinen eigenen CMMC-Pflichten. Der Auftragnehmer bleibt für die eigene Compliance verantwortlich, einschließlich des Nachweises angemessener Kontrolle über den Zugriff auf CUI.

Das Schlüsselmanagement entscheidet darüber, wer tatsächlich auf verschlüsselte CUI zugreifen kann – unabhängig vom Speicherort. Für cloudbasierte Daten gibt es drei Schlüsselmanagement-Modelle mit unterschiedlichen Auswirkungen auf die CMMC-Compliance.

Vom Provider verwaltete Schlüssel sind die einfachste Variante: Der Cloud-Anbieter generiert, speichert und kontrolliert die Verschlüsselungsschlüssel. Die Daten sind zwar verschlüsselt, der Anbieter kann sie jedoch technisch entschlüsseln. Dieses Modell wirft bei CMMC-Prüfungen erhebliche Fragen auf, ob der Auftragnehmer ausreichend Kontrolle über den Zugriff auf CUI hat.

Kundenverwaltete Schlüssel (oft als Bring Your Own Key oder BYOK bezeichnet) geben dem Auftragnehmer Kontrolle über die Schlüsselerstellung und den Lebenszyklus, die Schlüssel werden jedoch im Schlüsselmanagement-Service des Cloud-Anbieters gespeichert. Der Anbieter behält technischen Zugriff und kann im Rahmen des CLOUD Act oder anderer rechtlicher Verfahren zur Entschlüsselung gezwungen werden – oft ohne Benachrichtigung des Kunden. Für CMMC schafft dieses Modell Unsicherheit darüber, wer tatsächlich Zugriff auf CUI hat.

Kundeneigene Schlüssel (Hold Your Own Key oder HYOK) bieten eine echte Trennung. Der Auftragnehmer verwaltet die Schlüssel ausschließlich im eigenen Schlüsselmanagementsystem oder Hardware Security Module (HSM), der Cloud-Anbieter erhält die Schlüssel nie. Selbst bei einer gerichtlichen Anordnung kann der Anbieter CUI nicht entschlüsseln, da ihm die Schlüssel fehlen. Dieses Modell schafft eindeutige Kontrollgrenzen, die den Anforderungen der CMMC-Prüfer entsprechen.

Der FedRAMP-Status bezieht sich auf die Sicherheitslage des Cloud-Anbieters, bestimmt aber nicht das Schlüsselmanagement des Auftragnehmers. CMMC-Prüfer prüfen, wie der Auftragnehmer den Zugriff auf CUI steuert. Kundeneigene Verschlüsselungsschlüssel – bei denen ausschließlich der Auftragnehmer entschlüsseln kann – liefern den eindeutigen Nachweis für diese Kontrolle. Kundenverwaltete Schlüssel, trotz der beruhigenden Bezeichnung, lassen dem Cloud-Anbieter technischen Zugriff und erschweren die Compliance-Darstellung.

Häufige Verschlüsselungsdefizite bei CMMC

CMMC-Prüfungen identifizieren häufig Defizite im Bereich Verschlüsselung, die eine Zertifizierung verhindern. Das Verständnis dieser typischen Lücken hilft Unternehmen bei einer besseren Vorbereitung.

Der Einsatz nicht validierter Verschlüsselungsmodule ist ein häufiger Befund. Unternehmen implementieren AES-256-Verschlüsselung über Bibliotheken oder Produkte ohne FIPS 140-Validierung und erfüllen damit trotz des richtigen Algorithmus nicht die Anforderung an ein validiertes Modul.

Unvollständige Verschlüsselungsabdeckung führt zu Lücken, wenn CUI nicht an allen Speicherorten verschlüsselt wird. E-Mail-Systeme, Kollaborationsplattformen und Endgeräte sind oft ungeschützt, selbst wenn zentrale Dateispeicher verschlüsselt sind.

Unzureichende Dokumentation im System Security Plan (SSP) führt zu Beanstandungen, selbst wenn die technischen Maßnahmen korrekt umgesetzt wurden. Der SSP muss Verschlüsselungsmethoden, FIPS-Zertifikatsnummern, Schlüsselmanagement-Prozesse und die betroffenen Systeme dokumentieren.

Das Vertrauen auf die Verschlüsselung des Cloud-Anbieters ohne Verständnis der Schlüsselmanagement-Auswirkungen kann Unsicherheit über die Zugriffskontrolle auf CUI schaffen. Prüfer untersuchen, ob letztlich der Auftragnehmer oder der Cloud-Anbieter Zugriff auf verschlüsselte CUI hat.

Abgelaufene FIPS-Validierungszertifikate bergen Compliance-Risiken, wenn Zertifikate während der Vertragslaufzeit ablaufen. Unternehmen sollten die Ablaufdaten aller Verschlüsselungszertifikate im Blick behalten.

Lücken bei der Verschlüsselung während der Datenbewegung entstehen, wenn CUI im ruhenden Zustand und bei externer Übertragung geschützt ist, aber unverschlüsselt zwischen internen Systemen bewegt wird. Prüfer analysieren den gesamten Datenfluss, nicht nur Speicher und externe Kommunikation.

Schützen Sie CUI mit den leistungsstarken Verschlüsselungsfunktionen von Kiteworks

Für die CMMC Level 2-Zertifizierung müssen Rüstungsunternehmen nachweisen, dass CUI durch FIPS-validierte Verschlüsselung im ruhenden Zustand und während der Übertragung geschützt ist – gestützt durch dokumentierte Schlüsselmanagement-Prozesse. AES-256-Verschlüsselung erfüllt die kryptografischen Anforderungen, wenn sie über validierte Module umgesetzt und konsequent über alle Systeme angewendet wird, die CUI verarbeiten.

Die Wahl des Schlüsselbesitzmodells beeinflusst die CMMC-Compliance maßgeblich, insbesondere wenn CUI in Cloud-Infrastrukturen gespeichert wird. Kundeneigene Verschlüsselungsschlüssel – bei denen ausschließlich Sie die Schlüssel besitzen und selbst Ihr Cloud-Anbieter keinen Zugriff erhält – schaffen eindeutige Kontrollgrenzen, die die Anforderungen der Prüfer erfüllen und Unsicherheiten beim Zugriff auf CUI beseitigen.

Kiteworks deckt nahezu 90% der CMMC Level 2-Anforderungen standardmäßig ab. Dazu gehört FIPS 140-3-validierte Verschlüsselung – der aktuelle föderale Validierungsstandard, nicht das ältere FIPS 140-2 – zum Schutz von CUI im ruhenden Zustand und während der Übertragung. Die Plattform, ein Private Data Network, schützt Daten in Bewegung mit TLS 1.3-Verschlüsselung, dem stärksten verfügbaren Transportprotokoll, über E-Mail, Filesharing, Managed File Transfer und Web-Formulare hinweg.

Für E-Mail-Kommunikation mit CUI wendet das Kiteworks E-Mail-Schutz-Gateway automatisch AES-256-Verschlüsselung auf ausgehende Nachrichten an. Dadurch entfällt die Abhängigkeit von Endanwendern bei der Verschlüsselungsentscheidung und der Schutz entlang der gesamten Lieferkette der Verteidigungsindustrie ist gewährleistet.

Die kundeneigene Schlüsselarchitektur von Kiteworks stellt sicher, dass Rüstungsunternehmen die alleinige Kontrolle über ihre Verschlüsselungsschlüssel behalten – auch bei Einsatz auf FedRAMP-zertifizierter Infrastruktur. Ihr Cloud-Anbieter hat keinen Zugriff auf Ihre CUI, da er nie im Besitz der erforderlichen Schlüssel ist – ein eindeutiger Nachweis der Zugriffskontrolle für CMMC-Prüfer.

Unternehmen mit höchsten Anforderungen an den Schlüssel-Schutz können Kiteworks mit Hardware Security Modules (HSMs) integrieren, um manipulationssichere Schlüsselablage gemäß FIPS 140-3-Validierung zu gewährleisten.

Erfahren Sie, wie Kiteworks CMMC 2.0-Compliance mit FIPS 140-3-validierten, kundeneigenen Verschlüsselungsschlüsseln unterstützt – vereinbaren Sie eine individuelle Demo für Ihr Verteidigungsumfeld.

Häufig gestellte Fragen

CMMC verlangt FIPS-validierte Verschlüsselung, schreibt jedoch AES-256 nicht explizit vor. AES-256 ist jedoch der am weitesten verbreitete FIPS-zugelassene Algorithmus zum Schutz sensibler Bundesinformationen und gilt als Standard für den Schutz von CUI.

Die Kontrollen SC.L2-3.13.8 (kryptografischer Schutz während der Übertragung) und SC.L2-3.13.16 (Schutz von CUI im ruhenden Zustand) enthalten die zentralen Verschlüsselungsanforderungen. Weitere Kontrollen betreffen verwandte Themen wie Schlüsselmanagement. Details finden Sie in den vollständigen NIST 800-171-Kontrollspezifikationen.

Beide sind zulässig. FIPS 140-2-Zertifikate bleiben bis zum Ablauf gültig, neue Validierungen erfolgen jedoch nach FIPS 140-3. Unternehmen sollten FIPS 140-3-validierte Lösungen bevorzugen, um langfristige Compliance sicherzustellen.

Die Verschlüsselung des Cloud-Anbieters kann die CMMC-Anforderungen erfüllen, sofern FIPS-validierte Module eingesetzt werden. Das Schlüsselbesitzmodell entscheidet jedoch, wer Zugriff auf verschlüsselte CUI hat – und das wird von Prüfern genau betrachtet.

Kundeneigene Verschlüsselungsschlüssel – bei denen ausschließlich Sie die Schlüssel besitzen – liefern den eindeutigen Nachweis der Zugriffskontrolle auf CUI im Rahmen der CMMC-Prüfung. Kundenverwaltete Schlüssel (BYOK) lassen dem Cloud-Anbieter technischen Zugriff auf Ihre Schlüssel, was Unsicherheiten über den Zugriff auf CUI schafft – selbst auf FedRAMP-Infrastruktur.

CMMC Level 1 umfasst 17 grundlegende Schutzmaßnahmen für FCI und enthält keine expliziten Verschlüsselungsanforderungen. Dennoch bleibt Verschlüsselung eine empfohlene Maßnahme zum Schutz sensibler Informationen.

Prüfer begutachten FIPS-Validierungszertifikate, überprüfen die Verschlüsselungskonfigurationen, kontrollieren die Abdeckung aller CUI-Speicherorte und Übertragungskanäle und bewerten die Schlüsselmanagement-Dokumentation im System Security Plan (SSP).

Weitere Ressourcen

  • Blogbeitrag
    Public vs. Private Key Encryption: Eine ausführliche Erklärung
  • Blogbeitrag
    Wesentliche Best Practices für Datenverschlüsselung
  • eBook
    Top 10 Trends bei Datenverschlüsselung: Eine detaillierte Analyse zu AES-256
  • Blogbeitrag
    E2EE im Praxiseinsatz: Reale Beispiele für Ende-zu-Ende-Verschlüsselung
  • Blogbeitrag
    Ultimativer Leitfaden zu AES 256-Verschlüsselung: Datensicherheit auf höchstem Niveau

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks