Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > CMMC Compliance > CMMC vs. ITAR: Müssen Rüstungsunternehmen eine oder beide Vorgaben erfüllen?
CMMC vs. ITAR: Müssen Verteidigungsunternehmer sich an eines oder beide halten?

CMMC vs. ITAR: Müssen Rüstungsunternehmen eine oder beide Vorgaben erfüllen?

von Bob Ertl updated März 11, 2024 CMMC Compliance
Lesezeit: 9 Minuten

Im Bereich der Verteidigungsaufträge ist die Einhaltung von gesetzlichen Vorgaben ein entscheidender Bestandteil des Geschäfts. Das Cybersecurity Maturity Model Certification (CMMC) 2.0 und die International Traffic in Arms Regulations (ITAR) sind zentrale regulatorische Rahmenwerke, die die Branche maßgeblich beeinflussen. Diese Vorschriften dienen dem Schutz sensibler Informationen und der nationalen Sicherheit, sorgen jedoch bei Verteidigungsunternehmen für Unsicherheit, wenn es darum geht, welches Rahmenwerk für ihre Tätigkeiten gilt. Dieser Blogbeitrag gibt einen Überblick über CMMC 2.0 und ITAR, vergleicht deren grundlegende Unterschiede und gibt Hinweise darauf, welche Verteidigungsunternehmen eine oder beide Vorschriften einhalten müssen.

Der CMMC-Zertifizierungsprozess ist anspruchsvoll, aber unser CMMC 2.0 Compliance-Fahrplan kann dabei unterstützen.

CMMC 2.0: Ein einheitlicher Cybersecurity-Standard für die Verteidigungsindustrie

Die Cybersecurity Maturity Model Certification, kurz CMMC, ist ein einheitlicher Cybersecurity-Standard, der vom US-Verteidigungsministerium (DoD) entwickelt wurde, um die Sicherheit sensibler Informationen innerhalb der Defense Industrial Base (DIB) zu gewährleisten. Die CMMC-Compliance ist für alle Verteidigungsunternehmen verpflichtend, die mit dem DoD zusammenarbeiten und kontrollierte, nicht klassifizierte Informationen (CUI) verarbeiten. Diese Informationen können technische Daten, Forschungs- und Entwicklungsdaten oder andere sensible, aber nicht klassifizierte Daten im Zusammenhang mit Verteidigungsoperationen umfassen.

Im November 2021 führte das DoD CMMC 2.0 ein – eine überarbeitete Version des ursprünglichen Modells, um den Zertifizierungsprozess zu vereinfachen und die Belastung für kleine Unternehmen zu reduzieren. CMMC 2.0 basiert auf drei Stufen, die jeweils spezifische Verfahren und Praktiken für die Compliance erfordern:

CMMC 2.0 Level 1: Grundlegende Cybersecurity für FCI

Diese Stufe konzentriert sich auf grundlegende Cybersecurity-Hygiene und umfasst die im National Institute of Standards and Technology (NIST) Special Publication 800-171 beschriebenen Praktiken, ergänzt um einige zusätzliche Anforderungen. Diese Stufe ist der Mindeststandard für Verteidigungsunternehmen, die mit Federal Contract Information (FCI) arbeiten.

CMMC 2.0 Level 2: Erweiterter Schutz für CUI

Verteidigungsunternehmen, die CUI verarbeiten, müssen Level 2 einhalten, das zusätzliche Sicherheitspraktiken über die Anforderungen von NIST SP 800-171 hinaus beinhaltet. Diese Stufe soll sensible Informationen vor fortgeschrittenen Cyberbedrohungen schützen.

CMMC 2.0 Level 3: Experten-Schutz für kritische Programme

Diese Stufe ist für kritische Programme und Technologien reserviert, die den höchsten Schutzbedarf im Bereich Cybersecurity haben. Level 3 umfasst strengere Sicherheitsanforderungen, einschließlich kontinuierlicher Überwachung und fortschrittlicher Bedrohungserkennung.

ITAR: Schutz von Verteidigungstechnologien vor globalen Bedrohungen

Die International Traffic in Arms Regulations (ITAR) sind Vorschriften, die den Export, Import und die Vermittlung von Rüstungsgütern, Verteidigungsdienstleistungen und zugehörigen technischen Daten regeln. ITAR wird vom Directorate of Defense Trade Controls (DDTC) des US-Außenministeriums durchgesetzt und soll den unbefugten Transfer sensibler Verteidigungstechnologien an ausländische Akteure verhindern.

Verteidigungsunternehmen, die Produkte auf der United States Munitions List (USML) herstellen, exportieren oder Dienstleistungen dazu anbieten, müssen sich beim DDTC registrieren und ITAR einhalten. Die USML umfasst verschiedene verteidigungsrelevante Güter, darunter Waffensysteme, militärische Elektronik und Schutzausrüstung.

CMMC 2.0 vs. ITAR: Die entscheidenden Unterschiede verstehen

Obwohl CMMC 2.0 und ITAR für Verteidigungsunternehmen essenziell sind, verfolgen sie unterschiedliche Ziele und stellen verschiedene Anforderungen. Der folgende Abschnitt vergleicht die beiden regulatorischen Rahmenwerke.

Geltungsbereich von CMMC vs. ITAR: Cybersecurity vs. Exportkontrolle

CMMC 2.0 konzentriert sich auf Cybersecurity und richtet sich explizit an Verteidigungsunternehmen, die mit dem DoD zusammenarbeiten und FCI oder CUI verarbeiten. ITAR hingegen ist breiter gefasst und regelt den Export, Import und die Vermittlung von Rüstungsgütern, Verteidigungsdienstleistungen und technischen Daten.

Anwendbarkeit: Tätigkeiten und Rollen, die Compliance auslösen

CMMC 2.0 gilt für alle Verteidigungsunternehmen, die mit dem DoD arbeiten – unabhängig von Größe oder Art der Tätigkeit. ITAR gilt für Unternehmen, die Produkte auf der USML herstellen, exportieren oder Dienstleistungen dazu anbieten.

Durchsetzung und Strafen: Was steht auf dem Spiel?

CMMC 2.0 wird vom DoD durchgesetzt und verlangt von Verteidigungsunternehmen eine Überprüfung durch Dritte, um die Compliance zu bestätigen. Die Zertifizierung muss während der gesamten Vertragslaufzeit aufrechterhalten werden. Das DDTC des US-Außenministeriums überwacht die Einhaltung von ITAR. Verstöße können zu schweren zivil- und strafrechtlichen Sanktionen führen, darunter Geldstrafen, Freiheitsstrafen und Ausschluss von künftigen Verträgen.

Compliance-Anforderungen: Kontrollen vs. Registrierung und Lizenzen

CMMC 2.0 definiert Cybersecurity-Praktiken und -Prozesse auf drei Ebenen, mit spezifischen Anforderungen je nach Einbindung des Unternehmens mit FCI oder CUI. ITAR-Compliance erfordert die Registrierung beim DDTC, die Implementierung eines Exportkontrollprogramms und den Erhalt entsprechender Lizenzen für den Export, Import oder die Vermittlung von Rüstungsgütern, Verteidigungsdienstleistungen und technischen Daten.

WICHTIGE ERKENNTNISSE

  1. Compliance ist entscheidend für Verteidigungsunternehmen

    Die Einhaltung von CMMC 2.0 und ITAR entscheidet über die Vergabe von Regierungsaufträgen – daher ist das Verständnis der Anforderungen unerlässlich.

  2. Überblick zu CMMC 2.0

    CMMC 2.0 ist ein dreistufiger, vom DoD entwickelter Cybersecurity-Standard, der die Cybersecurity-Praktiken für Verteidigungsunternehmen mit CUI stärkt.

  3. Überblick zu ITAR

    ITAR wird vom US-Außenministerium durchgesetzt und regelt den Export, Import und die Vermittlung von Rüstungsgütern und technischen Daten, um unbefugte Transfers zu verhindern.

  4. Unterschiede zwischen CMMC 2.0 und ITAR

    CMMC und ITAR unterscheiden sich in Geltungsbereich, Anwendbarkeit und Anforderungen. CMMC konzentriert sich auf Cybersecurity, ITAR auf Exportkontrolle.

  5. Duale Compliance meistern

    Verteidigungsunternehmen müssen je nach Geschäftstätigkeit sowohl CMMC 2.0 als auch ITAR einhalten. Duale Compliance erfordert eine integrierte Strategie.

CMMC oder ITAR: So erkennen Sie, welche Vorschrift für Ihre Geschäftstätigkeit gilt

Die Notwendigkeit zur Einhaltung von CMMC 2.0 und ITAR hängt von den konkreten Tätigkeiten und Dienstleistungen eines Verteidigungsunternehmens ab. Je nach Geschäftsmodell kann die Einhaltung einer oder beider Vorschriften erforderlich sein.

CMMC 2.0-Compliance für DoD-Auftragnehmer

Alle Verteidigungsunternehmen, die mit dem DoD arbeiten und FCI oder CUI verarbeiten, müssen CMMC 2.0 einhalten. Die erforderliche Compliance-Stufe richtet sich nach der Art der verarbeiteten Informationen:

CMMC 2.0 Level 1: Für Unternehmen mit FCI

Grundlegende Cybersecurity – die erste Stufe von CMMC 2.0 – legt den Fokus auf grundlegende Cybersecurity-Hygiene zum Schutz von Unternehmen, die FCI verarbeiten. FCI bezeichnet Informationen, die im Rahmen eines Vertrags von der Regierung bereitgestellt oder für sie erstellt werden und nicht für die Öffentlichkeit bestimmt sind.

Durch die Einhaltung von Level 1 weisen Verteidigungsunternehmen nach, dass sie eine solide Grundlage für das Management von Cybersecurity-Risiken geschaffen und FCI vor unbefugtem Zugriff und Offenlegung geschützt haben. Auf dieser Stufe müssen die Unternehmen die in NIST SP 800-171 beschriebenen Cybersecurity-Praktiken sowie einige zusätzliche Anforderungen umsetzen. Dazu zählen der gesicherte Zugang zu Informationssystemen, sichere Passwort-Richtlinien und aktuelle Antivirensoftware.

CMMC 2.0 Level 2: Für Unternehmen mit CUI

Erweiterte Cybersecurity – die zweite Stufe von CMMC 2.0 – richtet sich an Unternehmen, die mit CUI arbeiten. CUI ist eine Kategorie sensibler Informationen, die Schutz- oder Verbreitungsbeschränkungen unterliegt, da ein unbefugter Zugriff die nationale Sicherheit gefährden könnte.

Zusätzlich zu den Anforderungen aus Level 1 müssen Unternehmen auf dieser Stufe fortschrittlichere Cybersecurity-Praktiken implementieren, um CUI vor ausgefeilten Cyberbedrohungen zu schützen. Diese Maßnahmen gehen über NIST SP 800-171 hinaus und können Mehrfaktor-Authentifizierung, doppelte Verschlüsselung und Intrusion-Detection-Systeme umfassen. Mit der Einhaltung von Level 2 zeigen Unternehmen ihr Engagement für den Schutz von CUI und die Risikominimierung bei Cybervorfällen mit potenziell gravierenden Auswirkungen auf die nationale Sicherheit.

CMMC 2.0 Level 3: Für Unternehmen mit kritischen Programmen

Experten-Cybersecurity – die dritte und höchste Stufe von CMMC 2.0 – ist für Unternehmen reserviert, die an kritischen Programmen und Technologien arbeiten, die höchsten Schutzbedarf erfordern. Diese Programme können Informationen oder Fähigkeiten betreffen, deren Kompromittierung der nationalen Sicherheit erheblich schaden würde.

Unternehmen müssen auf dieser Stufe ein umfassendes und robustes Cybersecurity-Programm umsetzen, das strenge Sicherheitsanforderungen und fortschrittliche Fähigkeiten beinhaltet. Dazu gehören kontinuierliche Überwachung, fortschrittliche Bedrohungserkennung und proaktive Maßnahmen zur Identifizierung und Abwehr neuer Cyberbedrohungen. Mit Level 3 weisen Unternehmen nach, dass sie die sensibelsten und kritischsten Vermögenswerte der Defense Industrial Base schützen und so die Sicherheit der fortschrittlichsten Technologien und Fähigkeiten des Landes gewährleisten.

ITAR-Compliance für Exporteure und Dienstleister im Verteidigungsbereich

Verteidigungsunternehmen, die Produkte auf der USML herstellen, exportieren oder Dienstleistungen dazu anbieten, müssen ITAR einhalten. Dies gilt für Unternehmen, die Rüstungsgüter entwickeln, produzieren oder warten, sowie für Anbieter von Schulungen, technischer Unterstützung oder Beratungsleistungen im Zusammenhang mit Verteidigungsgütern.

CMMC 2.0 und ITAR: Duale Compliance managen

Das Verständnis und Management der dualen Compliance ist entscheidend, um die Berechtigung für DoD-Aufträge zu erhalten und potenzielle Strafen bei Nichteinhaltung zu vermeiden. In manchen Fällen müssen Unternehmen die Komplexität der gleichzeitigen Einhaltung von CMMC 2.0 und ITAR meistern. Solche Situationen entstehen typischerweise, wenn Unternehmen Tätigkeiten ausüben, die unter beide Vorschriften fallen. Die folgenden Szenarien erfordern häufig die duale Einhaltung von CMMC 2.0 und ITAR:

FCI oder CUI in DoD-Verträgen: Wann CMMC greift

Unternehmen, die mit dem DoD zusammenarbeiten und FCI oder CUI verwalten, müssen das jeweils passende CMMC 2.0-Level für ihre Informationsverarbeitung einhalten – ob Grundlegend, Erweitert oder Experten-Cybersecurity.

USML-Güter und ITAR: Wann Compliance erforderlich ist

Unternehmen, die Produkte auf der USML herstellen, exportieren oder Dienstleistungen dazu anbieten, müssen die ITAR-Vorgaben einhalten. Dazu gehört das Einholen der erforderlichen Lizenzen und die Umsetzung eines effektiven Exportkontrollprogramms.

Ein Beispiel: Ein Unternehmen entwickelt und produziert ein fortschrittliches Radarsystem, das auf der USML gelistet ist. Neben der Verarbeitung von CUI im Rahmen eines DoD-Vertrags exportiert das Unternehmen das Radarsystem auch an ausländische Partner. In diesem Fall muss das Unternehmen sowohl CMMC 2.0 als auch ITAR einhalten.

Integrierte Compliance-Strategie für Unternehmen

Um die duale Compliance effektiv zu managen, sollten Unternehmen eine integrierte Strategie umsetzen, die die spezifischen Anforderungen von CMMC 2.0 und ITAR abdeckt. Diese Strategie kann beinhalten:

  • Ein umfassendes Cybersecurity-Programm, das sich am CMMC 2.0-Framework orientiert und Exportkontrollanforderungen integriert
  • Aufbau und Pflege eines Exportkontrollprogramms, das nahtlos mit der bestehenden Cybersecurity-Infrastruktur des Unternehmens zusammenarbeitet
  • Regelmäßige Assessments, Audits und Schulungen zur Sicherstellung der Einhaltung von CMMC 2.0 und ITAR

Mit einem ganzheitlichen Compliance-Ansatz können Unternehmen die Komplexität der Einhaltung von CMMC 2.0 und ITAR erfolgreich meistern, sensible Informationen schützen und ihre Fähigkeit zur Zusammenarbeit mit dem DoD und anderen Behörden sichern.

CMMC 2.0 vs. ITAR-Compliance: Praxisbeispiele

Die folgenden Use Cases verdeutlichen die Notwendigkeit der Einhaltung von CMMC 2.0 oder ITAR.

Use Case 1: Cybersecurity-Dienstleistungen für das DoD

Ein Unternehmen bietet dem DoD Cybersecurity-Dienstleistungen an und verarbeitet dabei CUI. In diesem Fall ist die Einhaltung von CMMC 2.0 Level 2: Erweiterte Cybersecurity erforderlich. Da das Unternehmen keine Produkte auf der USML herstellt, exportiert oder entsprechende Dienstleistungen anbietet, ist ITAR-Compliance nicht notwendig.

Use Case 2: Herstellung und Export von Verteidigungselektronik

Ein Unternehmen produziert Verteidigungselektronik, die auf der USML gelistet ist, und exportiert diese an ausländische Partner. Aufgrund des Exports von USML-Gütern ist die Einhaltung von ITAR erforderlich. Verarbeitet das Unternehmen zudem CUI im Rahmen eines DoD-Vertrags, muss zusätzlich CMMC 2.0 Level 2: Erweiterte Cybersecurity eingehalten werden.

Use Case 3: F&E in sensiblen Verteidigungstechnologien

Ein Unternehmen erbringt Forschungs- und Entwicklungsleistungen für das DoD im Bereich fortschrittlicher Materialien für militärische Anwendungen. Dabei werden sowohl FCI als auch CUI verarbeitet. In diesem Fall ist die Einhaltung von CMMC 2.0 Level 2: Erweiterte Cybersecurity erforderlich. Geht die Forschung mit USML-Gütern einher und werden diese exportiert, importiert oder entsprechende Dienstleistungen angeboten, ist zusätzlich ITAR-Compliance erforderlich.

Use Case 4: Militärische Ausbildung und Support

Ein Unternehmen bietet militärische Ausbildungs- und Supportdienstleistungen an, einschließlich der Arbeit mit auf der USML gelisteten Rüstungsgütern. Das Unternehmen verarbeitet im Rahmen seiner Tätigkeit FCI oder CUI. In diesem Fall ist ITAR-Compliance aufgrund der Arbeit mit USML-Gütern erforderlich. CMMC 2.0-Compliance ist nicht notwendig, da keine FCI oder CUI verarbeitet werden.

Beschleunigen Sie Ihre CMMC 2.0 Level 2 Compliance mit Kiteworks

Die Navigation durch das CMMC 2.0-Framework ist komplex – insbesondere für DoD-Auftragnehmer und Subunternehmer, die Level 2 erreichen müssen. Die Zusammenarbeit mit CMMC-Experten ist eine kluge Entscheidung, um einen reibungslosen Compliance-Prozess zu gewährleisten.

Spezialisierte Beratungsunternehmen wie Optiv unterstützen Sie dabei, Ihre bestehenden Kontrollen und Technologien an die Anforderungen von Level 2 anzupassen. Diese Experten begleiten Sie bei der Umsetzung von Plans of Action & Milestones (POA&Ms) und arbeiten mit zertifizierten CMMC Third Party Assessor Organizations (C3PAOs) für Assessments und Akkreditierung zusammen.

Neben fachkundiger Beratung kann die Wahl der passenden Plattform für die Kommunikation sensibler Inhalte Ihren CMMC 2.0 Level 2-Compliance-Prozess erheblich beschleunigen. Statt mehrere Tools für den Versand, Austausch, Empfang und die Speicherung sensibler Informationen wie CUI und FCI zu nutzen, reduziert eine einheitliche Lösung Komplexität, Ineffizienzen und Risiken.

Mehr als 3.800 Organisationen setzen auf die Kiteworks-Plattform – eine FedRAMP-autorisierte Lösung für Moderate Level Impact (seit sechs Jahren in Folge). Unter anderem hebt sich Kiteworks durch seine FedRAMP-Compliance von anderen Lösungen ab, die DoD-Zulieferer für Datei- und E-Mail-Kommunikation nutzen. Dank FedRAMP-Compliance und gehärteter virtueller Appliance unterstützt Kiteworks nahezu 90 % der 110 Practice Controls in CMMC 2.0 Level 2 – mehr als jede andere vergleichbare Lösung am Markt.

Erfahren Sie, wie Sie der Konkurrenz einen Schritt voraus sind und Ihre CMMC 2.0 Level 2 Compliance beschleunigen, indem Sie noch heute eine individuelle Demo von Kiteworks vereinbaren.

CMMC vs. ITAR – Häufig gestellte Fragen

Nein, DoD-Auftragnehmer müssen nicht zwangsläufig sowohl CMMC als auch ITAR einhalten. Die Notwendigkeit zur Compliance hängt von den konkreten Tätigkeiten und Dienstleistungen eines Unternehmens innerhalb der Defense Industrial Base (DIB) ab. Je nach Geschäftsmodell kann die Einhaltung einer oder beider Vorschriften erforderlich sein.

Alle Verteidigungsunternehmen, die mit dem DoD arbeiten und FCI oder CUI verarbeiten, müssen CMMC 2.0 einhalten. Die erforderliche Compliance-Stufe richtet sich nach der Art der verarbeiteten Informationen. Unternehmen, die Produkte auf der USML herstellen, exportieren oder Dienstleistungen dazu anbieten, müssen ITAR einhalten. In manchen Fällen müssen Unternehmen die Komplexität der gleichzeitigen Einhaltung von CMMC 2.0 und ITAR bewältigen, wenn ihre Tätigkeiten unter beide Vorschriften fallen.

CMMC 2.0 konzentriert sich auf Cybersecurity und richtet sich explizit an Unternehmen, die mit dem DoD zusammenarbeiten und FCI oder CUI verarbeiten. ITAR ist breiter gefasst und regelt den Export, Import und die Vermittlung von Rüstungsgütern, Verteidigungsdienstleistungen und technischen Daten. CMMC 2.0 gilt für alle Unternehmen, die mit dem DoD arbeiten, während ITAR speziell für Unternehmen gilt, die Produkte auf der USML herstellen, exportieren oder dazu Dienstleistungen anbieten.

Nein. CMMC 2.0 und ITAR verfolgen unterschiedliche Ziele und stellen verschiedene Anforderungen. CMMC 2.0 konzentriert sich auf Cybersecurity für Unternehmen, die mit dem DoD zusammenarbeiten und FCI oder CUI verarbeiten, mit spezifischen Cybersecurity-Praktiken auf drei Ebenen. ITAR-Compliance umfasst die Registrierung beim DDTC, die Umsetzung eines Exportkontrollprogramms und das Einholen der erforderlichen Lizenzen für Export, Import oder Vermittlung von Rüstungsgütern. Die reine ITAR-Compliance erfüllt die CMMC-Anforderungen nicht.

Nein. Unternehmen, die beide Vorschriften einhalten müssen, benötigen eine integrierte Strategie, die die spezifischen Anforderungen beider Rahmenwerke abdeckt. Dazu gehört der Aufbau eines umfassenden Cybersecurity-Programms gemäß CMMC unter Berücksichtigung der Exportkontrollanforderungen, die Pflege eines Exportkontrollprogramms, das mit der Cybersecurity-Infrastruktur integriert ist, sowie regelmäßige Assessments für beide Rahmenwerke. Die CMMC-Compliance allein erfüllt nicht die Exportkontrollanforderungen von ITAR.

Weitere Ressourcen

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks