Cybersecurity Maturity Model Certification (CMMC) – Ein Überblick

Markus Müller
vor 6 Monaten
4 Min. Lesezeit

Die Cybersecurity Maturity Model Certification (CMMC) ist ein Zertifizierungsprogramm, das speziell für Lieferanten und Auftragnehmer des US-Verteidigungsministeriums (Department of Defense, kurz: DoD) entwickelt wurde. Ziel ist es, sicherzustellen, dass diese Unternehmen robuste Cybersicherheitsmaßnahmen implementieren, um sensible Informationen wie Federal Contract Information (FCI) und Controlled Unclassified Information (CUI) zu schützen. Der folgende Artikel gibt einen Überblick über die Bedeutung des CMMC, seine Beziehung zu verschiedenen Executive Orders und wie die NIST-Standards in das Rahmenwerk integriert sind.

CMMC – Ursprünge und Entwicklung

Das Federal Acquisition Regulation (FAR) ist das primäre Regelwerk für den Erwerb von Waren und Dienstleistungen durch US-Bundesbehörden. Es legt die Richtlinien und Anforderungen für Ausschreibungen und Verträge fest.

Das Defense Federal Acquisition Regulation Supplement (DFARS) ergänzt das FAR speziell für das US-Verteidigungsministerium und enthält zusätzliche Vorschriften und Sicherheitsanforderungen für Verteidigungsaufträge.

Das CMMC wurde entwickelt, um die Sicherheit innerhalb der Lieferkette des DoD zu verbessern. Bereits seit 2015 verlangt die DFARS 252.204-7012 den Schutz von “Covered Defense Information” und das Melden von Cyber-Vorfällen​. Die erste Version des CMMC wurde 2020 veröffentlicht, gefolgt von CMMC 2.0 im November 2021. Diese Version wird am 16. Dezember 2024 in Kraft treten, nachdem sie offiziell im Federal Register veröffentlicht wurde​.

Das CMMC 2.0 besteht aus drei Reifegradstufen, wobei jede Stufe eine unterschiedliche Anzahl an Sicherheitspraktiken und -kontrollen erfordert, die größtenteils auf den NIST-Standards basieren. Gegenüber der ersten Version reduziert CMMC 2.0 die Anzahl der Reifegradstufen von fünf auf drei, um den Zertifizierungsprozess für kleine und mittelständische Unternehmen zu vereinfachen.

Die CMMC-Stufen sind:

  • Level 1: Grundlegender Schutz von FCI durch grundlegende Sicherheitsanforderungen, die aus dem FAR 52.204-21 stammen. Die Prüfung des Levels erfolgt durch die Unternehmen selbst (Selbstbewertung).
  • Level 2: Erweiterter Schutz von CUI. Abhängig vom Risikograd erfolgt die Prüfung entweder durch Selbstbewertung oder durch Dritte.
  • Level 3: Höhere Schutzanforderungen für CUI vor Bedrohungen durch Advanced Persistent Threats (APTs). Die Prüfung erfolgt hierbei durch das DIB Cybersecurity Assessment Center.​

CMMC und NIST-Standards

Die CMMC-Anforderungen sind eng mit den Standards des National Institute of Standards and Technology (NIST) verknüpft. Besonders relevant sind hierbei zwei wichtige Dokumente:

  • NIST SP 800-171: Diese Richtlinie enthält Sicherheitsmaßnahmen zum Schutz von CUI in nicht-bundesstaatlichen Informationssystemen und Organisationen. Sie bildet die Grundlage für die Sicherheitsanforderungen in CMMC Level 2.
  • NIST SP 800-172: Diese Richtlinie erweitert die Anforderungen der NIST SP 800-171 für Szenarien, in denen erhöhte Sicherheitsanforderungen bestehen, und ist für CMMC Level 3 relevant​.

Wichtige Neuerungen der Final Rule zum CMMC

Der Code of Federal Regulations (CFR) ist das offizielle Regelwerk für alle dauerhaft geltenden US-Vorschriften. Eine “Final Rule” ist eine endgültige, rechtlich verbindliche Regelung, die nach einem formalen Prozess in den CFR aufgenommen wird und ab diesem Zeitpunkt befolgt werden muss.

Am 14. Oktober 2024 hat das DoD die Final Rule für das CMMC-Programm veröffentlicht. Die Regel wird am 16. Dezember 2024 in Kraft treten. Eine der wichtigsten Änderungen in dieser finalen Regelung ist die Vereinfachung der Reifegradstufen auf drei, was insbesondere kleinen und mittleren Unternehmen zugutekommt. Die CMMC-Stufen orientieren sich an der Kritikalität der zu schützenden unklassifizierten Informationen​.

Wichtige Aspekte für Unternehmen

Für Unternehmen, die mit dem DoD zusammenarbeiten möchten, ist es unerlässlich, CMMC-konform zu sein. Ohne eine gültige CMMC-Zertifizierung können sie keine DoD-Verträge abschließen, was zu erheblichen Umsatzverlusten führen kann. Unternehmen müssen sicherstellen, dass sie die Anforderungen für FCI und CUI erfüllen und einen Plan zur kontinuierlichen Überwachung und Verbesserung ihrer Sicherheitsmaßnahmen haben​.

Fazit

Die CMMC ist ein zentrales Rahmenwerk zur Sicherstellung der Cybersicherheit in der Lieferkette des US-Verteidigungsministeriums. Unternehmen, die bereits mit dem DoD zusammenarbeiten oder dies in Zukunft planen, müssen die CMMC-Anforderungen erfüllen, um ihre Marktposition zu stärken und neue Geschäftsmöglichkeiten zu erschließen. Die enge Verknüpfung mit den NIST-Standards ermöglicht den betroffenen Unternehmen eine stringente Umsetzung. Mit der Final Rule wird die CMMC weiter vereinfacht und effizienter gestaltet, so dass Unternehmen jeder Größe die Anforderungen erfüllen und im Verteidigungssektor aktiv bleiben können.

Das könnte Sie auch interessieren

Product SecurityRegulation

IoT-Regulierung in den USA

Die Regulierung der Cybersicherheit für Internet of Things (IoT)-Geräte in den USA gleicht einem komplexen Puzzle. Bundesweite Initiativen, einzelstaatliche Gesetze und freiwillige Standards bilden ein vielschichtiges...