Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Kostenlos testen DEMO

CMMC & CMMC 2.0: Cybersecurity Maturity Model Certification

Home Glossar CMMC & CMMC 2.0: Cybersecurity Maturity Model Certification

Da CMMC noch in der Entwicklung begriffen ist, sollten Sie sicherstellen, dass Ihr Unternehmen bezüglich der CMMC-Zertifizierung auf dem Laufenden ist und weiß, wie sich die Aktualisierungen auf Ihr Unternehmen auswirken.

Was bedeutet CMMC? Cybersecurity Maturity Model Certification ist ein Standard, der von Auftragnehmern des US-Verteidigungsministeriums verlangt, dass sie ein bestimmtes Maß an Cybersicherheit erfüllen, um die sensiblen Daten des Ministeriums zu schützen.

CMMC-Framework, was ist das?

Das Cybersecurity Maturity Model Certification (CMMC) ist ein optimiertes und zentralisiertes Rahmenkonzept für Cybersicherheit, das vom US-Verteidigungsministerium geschaffen wurde, um Vertragspartner bei der Einhaltung von Vorschriften und Sicherheitsbestrebungen in der militärischen Lieferkette zu unterstützen.

Je nach Typ der von ihnen verwalteten Daten – welcher zum Teil von der Behörde bestimmt wird, mit der sie zusammenarbeiten – müssen Auftragnehmer des Verteidigungsministeriums über bestimmte IT-Sicherheits- und Datenschutzkontrollen und gegebenenfalls über bestimmte Sicherheitseinstufungen verfügen. Einige Arten von Daten erfordern zwar keine spezielle Sicherheitsüberprüfung, dienen aber dennoch einem wichtigen Zweck für das Verteidigungsministerium und die zugehörigen Behörden. Beispiele für diese Arten von Daten sind die folgenden:

  • Federal Contract Information (FCI): Diese Informationen werden im Rahmen der Zusammenarbeit zwischen Vertragslieferanten und der Verteidigungsindustrie erstellt. Sie sind zwar nicht durch eine Sicherheitsüberprüfung geschützt, werden aber dennoch als wichtiger Teil der Abläufe im Verteidigungsministerium angesehen.
  • Controlled Unclassified Information (CUI): Die Verteidigungsbehörden verwenden oder erstellen diese Informationen im Rahmen ihrer Tätigkeit. Auch wenn sie nicht als Verschlusssache eingestuft sind, so sind sie doch ein wesentlicher Teil der Abläufe im Verteidigungsministerium (noch mehr als die FCI) und unterliegen den Kontrollen der Cybersicherheit.

Die für 2019 angekündigte und veröffentlichte CMMC-Version 1.0 dient speziell der Zertifizierung von Auftragnehmern im Verteidigungsbereich für den Umgang mit FCI oder CUI. Vor diesen Änderungen mussten sich alle Auftragnehmer im Verteidigungsbereich gemäß den Richtlinien der NIST Special Publication 800-171 selbst zertifizieren.

Wie kann Managed File Transfer CMMC-konform werden?

Darüber hinaus bildet das CMMC eine wichtige Brücke zwischen dem früheren Modell der Selbstbescheinigungen und dem neuen Modell, das Audits durch einen externen Dritten erfordert. Der Regelungsprozess begann 2019 und wurde 2020 fortgesetzt, und die Interimsregel Defense Federal Acquisition Regulation Supplement (DFARS) 2019-D041 wurde umgesetzt, um die Anforderungen in alle Ausschreibungen im Verteidigungsbereich aufzunehmen.

Im November 2021 kündigte das US-Verteidigungsministerium eine neue Revision des CMMC an, Version 2.0. Während CMMC 2.0 voraussichtlich in den nächsten ein bis zwei Jahren in Kraft treten wird, ist CMMC 1.0 nach wie vor die zentrale Vorschrift, an die sich die Unternehmen zu halten haben.

Was bedeuten die CMMC Version 1.0 Maturity Levels?

Eine der wichtigsten Änderungen im Vergleich zu den vorherigen Verordnungen war die Messung der “Reife” (engl.  maturity) der Cybersicherheit anhand verschiedener Stufen (Level). Auftragnehmer, die eine Zertifizierung anstreben, arbeiten auf das Erreichen eines der Level hin. Der erforderliche Maturity Level wird in jeder Ausschreibung des Verteidigungsministeriums angegeben und richtet sich nach der Art der vom Anbieter verwalteten Daten und den Anforderungen der beauftragenden Behörde.

In Version 1.0 wird der Reifegrad sowohl durch “Prozesse” (die übergreifenden Fähigkeiten des Unternehmens) als auch durch “Verfahren” (ein Maß für die Cyber-Hygiene, das auf der Anzahl der implementierten Kontrollen aus NIST 800-171 basiert) definiert.

Die fünf Maturity Level von CMMC 1.0 lauten wie folgt:

  • Level 1: Auf Level 1 wird von den Anbietern erwartet, dass sie über “grundlegende” Cyber-Hygiene (insgesamt 17 Kontrollvorgänge) verfügen und in der Lage sind, diese nach Bedarf umzusetzen. Level 1 ist die Mindestanforderung an einen Auftragnehmer, um mit FCI umgehen zu können.
  • Level 2: Auf Level 2 sollten die Anbieter über eine “mittlere” Cyber-Hygiene (48 Kontrollvorgänge) verfügen und in der Lage sein, die Umsetzung dieser Kontrollschritte zu dokumentieren, um eine wiederholte Umsetzung im Laufe der Zeit zu unterstützen.
  • Level 3: Level 3 verlangt von den Auftragnehmern eine “gute” Cyber-Hygiene (110 Kontrollvorgänge) und die Fähigkeit, ihr gesamtes Sicherheitssystem zu verwalten (einschließlich der Erstellung von Leitbildern und Zielvorgaben, der Bereitstellung von Ressourcen, der Schulung und der Kommunikation mit den relevanten Beteiligten). Level 3 ist die Mindestanforderung an einen Auftragnehmer für den Umgang mit CUI.
  • Level 4: Von den Auftragnehmern wird erwartet, dass sie fortschrittliche Maßnahmen zur Cybersicherheit ergreifen. Dies bedeutet, dass sie über eine “proaktive” Cyber-Hygiene (156 Kontrollvorgänge) verfügen, die darauf ausgerichtet ist, einige der fortschrittlichsten Hacking-Taktiken zu bekämpfen. Darüber hinaus sollten diese Unternehmen in der Lage sein, ihre Sicherheitsinfrastruktur zu überprüfen, Daten zu sammeln, Metriken zu erstellen und die Wirksamkeit zu messen.
  • Level 5: Die höchste Stufe, Level 5, verlangt eine “fortgeschrittene proaktive” Hygiene, die auf die Erkennung und Eindämmung schwerwiegender anhaltender Bedrohungen ausgerichtet ist (171 Kontrollvorgänge). Schließlich wird von Unternehmen auf diesem Level erwartet, dass sie in der Lage sind, alles, was sie implementiert haben, zu standardisieren, zu optimieren und die Fähigkeit zu belegen, dies regelmäßig zu tun.

Was versteht man unter einer “Certified Third-Party Assessment Organisation”?

Die andere wichtige Neuerung gegenüber CMMC 1.0 ist die Anforderung einer Drittbewertung durch eine zertifizierte externe Prüfinstitution (Third-Party Assessment Organisation).

C3PAOs sind bedeutende Sicherheitsunternehmen im Bereich der Cybersicherheit im Verteidigungsbereich, die von der CMMC-Akkreditierungsstelle (CMMC-AB) akkreditiert wurden, um Audits bei Auftragnehmern im Verteidigungsbereich durchzuführen. Jedes Unternehmen, das mit anderen Security Frameworks wie FedRAMP vertraut ist, wird diesen Prozess sofort erkennen. CMMC greift bei seinem Auditverfahren teilweise auf die gleichen Dokumente zurück, nämlich NIST 800-53 und FIPS 140-2.

Einer der Nachteile der Zusammenarbeit mit einer C3PAO ist, dass sie nicht gleichzeitig als Berater für Ihr Unternehmen tätig sein kann. Daher gibt es in den Vorschriften eine zweite Bezeichnung – die Registered Provider Organisation (RPO). Ein RPO kann Kunden, die sich auf die Einhaltung von Vorschriften vorbereiten, Beratung, Empfehlungen und Ratschläge geben. Ein und dasselbe Sicherheitsunternehmen kann niemals sowohl als RPO als auch als C3PAO für ein und dasselbe Unternehmen tätig sein.

Was ist CMMC 2.0?

Im November 2021 überarbeitete das US-Verteidigungsministerium die Anforderungen auf der Grundlage des Feedbacks von Partnerorganisationen und Unternehmen, die den C3PAO-Zertifizierungsprozess durchlaufen. Ziel dieser Überarbeitung war es, die Rahmenbedingungen zu optimieren, um sie für alle Beteiligten weniger kostspielig und zeitaufwendig zu machen, ohne die Wirksamkeit zu beeinträchtigen.

Zu den vorgeschlagenen Änderungen in Version 2.0 gehören folgende:

  • Reduzierung der Maturity Levels von fünf auf drei: Unter 2.0 wird das neue Modell nur noch drei Maturity Levels umfassen. Level 1 wird weiterhin das Minimum für den Umgang mit FCI sein und 17 Sicherheitskontrollen aus NIST 800-171 erfordern. Level 2 wird die Mindestvoraussetzung für die Verwaltung von CUI sein und stellt eine Verschmelzung der ursprünglichen Level 2 und 3 dar, wobei insgesamt 110 Sicherheitskontrollen erforderlich sind. Level 3 schließlich umfasst mehr als 110 erforderliche Sicherheitskontrollen (je nach den Anforderungen der beauftragenden Behörde).
  • Geringere Anforderungen in Bezug auf C3PAOs: Anstatt ein C3PAO für alle Auftragnehmer vorzuschreiben, verlangt Version 2.0 nur ein alle drei Jahre stattfindendes Audit durch einen externen Gutachter für die Zertifizierung auf den Levels 2 und 3. Auftragnehmer, die eine Zertifizierung der Level 1 anstreben (und eine begrenzte Anzahl von Auftragnehmern, die spezielle Level 2-Zertifizierungen anstreben), können sich für eine jährliche Selbstbescheinigung entscheiden.
  • Aktionsplan und Meilensteine: Einige andere Rahmenwerke sahen die Möglichkeit vor, dass die geprüften Auftragnehmer am Ende ihrer Audits einen “Plan of Action and Milestones” (POA&M) vorlegen. Angenommen, der Prüfer stellt fest, dass der Vertrag nicht vollständig konform ist, aber mit relativ einfachen Änderungen innerhalb eines angemessenen Zeitrahmens konform sein könnte. In diesem Fall könnten sie den Auftragnehmer mit einem ausgefüllten und verbindlichen POA&M zulassen. CMMC 1.0 erlaubte diesen Ansatz nicht – der Auftragnehmer musste vollständig konform sein, um eine Zertifizierung zu erhalten. In der Version 2.0 wird das US-Verteidigungsministerium POA&Ms unter bestimmten Bedingungen zulassen.

Das CMMC-2.0-Modell ist derzeit nur eine Veröffentlichung und wird gerade überprüft und durchläuft den Prozess der Verabschiedung von Vorschriften. Mit dem Abschluss dieses Prozesses wird in 9-24 Monaten gerechnet. In der Zwischenzeit erkennt das CMMC-AB weiterhin Audits und Zertifizierungen der Version 1.0 an und arbeitet mit ihnen.

CMMC-LEITFADEN

Erfüllen Sie ab sofort die CMMC-Anforderungen für die sichere Dateiübertragung!

Wie man die CMMC-Zertifizierung angeht

CMMC ist sehr präskriptiv, doch mithilfe von geschulten Fachleuten kann es mitunter einfacher sein, die Anforderungen zu verstehen, sie umzusetzen und auf eine Zertifizierung hinzuarbeiten.

Es gibt einige bewährte Verfahren, die den Zertifizierungsprozess erleichtern:

  • Nutzen Sie den Marketplace: Die CMMC-AB-Website enthält einen Marketplace sowohl für RPOs als auch für C3PAOs (auch für solche, die gerade ihre eigene Zertifizierung durchlaufen). Wählen Sie potenzielle Partner immer von dieser Website aus, einer echten, authentifizierten und legitimen Quelle für seriöse Sicherheitsunternehmen auf diesem Markt.
  • Arbeiten Sie mit gesetzeskonformer Technologie: Es ist sehr wahrscheinlich, dass Unternehmen im Rahmen ihrer Geschäftstätigkeit mit einem Cloud-Anbieter, einem Managed Service Provider oder einem Anbieter für Dateimanagement zusammenarbeiten. Die Einhaltung der geltenden Vorschriften erfordert, dass Unternehmen ihre Anbieter überprüfen und nur mit solchen zusammenarbeiten, die über zertifizierte Technologie verfügen oder diese unterstützen können.
  • Arbeiten Sie mit einem RPO: Machen Sie die Dinge nicht komplizierter, als sie sein müssen. Während ein C3PAO bei der Auditierung helfen kann, kann ein RPO bei der Vorbereitung auf das Audit helfen, wie es ein C3PAO nicht kann. Informieren Sie sich über RPO- und CMMC-Beratungsdienste, wenn Sie mit den Compliance-Maßnahmen beginnen.
  • Machen Sie sich bereit für Version 2.0: Wenn Sie bereits jetzt mit CMMC arbeiten, erhalten Sie die Zertifizierung gemäß den Vorschriften und werden in CMMC 2.0 übernommen. Das US-Verteidigungsministerium bereitet sich bereits auf diesen Übergang vor. In der Zwischenzeit ist es jedoch am besten, wenn Sie jetzt schon wissen, welche Verpflichtungen Sie nach dem neuen Regelwerk haben werden.

CMMC-Zertifizierung zur Unterstützung der nationalen Verteidigungsbereitschaft

Die Zertifizierung ist nicht nur ein weiterer Schritt, sondern ein wichtiger Bestandteil Ihrer Arbeit als Auftragnehmer in der Lieferkette der Verteidigungsindustrie. Ihre Technologie, Verfahren, Mitarbeiter und Abläufe müssen mit diesem wichtigen Sicherheitsmodell in Einklang gebracht werden. Der Lohn für die Einhaltung der Vorschriften ist jedoch auch ein Plus für Ihr Unternehmen: bessere Sicherheit, bessere Ressourcen und eine insgesamt ausgereiftere Cybersicherheitsstruktur.

Wenn Sie mehr über Kiteworks, Compliance und das CMMC-Framework erfahren möchten, lesen Sie unser Whitepaper über CMMC Compliance. Oder kontaktieren Sie unser Team, um mehr darüber zu erfahren, wie die Kiteworks-Plattform Ihre Unternehmensziele unterstützt, und vereinbaren Sie eine individuelle Demo.

 

–>

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

See Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN
Teilen
Twittern
Teilen
Get A Demo